SMART ATTACK! - NEL 2020 IL 17,5% DEGLI ATTACCHI HACKER A SISTEMI INFORMATICI AZIENDALI HA USATO FALLE NELLO SMART WORKING, CHE CON LA PANDEMIA E' CRESCIUTO ESPONENZIALMENTE - IL TELE-LAVORO RENDE PIU' DIFFICILE LIBERARSI DEI MALWARE, E PER CADERE NELLA TRAPPOLA BASTA POCO: UNA PASSWORD SEMPLICE O LASCIATA IN CHIARO DA QUALCHE PARTE, UN CLIC SU UN LINK CHE SEMBRA AFFIDABILE, LA RISPOSTA TROPPO VELOCE A UN MESSAGGIO CHE CHIEDE DATI DI ACCESSO...
Bruno Ruffilli per "la Stampa"
Tutto ciò che è connesso si può hackerare: ogni rete ha un punto debole dove si può entrare. Ci vuole solo tempo, denaro, potenza di calcolo, e magari un po' di fortuna, perché quello che non riesce con la forza a volte si ottiene grazie all'errore umano.
A seconda delle fonti, infatti, si stima che tra il 90 e il 95 per cento degli attacchi informatici siano possibili grazie a un errore: una password eccessivamente semplice o lasciata in chiaro da qualche parte, magari sul pc del lavoro, un clic su un link che pare affidabile, la risposta troppo veloce a un messaggio che chiede i dati di accesso, e così via.
Anche l'attacco al sistema vaccinale della Regione Lazio nasce verosimilmente da un errore: il malware sarebbe entrato in circolo dalla postazione di un dipendente che lavorava in remoto. E che forse ha davvero cliccato un link o scaricato un allegato in buona fede.
Da lì si è fatto strada il ransomware; inizialmente si è parlato di Lockbit 2.0, ma ieri sera ha cominciato a circolare la voce che potrebbe trattarsi di Ransom.EXX. La gang omonima ha una storia di attacchi di alto profilo, tra cui le reti governative del Brasile, il Texas Department of Transportation, Konica Minolta, IPG Photonics e CNT dell'Ecuador.
Secondo uno studio recente, nel 2020 il 17,5% degli attacchi a sistemi informatici aziendali hanno sfruttato falle nel telelavoro, che con la pandemia è cresciuto esponenzialmente. E ha reso più difficile anche liberarsi dal malware: per identificare e tamponare le violazioni, infatti, le aziende con oltre la metà dei dipendenti fuori sede impiegano 58 giorni in più rispetto a quelle dove i lavoratori si collegano direttamente alla rete locale.
Che sia stata colpita la sola Regione Lazio, o attaccato un fornitore, come pare più probabile, fa riflettere la circostanza rivelata ieri dall'assessore alla Sanità del Lazio Alessio D'Amato ad Italian Tech, l'hub di tecnologia del Gruppo Gedi: «È stato criptato anche il backup dei dati ed è l'elemento più grave. I dati non sono stati violati ma sono stati immobilizzati. Siamo in guerra, come sotto un bombardamento. Si contano gli edifici che stanno in piedi e quelli che sono crollati».
In caso di emergenza, i sistemi informatici hanno di solito un sistema di backup, ossia di copia dei dati, che vengono costantemente aggiornati: se non è disponibile il primo database, se ne può usare uno di riserva. Stavolta anche il secondo è stato reso inutilizzabile, segno o di una grande capacità tecnica degli hacker, o, più probabilmente, di qualche debolezza nel sistema della Regione Lazio.
Nelle ultime ore sono state fatte molte ipotesi sull'origine del ransomware, fino a ipotizzare un attacco supply chain (la filiera di fornitura) originato dalla compromissione di un'azienda informatica che lavora con la Regione attraverso le sue controllate e partecipate. Una tesi smentita da un altro dei partecipanti alla diretta di Italian Tech: Paolo Pandozy di Engineering, il quale ha ricordato come prima dell'evento di sabato notte anche la sua azienda era stata nel mirino dei criminali informatici: «Il 30 luglio sono stati identificati tentativi di attività non autorizzate su alcuni sistemi aziendali da parte di una credenziale utente», ha detto citando una nota di Engineering.
«Le immediate verifiche hanno confermato la non liceità delle operazioni e il non riconoscimento da parte dell'utente di tali tentativi, così bloccati sul nascere. A titolo cautelativo abbiamo immediatamente esteso all'intero gruppo Engineering il doppio fattore di autenticazione al fine di elevare ulteriormente il livello di sicurezza. (...) Tutte le analisi e gli approfondimenti effettuati escludono una correlazione tra quanto descritto e gli eventi che riguardano la Regione Lazio».
Stupisce un po' che il doppio fattore di autenticazione arrivi solo ora: è una pratica comune per chiunque voglia scaricare un'app o accedere a Facebook in sicurezza. Le indagini intanto procedono e non è da escludere che l'entità dell'attacco sia più ampia di quanto noto finora.
Mentre le informazioni puntuali e attendibili sono ancora scarse, un dato pare certo: per la sicurezza informatica in Italia si è fatto finora troppo poco, preferendo il più delle volte scaricare sugli hacker la colpa di errori e debolezze strutturali che si trascinano da anni.
