Esisteva un piano emergenziale della regione Lazio per reagire a un maxi-attacco cyber? E il backup dei dati era stato adeguatamente segregato? Ci sono ancora diverse domande che attendono una risposta dal governatore Nicola Zingaretti. Il commento di Marco Mayer
In queste ore gli investigatori della Polizia postale, di Europol/EC3, di Fbi e di altri organismi competenti si muovono a 360 gradi per scoprire l’origine dell’attacco ransomware contro la regione Lazio: stanno seguendo tutte le piste e stanno cercando di capire se ci sono riscontri con le indagini nazionali e internazionali in corso o svolte negli ultimi tre/quattro anni.
Mentre gli inquirenti sono impegnati in un grande sforzo coordinato in Italia si é alzato un enorme polverone mediatico.
Intendiamoci è bene, che il TG1 delle 20 apra con l’attacco informatico alla Regione Lazio che ha bloccato tanti servizi medici e non medici, compresa la prenotazione delle vaccinazioni.
Per la prima volta si sensibilizza l’opinione pubblica italiana su un tema cruciale per il buon funzionamento della pubblica sicurezza, della sanità, dell’energia, dell’industria, della sicurezza nazionale, della vita quotidiana dei cittadini.
Accanto a questo allarme positivo tuttavia si è sviluppato un polverone mediatico di grandi proporzioni – pieno di informazioni approssimative e sbagliate (più o meno interessate).
Negli ultimi dieci anni i processi di digitalizzazione in Italia sono stati dominati dalla logica commerciale: aumento esponenziale delle importazioni di prodotti, apparati, servizi, ecc., nei segmenti dei software, degli smartphone, della video-sorveglianza, delle antenne, dei cavi, per non parlare delle piattaforme cloud, ecc.
A ciò si deve aggiungere la consistenza degli investimenti esteri (come nel caso della vendita di Wind Tre ai cinesi e di Fastweb a Swisscom, ma anche l’acquisto da parte di Paesi – potenzialmente ostili – di medie e piccole aziende).
Il volume di affari e le vendite all’ ingrosso e al dettaglio hanno sorpassato di gran lunga quello delle aree “produttive” in cui si crea valore aggiunto. Le eccellenze italiane (aziendali e universitarie) vivono come monadi. Per di più una consistente fetta delle importazioni è indotta dalle multinazionali che hanno grandi catene di distribuzione in Italia.
In questa situazione estremamente difficile (di vulnerabilità strutturale e di forte dipendenza dall’estero) nei prossimi giorni – dopo il voto finale ieri al Senato – decollerà la nuova Agenzia per la Cybersicurezza proposta dal Sottosegretario Franco Gabrielli e approvata dal Parlamento con grande e inusuale rapidità.
La speranza è di colmare un vuoto legislativo ed operativo che è stato segnalato sin dal 2012/2013 e che si è ampliato dal 2017 ad oggi per la crescente influenza delle aziende cinesi nel nostro paese.
Mentre gli investigatori sono al lavoro è inutile, anzi dannoso, avventurarsi in congetture fantasiose che tra l’altro possono involontariamente favorire i depistaggi su quanto è successo alla Regione Lazio, a Lazio Crea Spa e ad altre aziende eventualmente coinvolte.
Quello che invece serve è formulare alcune domande, da un lato possono aiutare i cittadini a capire e dall’ altro diradare il polverone mediatico che si sta ogni giorno accumulando sulla vicenda.
Ecco, a mio avviso, quali sono le principali domande chiave. Preciso che non sono inserite in un ordine logico, ma puramente casuale:
1) Da quanto tempo i sistemi Lazio Crea Spa erano compromessi e ci sono stati altri incidenti o attacchi negli ultimi 3/4 anni?
2) Il Csirt/Dis e il Cert Pa hanno mai avuto un ruolo nella protezione informatica della Regione Lazio e in caso affermativo come si sono mossi?
3) Negli ultimi tre anni la Regione Lazio, la sua controllata Lazio Crea Spa e i loro dipendenti hanno iniziato ad applicare le disposizioni previste da Gdpr (dati personali) e dalla Nis?
