Per quanto non sia mai uscito del tutto, ovviamente, torna a far visita e a spaventare il ransomware nel nostro Bel Paese. Stavolta tocca a un’altra struttura pubblica del nostro sistema sanitario nazionale: ospedale San Giovanni di Roma.
L’attacco è stato registrato attorno alla mezzanotte del 14 settembre (la notte tra il 13 e il 14 settembre, per essere chiari), ed è ovviamente in queste ore oggetto di approfondite indagini delle autorità italiane, nello specifico la polizia postale che si sta occupando di analizzare la scena lasciata dal software malevolo all’interno della rete ospedaliera.
La situazione
Quello che è successo, che per ora è un dato di fatto, sono le conseguenze che si sono potute toccare con mano: gestione del Pronto Soccorso e di alcuni reparti interni paralizzata, software interni inutilizzabili, circa 300 server compromessi (su cui poter lavorare e analizzare i dati passati sotto il lavoro del ransomware), circa 1500 postazioni informatiche di lavoro non funzionanti. Il personale sanitario è riuscito comunque a far fronte alle urgenze, senza paralizzare questa parte dell’attività, ma ricorrendo evidentemente a sistemi di backup manuali: carta e penna, smartphone personali per le comunicazioni e fogli e fotocopie per tutti i documenti.
Inoltre al momento della scrittura di questo articolo (23.15 del 14.09.2021), il sito pubblico dell’azienda ospedaliera hsangiovanni.roma.it non è ancora funzionante. Ha ripreso alcune funzionalità nella giornata di oggi intorno alle 15.00, ma in serata è nuovamente tornato offline. Dal punto di vista tecnico facciamo notare che il dominio e il sito sono attualmente ospitati da Fastweb.
Cosa si fa ora?
Sarebbe molto utile capire se in passato sono stati fatti tentativi di attacco, magari bloccati e non segnalati. Così come anche se la nuova Agenzia per Cyber Sicurezza possa esprimersi per casi come questo, magari anche in anticipo mitigando i rischi e sensibilizzando (sopratutto la Pubblica Amministrazione) alle buone pratiche di sicurezza informatica.
Capire infine se sono stati (e presumibilmente lo sono stati) esfiltrati i dati, prima di esser stati crittografati dal ransomware. Ricordiamo che la natura stesso degli attacchi di tipo ransomware prevede la crittografia di tutto ciò che capita sotto mano, ma preliminarmente la copia dei dati interessanti ai fini estorsivi, verso il gruppo che gestisce l’attività illecita del ransomware. Questo lavoro viene fatto infine, proprio per poter estorcere il riscatto, sotto minaccia della pubblicazione di tutti i dati che sono stati esfiltrati durante l’attacco.
Perché è importante
L’operazione è molto sensibile in quanto, come detto, il ransomware ha la caratteristica e la natura di rubare informazioni, quindi al di là del riscatto e della quantità di denaro che saranno richiesti dal gruppo criminale, e che comunque in ogni caso l’amministrazione dovrà spendere per ripristinare ciò che è stato danneggiato, i dati sono tanti. Sono tanti e importanti. Sono classificati proprio come dati importanti e riguardano un gran numero di cittadini: 160 visite di Pronto Soccorso in media la giorno, 65 mila nel 2019. E adesso, questi dati, non sono al sicuro. Questo è ciò che conta e questo è ciò che ci deve smuovere a fare qualcosa di veramente utile e importante per la sicurezza informatica in questo Paese.
Nascono agenzie che però esistono solo sulla carta. Non esiste una prevenzione efficace nella PA, ancora di meno nei privati. Non esiste una adeguata educazione a un’igiene digitale. Non esiste una cultura di valutazione seria dei rischi. Queste tematiche dovrebbero radicarsi nella nostra cultura, affinché questi avvenimenti non accadano, e pure se dovessero accadere, non coglierci totalmente inermi e impreparati. Per fare questo si dovrebbe innescare una catena che parta dalla scuola, fino ai corsi di formazione sui luoghi di lavoro. Per culminare con un vero e pratico nucleo cybersecurity nazionale, operativo e di intelligence.