Registrazione avvenuta con successo!
Per favore, clicca sul link trasmesso nel messaggio inviato a

Regione Lazio, l'esperto a Sputnik: "Terrorismo non c'entra, errori nella gestione della sicurezza"

© Sputnik . Kirill Kallinikov / Vai alla galleria fotograficaRansomware attacks global IT systems
Ransomware attacks global IT systems - Sputnik Italia, 1920, 03.08.2021
Seguici su
Pierluigi Paganini, Ceo di Cybhorus, tra i massimi esperti italiani di cyber sicurezza, spiega a Sputnik i meccanismi che hanno consentito agli hacker di infiltrarsi nei sistemi della Regione: "Errore posizionare i backup sulla stessa rete, per recuperare i dati ora bisognerà pagare".
L’attacco hacker ai sistemi informatici della Regione Lazio non è “terrorismo”, ma il risultato di una serie di “leggerezze”, come il mancato spostamento dei sistemi di backup che sta rendendo difficile il recupero dei dati criptati. È quanto spiega a Sputnik Italia, Pierluigi Paganini, Ceo di Cybhorus, azienda che si occupa di difesa e cyber security, tra i massimi esperti italiani di sicurezza informatica, che martedì ha partecipato alla tavola rotonda organizzata dal portale Italian Tech per fare il punto sulla situazione assieme all’assessore alla Sanità, Alessio D’Amato e al direttore della Polizia Postale, Nunzia Ciardi.
— Perché pensa che sia improprio parlare di “terrorismo”?
— Perché il modus operandi e il malware utilizzato non lascia pensare ad altro che ad un attacco opportunistico di matrice cyber criminale. Un atto di terrorismo è un'altra cosa.
Penso che le parole pronunciate dal presidente della Regione, Nicola Zingaretti, siano figlie dell’emotività e dell’affrontare una situazione alla quale, oggettivamente, i nostri politici non sono abituati.
Credo che sia stata utilizzata la parola "terrorismo" perché in genere si associa all’evento terroristico qualcosa di vile. Ma non ci sono dubbi sul fatto che questo sia un classico attacco legato alla criminalità informatica.
— Quindi non si tratta di un attacco particolarmente grave, come è stato detto da qualcuno?
— No, assolutamente. Le aziende italiane sono quotidianamente oggetto di attacchi più o meno complessi. Nell’ultimo biennio ci sono state diverse società, anche importanti, che hanno subito attacchi ransomware, con il blocco dei sistemi produttivi anche per decine di giorni e il personale costretto a rimanere a casa. Anche il modo con cui sono stati infettati i sistemi di Lazio Crea non rappresenta un’eccezione nel panorama delle minacce.
Non è un attacco che si distingue per complessità né per capacità particolari degli hacker.
— Come funziona il virus che ha bloccato i sistemi?
— È un classico ransomware, un malware che infetta i sistemi di una rete e procede a cifrarne tutte le informazioni. Per recuperarle bisogna pagare un riscatto. Quello che sta accadendo negli ultimi anni è che molti gruppi hanno iniziato a implementare una metodica estorsiva multipla, ovvero non si limitano solo a cifrare le informazioni ma molto spesso le rubano anche prima di criptarle, per poter minacciare le vittime di diffondere e pubblicare le informazioni rubate rendendo di fatto inutile un eventuale backup ai fini del pagamento del riscatto.
— Ma chi c’è dietro questi attacchi?
— Nella maggioranza dei casi si tratta di gruppi criminali ben strutturati molto attivi, che hanno delle capacità significative e che mettono i propri malware a disposizione degli affiliati. Creano il ransomware assieme all’infrastruttura per la diffusione, e mantengono una percentuale sulle vendite di questi prodotti. In pratica, ogni volta che si infetta una vittima, la gang dovrà pagare al gruppo criminale, ad esempio, il 20 per cento per aver utilizzato il malware creato da loro. In gergo si chiama “RaaS” ovvero “Ransomware-as-a-Service”.
— Quindi non c’entrano nulla organizzazioni no-vax o Stati stranieri?

