Gli enti pubblici colpiti dall’attacco hacker del gruppo Lockbit sono in lenta ripresa. Ma restano ancora i disagi per oltre mille enti colpiti. Resta poi la domanda di fondo: quali garanzie ci sono per la sicurezza dei dati dei cittadini? I soggetti che hanno subito l’attacco sono certificati e in teoria rientrano nei criteri di sicurezza dettati da Agid.
Quali garanzie ci sono per un futuro adeguamento dei sistemi informativi della PA?
Cosa non ha funzionato?
Di quali dati si tratta?
E’ stato chiesto un riscatto?
Tante domande aperte alle quali sarebbe utile dare una risposta.
Cosa è successo?
Quel che si sa è che c’è il gruppo di cyber criminali Lockbit dietro l’attacco informatico di tipo ransomware che risale all’8 dicembre e sta paralizzando la Pubblica amministrazione italiana.
La rivendicazione è arrivata ieri sera direttamente dall’Agenzia per la Cybersicurezza Nazionale (ACN). In un comunicato diramato oggi l’agenzia ha annunciato “che da diversi giorni è in contatto con la Westpole S.p.A. e con PA Digitale S.p.A. per dare loro il massimo supporto al contenimento dei disservizi dovuti all’attacco. L’attività svolta ha consentito il ripristino di tutti i servizi impattati, nonché il recupero dei dati oggetto dell’attacco per più di 700 dei soggetti pubblici nazionali e locali, legati alla catena di approvvigionamento di PA Digitale S.p.A”.
In altre parole, 700 enti pubblici sono tornati operativi e in possesso dei dati e dei servizi erogati normalmente.
Attacco cyber Westpole: Mille enti ancora sotto scacco
Lo stesso discorso non vale per altri mille enti, legati per contratto a PA Digitale s.p.a. perché resta l’esigenza di recuperare i dati risalenti ai tre giorni precedenti all’attacco.
“Per le restanti Amministrazioni, continua il comunicato di Acn, sono circa 1.000 i soggetti pubblici legati contrattualmente a PA Digitale S.p.A. per l’erogazione di servizi gestionali di varia natura – resta l’esigenza di recuperare i dati risalenti ai 3 giorni precedenti l’attacco, avvenuto l’8 dicembre”.
Attacco cyber Westpole: di quali dati si tratta?
Quali sono gli enti pubblici ancora sotto scacco?
Quali conseguenze per l’operatività?
Quesiti che restano aperti, in attesa di capire meglio come sia potuto accadere che un gruppo hacker russo abbia bucato le difese di aziende certificate da Agid per essere fornitori di servizi alla pubblica amministrazione, quali sono PA Digitale s.p.a. e Westpole s.p.a.
Il tema è a questo punto di carattere politico: in che modo si potrà garantire in futuro la sicurezza degli enti pubblici protetti da questi fornitori?
“È inoltre da precisare, come confermato dalla stessa società PA Digitale, che l’attività svolta consente di scongiurare la paventata, mancata erogazione degli stipendi di dicembre e delle tredicesime a favore dei dipendenti di alcune Amministrazioni locali indirettamente impattate. Infine, i rallentamenti dei servizi digitali che si sono registrati nella mattinata odierna sono dovuti alla congestione degli accessi simultanei e non rappresentano una conseguenza diretta dell’attacco informatico”, si legge nella nota di Acn.
Il ransomware LockBit e la tipologia di attacchi
Il gruppo criminale Lockbit in passato è stato responsabile nel 2021 del grave attacco informatico nei confronti della Regione Lazio e nel 2022.
LockBit è una cyber gang che resiste da molto tempo nel mercato delle affiliazioni RaaS rinnovandosi costantemente. Ha iniziato le sue operazioni a settembre 2019 chiamandosi ABCD per poi cambiare il suo nome in Lockbit. Successivamente il marchio è stato rinominato in LockBit 2.0 apportando diverse novità e a giugno 2021, sono stati apportati dei cambiamenti introducendo la piattaforma Lockbit 3.0.
