L’AUTOREMAGGIOLI EDITORE - La Gazzetta degli Enti Locali
Attacco ransomware alla Regione Sardegna, come difendersi con prevenzione e formazione
I martedì della cybersecurity/ La conferma che la Pubblica Amministrazione è il settore più colpito dai criminali informatici
di LUISA DI GIACOMO*
Nonostante sia passato sotto silenzio, soprattutto se paragonato a quanto successo l’estate scorsa alla Regione Lazio, l’attacco ransomware del gruppo criminale Quantum alla Regione Sardegna rappresenta ad oggi il più grave attacco mai subito da una Pubblica Amministrazione italiana, con oltre 155 GB di dati (tra cui file, video, foto, dati sensibili) andati perduti ed ora liberamente accessibili nel dark web.
Il grave attacco, che pare sia in corso già dal mese di febbraio, è solo l’ultimo di una lunga serie, che conferma il trend per cui le Pubbliche Amministrazioni sono il settore più colpito dai criminali informatici, con quasi 200 attacchi in poco mesi di due anni (fonte: ENISA).
Che cosa possono fare le PA per difendersi da questa vera e propria guerra informatica scatenata ai loro danni, per evitare responsabilità e sanzioni a carico non solo dell’Ente, ma anche dei propri amministratori?
Come già detto in tema di videosorveglianza, il rischio zero non esiste e l’unica realistica opzione per i dirigenti pubblici è incrementare il più possibile i livelli di sicurezza con azioni mirate di prevenzione e formazione. E siccome l’unico modo per prevenire è conoscere, ecco una mini guida ai ransomware, per capire che cosa sono, in che modo si diffondono e come poter reagire in modo tempestivo in caso di attacco di successo.
INDICE
I ransomware rappresentano la maggioranza degli attacchi rivolti verso le PA, perché sono il modo più rapido per chi li lancia per ottenere del denaro: si tratta infatti di malware, ossia programmi infetti che rendono inaccessibili i dati in un computer mediante un’operazione di criptazione di cui solo il criminale possiede la chiave. Per ottenere la chiave e poter recuperare i dati è necessario pagare un ransom, in inglese riscatto. È come se qualcuno mettesse in cassaforte tutti i documenti della PA e poi si facesse pagare per fornire la combinazione.
Si tratta di attacchi che hanno scopo estorsivo, esattamente come un sequestro di persona, solo che in questo caso si tratta di sequestro di file e dati.
I dati non lasciano il computer, non vengono cancellati e non sempre vi è esfiltrazione, ovvero non sempre vengono diffusi: nel caso della Regione Sardegna, tuttavia, l’esfiltrazione c’è stata, poiché i dati oggetto di ransomware sono oggi liberamente consultabili sul dark web. Ed infatti, l’efficacia particolare del ransomware consiste proprio nella possibilità della doppia estorsione, ovvero non solo sequestrare i dati per ottenere in cambio il pagamento del riscatto, ma anche minacciare la vittima di esporre i dati esfiltrati su un sito pubblico o venderli nel dark web, con conseguenze pesantissime ai danni dell’azienda, sia in punto danno di immagine, sia per tutto quanto consegue in termini di responsabilità derivanti dall’applicazione del Regolamento Generale per la Protezione dei Dati 679/2016, che prevede l’intervento del Garante della Privacy e le eventuali (salatissime) sanzioni.
Per ottenere la chiave di decriptazione, viene richiesto un pagamento, parametrato alle dimensioni del data base sequestrato, ed alla capacità della PA attaccata, da effettuarsi in criptovalute, seguendo specifiche istruzioni fornite dai criminali stessi.
Un modo semplice, ma efficace per difendersi da un attacco ransomware è quello di criptare il proprio data base in modo che, qualora attaccati, i criminali potrebbero criptare solo dati già criptati a loro volta. Di fatto questo espediente non protegge da un attacco, ma evita il pericolo dell’esfiltrazione e, possedendo un back-up aggiornato, si potrebbe ridurre al minimo il danno ed altresì minimizzare il rischio per le libertà ed i diritti fondamentali dei cittadini, che obbliga la PA ad effettuare, entro 72 ore dal fatto, denuncia all’Autorità Garante per la Protezione dei Dati.
>> Leggi anche La videosorveglianza nei Comuni: istruzioni per un impianto a norma di legge (e a prova di sanzioni).
Le email di phishing costituiscono lo strumento più comune per la diffusione dei ransomware. Purtroppo, se è vero che molte sono grossolane, è altresì vero che il livello di raffinatezza delle “esche” si sta elevando sempre di più. Si tratta di email fasulle, apparentemente provenienti da indirizzi affidabili, che invitano il destinatario a cliccare su link malevoli o scaricare file infetti oppure a compiere azioni che aprono una falla nel sistema di protezione della rete e possono installare il malware al suo interno.
Questa modalità di attacco sfrutta da un lato l’enorme diffusione delle email che anche nelle PA è il canale principale di lavoro, dall’altro la scarsa attenzione ed il basso grado di consapevolezza e di formazione degli utenti, che si fidano di email mascherate da messaggi ufficiali, o da posta inviata da amici e conoscenti, o dalla propria banca o da enti istituzionali.
In questo modo vengono veicolati il 75% dei ransomware per cui l’errore umano continua ad essere un vettore di attacco potentissimo.
Alternativamente, i ransomware si propagano attraverso vulnerabilità presenti su certi programmi, che magari non vengono aggiornati con la giusta frequenza, o nei sistemi operativi, attraverso la navigazione in siti compromessi, o con il download di programmi da siti non sicuri.
