Attacco hacker alla Regione Lazio. Rapetto: “Ko emblematico, dimostrazione di una vulnerabilità diffusa”
"Il fatto che da 48 ore non si trovi una soluzione, che abbiano staccato la spina e che non sia disponibile il sito della Regione è segno che non si è abituati a gestire difficoltà di questa portata". Umberto Rapetto, generale della Guardia di Finanza in congedo, responsabile di indagini divenute famose nella caccia agli hacker, esperto di sicurezza informatica, docente universitario e autore di diversi libri sul tema, parla dell’attacco da parte di pirati informatici ai danni del portale della Regione Lazio
Drammatico, anzi apocalittico. E il rischio è che la lezione si dimentichi presto. L’attacco da parte dei pirati informatici ai danni del portale della Regione Lazio non è un episodio da poco. Umberto Rapetto, generale della Guardia di Finanza in congedo, responsabile di indagini divenute famose nella caccia agli hacker, esperto di sicurezza informatica, docente universitario e autore di diversi libri sul tema, in questa intervista spiega come “il ko è emblematico, la dimostrazione di una vulnerabilità diffusa”. All’Italia serve educare chi fa uso delle reti e creare consapevolezza perché l’informatica non è “il Paese dei balocchi”, come commenta Rapetto.
L’attacco hacker alla Regione Lazio ha mostrato tutte le falle del sistema informatico. Come è possibile che sia stata trascurata così la sicurezza?
Abbiamo preferito non dedicare tempo e risorse a un problema che ha radici lontane nel tempo. Nel 1990 un mio libro si intitolava “Il tuo computer è nel mirino”. Sono passati 31 anni ma qualcuno è ancora convinto che l’informatica sia il paese dei balocchi. Il processo di automazione, sia nel privato sia nel pubblico, ha dato dimostrazione che non vengono mai prese le dovute cautele per evitare le ripercussioni drammatiche. Non possiamo pensare di costruire automobili senza freni e nemmeno i processi di automazione senza le misure di sicurezza per salvaguardare i dati e assicurare le funzioni di chi eroga servizi essenziali come la sanità, i trasporti o l’energia. Un attacco di questo genere fa pensare: possibile che non ci abbiano pensato? Questo è segno di una certa leggerezza. Siamo abituati a mostrare i muscoli, ma non possiamo pensare di sbeffeggiare l’universo hacker come poteva fare Cassius Clay sul ring. Il ko della Regione Lazio è emblematico, è la dimostrazione di una vulnerabilità diffusa. Il fatto che da 48 ore non si trovi una soluzione, che abbiano staccato la spina e che non sia disponibile il sito della Regione è segno che si è abituati a gestire le difficoltà come i bambini che si portano via il pallone quando perdono a calcio. Nel frattempo si è fermato tutto, non solo la sanità, perché anche i bandi e tutto il resto è sparito. Quello che è capitato può ripetersi in qualsiasi altra amministrazione. Il livello di impreparazione non è solo tecnico ma anche culturale perché nessuno ha mai immaginato che una vulnerabilità di questa natura potesse ripercuotersi sul quotidiano come la campagna vaccinale. Un incidente di questo tipo si va ad inserire con preoccupante allarme per tutti quelli capaci di buon senso.
È significativo che una Regione così importante sia stata attaccata.
Anonymous un anno fa ha portato via le informazioni dai server del San Raffaele di Milano ma si è dimenticato in fretta. Anche fra una settimana in pochi si ricorderanno questo attacco. Tranne forse i cittadini che ora non possono accedere al fascicolo elettronico. Chi ha bisogno di visionare dei referti oggi non lo può fare. Anche dal punto di vista civilistico, le ripercussioni sono elevate perché un cittadino potrebbe rivolgersi al Garante perché i suoi dati trattati dalla Regione non sono stati conservati.
Inoltre il Lazio ha vaccinato rappresentanti delle Istituzioni come Sergio Mattarella, Mario Draghi. I loro dati ora sono in pericolo?
Se sono riusciti a prendere solo le informazioni sulle vaccinazioni anti Covid, al massimo sanno in che giorno si sono vaccinati. Il problema è se hanno preso dominio di tutte le informazioni sanitarie: moltissimi personaggi illustri che gravitano intorno alla Capitale sono nudi davanti al pirata informatico. Bisognerà scoprire se nei giorni precedenti quelle informazioni, prima di renderle illeggibili con una procedura di criptografia, siano state copiate.
E magari venderle?
Esattamente. Non è difficile trovare potenziali acquirenti dei dati che interessano alle società farmaceutiche, alle strutture di sanità privata, alle assicurazioni e alle banche che difficilmente stipuleranno polizze o concederanno prestiti a persone con una salute vulnerabile.
Sul piano della sicurezza informatica, rispetto agli altri Paesi europei come stiamo messi?
Anche altri Paesi hanno avuto attacchi e mostrato vulnerabilità. L’Irlanda ha subito un attacco al sistema informatico della sanità ma ha dimostrato di avere una capacità di pianificazione immediata: hanno informato i cittadini via Twitter, hanno bloccato una serie di attività dando la priorità alle ambulanze e al primo soccorso. L’incidente può capitare ma ci deve essere la calendarizzazione e la pianificazione puntuale mentre qui si sta navigando a vista. È una tragedia, non c’è nulla da ridere. Una Regione che ha un intero portale giù non rassicura.
Fra poco farà il suo debutto l’Agenzia per la cybersicurezza nazionale.
Se ne parla tanto, ma solo perché faranno 300 assunzioni. A parte che non so dove troveranno 300 persone così preparate. Nessuno si preoccupa di definire da che parte cominciare. La situazione è apocalittica. L’attacco è stato solo un assaggio, un finger food rispetto al pranzo del “Boss delle cerimonie” che potrebbe scatenarsi.
Il Pnrr spinge sull’implementazione della telemedicina che a sua volta si basa su una rete di dati informatici ingenti. Ma se la sicurezza vacilla come è possibile sviluppare questa area?
Prima bisogna costruire una infrastruttura che dia la garanzia di impermeabilità. Bisogna tornare a reti dedicate. Ma prima di tutto bisogna educare chi se ne serve e creare una consapevolezza che al momento non c’è. Bisogna togliere le sedie, il primo che si siede è finito. Questo però non entra nella mente di nessuno anzi si pensa alle possibili poltrone.
Quali sedie in particolare occorre eliminare?
Bisogna fare una conta, un inventario di chi è pronto a giocare la partita e capire chi zoppica perché sarà il primo a essere colpito dai pirati.
Sembra che l’attacco al portale della Regione Lazio sia partito dalla Germania.
No. L’aspetto geografico è buffo. Tutto il mondo è connesso e non ha più una radice geografica. Chi è che si fa tracciare? Chiunque simula di trovarsi in un altro posto nel mondo con delle tecniche elementari. Magari il pirata era dall’altra parte della Cristoforo Colombo (via dove ha sede il palazzo della Regione, ndr).
La falla da cui sembra sia riuscito a entrare il pirata è l’utenza di un dipendente in smart-working.
È normale. Abbiamo parlato finora di smart-working nonostante sia meglio parlare di remote-working, perché non c’è nulla di smart. Le persone lavorano con gli stessi computer su cui navigano i figli per giocare ai video giochi o andare sui social cioè macchine che non rispondono ai requisiti elementari di sicurezza. Tutte queste cose si sapevano ma non è stato fatto nulla e il dramma è che fra una settimana ce ne saremo dimenticati.
Elisabetta Gramolini