“E’ terrorismo”. In tilt prenotazioni e tamponi nella Regione Lazio. Gli hacker entrati dallo smartworking

Il presidente della Regione Lazio, Zingaretti, e la 'battaglia' vaccinare sotto scacco degli hacker
Il presidente della Regione Lazio, Zingaretti, e la "battaglia" vaccinare sotto scacco degli hacker

Mettere fuori uso per cinque giorni nel mezzo di una pandemia i sistemi di prenotazione per il vaccino bacino anti Covid è un’azione terroristica. Partono da qui i magistrati della procura di Roma che indagano sul gruppo che da domenica primo agosto ha iniziato l’assedio al Ced della Regione Lazio criptando tutti i dati del Cup (centro unico prestazioni) e di Salute Lazio, il portale dedicato ormai da un anno alla gestione delle variegati della pandemia. Gestione che, va detto, nel Lazio ha avuto la sua regione modello e nell’assessore D’Amato il suo fiore all’occhiello.

L'obiettivo dei pm è capire chi e in che modo si è introdotto nei server regionali bloccando di fatto gran parte dei dati presenti nel Centro Elaborazione Dati. I raid si stanno ripetendo, anche la notte scorsa ne è stato respinto uno. Il sistema ormai è stato “spento” lunedì, non è operativo e quindi non è attaccabile, proprio per evitare altre incursioni.

Il “buco” nello smartworking

Sul tavolo dei magistrati è arrivata una prima informativa della Polizia Postale. Sembra proprio che la porta utilizzata dagli hacker per introdursi nel sistema sarebbe stato il pc di un dipendente in smartworking. Se fosse confermato, sarebbe una grave ingenuità non aver protetto, dopo oltre un anno di smartworking, i sistemi operativi aziendali utilizzabili da singoli pc e non solo dalla rete principale. E’ chiaro, infatti, che riprodurre e abilitare i sistemi operativi aziendali da remoto e quindi da pc privati e magari non protetti vuol dire dire andare nudi in un campo di battaglia.

Ciò detto occorre essere ottimi professionisti per trovare un buco del genere e finalizzare una serie di attacchi come quelli di cui è vittima il Ced della Regione.

Quello che più preoccupa, infatti, è la situazione dei dati di backup che, stando a quanto riferisce l’assessore D’Amato, sarebbero stati criptati anche loro rendendo di fatto difficile, se non impossibile, il recupero.

“Finalità di terrorismo”

Nel fascicolo della Procura di Roma vengono contestati diversi reati, tra cui accesso abusivo a sistema informatico e tentata estorsione con l’aggravante delle finalità di terrorismo. Al momento non sarebbe stato ancora richiesto un riscatto (in genere in bitcoin) come avviene sempre più spesso in realtà più piccole e con minore visibilità della Regione Lazio. In cambio della criptovaluta, gli hacker forniscono la password per decrittare quando da loro criptato nell’incursione. Non è chiaro, a questo punto, se gli hacker ritengono più rischioso chiedere un riscatto. O se invece ritengono più che soddisfacente rispetto al loro obiettivo aver bloccato per cinque giorni i sistemi di prenotazione.

Una delle certezze al momento è che il blitz è partito dall'estero con un rimbalzo, triangolazione, in Germania. Ancora da stabilire l'identità degli hacker e il Paese di origine. Le indagini sono affidate alla polizia postale, diretta dal questore Nunzia Ciardi, e al dipartimento cyber del Dis diretto dal cyber zar Roberto Baldoni (uno dei due sarà nominato a breve direttore della Acn). Entrambi stanno incrociando dati nuovi e meno nuovi capire se ci possono essere legami con i gruppi che nel deep-web nelle scorse settimane hanno organizzato le piazze no vax e no pass. Le stesse da cui poi sono partiti i gruppi andati in missione squadrista sotto casa del sindaco Ricci a Pesaro.

Le convocazioni, in Italia e all’estero, sono avvenute via Telegram e hanno utilizzato percorsi a loro volta criptati. Questi tipi di attacchi possono avere due diversi attori: entità statuali, cioè Stati che vogliono rubare dati preziosi; hacktivisti come il gruppo Lulzsec che nel marzo 2020 rivendicò l’attacco al San Raffaele.

