ATTACCO HACKER ALLA PUBBLICA AMMINISTRAZIONE

Le campagne di attacchi ransomware nelle Pubbliche Amministrazioni sono sempre più numerose ed in continuo aumento, e non è un caso che i bersagli siano proprio tali infrastrutture, complice la superficialità collettiva rivolta alla sicurezza informatica e il livello medio/basso di alfabetizzazione digitale.

A tal proposito, è recentissima la notizia del milionario attacco hacker che ha colpito l’infrastruttura informatica del Comune di Brescia, che, ha tenuto “sotto assedio” gli uffici comunali, per quasi due settimane.  Si è trattato di un violentissimo attacco informatico, perpetrato ad opera di un sistema ransomware di tipo DoppelPaymer che ha causato un blocco totale dei database che gestiscono appalti, pratiche edilizie, sistema scolastico, anagrafe, rendendoli inaccessibili e mettendo quindi in difficoltà il lavoro di molti uffici.

Questo tipo di malware è in grado di cittografare tutti i file e i dati presenti sulle macchine colpite e la chiave di decrittazione viene fornita solamente a seguito del pagamento di un ingente riscatto, sempre più spesso in Bitcoin.

A ben vedere, le conseguenze di questo genere di attacco, sono tutt’altro che da sottovalutare. Oltre a causare una stasi delle diverse attività e dei diversi servizi posti in essere dalla Pubblica Amministrazione colpita, conseguenza che da sola dovrebbe servire a mettere in atto misure idonee di prevenzione, il rischio ulteriore è quello della proliferazione/pubblicazione di qualsivoglia dato personale che gli hacker riescano a recuperare, al fine di minacciare l’Ente, per ottenere il pagamento della somma richiesta. A tal proposito si parla di “data breach”, fenomeno che consiste in una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Infatti, non è infrequente che le organizzazioni criminali responsabili di questi attacchi informatici, pubblichino nel Dark Web (raggiungibile solo tramite “Tor” – browser che permette di navigare nell’ “internet oscuro” liberamente, garantendo assoluto anonimato-), rendendoli facilmente scaricabili da chiunque vi acceda, file, informazioni, dati, anche “particolari”. Situazioni di questo genere, possono quindi essere trampolino di lancio per la commissione di reati molto gravi (come, tra gli altri, il furto di identità digitale) e dar vita ad un circolo vizioso dal quale difficilmente si può uscire indenni.

Nel caso in cui si verifichi un data breach, secondo quanto previsto dall’art. 33 del Regolamento Ue 679/2016, il titolare del trattamento (ossia il Comune, e, in qualità di legale rappresentante, il Sindaco), deve notificare la violazione all’autorità di controllo competente (vv. art. 55) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e per le libertà delle persone fisiche (..). Se, invece, tali violazioni vengano a conoscenza del responsabile del trattamento, quest’ultimo dovrà informarne, senza ritardo ingiustificato, il titolare.

A livello nazionale sono state avviate diverse azioni per cercare di arginare e combattere fenomeni criminosi di questo genere, innalzando il livello di sicurezza dei sistemi informatici. Il più importante è il progetto pilota avviato da CERT-PA (Computer Emergency Response Team, formato da esperti di cyber security dell’ AgID), noto come “ Cyber Threat Intelligence (CTI)” grazie al quale sarà possibile ricevere e scambiare informazioni rilevanti ai fini della prevenzione e del monitoraggio di attacchi informatici.

Allo stato attuale però, in attesa che il summenzionato progetto di “scambio informativo” venga messo appunto e concretamente realizzato, l’unica tecnica di difesa realmente efficace dagli attacchi informatici di tipo crypto-ransomware, resta la prevenzione.

Prima di tutto, secondo quanto prescritto dall’ultimo comma del citato art. 33 GDPR, fondamentale è la tenuta ordinata di un apposito registro, che raccolga puntualmente tutti i data breach avvenuti (anche quelli non notificati al Garante). Il registro dei data breach dunque, deve essere continuamente aggiornato e messo a disposizione del Garante qualora l’Autorità chieda di accedervi.

Si tenga inoltre presente che, nella maggior parte dei casi, vettore di queste tipologie di infezioni è la casella di posta elettronica. Solitamente gli hacker riescono ad ottenere l’accesso ai sistemi informatici, attraverso la pratica del “phishing”, che consiste nell’invio, alla casella email della “preda”, di mail contraffatte contenenti link o allegati che, una volta aperti, installano sul dispositivo informatico della vittima, un malware in grado di bloccare il sistema e renderlo inaccessibile agli utenti abituali, se non, appunto, dopo il pagamento di un riscatto “ransom” (anche se non sempre dopo il pagamento, l’attacco cessa).

L’infiltrazione del malware però non è automatica, ma richiede sempre l’interazione di un utente. Non bisogna quindi sottovalutare il fattore umano, che rimane il principale attore nell’attività di prevenzione. Per questo motivo, è necessario porre in atto tutte le possibili azioni preventive, atte a mitigare il rischio che un errore umano esponga l’intera amministrazione a rischi informatici elevati. A tal fine, risulta indispensabile un’adeguata formazione degli operatori (dei responsabili, sia interni che esterni, degli autorizzati e di tutti coloro che hanno accesso agli strumenti informatici dell’Ente) che devono possedere necessariamente le conoscenze basilari per individuare le possibili minacce, isolandole tempestivamente ed evitando che si diffondano ulteriormente. A loro deve essere affiancato un team di assistenti informatici adeguato, competente e responsivo che garantisca una risposta immediata in ogni situazione di rischio imminente.

Fondamentale è inoltre l’adozione di un antivirus efficace, performante e mantenuto aggiornato che nella maggioranza dei casi può fornire una prima protezione.

Per concludere l’elencazione delle misure preventive a difesa dai potenziali attacchi cibernetici, si ricorda, che la tenuta di un sistema di backup e disaster recovery sempre aggiornato e attuale, possibilmente anche dislocato in sedi diverse, risulta essere un ottimo adempimento.

• Efficientamento energetico: cos’è e come realizzarlo?
• Partenariato pubblico privato e allocazione dei rischi
• Riqualificazione attraverso PPP. Project financing o concessione.
• Partenariato pubblico privato e concessione: le differenze.