La Regione Lazio ha subito tra sabato 31 luglio e domenica 1 agosto 2021 un attacco informatico. LazioCrea, la società regionale che gestisce i sistemi informatici, ha isolato la Regione Lazio da internet, causando l’interruzione di tutti i servizi digitali della Regione. L’interruzione di pubblico servizio è tutt’ora in corso: i sistemi sono stati ripristinati gradualmente, senza alcuna informazione fornita ai cittadini ed ai dipendenti regionali (se non un annuncio della ripartenza entro 72 ore), ed oggi a 53 giorni esatti dall’attacco, siamo nell’ingiustificabile condizione di avere ancora diversi sistemi regionali disattivi ed altri con dati incompleti e limitate funzionalità.
Nonostante gli annunci allarmistici di Zingaretti, l’attacco hacker non era particolarmente forte, ma ha portato alla luce una estrema fragilità delle procedure di sicurezza informatica di tutta la Regione Lazio. Questo attacco, prevedibile ed evitabile, ha anche evidenziato la completa impreparazione dei dirigenti responsabili dell’infrastruttura digitale della Regione Lazio, nonostante le decine di milioni di euro spese in sicurezza negli ultimi anni.L’attacco hacker alla Regione Lazio ha puntato l’attenzione dell’opinione pubblica su un problema che da anni molti esperti di cybersecurity cercano di denunciare: la sicurezza informatica deve essere uno degli asset di ogni azienda, grande o piccola che sia. La Regione Lazio non ha mai attivato un team o un dipartimento di sicurezza informatica, delegando alcune funzioni vitali alla società partecipata LazioCrea, risultata inadeguata alla gestione della sicurezza dei sistemi regionali. La giunta regionale ha “trascurato” le competenze degli assessorati riferite all’informatica e alla digitalizzazione, distribuendole a figure direttive senza alcuna competenza specifica, quindi nessuno era nella condizione di controllare e verificare la correttezza delle attività assegnate alla LazioCrea.
In più, la stessa LazioCrea nel corso degli anni ha completamente subappaltato la gestione di tutti i sistemi informatici, attraverso una giungla di fornitori e contratti, spezzettando l’operatività, la progettazione, la manutenzione, la realizzazione e la gestione dei sistemi vitali per la Regione stessa e i suoi cittadini: portale salutelazio.it, FSE, Cup, 118, Anagrafe regionale, Anagrafe vaccinale, Telemed, Portale Regione Lazio, Portale Consiglio regionale, ecc ecc.
La Regione Lazio, responsabile della gestione di dati e servizi pubblici per 6 milioni di cittadini, non si è mai preoccupata seriamente del rischio relativo ai reati informatici dei quali sarebbe stata soggetto privilegiato. Lo dimostrano i contratti sottoscritti negli ultimi anni con i fornitori, che hanno evidenziato con l’attacco del 2021, di essere insufficienti a garantire una piena sicurezza dei dati dei cittadini. Anche in questo caso l’assenza di competenza a livello regionale ha inficiato le proposte e i progetti presentati da LazioCrea.
Secondo il rapporto Clusit 2021, redatto come ogni anno dall’Associazione Italiana per la Sicurezza Informatica, nel 2020 gli attacchi gravi a livello globale sono cresciuti del 12% rispetto al 2019. Inoltre, c’è un dato ancora più preoccupante: negli ultimi 4 anni il trend di crescita è stato costante e gli attacchi gravi sono cresciuti del 66% rispetto al 2017. In Italia, secondo i dati del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), gli attacchi contro infrastrutture critiche in Italia sono più che raddoppiati: erano 239 nel 2019, sono 507 nel 2020. A livello europeo e italiano si sta facendo molto a livello normativo per aumentare le capacità dei paesi membri di prevenire e fronteggiare gli attacchi portati da cybercriminali. Per quanto riguarda l’applicazione delle normative in Italia, come in altri paesi, i tempi sono piuttosto lunghi: nell’attesa di provvedimenti specifici, molte aziende (anche medie e piccole) potrebbero dover fare i conti con attacchi hacker sempre più frequenti ed evoluti.
Forse l’attacco alla Regione Lazio potrà contribuire a dare una forte spinta alla lotta contro i crimini informatici, ma l’attuale livello di impreparazione della Giunta regionale e del fornitore di servizi LazioCrea, pone seri dubbi sul tempo necessario a portare la Regione Lazio ad un livello di sicurezza e protezione dei dati adeguato a supportare non solo un altro attacco hacker, ma anche solo un qualsiasi incidente o disastro naturale. Senza personale qualificato non possono essere adottati da LazioCrea tutti gli interventi e le misure necessarie da adottare per evitare un nuovo attacco distruttivo o una condizione di emergenza.
L’attacco hacker, prevedibile e inevitabile, ha portato a queste CONSEGUENZE, dai quali si evincono diverse ipotesi di reato:
- NUMERO ECCESSIVO DI SERVIZI INACCESSIBILI PER DIVERSE SETTIMANE, con DANNO INCALCOLABILE AI CITTADINI E ALLE AZIENDE
LazioCrea, quando si è accorta (in ritardo) dell’attacco, ha isolato da internet tutti i servizi digitali della Regione Lazio. Da domenica 1 agosto è stato impossibile prenotare visite specialistiche e si sono interrotti tutti gli screening programmati, come per esempio le mammografie. Chiuso il portale salutelazio con tutti i servizi di assistenza e supporto ai cittadini. Chiusi i portali amministrativi della Regione, del Consiglio Regionale e degli enti regionali. Si è generata una condizione unica nella storia della Regione Lazio dalla data della sua istituzione, per la quale tutte le migliaia di dipendenti regionali in smartworking (in particolare contabilità e bilancio) non erano in condizione di poter svolgere alcun incarico.
Tutte le procedure programmate, le operazioni in scadenza, gli impegni contrattuali e amministrativi, sono stati bloccati a causa della mancanza di comunicazione fra sistemi informatici e lavoratori in remoto. Anche i dipendenti presenti fisicamente negli uffici della Regione Lazio non hanno potuto usufruire dei sistemi intranet, sconnessi per molto tempo senza alcuna comunicazione relativa al ritorno all’operatività.
I cittadini e le imprese laziali dal 1 agosto, per un tempo indeterminato e non prevedibile (l’unica comunicazione ufficiale apparsa dopo circa 24 ore è che i sistemi sarebbero stati ripristinati “prima possibile”), non hanno potuto pagare il bollo auto, ottenere autorizzazioni sanitarie ed edilizie, come quelle legate al Genio civile. Anche il sistema di protocollo regionale, Prosa, era inutiizzabile e quindi non è stato possibile ricevere alcuna richiesta ufficiale e/o registrare atti per tutto il periodo della sua inattività.
I sistemi informatici della Regione Lazio sono letteralmente scoppiati.
La Regione Lazio è dovuta ricorrere a soggetti terzi, quali il Ministero e la Sogei, per bypassare i sistemi regionali e riattivare alcuni servizi urgenti, quali il pagamento delle farmacie. Sono stati coinvolti, in emergenza, consulenti esterni con un ricarico delle spese già alte per la manutenzione dei sistemi informatici regionali. Questo è stato un caso di indisponibilità completa di tutti i servizi informatici amministrativi e contabili unico in Italia, e unico nella storia della Regione Lazio dalla data della sua istituzione.