LockBit 3.0 introduce diverse novità, come una piattaforma di bug-hunting relativa alle infrastrutture utilizzate dalla gang, l’acquisto di criptovaluta, una nuova sezione per gli affiliati e ulteriori modi per monetizzare che possono essere sintetizzate in:
- Estensione del “countdown”: la vittima può pagare dei soldi per estendere il countdown per la pubblicazione dei dati;
- Distruzione di tutte le informazioni: la vittima può pagare per distruggere tutte le informazioni esfiltrate dalla sua organizzazione;
- Download dei dati in qualsiasi momento: la vittima può pagare per ottenere l’accesso al download esclusivo di tutti i dati esfiltrati dell’azienda.
Ovviamente il costo per ogni tipologia di “servizio” è differente e si può pagare in Bitcoin o in Monero.
Piccoli comuni nel mirino
A subire le conseguenze più gravi di questo attacco ransomware sono stati soprattutto i piccoli comuni. I servizi di Westpole sono quelli erogati attraverso il software in cloud Urbi, che si occupa di anagrafe e servizi ai cittadini. Uno dei risultati è stato il blocco di molti servizi digitali, tra cui anche la gestione dei cedolini paga, anche se le buste paga sono garantite come confermato dall’ANC.
Un altro dei servizi in tilt è quello della fatturazione per chi usa il sistema Quifattura. Di conseguenza, molte aziende non hanno potuto ancora registrare fatture e trasmettere gli adempimenti IVA nei tempi previsti dalla legge. L’Agenzia delle entrate ha comunque deciso di accordare una dilazione dei tempi senza applicare sanzioni o interessi di mora.
Anche l’accesso al cassetto fiscale delle imprese non sembra ancora garantito in toto. Ciò dipende forse dall’attacco hacker?
Agid, chiesti chiarimenti entro due giorni a PA Digitale
Nel frattempo, l’Agenzia per l’Italia digitale (Agid) ha richiesto chiarimenti dettagliati a PA Digitale entro 2 giorni, in particolare se l’evento ha coinvolto i servizi di conservazione a norma, un aspetto cruciale considerando la sensibilità dei dati gestiti. Richiesta anche una panoramica completa delle aree colpite e delle funzionalità compromesse oltre ai dettagli dei disservizi. L’Agenzia per la Cybersicurezza Nazionale è invece intervenuta per analizzare la vastità dell’impatto e indicare le modalità di recupero dei dati e per aiutare Westpole a “ripristinare i suoi servizi come pratica di resilienza”.
Attacco Westpole: il comune di Fiumicino proroga le borse di studio
“Per assicurare una più ampia partecipazione all’iniziativa e per ovviare ai disservizi causati dall’attacco hacker occorso al data center di cui si avvale la società che gestisce i sistemi informativi della Città di Fiumicino, i termini di scadenza per la presentazione delle domande delle ‘Borse di studio per merito studenti diplomati Anno Scolastico 2021/2022 – studenti laureati Anno Accademico 2020/2021 sono stati prorogati alle ore 12 del 12 gennaio 2024’, ha informato il Comune. Oltre il Lazio si sono registrati numerosi disservizi in Lombardia e Veneto.
La nota di PA Digitale s.p.a.
