CED Lazio: attacco ciber infrastruttura critica

CED Lazio colpito e affondato. Attacco ciber compromette infrastruttura critica. Ancora una volta impreparati sia a gestire sia a comunicare in situazioni di crisi.

Dunque ricapitolando i fatti ad oggi conosciuti il CED della Regione Lazio è stato oggetto di un attacco presumibilmente ramsonware definito come il peggiore della (breve, aggiungo io) storia informatica del nostro Paese

“Il più pericoloso e delicato mai visto in Italia”

(dice l’intelligence), che ha messo (e sta mettendo) in pericolo la sicurezza nazionale e la privacy della popolazione, incluse le più alte cariche dello Stato, secondo quanto scrive hdblog.it

Il CED del Lazio

Il CED del Lazio non elabora solo le informazioni sanitarie ma, da quanto ho potuto capire gestisce anche la banca dati del bilancio della Regione e i dati finanziari della sanità. Secondo quanto ha dichiarato il Presidente della Regione Lazio Zingaretti tutti i file del CED sembrano essere stati compromessi. Tutti? Non è chiaro perché è anche stato ribadito che i dati sanitari, finanziari della struttura sanitaria regionale e la banca dati del bilancio e la Protezione Civile non sono stati toccati. Ancora una volta un “ottimo” esempio di una comunicazione chiara.

Comunicazione incoerente e instostenibile

Dunque nessuna compromissione di dati (è stato dichiarato). Però alle 18.00 di ieri il Garante della Privacy ha comunicato che è avvenuto un data breach

Dichiarazione successivamente smentita dalla Polizia Postale:

Non ci sono evidenze che i dati sanitari siano stati sottratti, perché in un altro server non interessato dall’attacco. Ma al momento solo criptati.

Lucia Ciardi, capo della Polizia Postale e delle Comunicazioni

Ancora una volta le istituzioni, incapaci di coordinarsi e sempre pronte tramite i loro vertici alla ribalta mediatica, danno vita ad una comunicazione istituzionale di crisi schizofrenica, instostenibile, smentita da fatti successivamente accertati e che ne compromette quindi la credibilità.

Questo è il risultato non solo della mancanza di coordinamento e centralizzazione dei processi di comunicazione ma anche del non focalizzarsi sui fatti conosciuti e verificati e su quello che si sta facendo per risolvere il problema. Nella crisi la comunicazione non è l’azione del comunicare ma comunicare l’azione. Quindi si comunica quello che si sa e quello che si sta facendo.

Come scrive Cybersecurity360 “nel caso della Regione Lazio, la vera domanda non è cosa è successo, ma cosa si sta facendo. Finora abbiamo ricevuto diverse dichiarazioni che però non fanno alcun cenno alle misure concretamente intraprese dalla Regione per mitigare i danni e le conseguenze di questo attacco. Si sa solo che hanno ripristinato il backup, ma che non riescono a portare su il sistema perché ogni volta si riattiva il ransomware.”

La scelta delle parole

Molto discutibili sotto il profilo della comunicazione anche le parole scelte da Zingaretti per commentare l’evento:

“Stiamo difendendo in queste ore la nostra comunità da questi attacchi di stampo terroristico.”

Nicola Zingaretti, Presidente Regione Lazio

Che cosa ha a che spartire un attacco di ciber criminali con il terrorismo? E perché la scelta di enfatizzare la parola “matrice”? Per rafforzare ulteriormente il concetto “terroristico”?

Infrastutture critiche: le domande senza risposta

Nulla di inaspettato o imprevedibile in questo attacco. Da oltre 12 mesi gli attacchi ramsonware si susseguono in tutto il mondo. Ancora una volta non era quindi una questione di se, ma solo di quando.

Per mesi abbiamo letto che è stato creato un perimetro di sicurezza cibernetica nazionale a difesa delle infrastrutture critiche con tanto di organizzazione dedicata presso la Presidenza del Consiglio.

Il CED della Regione Lazio rientra tra le infrastrutture critiche. Eppure i sistemi di difesa sembra si siano rivelati inadeguati. Chi doveva verificarli? Quando è stato condotto l’ultimo intrusion test? Quali obblighi aveva la Regione Lazio rispetto al perimetro di sicurezza cibernetica? Le misure di sicurezza previste sono state applicate? 

Il 15 giugno 2021 il Governo aveva ampliato il perimetro e il numero di soggetti che vi rientrano. Qui leggiamo anche che “dal prossimo 23 giugno, il perimetro di sicurezza nazionale cibernetica inizierà ad essere “operativo” nei confronti dei soggetti inseriti il 22 dicembre scorso”.  Quelli inseriti il 15 giugno hanno invece 6 mesi di tempo (6 mesi!!!!) per “comunicare le reti, i sistemi informativi ed i servizi informatici che impiegano rispettivamente per l’erogazione delle funzioni e dei servizi essenziali dello Stato inclusi nel perimetro”.

In attesa del “post mortem”

Che cosa esattamente sia accaduto non è al momento chiaro. Restiamo in attesa di leggere tra qualche mese un “post mortem” sulla risposta all’attacco ciber al CED della Regione Lazio augurandoci che questa venga (1) redatto e (2) pubblicato così da poter essere di insegnamento per altri. Si tratta logicamente di un auspicio, anche se temo che ragioni di “sicurezza nazionale” verranno addotte per non rendere i documenti pubblici.

La lezione per le imprese

La triste realtà mi sembra essere sempre la stessa: l’ennesima conferma della nostra incapacità di prepararci per le crisi ed in particolare per quelle sistemiche del XXI secolo. 

Così come per il COVID19 anche nel caso dell’attacco ciber ad una infrastruttura critica come il CED della Regione Lazio questo deve essere considerato un campanello d’allarme. Sarebbe gravissimo non prenderne nota e non accelerare sul fronte della preparazione.

La lezione per le aziende è una: preparatevi. Un attacco ai sistemi informatici non è un problema dell’IT. Molto spesso si trasforma rapidamente in una crisi reputazionale.

Share this

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *