L'attacco hacker ai dati sanitari della Regione Lazio è partito dalla Germania usando un computer di Frosinone. Non hanno rubato dati. Nessuna richiesta di riscatto. E questo fa scattare ancora di più l'allarme. Ecco perché
Sono entrati usando le credenziali d’un dirigente regionale in servizio a Frosinone: user e password di un computer poi dimenticato acceso negli uffici di via Veccia, parte bassa del capoluogo a due passi dalla stazione dell’ascensore inclinato. È una delle poche tracce in mano agli investigatori impegnati a dare la caccia agli hacker che hanno messo in ginocchio la rete informatica della Regione Lazio. E con lei le prenotazioni dei vaccini, le visite mediche ordinarie e specialistiche, i fascicoli sanitari elettronici con la storia clinica di ogni cittadino. E con loro anche il pagamento del bollo auto, la richiesta degli aiuto per le famiglie e le ditte colpite dal Covid. Congelati i bandi di gara ed i pagamenti ai fornitori.
Gli esperti sono divisi. Alcuni sono certi che il Lazio sia stato utilizzato per tastare il polso, verificare la solidità dei nostri sistemi, valutare la prontezza nella risposta della nostra Cybersecurity nazionale. Altri sono certi che sia solo uno dei raid compiuti ogni giorno nella rete, reso devastante dalla fragilità della nostra infrastruttura e dalla leggerezza con cui viene gestita.
Attacco molto potente
Terroristi o mafiosi del web, hacker professionisti o smanettoni, la sostanza è che il sistema informatico della Regione Lazio è in lockdown. Spento per evitare che il virus apparso domenica sui computer possa continuare a diffondersi moltiplicando i danni.
Nicola Zingaretti fa il punto sulla situazione nel pomeriggio. In una conferenza stampa dice “Nella notte tra sabato e domenica la Regione Lazio ha subito un attacco cyber molto potente e molto invasivo”. Nel mirino il Centro Elaborazione Dati che gestisce la campagna di vaccinazione nel Lazio. Per i servizi di intelligence è stato “l’attacco più pericoloso e delicato mai visto in Italia“.
L’attacco è partito dalla Germania. ma potrebbe essere solo il punto finale di una rete di specchi. Gli indizi vanno su un computer ben preciso. Lasciato acceso e collegato dagli uffici di Frosinone alla rete di Lazio Crea. È la società in house che elabora, controlla ed archivia i documenti per la gestione dei Piani Operativi Regionali co-finanziati dall’Unione Europea. Gli hacker sono passati da lì. Se quella porta sia stata lasciata aperta per dimenticanza o sia stato fatto in modo consapevole lo stanno valutando gli investigatori. Le credenziali sono quelle di un funzionario di Frosinone.
Da quella postazione è stato inserito un malware: un programmino nemmeno troppo elaborato abbastanza comune. “Roba che dal 2007 usano gli hacker dal Marocco, dalla Tunisia, dall’Algeria . Cripta i dati e per sbloccarli bisogna pagare. Dal 2015 i riscatti vengono chiesti in bitcoin” assicurano gli esperti.
Difese basse contro gli hacker
Il problema nel problema è che il malware non ha trovato alcuna difesa. Nessun firewall hardware ad intercettare gli attacchi: perché le reti sanitarie delle Regioni in Italia sono così. Il virus è arrivato senza troppi ostacoli fino al Centro di Elaborazone Dati della Regione, lì dove vengono cistoditi tutti i dati sanitari degli assistiti nel Lazio.
Nicola Zingaretti conferma che è stato un attacco ransomware, in pratica “un virus che ha criptato il nostro mondo online ed ha bloccato la capacità di erogare la gran parte dei servizi alla comunità“. I sistemi sono stati messi in shutdown per bloccare l’attacco. E questo ha consentito a LazioCrea di dire “che i dati della banca dati della Sanità della nostra Regione sono in sicurezza, salvati e puliti rispetto all’attacco cyber, così come altri dati. La rapina dei dati non è andata in porto”.
Gli hacker ci hanni riprovato. “Nella notte tra domenica e lunedì, alle ore 2.30 c’è stato un nuovo tentativo di accesso al sistema, che è stato respinto e questo secondo non ha prodotto danni ulteriori all’efficienza della rete”.
Le vaccinazioni proseguono
Cosa volevano fare? Nicola Zingaretti assicura che fino ad oggi non c’è stata alcuna richiesta di riscatto. Una richiesta di contatto in realtà c’è: è arrivata attraverso una pagina Tor (The Onion Router, il software che permette una comunicazione anonima). Ma nessuno ha cliccato: in genere è un Vaso di Pandora che apre la porta a decine di altri virus.
Tra gli informatici che stanno cercando di addormentare e neutralizzare il virus c’è una convinzione: chi ha agito non voleva rubare i dati, voleva mettere alla prova la solidità della rete, metterla fuori uso. E infatti “Siamo in una situazione di impegno per riattivare i servizi della Salute in primo luogo. La rete è ferma perché appunto la presenza del virus ne impedisce per motivi ovvi la riattivizzazione. Che permetterebbe allo stesso di circolare libero dentro la nostra rete“. Il Governatore non nasconde che “la situazione è molto grave e la soluzione è molto complessa“.
Ma c’è un segnale importante che il lazio ha voluto dare. “Il segnale più importante da dare è di non interrompere le attività istituzionali dell’Ente“.
Si va avanti con le vaccinazioni. Come si fa senza computer? All’antica: con carta e penna. Ci sono problemi su Cup e Recup. L’assessore alla Sanità Alessio D’Amato ha ribadito “Nessun dato sanitario è stato violato né rubato. Non ci sono state ripercussioni né sui ricoveri né sugli interventi chirurgici. Anche grazie a una collaborazione in atto con la struttura commissariale va avanti la distribuzione del green pass. Sono attive e non si sono mai interrotte le attività del 112 e del 118, dei Pronto Soccorso, della sala operativa della protezione civile e del centro trasfusionale. La campagna vaccinale non si è mai interrotta, sta andando avanti, sono momentaneamente sospese le prenotazioni”.
Gravissimo attacco contro simbolo dei vaccini
“È stata attaccata una delle istituzioni simbolo dell’efficienza della campagna vaccinale nel nostro Paese. Una delle istituzioni che nelle sue banche dati possiede dati sensibili e personali delle più alte cariche dello Stato. E’ un fatto molto grave e al Copasir abbiamo chiesto immediatamente l’audizione dei vertici del Dis, che sarà fatta mercoledì“. A dirlo è Enrico Borghi, membro del Copasir e responsabile delle politiche per la Sicurezza nella segreteria del Pd, aggiungendo che l’attacco hacker contro la Regione Lazio è la conferma di quanto l’Agenzia per la cybersecurity sia “indispensabile“. E della necessità di “procedere rapidamente con un cloud nazionale della Pa“.
Preoccupazione viene espressa dal Segretario regionale Dem Bruno Astorre. “L’attacco hacker ai danni della Regione Lazio, la cui matrice è ancora sconosciuta, rappresenta un atto molto grave. Attaccare con l’intenzione di bloccare tutti i file del Centro elaborazione dati e di prenotazione dei vaccini, in questo momento, è semplicemente criminale. Le Forze dell’ordine penseranno a fare chiarezza su questa vicenda che, come sottolineato dal presidente Zingaretti in conferenza stampa, rappresenta probabilmente il più grave attacco hacker mai avvenuto sul nostro territorio nazionale contro un’amministrazione“.