Dalle informazioni di cui siamo in possesso dietro non ci sono né no-vax, né Stati stranieri, sebbene esistano Paesi, come la Nord Corea, che utilizzano questo tipo di attacchi cyber per finalità nazionali, e cioè per bypassare le restrizioni a cui sono soggetti. Ma non è questo il caso.

— Però si dice che non sia stato chiesto alcun riscatto, le pare possibile?
— Purtroppo c’è molta confusione nella gestione delle informazioni. La direttrice della Polizia Postale non ha risposto su questo punto, quindi, per ora non si sa nulla di preciso.
— Il fatto che l’attacco sia partito dalla Germania ha qualche rilevanza?
— Assolutamente nessuna. Nel cyberspazio è veramente molto semplice utilizzare sistemi proxy, cioè sistemi ponte intermediari che ti possano far pensare che l’origine dell’attacco sia in un posto, mentre in realtà è in un altro. Questi “salti” sono all’ordine del giorno in un attacco hacker.
— Sembra che l'attacco sia partito dal pc di un dipendente in smart working. Questa modalità di lavoro potrebbe aver influito nel rendere il sistema più vulnerabile?
— Certo, è confermato che tutto è partito da un dipendente diretto di Lazio Crea, che lavorava in modalità smart working. Questo sistema ha aumentato la piattaforma di vulnerabilità delle aziende catapultandole in un modus operandi a cui non erano abituate. Il dipendente si doveva connettere ai sistemi aziendali in modo sicuro attraverso una VPN. Ma questo è valido purché si custodiscano gelosamente le chiavi di accesso.
Le ipotesi sono varie. Qualcuno potrebbe essere riuscito ad entrare in possesso di queste chiavi, ma le ultime indiscrezioni parlano anche di una leggerezza legata all’apertura di una mail privata contenente il virus. Di sicuro l’uso promiscuo rende i sistemi più vulnerabili.
— È circolata anche I’ipotesi di un malware proveniente da un sito per adulti, la convince?
— No, queste sono illazioni prive di fondamento, che lasciano davvero il tempo che trovano.
— Che fine faranno i dati bloccati?

— Purtroppo sono stati cifrati anche i backup e questo potrebbe essere un errore grossolano nella gestione della struttura. In sostanza i backup erano posti nella stessa rete che è stata presa di mira dal ransomware. Questa è una pratica non corretta.

Tipicamente i backup devono essere distaccati proprio per evitare che il ransomware possa infettarli, proprio come è successo in questo caso. Quindi purtroppo a meno che la Regione non abbia altri backup, o almeno una copia, anche vecchia, conservati su altri sistemi, non c’è alcun modo di recuperare i dati se non pagando il riscatto.
— Quindi ci sarebbero delle responsabilità da parte di chi gestisce la sicurezza dei sistemi in Regione?

— Corretto. Ci sono oggettivamente una serie di responsabilità. Quando parliamo di un servizio critico come questo non si può pensare che i backup non siano gestiti in maniera opportuna. Esistono delle linee guida chiare e il fatto che siano stati cifrati anche i backup significa che non sono state seguite.

— Dalle sue parole sembra che ci sia ancora tantissimo lavoro da fare sulla cyber security, anche nella pubblica amministrazione?
— È così. Oggi il 95 per cento dei sistemi della pubblica amministrazione sono vulnerabili. Un attacco del genere potrebbe paralizzare i sistemi di un ospedale, dove sono sempre di più i macchinari sanitari connessi alla rete. Lo stesso potrebbe succedere per una infrastruttura energetica o una banca.
La componente tecnologica nelle nostre vite è destinata ad aumentare sempre di più, con una sovrapposizione quasi totale tra cyberspazio e vita reale. Per questo è necessario un approccio olistico alle minacce, maggiore collaborazione tra pubblico e privato e maggiori investimenti in formazione.
Anche il fatto che un politico come Zingaretti commenti eventi del genere con parole improprie dimostra che non siamo ancora pronti a fronteggiare questioni del genere. Bisognerà mettere la cyber security al centro di qualunque attività, altrimenti sarà una catastrofe. Questa è soltanto la punta dell’iceberg.
Notizie
0
Prima i più recentiPrima i più vecchi
loader
LIVE
Заголовок открываемого материала
Per partecipare alla discussione
accedi o registrati
loader
Chats
Заголовок открываемого материала