Nessuna altra amministrazione regionale in caso di attacchi informatici ha avuto problemi di ripristino oltre i 3-5 giorni. Ancora oggi non è chiaro cosa sia stato “hackerato” … dati e sorgenti dei sistemi applicativi. Ad 1 mese e mezzo dal disastro, assolutamente evitabile, non esiste chiarezza, ne da parte di Regione Lazio né da parte di LazioCrea.
- DANNO ALLA PUBBLICA AMMINISTRAZIONE, ALLE AZIENDE, AI CITTADINI
Tutti i dipendenti regionali non hanno potuto accedere ai propri dati, alle proprie caselle mail, ai sistemi. Il danno si è prorogato per oltre 1 mese, senza alcuna comunicazione ufficiale relativa ad un cronoprogramma per il ripristino dei sistemi informatici. Tutti i 51 Consiglieri Regionali stessi non hanno potuto accedere alle caselle mail, nemmeno in remoto, rilevando cosi’ la lesione del diritto a svolgere il proprio mandato elettorale, in quanto non più utilizzabili gli strumenti ufficiali e istituzionali per le proprie comunicazioni con gli elettori. La Regione sembra che abbia messo a disposizione solo di un numero limitato di lavoratori (o solo ai dirigenti?) delle caselle di emergenza su Google Mail (fornitore esterno privato senza alcuna garanzia di sicurezza). In più risulta che tutti gli archivi di posta ed i contatti siano stati perduti, a causa della mancata comunicazione da parte del Consiglio Regionale e/o di LazioCrea riguardo le procedure di corretto ripristino degli archivi sui computer locali rimasti connessi alla rete interna aziendale. Sono state perse anche tutte le mail inviate dai cittadini dal 1 agosto alla data, variabile, di ripristino delle caselle da remoto.
Nessuno dei funzionari dei servizi informatici del Consiglio Regionale del Lazio o della Giunta ha dato indicazione per procedere ad un backup dei dati di posta elettronica, ma sono girate procedure anche non adottabili da rete. La responsabilità nella perdita dei dati è causata dalla mancata comunicazione ai dipendenti e ai consiglieri regionali, e dalla completa impreparazione all’emergenza.
Molti uffici pubblici collegati all’amministrazione regionale, sono stati disattivati, generando ulteriore danno. Chi paga per i danni subiti dai cittadini ? I contratti di manutenzione e gestione dei sistemi informativi, con diversi fornitori esterni, sembra che non prevedano NESSUNA PENALE a carico dei gestori stessi.
L’ AMMISSIONE DI ZINGARETTI
Nella triste conferenza stampa del 2 agosto 2021, a meno di 24 ore dall’attacco, un affannato Presidente Nicola Zingaretti annunciava la sconfitta: “Non sappiamo chi sia il responsabile e i loro obiettivi. […] L’attacco ha bloccato quasi tutti i file del data center. […]. Le prenotazioni dei vaccini sono per ora sospese nei prossimi giorni. Il sistema è attualmente spento per consentire la verifica interna e per evitare la diffusione del virus introdotto con l’attacco”.
(https://www.mediasetplay.mediaset.it/video/tgcom24/attacco-hacker-regione-lazio-zingaretti-e-terrorismo_FD00000000304761)
Umberto Rapetto, generale della Guardia di Finanza in congedo e responsabile di indagini divenute famose nella caccia agli hacker, afferma: “Siamo in bilico tra l’abuso della credulità pubblica e il procurato allarme. Comunque la si voglia rigirare, la patetica storia degli hacker alla Regione Lazio ondeggia pericolosamente tra l’entusiastico ‘abbiano recuperato tutto’ e il rassicurante ‘dai, non è successo nulla’. Probabilmente la cabina di regia della comunicazione dell’ente pubblico ritiene di aver dinanzi una platea di rintronati o, peggio, di ‘boccaloni’ pronti a bersi le stravaganti e contraddittorie versioni dell’accaduto che si susseguono in rapida sequenza nella sbigottita incredulità di chi davvero ne sa qualcosa e nella insofferenza di chi, dotato di normale buon senso, è semplicemente stufo di vedersi rifilare un racconto differente ogni mezza giornata”.
(https://www.iltempo.it/attualita/2021/08/07/news/generale-umberto-rapetto-attacco-hacker- regione-lazio-nicola-zingaretti-bluff-backup-falsita-bugie-28240751/amp/)
- NESSUNA CERTEZZA RIGUARDO IL SALVATAGGIO COMPLETO DI TUTTI I DATI SENSIBILI E PERSONALI, POSSIBILE DIFFUSIONE A TERZI
Alla data attuale e fino al ripristino completo di tutte le funzionalità pre-attacco (per i quali tempi non è stato ad oggi comunicato ancora nulla di ufficiale), nessuno è in grado di definire quanti e quali dati siano stati perduti o trafugati. Alla data odierna non esiste l’assoluta certezza che i dati sanitari o personali di 6.000.000 cittadini laziali, di alte cariche pubbliche residenti a Roma e nel Lazio, dei lavoratori di tutte le aziende regionali e dei Consiglieri regionali non siano stati copiati e ceduti illecitamente a terzi, tramite questo attacco informatico che è durato diverse ore e a quanto sembra esiste l’ipotesi che l’ingresso nei sistemi sia anche avvenuto giorni prima. Si attende il completamento dell’analisi della Polizia Postale in accordo con la Magistratura, ancora in corso, con successivo ed immediato coinvolgimento del Garante della Privacy per poter valutare tutti i conseguenti danni relativi ad una possibile diffusione di dati contabili, amministrativi, legislativi, sanitari e personali.
Diverse ipotesi di violazione della privacy, danno, dolo e diffusione di dati sensibili.
- IPOTESI DI PERDITA DI DATI, CON DANNI INCALCOLABILI
Oltre alla posta dei dipendenti regionali e dei Consiglieri Regionali, perduta, risulta che anche le informazioni mediche sensibili personali contenute nel Fascicolo Sanitario Elettronico non siano state disponibili per diverso tempo. Tanto che è stato attivato un servizio di assistenza sull’FSE. E’ ancora in corso una verifica su tutti i portali regionali (ad uso interno ed esterni aperti al pubblico) per valutare il corretto e completo ripristino di tutti i dati, degli archivi e dello storico completo. A causa di disorganizzazione nelle procedure di manutenzione del codice applicativo e nelle responsabilità per salvataggio dati e archivi, pezzi importanti dell’infrastruttura interna, come l’hr buste paga e il portale dipendenti, non sono aggiornati e performanti. I dati risultano persi (730 e buste paga) o carenti in molte parti fondamentali.
- L’INFONDATO ALLARME “TERRORISMO” E L’ACCUSA AI “NOVAX” SENZA ALCUNA PROVA
Stefano Zanero, professore associato di Computer Security al Politecnico di Milano, afferma che se l’attacco avesse avuto intenti distruttivi gli aggressori avrebbero distrutto tutti i dati, anziché limitarsi a cifrarli e bloccarli.
Qualsiasi esperto informatico di LazioCrea o della galassia di fornitori esterni, avendo subito compreso il tipo di attacco “non distruttivo” ma di “richiesta di riscatto” avrebbe escluso categoricamente la matrice terroristica. Perchè invece Nicola Zingaretti, spettacolarmente, durante la conferenza stampa a poche ore dall’attacco definisce “il più grave assalto web di stampo criminale terroristico che l’Italia abbia mai subito”?
(https://www.mediasetplay.mediaset.it/video/tgcom24/attacco-hacker-regione-lazio-zingaretti-e-terrorismo_FD00000000304761)
Addirittura ipotizzando una regia estera. Zingaretti in questo modo ha causato l’attivazione di procedure di contenimento e protocolli di sicurezza nazionale, generando un procurato allarme assolutamente ingiustificato dalla reale situazione verificatasi. Per di più il procurato allarme e la falsa dichiarazione sono aggravati perché diffusi a mezzo stampa. A seguito delle sue dichiarazioni pubbliche diverse testate nazionali hanno titolato: attacco hacker regione lazio, Zingaretti: “è terrorismo”. Ad oggi 22/9/21 e ancor più al momento della conferenza stampa (il 2/8/21 a 24 ore dall’attacco) nessun elemento, nessuna prova, avrebbe potuto in alcun modo supportare l’accusa di Nicola Zingaretti verso una pista terroristica. La strumentalizzazione dell’attacco è proseguita, complici i mezzi di (dis)informazione alla ricerca spasmodica dello scoop e smaniosi di accusare i non vaccinati:
COVID: ATTACCO HACKER NO-VAX al Centro Vaccini della regione LAZIO, Prenotazioni in TILT https://www.ilmeteo.it/notizie/covid-attacco-hacker-novax-al-centro-vaccini-della-regione-lazio-prenotazioni-in-tilt-la-situazione-080330
Gli hacker sono i nuovi no-vax: attacco al sito della Regione Lazio. In tilt il portale del vaccino https://www.iltempo.it/attualita/2021/08/01/news/attacco-hacker-regione-lazio-no-vax-sito-in-tilt-portale-salute-vaccino-disservizi-prenotazioni-28174428/
L’impatto e la gravità dell’accusa di Nicola Zingaretti è evidente, cosi’ come il panico causato successivamente a causa delle sue dichiarazioni.
Dopo queste dichiarazioni strampalate e senza senso, arrivano dichiarazioni di esperti informatici per riportare un po’ di buonsenso contro le strumentalizzazioni giornalistico/politiche:
Secondo Gabriele Faggioli, Presidente del Clusit, l’Associazione italiana per la sicurezza informatica, e responsabile scientifico dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, non c’è nessuna matrice no-vax dietro l’attacco hacker al portale dei vaccini della Regione Lazio, ma un’azione da “cybercrime puro“.
“E’ un atto di hackeraggio, ma non c’è alcuna azione terroristica dietro, alcun interesse geopolitico, né alcun desiderio di sabotare le istituzioni. Non c’entrano i NoVax, né il Covid. Può capitare a chiunque e la polizia postale conosce perfettamente questo fenomeno. Probabilmente la disattenzione di un dipendente ha causato tutto ciò, ma non possono dirlo e stanno strumentalizzando l’accaduto”. Lo dice all’Adnkronos Fabio Ghioni, esperto a livello mondiale in sicurezza e tecnologie non convenzionali, consulente strategico per diversi organismi governativi e internazionali.
Il mandante, che ha insinuato il dubbio nei media e nell’opinione pubblica riguardo la matrice novax, è stato proprio l’Assessore Alessio D’Amato, sempre in cerca di visibilità e impegnato strenuamente nella sua battaglia personale contro i non vaccinati: «Chiediamo pazienza agli utenti, questi sono dei criminali che hanno voluto attaccare in un giorno importante perché oggi il Lazio ha superato il 70% di vaccinazioni con doppia dose. Significativo che l’attacco sia avvenuto proprio alla mezzanotte del 1 agosto. Durante la giornata le operazioni di somministrazione dei vaccini sono andate avanti regolarmente – ha rassicurato – tuttavia hanno subito dei rallentamenti dovuti al fatto che l’inserimento dei dati delle vaccinazioni odierne è stato gestito manualmente»
Le dichiarazioni di Alessio D’Amato successive a quelle di Nicola Zingaretti rappresentano un concorso di colpa nella falsità delle accuse e nelle conseguenze generate da tali dichiarazioni.
- IL MISTERO DEL RISCATTO E DEL SUO PAGAMENTO
Nicola Zingaretti, Presidente della Regione Lazio, afferma mendacemente che non sarebbe arrivata nessuna richiesta «ufficiale», ma che «nella web page del virus compare l’invito a contattare un presunto attaccante», cosa che non è stata fatta.
“NON E’ STATA FORMALIZZATA ALCUNA RICHIESTA DI RISCATTO” afferma Zingaretti, mentendo, in conferenza stampa (https://www.mediasetplay.mediaset.it/video/tgcom24/attacco-hacker-regione-lazio-zingaretti-e-terrorismo_FD00000000304761).
Ecco la prova della richiesta di riscatto. Altra bugia di Zingaretti smentita platealmente:
Screenshot della presunta richiesta di riscatto. Fonte: Bleeping Computers, Bleeping Computer® LLC. https://www.bleepingcomputer.com/news/security/ransomware-attack-hits-italys-lazio-region-affects-covid-19-site/
Secondo il Corriere della Sera “gli hacker avrebbero lanciato un ultimatum di 72 ore allo scadere del quale non è ancora chiaro cosa potrebbe accadere”, spiega il Corriere che aggiunge che “si teme che possano andare perduti per sempre i dati criptati dai criminali, come anche che all’interno del file possano esserci le istruzioni per il pagamento del riscatto”. Ad oggi e fino al compimento delle indagini della Magistratura, non si ha la certezza che il riscatto non sia stato pagato, se non dalle parole di Zingaretti che ha smentito tale ipotesi. Fatto sta che attualmente i dati sono disponibili: decriptati dagli attaccanti stessi oppure recuperati dai backup salvati ?
- ALTRE DICHIARAZIONI AVVENTATE E FALSE DI NICOLA ZINGARETTI
All’indomani di quanto accaduto, nel corso della conferenza stampa, lo stesso affermò che nessun dato sanitario era stato violato o rubato. Tale dichiarazione era inopportuna nonché priva di alcun elemento fondato: non era ancora chiaro a 24 ore dall’attacco, quali sistemi erano stati criptati dagli hackers e la portata stessa dell’attacco. Prima era necessario capire quali sistemi erano stati colpiti e poi quali dati erano stati compromessi, e per fare tutto questo è servito molto tempo. La procedura di emergenza di LazioCrea è stata isolare tutti i sistemi dalla rete, poi tutte le analisi sarebbero state effettuate nelle ore successive, dopo le dichiarazioni di Zingaretti.
Zingaretti quindi non poteva assolutamente sapere se i dati erano stati compromessi, ma nonostante questo ha rilasciato dichiarazioni pubbliche prive di qualsiasi prova tecnica e documentale.
Questo costituisce un falso.
Infatti gli esperti affermano che a seguito di attacchi come quello che ha colpito la Regione Lazio di solito è necessario molto tempo prima di poter quantificare con esattezza i danni. Ancora oggi a 52 giorni dall’attacco, non si ha ancora la certezza di quanti dati siano ancora stati salvati, fino alla ripartenza completa di tutti i sistemi e tutte le applicazioni…come confermato da LazioCrea stesso. Quindi Zingaretti non avrebbe potuto affermare ciò che invece ha affermato in Conferenza stampa:
“Al momento non è possibile stabilire in quanto tempo i servizi della Regione Lazio torneranno attivi online. Gli attacchi informatici sono un problema aperto in Italia, non solo per la vulnerabilità degli apparati informatici delle istituzioni – spesso assai carenti anche in termini di UI e di stabilità per gli stessi utenti. Secondo il Presidente della Regione, la situazione dovrebbe ristabilirsi in circa 72 ore”.
Anche questa affermazione non era basata su alcuna certezza, ma su una mera ipotesi. Smentita dai fatti e dai giorni attesi per il ripristino dei primi sistemi informatici…ben oltre le 72 ore.
- LE DICHIARAZIONI FALSE DI ALESSIO D’AMATO
Alessio D’Amato, Assessore regionale alla Sanità, nella stessa conferenza stampa con Zingaretti il 2 agosto 2021, dichiara che i ritardi saranno di brevissima durata:
«I livelli che avevamo sono standard, elevati e certificati. Partner di sicurezza della Regione è da oltre due anni il gruppo Leonardo. Siamo di fronte a un atto di natura criminale e terroristico». Lo ha detto l’assessore alla Sanità della Regione Lazio, Alessio D’Amato, al Gr1, rispondendo alle critiche di chi parla di fragilità dei sistemi di sicurezza. «Entro 72 ore ritireremo su il sistema di prenotazione per i vaccini con due nuove piattaforme», continua.
«i dati sensibili dei cittadini non sono stati intaccati»,
Anche in questo caso le dichiarazioni sono false e prive di fondamento e non supportate da analisi tecniche di alcun tipo, perché non possibili in un arco di tempo cosi’ breve. Sono supposizioni e speculazioni prettamente politiche. Smentite per altro dai fatti.
- IL TIPO DI ATTACCO, LE DINAMICHE E LE ORIGINI
Il sistema della Regione Lazio sarebbe stato infettato da un trojan cryptolocker (LockBit 2.0), una forma di ransomware infettante i sistemi Windows che consiste nel criptare i dati della vittima, per sbloccare i quali viene di solito richiesto un pagamento in bitcoin per la decriptazione. L’attacco è risultato particolarmente violento proprio a causa di un sistema di rete obsoleto e non adeguatamente protetto, che ha sfruttato l’account di un dipendente della sede di Frosinone della Regione Lazio per penetrare all’interno dell’infrastruttura digitale del CED.
(https://www.webnews.it/2021/08/06/attacco-hacker-alla-regione-lazio/)
La fonte giornalistica Affaritaliani (https://www.affaritaliani.it/cronache/attacco-hacker-pc-usato-dal-figlio-impiegato-in-smart-working-752963.html) citando il Corriere della Sera, afferma che la notte prima il pc del dipendente regionale di Frosinone in smart working è stato utilizzato dal figlio. Ci sono anche gli agenti dell’Fbi statunitense e quelli dell’Europol, centro europeo per la criminalita’ informatica, a collaborare con la Polizia Postale nell’inchiesta della procura di Roma sull’attacco hacker subito dalla Regione Lazio. Nel fascicolo i reati ipotizzati sono quelli di accesso abusivo a sistema informatico, tentata estorsione e danneggiamento ai sistemi informatici. Tutti aggravati dalla finalita’ di terrorismo. Secondo D’Amato l’attacco è partito “dalla violazione di un’utenza di un dipendente in smartworking” e i criminali avrebbero “colpito in un momento particolare, quando il livello di attenzione si abbassa”, come a fine giornata lavorativa.
Questa prima violazione, che potrebbe essere anche frutto di una disattenzione che ha portato il dipendente a scaricare l’allegato di una qualche mail malevola, avrebbe consentito al ransomware di diffondersi tra i computer collegati, colpendo i backup dei dati regionali e criptandoli. “Sono state cambiate le chiavi d’accesso al Ced, il sistema che gestisce i dati sanitari, le pratiche edilizie e molti altri servizi al cittadino. È una situazione che crea profondo disagio”.
(https://www.tomshw.it/hardware/attacco-hacker-alla-regione-lazio-facciamo-chiarezza/)
Bleeping Computer(https://www.bleepingcomputer.com/news/security/ransomware-attack-hits-italys-lazio-region-affects-covid-19-site/) ha pubblicato uno screenshot di una presunta pagina di negoziazione tra la Regione Lazio e un gruppo di cybercriminali, RansomEXX: “sources have told BleepingComputer that the cyber attack on Lazio was conducted by a ransomware operation known as RansomEXX. “. Italian security researcher JAMESWTstated that there is evidence in Italy that the attack was conducted by LockBit 2.0 but could not share further information.. Secondo la testata statunitense, l’attacco ricalcherebbe le modalità di tale gruppo di hacker RansomEXX. La pagina avvisa, come in altri casi di ransomware, che la Regione deve pagare un riscatto per decrittare i file. L’immagine si apre con un “Ciao, Lazio!” e avverte la Regione che i file sono stati criptati. La nota di riscatto include anche un link a una pagina privata sul dark web, da cui si ritiene che si possa negoziare con i creatori del ransomware per recuperare i file decriptati. Anche se la richiesta di riscatto non indica alcun gruppo, secondo Bleeping Computer l’URL Onion postato sarebbe associabile proprio a un sito del gruppo RansomEXX.
RansomEXX è un gruppo hacker attivo dal 2018, e utilizza vulnerabilità di rete per rubare credenziali di accesso amministrativo ai sistemi di grosse società (Brazil’s government networks, the Texas Department of Transportation (TxDOT), Konica Minolta, IPG Photonics, and Ecuador’s CNT)
Il ricercatore ed esperto di cybersicurezza italiano, JAMESWT, conferma che ci sarebbero prove che l’attacco alla Regione Lazio sia stato provocato dal ransomware LockBit 2.0. LockBit ricorre al modello “Ransomware as a Service” (RaaS): significa che gli sviluppatori forniscono ai loro clienti l’infrastruttura e il malware, ricevendo una quota del riscatto della decriptazione dei file.
Secondo il ricercatore Vitali Kremez, LockBit 2.0 utilizza l’API di Windows Active Directory per eseguire query LDAP (Lightweight Directory Access Protocol) per ottenere un elenco dei computer collegati alla stessa rete. A questo punto LockBit 2.0 bypassa il controllo dell’account utente (UAC) e viene eseguito silenziosamente, senza innescare alcun allarme sui dispositivi cifrati. Secondo Kasperky, LockBit 2.0 sarebbe il primo ransomware di massa che si diffonde colpendo i criteri dei gruppi utenti. Sarebbero poi stati in grado di penetrare all’interno del computer di un dipendente della Regione Lazio, lavoratore da remoto. Grazie alle sue credenziali, gli hacker sarebbero infine arrivati al sistema informatico dell’ente pubblico.
- Relazioni con altri attacchi informatici?
Questo attacco costituisce una serie di attacchi dello stesso tipo o è un attacco isolato?
L’attacco hacker subito dalla regione Lazio non è un caso isolato. Solo pochi mesi fa un attacco ransomware, lo stesso tipo che ha mandato in tilt il sistema di prenotazione dei vaccini nel Lazio, ha bloccato tutti i sistemi informatici dell’Health service executive dell’Irlanda. Gli attacchi si sono intensificati soprattutto con la pandemia legata al Covid (skytg24). Engineering ha dichiarato: “Dopo la prima informativa prontamente rilasciata in seguito alla registrazione dell’evento dell’ultima settimana di luglio, le approfondite verifiche da subito iniziate, nella notte del 5 agosto hanno permesso di rilevare una possibile compromissione di credenziali di accesso ad alcune VPN di clienti, subito avvertiti individualmente. Sebbene si ritenga non corrano ulteriori rischi, sono stati invitati ad eseguire il cambio password degli account supportati dai nostri team segnalandoci ogni sospetto di utilizzo inappropriato di nostre credenziali, e lo stesso invito lo stiamo inoltrando in queste ore a tutti i clienti.
L’attacco hacker, prevedibile e inevitabile, ha evidenziato queste CRITICITA’:
- TEMPI DI RIPRISTINO ESAGERATI, FUORI DA OGNI STANDARD DELLA PUBBLICA AMMINISTRAZIONE. CASO UNICO IN ITALIA. Il 9 agosto (a 9 giorni dall’attacco) sulla maggior parte degli indirizzi web dei sistemi regionali appariva questo messaggio: “A causa di un attacco hacker il sito non è momentaneamente raggiungibile. Ci scusiamo per il disagio, stiamo lavorando per ripristinare tutte le funzioni nel più breve tempo possibile”. Ad oggi, a 52 giorni dall’attacco, il messaggio è cambiato, come ad esempio “(Versione statica del sito Internet della legislatura – N.B. Alcune sezioni non sono attive) “ o addirittura pagine mancanti con errore. Se fosse stata un’azienda privata sarebbe fallita. Una banca, un sito di commercio elettronico, un ristorante con ordinazioni online, non avrebbero potuto restare offline piu’ di 24 ore, senza garantire servizi ai propri clienti. Non è accettabile che un’amministrazione pubblica che gestisce i dati contabili, l’assistenza sanitaria, e moltissimi altri servizi vitali, possa permettere di restare offline per oltre 1 mese, arrivando ad una indisponibilità di 2 mesi senza alcuna comunicazione agli utenti.
Se la Regione Lazio avesse avuto un sistema di Disaster Recovery e di Business Continuity, inserito in una architettura tecnologica corretta con adozione di Backup fisici dei dati e delle applicazioni, non solo non l’ Amministrazione non si sarebbe fermata, ma non avrebbe avuto problema di sorta a recuperare in breve tempo tutto.
Questo attacco hacker ha sciolto in un poche ore, come neve al sole, anni e anni di annunci propagandistico/elettorali che descrivevano il Lazio come esempio in Italia di innovazione digitale e servizi ai cittadini.
Con tutti i soldi pubblici spesi.
Varie ipotesi di danno e negligenza
- MANCANZA TOTALE DI SISTEMI DI DISASTER RECOVERY E CONTINUOUS AVAILABILITY
che avrebbero potuto garantire la continuità dei servizi senza alcuna interruzione. La Regione Lazio non ha ancora attivato alcun sistema di questo tipo. Nessun ced secondario è attualmente attivo, nonostante le determine di incarico di realizzazione….
MANCANZA DI SALVATAGGI FISICI DEI DATI
che avrebbero permesso il ripristino completo dei dati applicativi senza alcuna perdita.
Umberto Rapetto, generale della Guardia di Finanza in congedo afferma: “Esistono procedure di sicurezza in grado di evitare questo genere di dramma basta eseguire ripetutamente copie di salvataggio e conservare i relativi esemplari ‘offline’, ovvero non collegati a Internet. Quei dischi, irraggiungibili dai malvagi pirati informatici perché riposti in cassaforte, avrebbero consentito la pressoché immediata ‘ripartenza’ nel giro di poche ore, giusto il tempo per verificare l’integrità del backup più recente possibile. Una settimana di blackout dovrebbe indurre chi gestisce il sistema informatico a dare una coraggiosa prova di autocoscienza. Se il team avesse un briciolo di dignità procederebbe ad un harakiri collettivo in diretta streaming” (https://www.iltempo.it/attualita/2021/08/07/news/generale-umberto-rapetto-attacco-hacker-regione-lazio-nicola-zingaretti-bluff-backup-falsita-bugie-28240751/amp/)
- DISORGANIZZAZIONE NELLA RETE DI FORNITORI E CONSULENTI
Chi doveva occuparsi della sicurezza ? Leonardo ed Engineering smentiscono. Leonardo però afferma di aver erogato esclusivamente servizi di governance per la progettazione di un Security operation ventre (Soc) https://www.webnews.it/2021/08/06/attacco-hacker-alla-regione-lazio/
Il ruolo di Sogei ? Esiste una mappa dei mille fornitori di servizi di supporto, di manutenzione, di gestione ? Esiste una mappa delle applicazioni e della loro interoperabilità fra la giungla di sistemi interni regionali ?
- I COSTI ECCESSIVI PER UNA SICUREZZA SOTTO LA MEDIA
Tramite accesso agli atti il Consigliere Barillari sta cercando di ricostruire oltre alla mappa dei fornitori e dei servizi, anche la storia di tutti i contratti di consulenza, degli studi di fattibilità e di tutte le spese per la sicurezza informatica demolite dall’attacco del 1 agosto 2021.
- MANCANZA DI CRASH TEST EFFETTUATI PER VERIFICARE L’AFFIDABILITA’ DEI SISTEMI IN CASO DI ATTACCO
Ad oggi non sono state fornite prove e documenti relativi a tutti i crash test effettuati (sui servizi critici) e prove di operatività delle procedure di sicurezza (fra il 2018 e il 2021) prima dell’entrata in produzione del CED primario e/o dell’infrastruttura di esercizio.
Negligenza
- L’INFINITA MIGRAZIONE SUL “CLOUD” E LA REINSTALLAZIONE “MANUALE”
Zingaretti ha annunciato il 2 agosto 2021 che i dati dei servizi sanitari saranno migrati su un sistema cloud per creare una specie di sistema informatico parallelo e alternativo a quello bloccato, ma per ora non ci sono informazioni precise sia su quando la migrazione sarà completata sia su quali funzionalità saranno ripristinate.
