L’ultimo in ordine di tempo è quello subito dalla Regione Sardegna, con la pubblicazione nel dark web di cartelle contenenti dati personali dei dipendenti e degli utenti di alcune direzioni generali. Prima era stata la volta del Comune di Palermo, colpito alla vigilia delle elezioni amministrative da un ransomware che ha bloccato il sito istituzionale, la gestione della centrale operativa della Polizia municipale e il sistema di videosorveglianza della Ztl cittadina.
Sono solo due dei più recenti attacchi informatici diretti a colpire istituzioni pubbliche italiane. Il 20 maggio scorso il collettivo filo russo Killnet ha rivendicato quello che ha definito “l’attacco all’Italia”. Per circa un’ora non è stato possibile accedere a una serie di siti italiani, compreso quello del Senato della Repubblica. Nell’elenco pubblicato su Telegram dagli hacker russi compaiono anche la Scuola alti studi di Lucca, l’Istituto superiore di Sanità, Banca Compass, la società di servizi alle aziende Infomedix, Imtlucca, e l’Aci. Il ministero della Difesa ha, invece, smentito l’attacco, che per circa un’ora ha reso impossibile l’accesso a questi siti.
Non è la prima volta che anche in Italia istituzioni e infrastrutture pubbliche finiscono nel mirino dei cyber criminali. Il 1° maggio un attacco ransomware ha colpito l’Azienda Socio Sanitaria Territoriale Fatebenefratelli Sacco di Milano, bloccando i sistemi informatici degli ospedali Fatebenefratelli, Sacco, Buzzi, Macedonio Melloni e le 33 sedi territoriali.
A gennaio l’attacco è stato diretto contro l’azienda sanitaria locale di Napoli-sud, che si è ritrovata con il sistema di prenotazione dei vaccini paralizzato. A dicembre 2021 era toccato all’Ulss 6 Euganea di Padova: Cup, punti prelievi, nuove registrazioni dei pazienti, il sistema dei laboratori, alcuni punti tamponi e gli hub vaccinali sono rimasti bloccati per settimane e sono state pubblicate decine di cartelle cliniche complete di nomi, cognomi, residenze e dati sensibili.
Risale, invece, al primo agosto 2021 l’attacco che ha colpito la regione Lazio, rallentando per più giorni la campagna vaccinale e rendendo di fatto impossibile l’erogazione di diversi servizi sanitari. A un mese dall’attacco un terzo dei servizi sospesi non era ancora stato riattivato.
E se la storia si ripete?
Alla luce della crisi internazionale e del quadro geopolitico in evoluzione, l’Agenzia per la Cybersicurezza Nazionale e il CSIRT (Computer Security Incident Response Team) Italia hanno diffuso una serie di raccomandazioni per mitigare i possibili rischi, suggerendo strategie di diversificazione delle tecnologie informatiche.
Secondo i ricercatori del Clusit, l’Associazione italiana per la sicurezza informatica, i cyber criminali non appaiono più interessati a colpire in maniera indifferenziata obiettivi molteplici (i cosiddetti “multiple target”), ma mirano a bersagli ben precisi. Al primo posto c’è l’obiettivo governativo/militare, con il 15% degli attacchi totali, in crescita del 36,4% rispetto all’anno precedente. La sanità rappresenta il 13% del totale degli obiettivi colpiti, in crescita del 24,8% rispetto ai dodici mesi precedenti. Segue l’istruzione, pari al 9% del totale, sostanzialmente stabile rispetto al 2020.
Le infrastrutture critiche sono un obiettivo primario per i criminali informatici, soprattutto a seguito della crescente digitalizzazione dei dati dei cittadini (in ambito sanitario e scolastico). Il rischio è quindi sempre più reale.
Sorge spontanea una domanda: considerati i recenti attacchi che hanno colpito amministrazioni pubbliche e ospedali, che tipo di protocolli devono essere messi in atto per garantire che l’infrastruttura dei dati sia sufficientemente resiliente da rilevare questo tipo di intrusioni informatiche, proteggere dai furti di dati e, se necessario, ripristinarli rapidamente?
L’attuale volume di attacchi informatici resi noti dalla stampa dimostra che la questione non è più se un attacco può verificarsi, ma piuttosto quando si verificherà.
I gestori di infrastrutture critiche, compresi i governi, dovrebbero quindi disporre di una strategia per garantire un ripristino completo e rapido nel caso in cui un attacco vada a segno e possa avere un impatto sulla disponibilità di servizi critici.
Le soluzioni di gestione innovativa dei dati di Cohesity possono aiutare le aziende a migliorare la propria resilienza informatica, proteggendo i propri backup, identificando in tempo le anomalie e ripristinando velocemente i dati. Accrescere il valore di una strategia di sicurezza incentrata sulla prevenzione con un approccio di nuova generazione che includa anche la protezione, il rilevamento e la risposta, consente alle organizzazioni che gestiscono infrastrutture critiche di mitigare l’impatto delle violazioni.
di Albert Zammar, Regional Director SEMEA di Cohesity