Da “minacce esterne” ad “attacco informatico”. A due giorni dal blackout dei servizi informatici, il ministero della Transizione ecologica (Mite) parla in una nota ufficiale di attacco cibernetico. Un’incursione le cui prime avvisaglie sarebbero state rilevate il primo aprile. In risposta, il dicastero il 6 aprile ha messo offline le proprie reti “a titolo cautelativo” e da 48 ore il sito del Mite e i servizi a esso collegato risultano ancora irraggiungibili.
Dopo che il ministro Roberto Cingolani in persona, intervenendo Sportello Italia Recovery, su Radio1 il 6 aprile aveva detto che “la sicurezza è la priorità numero uno. Oltre alla sicurezza energetica, mentre vi parlo vi posso dire che abbiamo minacce esterne rilevate sulla rete informatica del ministero e per prudenza abbiamo dovuto sospendere il funzionamento di tutti i sistemi informatici del ministero”, per due giorni ministero e autorità hanno tenuto il massimo riserbo sulla natura dell’incidente.
Ora invece da via Cristoforo Colombo l’ammissione di un attacco cyber. “Lo scorso 1° aprile personale tecnico del ministero della Transizione ecologica ha rilevato la presenza di anomalie di funzionamento sui propri sistemi informatici che, a una prima analisi, hanno immediatamente evidenziato i profili di un attacco informatico sulla cui natura sono in corso accertamenti”, si legge nella comunicazione ufficiale.
La manovra di difesa
Il ministero dichiara che “nonostante la regolare funzionalità dei servizi non risulti pregiudicata”, è stato deciso “a titolo cautelativo” di “interrompere le attività dei sistemi informatici. Sono in corso approfondimenti anche in relazione ad un’eventuale esfiltrazione di dati, rispetto alla quale, allo stato, non emergono evidenze”. Da qui il blocco che da due giorni interessa le risorse informatiche del ministero. Non solo il sito istituzionale, ma anche una serie di portali di servizio per bandi, gestionali e archivi. Come il Sif-web, il sistema informativo dei fitosanitari che serve per il “supporto alla scelta delle sostanze fitosanitarie per la difesa delle colture agrarie”.
Una manovra di difesa simile è stata messa in atto qualche settimana fa da Ferrovie dello Stato, colpita da un attacco ransomware attribuito al gruppo di cybercriminali Hive. Nella mattina del 23 marzo quelli che all’apparenza sembrano disservizi bloccano alcuni sistemi di vendita di Trenitalia e Ferrovie dello Stato: macchine self service e biglietterie nelle stazioni non funzionano. La ragione però è un’altra. A spegnere una parte della rete di bigliettazione è la stessa azienda, che ha individuato delle macchine colpite da un attacco ransomware diretto a Rete ferroviaria italiana (Rfi), la società del gruppo che si occupa dell’infrastruttura. Un’azione per circoscrivere la violazione informatica. A distanza di settimane, scrive il Post, il ripristino di tutti i servizi è ancora in corso.
Indagini in corso
Sull’attacco al Mite sono in corso le indagini dell’Autorità per la cybersicurezza nazionale (Acn) e della polizia postale. Nella nota si legge che l’Acn “sta fornendo il supporto al Dicastero per la realizzazione delle predisposizioni tecniche finalizzate alla riapertura graduale in sicurezza dei servizi. Attività che potrà richiedere alcuni giorni, proprio a causa della complessità dell’attacco”. Una nota che dimostra l’impatto grave dell’incursione, tanto che “in un’ottica di prevenzione, l’Acn ha convocato il Nucleo per la cybersicurezza con la partecipazione delle amministrazioni più direttamente interessate”, una cabina di regia in seno all’Acn prevista dal decreto del giugno 2021 sulla sicurezza informatica che, oltre al numero uno dell’agenzia, coinvolge servizi e ministeri.
Per Cingolani, “questo attacco conferma ancora una volta l’importanza e l’urgenza di avere nella pubblica amministrazione strutture informatiche che rispettino principi di cyber sicurezza allo stato dell’arte”. “L’evento – afferma Roberto Baldoni, direttore generale dell’Acn – pone ancora all’attenzione l’estrema vulnerabilità dei sistemi digitali della Pa, per sanare la quale è indispensabile un percorso virtuoso di risanamento che vede in prima linea l’Agenzia per la cybersicurezza, ma anche tutti gli altri soggetti ad ogni titolo coinvolti. Si tratta di un processo lungo e graduale che passa per misure tecniche, organizzative, investimenti anche in termini di assunzione, formazione e consapevolezza del personale”.
L’analisi
“Dal comunicato emerge un impatto importante dell’attacco sulle infrastrutture ministeriali – spiega a Wired Pierluigi Paganini, esperto di cybersecurity e intelligence e ad della società Cybhorus -. La durata delle attività per il ripristino della operatività suggerisce che potenzialmente diversi sistemi siano stati impattati e che minaccia si sia propagata all’interno delle reti governative. In questo questo scenario è indispensabile porre particolare attenzione sull’investigazione atta ad individuare la modalità con la quale l’attaccante abbia penetrato l’infrastruttura e come si sia propagata al suo interno attraverso movimenti laterali. Resta ancora da scogliere il nodo relativo alla potenziale esfiltrazione di dati, attività che richiederà sicuramente ancora giorni”.
Leggi tutto su www.wired.it
di Luca Zorloni www.wired.it 2022-04-08 13:48:04 ,