Sembra siano stati coinvolti altri fornitori in emergenza, sia per la ripartenza dei sistemi dopo l’attacco e sia per l’aumento della sicurezza con la verifica di compatibilità delle applicazioni in cloud, con un aumento vertiginoso dei costi
Diverse ipotesi di reato
Ho potuto verificare i contratti, tramite accesso agli atti Prot. R.E. 186 del 11/08/21. Da un incontro con i dirigenti informatici di LazioCrea, è emersa una situazione molto diversa dagli annunci di Zingaretti e D’amato ai giornali. La ricostruzione dell’infrastruttura procede a rilento fra mille difficoltà. La migrazione in cloud era in corso al momento dell’attacco e molte applicazioni/sistemi non erano stati ancora testati per la loro piena compatibilità, e quindi scoprendolo “in corso d’opera” è più difficile valutare l’affidabilità delle funzioni. Inoltre si sta procedendo alla reinstallazione DA ZERO, manualmente, di ogni componente.
- IMPREPARAZIONE DELLA REGIONE LAZIO AD ATTACCHI INFORMATICI, O EVENTI CALAMITOSI (TERREMOTI, INCENDI, …)
COMMENTO DI INFOSEC: “Per chi non è di memoria corta alcune considerazioni vengono spontanee. La prima: stiamo considerando i servizi di un sistema software che è rimasto privo di marcatura CE, presidio che avrebbe ben potuto tutelare i cittadini da questo incidente. La seconda: forse quel server rientra nel novero di quel 95% di quelli dichiarati dallo stesso Ministro Colao come “non sicuri”? La terza: possibile che ogni volta che ci sia un tilt dei sistemi informatici della PA l’annuncio si limiti a parlare di un – stavolta potente – “attacco hacker”?” ha commentato Stefano Gazzella su Infosec, il giornale di cui direttore editoriale è Umberto Rapetto.
“E infine: dove sono gli elementi necessari a comporre una valida comunicazione nei confronti degli interessati richiesta dall’art. 34 GDPR dal momento che è indubbio che vi sia stato un data breach con (almeno) una temporanea perdita di disponibilità dei dati? Certo, si spera non sia presa come esempio quella del Ministero della Giustizia relativa al data breach dell’esame di avvocato”.
Diverse ipotesi di reato
NAVACCI: “DI ECCEZIONALE NON C’È NULLA”: “Chiunque può essere vittima di attacchi ransomware: dalla microimpresa a gestione familiare fino ad arrivare ad aziende di livello enterprise o enti pubblici. Oggi è toccato alla Regione Lazio” ha evidenziato Matteo Navacci, Data protection counsel, DPO, Co-Founder Privacy Network su cybersecurity360.
“Ma di eccezionale in questo attacco, vale la pena ripeterlo, non c’è nulla. Anzi, era ben possibile aspettarselo. Secondo l’ultimo Rapporto Clusit il settore pubblico è tra gli obiettivi più colpiti dal cybercrime nel 2020. La stragrande maggioranza degli attacchi sono proprio malware (come il ransomware che si presume abbia colpito la Regione Lazio), con un trend in evidente crescita”.
GHIONI: “VIRUS CONOSCIUTO DA 14 ANNI”: “Si tratta – afferma Ghioni – di un ransomware, un malware che dal 2007 usano degli hacker dal Marocco, dalla Tunisia, dall’Algeria con richiesta di denaro. Dal 2015 i riscatti vengono chiesti in bitcoin. Questo virus cripta i contenuti del pc e non ha chiave di sblocco: anche chi paga non può poi più sbloccare nulla. Alle aziende e agli utenti che mi scrivono – a decine ogni giorno – perché gli hanno bloccato i computer, consiglio di dotarsi di un backup a 24 ore. Questi attacchi succedono continuamente ogni giorno, solo che non lo dicono”.
Ma come si inseriscono questi virus nei computer? “Un dipendente di un’azienda, di un’ente o di un ministero, navigando per esempio su un sito porno o d’azzardo, clicca involontariamente su un popup con dentro il malware e il gioco è fatto. Inoltre, è possibile installarlo involontariamente anche scaricando un programma gratuito da dei siti oppure cliccando su un link ricevuto per posta da una mail che sembra essere quella di un amico o della propria banca ma in realtà è uno spam. I dipendenti pubblici dovrebbero fare un corso per non andare in certi siti e per sapersi comportare sul web”, conclude ironicamente Ghioni.
L’allarme 2 mesi prima: Regione Lazio: file sospetti nei PC anche prima dell’attacco hacker. Gli esperti di sicurezza di LazioCrea avrebbero dovuto suonare l’allarme con due mesi di anticipo https://techprincess.it/regione-lazio-file-sospetti-attacco-hacker/
I file corrotti dal software maligno fra giugno e luglio avrebbero dovuto suonare i campanelli di allarme della società in house che gestisce il sistema informatico regionale. Il cronoprogramma tecnico serve per capire le modalità d’azione dell’attacco passo dopo passo. Ma sembra che l’azienda abbia delegato la stesura di questo fascicolo a Leonardo, società che sta collaborando con la regione per ripristinare i sistemi in tilt.
Sono nella rete della Regione da quasi due mesi. Hanno studiato la preda, hanno cercato il suo punto debole. Poi hanno affondato il colpo, passando per una delle società informatiche di cui si serve il Lazio e installando nel cuore del suo sistema informatico un ransomware di ultimissima generazione.
https://www.msn.com/it-it/notizie/roma/attacco-hacker-regione-lazio-sono-entrati-nella-rete-due-mesi-fa-la-porta-d-ingresso-un-pc-a-frosinone/ar-AAMSgE6
Diverse ipotesi di reato, negligenza, risarcimento danni
IL “PROBLEMA” LAZIOCREA
1) DIRIGENTI LAZIOCREA : SCELTI DALLA POLITICA NON PER MERITO E COMPETENZE
Prima Lait e Lazio Service, poi la fusione nel calderone di LazioCrea. Dagli enti parco,alle Ipab, a Cotral, LazioInnova, ai consorzi: la galassia degli enti regionali è da sempre terreno di nomine di natura politica di chi vince le elezioni, destra come sinistra: alti dirigenti scelti non per competenza e merito ma per fedeltà alla propria corrente politica, poltrone regalate a chi ha aiutato a portare voti e a vincere le elezioni.
Se questa società chiamata LazioCrea che ha in mano tutti i sistemi informatici della Regione Lazio, avesse evitato di creare un ramificato sistema di appalti e subappalti con responsabilità distribuite fra interessi privati e scarsa attenzione agli interessi pubblici, se avesse fatto tutto ciò che si sarebbe dovuto fare preventivamente per garantire la completa sicurezza dei dati dei cittadini laziali, il blocco dei sistemi sarebbe durato poche ore, senza alcun reale impatto sui servizi pubblici erogati, o addirittura non ci sarebbe stato.
2) TROPPI CONSULENTI, POCA COMPETENZA INTERNA
Un numero troppo alto di dirigenti rapportato ai lavoratori, poco investimento sulle risorse interne, a vantaggio di un mare di consulenti esterni divisi fra molte società assegnatarie di singoli appalti, lavoratori “di serie b” troppo spesso precari e con contratti a brevissima scadenza.
