La notizia dell’attacco ransomware all’ Agenzia delle Entrate è risuonata come l’ennesimo campanello d’allarme sui rischi di compromissione dei sistemi e dei dati della PA 
In merito al presunto attacco informatico al sistema informativo della fiscalità, Sogei informa che dalle prime analisi effettuate non risultano essersi verificati attacchi informativi né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell'Amministrazione Finanziaria.
prestazione occasionale

Articolo del

In merito al presunto attacco informatico al sistema informativo della fiscalità, Sogei informa che dalle prime analisi effettuate non risultano essersi verificati attacchi informativi né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria.

L’attacco, dunque, non c’è mai stato? Non esattamente. Proprio dagli screenshot pubblicati da LockBit si deduce che a subìre la violazione e la conseguente infezione ransomware sia stato un utente esterno all’Agenzia delle Entrate, ma in qualche modo collegato ai suoi sistemi. Ai microfoni del Tg1, il direttore dell’Agenzia per la Cybersicurezza Nazionale (Acn), Roberto Baldoni, ha similmente tracciato l’ipotesi di un attacco indiretto: “Immaginiamo che l’attaccato sia un ente terzo che lavora con l’Agenzia, ma su questo c’è un’indagine in corso”. Qualcosa di simile, d’altra parte, era accaduto anche con il clamoroso attacco ransomware alla Regione Lazio di un anno fa.

I rischi cyber della Pubblica Amministrazione
A prescindere dalla dinamica esatta, che andrà comunque chiarita, questo nuovo episodio rimarca la necessità di potenziare la sicurezza informatica dei sistemi connessi alla Pubblica Amministrazione, che custodiscono (o dovrebbero farlo, con cura) i dati dei cittadini. E il tema è attuale più che mai, dati gli obiettivi della Strategia Cloud Italia definita dalla stessa Acn: dovranno migrare in cloud i tre quarti circa dei dati e degli applicativi informatici della PA centrale locale.

Sappiamo che la “nuvola” non è intrinsecamente più rischiosa rispetto a un’infrastruttura on-premise, anzi spesso è il contrario: basti considerare l’obsolescenza dell’hardware e le difficoltà di gestione delle patch, due problemi molto diffusi nelle aziende e anche negli enti pubblici. Lo spostamento di dati e applicazioni su infrastrutture “as a service” demanda al fornitore le attività di aggiornamento hardware e software, di server e programmi di gestione. Nel caso della Strategia Cloud Nazionale, una tra le esigenze a sostegno della migrazione è proprio la cybersicurezza, vista l’obsolescenza o inadeguatezza di molti data center interni della PA. Tuttavia è anche vero che il cloud comporta attenzioni ulteriori in termini, per esempio, di configurazione delle appliance, di gestione delle identità e di controllo degli accessi. Queste attività, a differenza degli aggiornamenti e della manutenzione dei server, solitamente non solo delegate al cloud provider, a meno che quest’ultimo fornisca anche servizi di sicurezza gestiti. 

Il tema della protezione dei dati dei cittadini è attuale anche perché i metodi di attacco ransomware continuano a evolversi e gli obiettivi diventano sempre più specifici. Vale a dire, gli attaccanti prendono di mira una specifica vittima di alto profilo (anche nella Pubblica Amministrazione, spesso nella sanità), puntando a ottenere elevati profitti con una singola estorsione, anziché colpire a tappeto utenti indifferenziati e contare sui grandi numeri. E per raggiungere la vittima designata si può passare per via indiretta da un fornitore IT, da un servizio di outsourcing o magari da un utente che lavora in smart working, con tutte le conseguenze del caso in termini di incremento dei rischi.

Chi è LockBit e perché dovremmo preoccuparcene
“LockBit, l’ormai nota gang ransomware-as-a-service, sta attraversando una fase di rapida crescita, con un’adesione in continuo aumento; un processo amplificato anche a seguito della caduta del gruppo ransomware Conti”, ha commentato Toby Lewis, global head of Threat Analysis della società di sicurezza informatica Darktrace. “Oggi Lockbit dispone di un modello di business decisamente sofisticato e quest’anno ha già attaccato diverse organizzazioni europee, dal Dipartimento di Giustizia francese, all’ente di beneficenza britannico Girl Guides, ai gestori di pensioni tedeschi Heubeck AG”.

Darktrace ha confermato che l’attacco all’Agenzia delle Entrate (diretto o indiretto che sia, questo è ancora da verificare) sarebbe stato condotto con l’ultima versione della famiglia di ransomware Lockbit, la 3.0, rilasciata lo scorso giugno e dotata di capacità più avanzate rispetto alle precedenti. “La gang continua a migliorare l’efficacia del proprio ransomware”, ha proseguito Lewis, “ad esempio tramite lo sviluppo di un proprio personale programma Bug Bounty che, sebbene simile a quello offerto da aziende legittime, è molto probabile rappresenti il primo del suo genere nel mondo della criminalità informatica. Particolarmente interessante è la presenza di una ricompensa Bug Bounty per quelle informazioni che potrebbero essere utilizzate per rivelare le identità degli sviluppatori di LockBit e dei capi dei gruppi di affiliazione. Una strategia, questa, che sembra essere prima del suo genere sia nelle organizzazioni legittime che in quelle di criminalità informatica”.

Facebook
Twitter
LinkedIn
Pinterest
Reddit
Tumblr
Telegram
WhatsApp
Print
Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

ALTRI ARTICOLI