“Il sistema è spento per evitare altri attacchi”

“L’attacco è ancora in corso”, il sistema è “spento per evitare danni più gravi”, siamo alle prese con “il più grave attacco nella storia della Repubblica”, la matrice “è sconosciuta”, è un attacco “terroristico” ma “non riuscirà a fermare la campagna vaccinale e l’erogazione del green pass” che al momento è “solo rallentata di qualche ora”. Le parole del presidente della Regione Lazio Nicola Zingaretti e dell’assessore D’Amato riecheggiano ormai da lunedì pomeriggio quando è stato chiaro che la faccenda era seria. Per non dire serisisma. Improvvisamente anche l’Italia tocca con mano il significato del vaticinio di molti esperti di settore: “La prossima sarà un pandemia informatica con effetti economici più gravi di quella del covid”. I virus informatici peggiori del coronavirus? E’ un fatto che proprio durante la pandemia abbiamo affidato sempre di più le nostre vite ai sistemi informatici. Il fatto che gli hacker abbiano trovato il punto debole nello smartworking ne è la prova.

“Il 95% degli uffici pubblici non son sicuri”

Gli attacchi informatici sono purtroppo sempre più diffusi - non solo in Italia - l’Europa sta facendo il possibile per proteggersi, il Recovery fund destina una parte importante di risorse per questo e anche l’Italia, pur con un colpevole ritardo di tre anni, giusto ieri ha dato il via all’Acn, l’agenzia nazionale per la cybersicurezza. “Il 95% dei sistemi dei nostri enti pubblici non sono sicuri” aveva spiegato il ministro Colao quando fu approvato il decreto che ha istituto l’ace italiana.

L’attacco plurimo al Ced della Regione Lazio, al di là della stretta cronaca criminale, assume una valenza politica e sociale speciale: gruppi no vax e no pass sono, al di là dei numeri assoluti, particolarmente aggressivi e non c’è dubbio che l’attacco ha provocato un danno alla campagna vaccinale visto che è stato disattivato il Portale della Salute Lazio e il sistema delle rete vaccinale su cui viaggiano le prenotazioni e l’erogazione del Green pass.

Ora, nulla al momento mette insieme l’attacco cyber al Ced della regione Lazio con le piazze no vax e con la marcia squadrista che una settimana fa è andata sotto casa del sindaco di Pesaro Matteo Ricci. Ed è sicuramente una coincidenza il fatto che Zingaretti e Ricci siano politici targati Pd. Enrico Borghi, deputato Pd e membro del Copasir, lo ha definito però un “fatto estremamente grave perché è stata attaccata una delle istituzioni simbolo dell'efficienza della campagna vaccinale nel nostro Paese e una delle istituzioni che nelle sue banche dati possiede dati sensibili e personali delle più alte cariche dello Stato”.

Una lunga scia di attacchi

Non è la prima volta nell’ultimo anno, nè in Italia nè in Europa. La sequenza di attacchi segue tempistiche precise che coincidono per i passaggi più difficili di questa pandemia. Da marzo 2020 sono stati attaccati in sequenza l’ospedale San Raffaele a Milano (marzo 2020) e lo Spallanzani a Roma (aprile 2020), due centri sanitari cruciali nell’analisi dei dati sul Covid. Con l‘estate gli attacchi sono cessati. Per poi riprendere in Germania (settembre 2020) alla clinica sanitaria di Dusseldorf e a dicembre, il più clamoroso, quando è stata attaccata la banda dati dell’Ema in Olanda. Furono sottratti i dati relativi al processo di approvazione di Pfizer. Eravamo tutti in attesa che Ema desse il via libera al vaccino, cosa che avvenne il 24 dicembre.

Allarme anche in Europa

Su quanto sta avvenendo è in allerta anche l'Unione Europea che ha fatto sapere di prendere la questione “molto sul serio”. La stessa Commissione Europea ha spiegato di essere impegnata ad “assicurare uno spazio on-line resiliente e sicuro contro gli attacchi degli hacker”. Il ministro dell’Interno Luciana Lamorgese ha riferito ieri al Copasir che il fenomeno dei cyber-attacchi è sempre più in crescita e che, quindi, c’è la “necessità di agire con urgenza tanto nel pubblico quanto nel privato per elevare il livello di sicurezza”. L’Acn ha proprio questa funzione. Anche la presidente del Senato Elisabetta Casellati ha lanciato un appello affinchè ci sia “una risposta delle istituzioni che garantisca la cybersecurity delle infrastrutture strategiche e la protezione dei dati individuali degli italiani”. Il fatto è che gli attacchi sono molto più diffusi di quello che sappiamo. E spesso si tende a non diffondere la notizia per tutelare l’affidabilità di aziende e uffici.

Intanto l'assessore regionale alla Sanita', Alessio D'Amato, ha fatto sapere che “entro 72 ore” torneranno disponibili le prenotazioni dei vaccini, settore maggiormente preso di mira dai criminali. Il rilascio dei Green Pass subirà un ritardo “al massimo di 12 ore”. “Garantita” anche la trasmissione dell'esito dei tamponi, che viene registrata sul sistema Tessera sanitaria.