I malware possono circolare tramite supporti rimovibili, come chiavette usb infette, tramite il cosiddetto baiting, che letteralmente sfrutta la curiosità umana, che porta, nel caso di rinvenimento di una chiavetta o di un hard disk, a collegarlo al proprio computer per vedere che cosa c’è dentro.
Anche la compromissione di password e credenziali costituisce un ottimo canale per la diffusione di ransomware ed a questo proposito è bene utilizzare poche regole di basilare attenzione: non usare mai le stesse credenziali per servizi diversi, e mai la stessa password per accedere a servizi di lavoro e personali, stabilire una password policy e una procedura per il cambio periodico e favorire l’utilizzo di un buon password manager per la gestione centralizzata e sicura delle proprie credenziali di accesso.
Formazione e sensibilizzazione sono le chiavi vincenti per sventare gran parte degli attacchi: la miglior protezione è la prevenzione ed un’adeguata preparazione degli utenti.
Avere un sistema antivirus ed un sistema operativo sempre aggiornati costituiscono le basi di una tecnica di prevenzione efficace, poiché nella guerra perenne tra sviluppatori e criminali vince chi rimane più aggiornato.
Avere il back-up, cadenzato con la stessa frequenza con la quale i dati si aggiornano, fa parte delle misure minime di sicurezza da adottare; possibilmente sarebbe meglio averne anche più di uno (secondo il principio della ridondanza: tre copie di ogni dato, due on-site ma su storage diversi ed una off-site in cloud).
Il backup dei dati della Pubblica Amministrazione dovrebbe essere un’attività pianificata secondo il principio di “privacy by design”, ma anche questa semplice precauzione non è così scontata come a prima vista potrebbe sembrare: il “famoso” attacco alla Regione Lazio dell’estate scorsa ebbe infatti effetti così devastanti, non tanto per la portata dell’attacco stesso, quanto perché ne furono oggetto non solo la copia principale dei dati, ma anche il back-up.
Ci sono molte protezioni che possono essere implementate dagli amministratori di sistema, dalle più semplici alle più complesse, ma poiché il phishing, la compromissione di credenziali e password e le falle nella sicurezza costituiscono i principali canali di accesso, non dimentichiamo che l’anello più debole della sicurezza informatica è rappresentato dall’errore umano, per cui rimane fondamentale la formazione, l’informazione e l’aumento della consapevolezza degli utenti: peraltro, in questo senso, utilizzare i fondi messi a disposizione dal PNRR potrebbe essere un ottimo sistema per porre in essere un piano formativo con costi molto contenuti per l’Ente.
Nonostante tutta la prevenzione di cui possiamo essere capaci, un attacco può sempre avere successo. Ogni Pubblica Amministrazione dovrebbe avere già pronta una procedura da seguire per la gestione del data breach, anche dal punto di vista strettamente inerente il GDPR (comunicazioni al Garante ed agli interessati) ed una procedura per il disaster recovery, in modo da assicurare la minor interruzione di servizi e ripristinare lo status quo senza (troppi) danni.
Entrambe le procedure dovrebbero essere condivise e validate dal DPO, figura fondamentale da coinvolgere non solo in fase di reazione, ma anche in fase di prevenzione, nella redazione delle procedure di sicurezza e nella fase di formazione e approntamento delle misure di sicurezza. Fare data protection senza occuparsi della sicurezza informatica, infatti, non può essere il corretto approccio dell’Ente pubblico al problema della sicurezza di dati.
La soluzione migliore, meno costosa e più efficace è quella di ripristinare i dati da backup, sempre che i dati siano disponibili.
Se si sono seguite le regole per un backup efficace, e quindi si ha a disposizione una copia dei dati recente e funzionante, e se si è stabilito precedentemente la tecnica di recupero, questa è la soluzione percorribile di minore impatto. Anche qualora il backup non dovesse essere il più recente, si potrebbe ripristinare una versione precedente dei dati, che consentirebbe comunque di limitare i danni. Prima di recuperare i dati è bene eseguire una bonifica integrale del sistema, che preveda una formattazione completa di tutte le macchine infettate e solo successivamente si può procedere al ripristino.
A quel punto, sarà necessario individuare qual è stato il vettore di attacco, ed andare a reagire incrementando i livelli di sicurezza, riparando le falle o investendo maggiormente in formazione.
Purtroppo il ripristino da backup non protegge dalla doppia estorsione, cioè dal rischio che i dati siano stati esfiltrati e vengano diffusi o venduti nel dark web, ma per lo meno consente di assicurare la continuità del servizio.
In alternativa ed in mancanza di un backup, si può tentare di decrittare i dati con tool appositi ma solitamente questo funziona per i ransomware “vecchi” già utilizzati da qualche anno.
Infine, ultima spiaggia, pagare il riscatto.
Pagare il riscatto è la soluzione a cui non si dovrebbe mai arrivare, in quanto incentiva la proliferazione dei malware a scopo estorsivo, ma finché non si arriverà, come per i sequestri di persona, a prevedere una legge che congeli i bilanci per impedire di pagare il riscatto, questa pratica di per sé non è illegale, anche se molto rischiosa.
C’è comunque sempre la possibilità che i dati non vengano restituiti, anche dopo il pagamento, o che l’estorsione continui, con la minaccia di esposizione dei dati in caso di mancato versamento “periodico”.
Una situazione in cui si spera veramente di non trovarsi mai, che purtroppo non è interamente e completamente possibile evitare, ma che si può cercare di ridurre al minimo solo con un’unica risposta possibile: prevenzione, formazione, consapevolezza.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.
www.lagazzettadeglientilocali.it