Il sistema di esternalizzazioni dei servizi informatici non ha portato alcun risparmio di costi, né ha creato efficienza nei processi.
I mille rigagnoli di spese di Laziocrea verso consulenti e fornitori esterni hanno creato in tutti questi anni una giungla di competenze e responsabilità, distribuite e spesso non chiare, con una confusione che si ripercuote sulla progettualità e sull’efficienza di tutta la società regionale.
Aver investito su esterni piuttosto che sulla formazione e sulla crescita di risorse interne (nonostante la fusione di qualche anno fa fra Lait e Lazioservice era stata propagandata con questo scopo), ha impattato sull’operatività e sull’efficienza di tutta la struttura di LazioCrea.
Che ricade sulla qualità dei servizi digitali offerti ai cittadini.
3) PROGETTI SBAGLIATI E MAI REALIZZATI: SPECULAZIONE SU COSTOSI PIANI DI FATTIBILITA’ RIMASTI TUTTI SULLA CARTA
Nonostante il basso slancio innovativo interno causato dagli scarsi investimenti per la crescita interna delle competenze a vantaggio delle consulenze esterne, nonostante le tante slide di presentazione al pubblico dei mirabolanti progetti di LazioCrea e le mille promesse di innovazione, la colpa è da ripartire con la Giunta Regionale e direttamente con il Presidente della Regione. Infatti sono loro i primi a “sfruttare” ed “usare” LazioCrea, invece che stimolarne una crescita efficiente ed armoniosa, senza fornire chiare indicazioni sulla mission aziendale in coordinamento con l’attività di Giunta.
Sono stati fatti, con ritardo colossale, investimenti sulla sicurezza informatica per cercare di svecchiare un’infrastruttura ormai da troppi anni obsoleta e dispendiosa in termini di personale utilizzato e risorse economiche per alimentarla. Il problema è che la politica ha usato tutti gli investimenti economici per rinnovare il parco macchine ed il personale favorendo appaltatori esterni, e sprecando un mare di soldi pubblici in progetti sbagliati o mai realizzati. Pochi progetti che avevano una visione strategica non sono stati realizzati secondo il contratto e l’offerta tecnica per interessi distribuiti.
L’attacco hacker di agosto 2021 si poteva evitare con un’infrastruttura informatica snella, non proprietaria (con costi esorbitanti per le licenze) e al passo con i tempi.
L’attacco hacker si poteva evitare con pochi ma saggi investimenti.
Invece lo sperpero di denaro pubblico, durato anni, è un esempio di inefficienza:
Studio fattibilità Lait spa, determinazione A3306 del 29/9/2008: 2,5 milioni di euro dal 2008 al 2010 Integrazione studio fattibilità determinazione A2979 del 21/7/2009: 1,2 milioni di euro dal 2009 al 2011.
Ipotesi di danno erariale
4) SPESE INFINITE PER IL CED
LazioCrea stessa afferma che “sul finire del 2013 fu redatta una prima versione del piano di razionalizzazione e consolidamento dei CED per la Regione Lazio che sostanzialmente proponeva l’attuazione di un programma di razionalizzazione specifico ed inizialmente di carattere infrastrutturale e poi di carattere applicativo.”
(estratto dalla relazione inviata da LazioCrea all’On.Davide Barillari, 7/9/21)
8 anni per prepararsi ad attacchi informatici, o semplicemente a situazioni di emergenza. Purtroppo ad oggi non esiste alcun piano effettivo di difesa e reazione. Questi gli ultimi contratti stipulati con fornitori esterni: nessuno relativo alla disaster recovery e alla continuous availability.
Contratto data center con sistemi in cloud (Telecom): 474.000 euro
Contratto identità digitali e sicurezza applicativa (Fastweb): 336.000 euro
Contratto supporto NUE112 (Leonardo): 160.000 euro
Contratto gestione datacenter 2019 (Cloudwise): 195.000 euro
Contratto acquisto storage datacenter 2019 (BTS Consulting): 169.000 euro
Contratto licenze storage datacenter 2019 (Harpa Italia): 17.000 euro
Contratto licenze software datacenter 2019 (Luteck spa): 150.000 euro
negligenza e danno erariale
5) LA REGIONE LAZIO DA’ INDICAZIONI SBAGLIATE
Perchè in Regione Lazio si sbagliano sempre i capitolati tecnici ? Le offerte ai fornitori non sono adeguate alle reali esigenze, per risparmio costi ma anche per poca conoscenza della realtà applicativa e gestionale dell’infrastruttura informatica, in forte crescita.
Se i committenti sono inesperti, impreparati o disinteressati, è chiaro che i fornitori non offrono soluzioni adeguate o per lo meno efficaci.
Un esempio è l’ultimo CONTRATTO ESECUTIVO – LOTTO 2 PROGETTAZIONE SOC E CERT REGIONE LAZIO firmato in data 21/1/21 che non prevede la disaster recovery.
negligenza e danno erariale
6) LA MANCANZA DI UN SISTEMA DI DISASTER RECOVERY E BUSINESS AVAILABILITY
Il piano di Disaster recovery e Business continuity (comprensivo di vulnerability assestment e procedure di sicurezza informatica) è la più efficace modalità da attivare in caso di caduta di uno o più sistemi di produzione, per garantire la continuità del servizio.
Se ne parla da 14 anni.
“A giugno 2008 è stato inviato alle Strutture Regionali competenti uno Studio di Fattibilità di Piano di Business Continuity e Disaster Recovery contenente una analisi tecnico/economica che identificava, alla data, i sistemi informatici “critici” gestiti dall’allora LAit e che concepiva una soluzione di BC&DR per assicurare la continuità operativa di detti sistemi”
(estratto dalla relazione inviata da LazioCrea all’On.Davide Barillari, 7/9/21)
L’idea c’era. Ma il piano di disaster recovery, più che fondamentale, è rimasto solo sulla carta
cosi’ come la business availability. Perchè ?
Laziocrea nell’agosto 2021 scrive questo nella relazione all’onorevole Barillari: “si è avviato un ulteriore progetto atto a dotare l’amministrazione di una soluzione di Disaster Recovery aggiornata alle nuove tecnologie” (..) “Il progetto è in corso di realizzazione”,,,
LA REGIONE LAZIO NON AUTORIZZA SISTEMI DI DISASTER RECOVERY, fin dal 2005.
NON ESISTONO SISTEMI SINCRONIZZATI DI SALVATAGGIO, se non alcuni dati su server virtuali (attaccabili da ogni hacker che entra sulla rete) e nessun salvataggio su backup fisici isolati ed esterni al ced.
Solo l’isolamento dalla rete effettuata da LazioCrea poco dopo l’attacco, ha evitato che gli hacker arrivassero ai server di salvataggio. Altrimenti avremmo perso per sempre anche tutti i dati salvati.
7) IL MISTERO DEL SECONDO CED ?
“LAZIOcrea, su mandato dell’Amministrazione Regionale ha avviato a fine 2018 un complesso processo di aggiornamento ed evoluzione – funzionale e organizzativo – del Data Center regionale al fine di offrire livelli di servizio avanzati con costi di esercizio contenuti.