4) La Regione Lazio e la sua controllata hanno utilizzato il Rti di Leonardo, Fastweb e Ibm come fornitori di Cybersecurity nell’ ambito della gara Consip SCP lotto 2?
5) È vero che il backup dei dati non è stato segregato? La Regione Lazio disponeva del piano di resilienza articolato in 4 fasi operative?
6) Quanti dipendenti e consulenti avevano le credenziali? Erano persone preparate, fidate e ben selezionate?
7) Perché la parola terrorismo è stata usata da Nicola Zingaretti dal primo momento, presumolmente senza alcun indizio in riferimento a gruppi terroristici?
La domanda nasce dal fatto che a Bologna c’è stata una reazione molto negativa. Nella città colpita dalla strage del 2 agosto molti hanno giustamente o ingiustamente sospettato che fosse uno stratagemma della Regione per politicizzare l’accaduto e distrarre da inadempienze della Regione stessa e/o di Lazio Crea spa e/o dei loro fornitori ?
8) Era stato preparato un piano di comunicazione di eventuali emergenze?
9) È vero il ruolo di Engineering o esso riguarderebbe solo i casi ERG e Salini come qualcuno ha scritto? Oppure come sostenuto da altri è vero che la Salini avrebbe respinto lo stesso malware che il Lazio non è riuscito a bloccare?
10) Si è scritto di un dipendente di Frosinone (presumiblmente un’amministrazione di sistema). Se c’entra veramente è innocente, incauto e se l’indiscrezione fosse confermata ha agito in modo colposo o colpevole? In questo caso si tratterebbe di attendere una sentenza definitiva.
11) È importante anche capire se la Regione dispone di un Rdt (obbligatorio cad art.17), il responsabile per la transizione digitale. E inoltre se la Regione Lazio e Lazio Crea Spa hanno il Ciso (Chief Information Security Officer) e in caso affermativo il soggetto dispone di qualifiche adeguate?
12) LA Regione ha adottato le Misure Minime AgID, obbligatorie dal 2017, che prevedono il mantenimento “segregato” di copie di backup ?
13) Le credenziali collegate direttamente o indirettamente ai fatti sono in vendita sul darkweb? Una testata riferisce che il primo caso di questo tipo sarebbe stato in Sardegna?
14) Ci sono possibili connessioni agli attacchi subiti in passato dallo Spallanzani? E se ci sono riguardano il vaccino “italiano” cofinanziato da Invitalia e/o altro genere di comunicazioni dedicate a Sputnik V o altri vaccini?
Come si vede le domande sono tante. Ora serve la massima fiducia nella Polizia Giudiziaria e nel supporto di Europol e Fbi. E soprattutto ci vuole molta pazienza perché trattasi di un lavoro investigativo molto difficile e complesso.
Esso incrocia tecniche tradizionali con le più avanzate tecnologie ed è estremamente impegnativo.Tuttavia, una vera riflessione politica è finalmente necessaria.
Quanto accaduto è l’ennesima riprova che ci si interroga a posteriori sui guai piuttosto che prevenire e gestire con lungimiranza a livello politico: i report Clusit sono chiarissimi su questo punto perché sono regolarmente ignorati da molti decisori pubblici e privati.
Che sia necessario un valido Security Manager (anche as a service) che presidi il secondo livello di rischio è evidente. Che occorra un terzo livello di presidio specializzato (Audit Tech) è un dovere delle istituzioni pubbliche e private a garanzia della filiera nazionale.
L’affermazione “abbiamo un contratto con l’ impresa X o Y” non può valere come scusante, le relazioni con i fornitori esterni devono essere gestite. Per risolvere tutti questi nodi l’Agenzia non potrà naturalmente avere la bacchetta magica: la cosa veramente importante, però, è che ci sia discontinuita con il passato.
C’è chi spera, specialmente all’ estero che in Italia tutto cambi perché niente cambi, in particolare le aziende digitali cinesi (più o meno “eurovestite” cercano di inserirsi e di beneficiare del Pnrr).
La sindrome del Gattopardo sarebbe un bel guaio non solo in materia di sicurezza informatica, ma per gli effetti nefasti sulla crescita economica e sullla sicurezza nazionale del nostro paese.