Abbiamo contattato PA Digitale s.p.a. per chiedere un commento all’ad Renato Trapattoni e in serata l’azienda ci ha inviato una nota che pubblichiamo integralmente:
“PA Digitale S.p.A, fa seguito alle precedenti comunicazioni relative al grave attacco criminale al fornitore dei servizi cloud qualificato Westpole S.p.A. e che ha provocato una significativa ed estesa indisponibilità dei servizi anche a danno di PA Digitale e dei suoi clienti. PA Digitale S.p.A. ha operato sin da subito per rigenerare una infrastruttura completamente nuova, affidabile e sicura fornita da Westpole S.p.A. e riattivare tutti i servizi e i data base dei propri clienti nel più breve tempo possibile, per attenuare per quanto possibile i consistenti disagi derivanti dall’attacco. PA Digitale S.p.A. ha attivato gruppi di emergenza e ha proceduto alla importazione dei dati dei propri clienti operando, senza limiti di risorse e orario, per garantire un’effettiva, sicura e tempestiva ripresa dei servizi.
PA Digitale S.p.A ha ripristinato le funzionalità operative per tutti i clienti della Pubblica Amministrazione coinvolti nell’attacco, resi di nuovo operativi a partire dalle 08:00 del 18 dicembre 2023; sono attualmente in corso attività di miglioramento delle prestazioni relative ai nuovi impianti, associate alla necessità di ampliamento della banda utilizzabile in corso. PA Digitale S.p.A. sta quindi accompagnando gli Enti pubblici ad un progressivo ritorno alla piena normalità.
Il Direttore dell’Agenzia per la Cybersicurezza Nazionale, Prefetto Bruno Frattasi, ha ribadito la gravità ed estensione dell’evento, che va inquadrato nel contesto delle tensioni geopolitiche globali e che vedono l’incremento, in Italia, di azioni estese condotte verso l’intera superficie digitale della Repubblica, con uno specifico intento di danneggiamento delle funzioni essenziali che riverberano sui cittadini. In questo quadro, consapevole della propria funzione, PA Digitale S.p.A. sta supportando tutti i propri clienti, pubblici e privati mediante tutto il proprio personale, con una presenza operativa continua e con le informazioni rese disponibili dalle parti interessate, a cominciare da Westpole S.p.A., vittima dell’attacco.
Per quanto riguarda la richiesta di informazioni e di chiarimenti pervenuta da AgID a PA Digitale S.p.A in data 14 dicembre 2023 – PA Digitale S.p.A. è Conservatore Qualificato AgID – PA Digitale S.p.A. ha confermato in data 15 dicembre 2023 che il sistema di Conservazione è intatto e integro; nessuna compromissione di dati si è verificata; al momento il sistema di Conservazione è tenuto in sicurezza e non riattivato in attesa di una completa stabilizzazione della situazione generale e dei necessari controlli di sicurezza. PA Digitale si è posta a totale disposizione di AgID per qualunque ulteriore informazione
PA Digitale S.p.A. è inoltre fornitore anche di componenti tecnologiche e funzionali rivolte al Mercato Privato (imprese, professionisti) nell’ambito della Fatturazione Elettronica. In tale ambito si comunica che:
- è stata ristabilita l’operatività delle connessioni con il Sistema di Interscambio (SDI) di Agenzia delle Entrate, a cui va riconosciuta la totale collaborazione dimostrata nella tempestiva risoluzione delle richieste che le sono state indirizzate;
- gli utenti dell’applicazione Fatturazione Elettronica stanno iniziando a riprendere la generazione e l’invio delle fatture elettroniche, in sicurezza di accessi.
“La struttura tecnica dedicata al Mercato Privato sta operando senza limiti di risorse ed orario per accelerare la ripresa operativa e supportare i clienti privati nella ripartenza. PA Digitale S.p.A. ancora una volta esprime il proprio profondo rammarico per questa spiacevole vicenda, indipendente dalla propria volontà e al di fuori del proprio controllo, oggi elevata al rango di crisi cibernetica nazionale. L’impegno senza limiti continua, a tutela degli interessi dei clienti e dei cittadini e si desidera ringraziare le Istituzioni, Presidenza del Consiglio dei Ministri nelle componenti ACN e AgID, l’Autorità Garante dei dati personali, l’Agenzia delle Entrate, la Polizia di Stato per la collaborazione e l’attivo supporto che non smettono di far avere”.