Cosa che ha portato a novembre 2019 alla dismissione totale del sito secondario non più funzionale nel mutato contesto infrastrutturale“
(estratto dalla relazione inviata da LazioCrea all’On.Davide Barillari, 7/9/21)
Il ced secondario è stato disattivato da anni perché obsoleto e non piu’ supportato, ma nulla ha sostituito. E’ stato spento senza preoccuparsi. Senza quindi che ci fosse un secondo centro dati in grado di intervenire se il primo avesse avuto problemi. Se ci fosse stato un secondo ced, sarebbe ripartito tutto subito dopo l’attacco hacker di agosto 2021.
In più…..
2 ANNI DI ATTESA DAL PROGETTO ALLA DETERMINA DI AGGIUDICAZIONE
| Realizzazione Data Center Unico Regione Lazio) Determinazione Regionale n. G12413 del 04/10/2018 Aggiudicazione appalto firmata il 18/12/20 |
Leonardo+IBM+Fastweb+Sistemi Informativi >>>>386.000 euro
CED NUOVO palazzina c: COSTO 25 MILIONI DI EURO
“Il Nuovo Data Center (Sistema di Gestione dell’infrastruttura IT certificato ISO/IEC 27001).
che è stato inaugurato in data 4 novembre 2019 a beneficio sia della Regione Lazio che delle altre Amministrazioni regionali interessate (aziende ospedaliere, società partecipate, piccoli comuni, etc.),.
La LAZIOcrea a fine 2020 ha infatti ottenuto la certificazione ISO 27001 del Sistema di Gestione della Sicurezza delle Informazioni (SGSI)”
(estratto dalla relazione inviata da LazioCrea all’On.Davide Barillari, 7/9/21)
Il nuovo ced non avendo alcun sistema di recovery automatico, aveva sistemi di backup forniti dai fornitori per appalto, ma senza particolari rapporti con LazioCrea. Ogni fornitore gestiva autonomamente i propri salvataggi…..ma in una condizione gestita da troppi consulenti su troppi sistemi non interoperabili fra loro. La mancanza di coordinamento e visione generale non ha permesso di avere salvataggi di dati e sorgenti applicative, backup sincronizzati, procedure automatiche di ripristino e riavvio.
Ipotesi di danno erariale
8) LA MANCANZA DI CRASH TEST E DI PROCEDURE DI SIMULAZIONE DI DISASTRI
Questa è una delle condizioni più gravi e ingiustificabili che questo attacco informatico ha evidenziato. Non sono stati effettuati crash test applicativi o prove di disaster recovery. Durante l’incontro fra l’On.Barillari e i dirigenti di LazioCrea, nonostante fosse stata espressamente chiesta visione e copia dei documenti comprovanti data, tipologia e certificazione dei test (stress test, carico, crash, simulazioni di interruzioni, ecc) non è stato fornito alcun materiale.
Ipotesi di danno erariale
9) RIPRISTINO MANUALE DEI SISTEMI
Non esistono procedure automatiche di ripartenza dei sistemi e delle principali applicazioni di produzione. Dopo l’attacco si è scoperto che molte delle applicazioni costruite in anni e aggiornate di volta in volta in maniera disomogenea, non ripartivano o peggio non riuscivano ad essere migrate in cloud per la virtualizzazione. Questo ha causato un rallentamento di giorni, con il coinvolgimento di altri consulenti esterni chiamati in soccorso. Pezzi importanti, come l’hr buste paga e portale dipendenti, non sono aggiornati e performanti. I dati risultano persi o carenti in molte parti fondamentali. 730 e buste paga PERSI.
Tutto a causa della scarsa manutenzione generale dell’infrastruttura, piani di migrazione e virtualizzazione incompleti e di procedure carenti per la gestione dell’emergenza.
Laziocrea nell’agosto 2021 scrive questo nella relazione all’onorevole Barillari: “la fase di aggiornamento delle diverse soluzioni di monitoraggio e controllo infrastrutturale, applicativo e di sicurezza si ultimerà con la conclusione della fase di migrazione dei sistemi informativi nella architettura Cloud.
In ogni caso le predette soluzioni strutturate di BC&DR in ambito Cloud sono in fase di completamento sia da un punto di vista amministrativo, tecnico e organizzativo man mano che i sistemi vengono o saranno ripristinati “
10) IL MISTERO DEI BACKUP E DEGLI ARCHIVI DI DATI
I dirigenti di LazioCrea, nell’incontro con l’on.Barillari, ammettono espressamente che sarebbe stato troppo dispendioso conservare fisicamente un salvataggio dei dati, a causa della loro eccessiva dimensione.
Negligenza, varie ipotesi di danno Invece salvare fisicamente i dati in una cassaforte, o armadio ignifugo, in un sito diverso da quello del ced, avrebbe permesso la ripartenza in poco tempo di tutti i sistemi con i dati aggiornati a poche ore prima. Oppure è stata semplicemente una scelta, volontaria e consapevole, di non salvare tutti i dati fisicamente (ma solo una copia virtuale, soggetta ad attacchi informatici) ? Il dato certo è che al momento dell’attacco: NON ESISTEVANO BACKUP FISICI DEI DATI.
Nei contratti di fornitura dei servizi informatici dei diversi sottosistemi, non è generalmente prevista la conservazione di salvataggi fisici di dati in armadi ignifughi blindati. In un solo caso risulta prevista (contratto 118), ma mai attuata.
11) PROBLEMI SALVATAGGI APPLICATIVI: troppi fornitori diversi. CHI FA I BACKUP ???
Risultano persi non solo i dati, ma le informazioni di profilazione degli utenti. La questione più sconcertante è che a causa di una disorganizzazione gestionale e di definizione delle responsabilià contrattuali in merito alla manutenzione degli aggiornamenti applicativi, sono stati persi importanti pezzi di codice aggiornato nel corso degli anni e la stessa base delle sorgenti software originali. Un esempio è la contabilità sicer ripartita dopo oltre 1 mese, con dati vecchi. I tecnici sono ancora oggi al lavoro per il ripristino dell’ultima versione delle applicazioni e dei relativi dati applicativi. In LazioCrea oggi è il gioco dello scaricabarile fra fornitori e dirigenti appaltanti…. Dopo tutti i soldi utilizzati, ci si è svegliati il 1 agosto 2021 con i sistemi non pronti in caso di emergenza. E con un infrastruttura che non poteva essere riattivata, se non con singoli interventi manuali ancora in corso dopo 50 giorni, dall’esito incerto.
Questa una sintesi finale:
ENORMI PROBLEMI ORGANIZZATIVI E COMPETENZE
SISTEMI IMPREPARATI ALLE EMERGENZE, INFRASTRUTTURA APPLICATIVA INADEGUATA
problema di aggiornamento applicativo, gestione manutenzione e rinnovi licenze
NOMINE POLITICHE e SUPERFICIALITA’
MANCANZA TOTALE DI SISTEMI DI DISASTER RECOVERY
MANCANZA DI BACKUP FISICI ISOLATI FUORI DAL RISCHIO DI ATTACCO
TOTALE INCERTEZZA sulla data di ripartenza completa dell’infrastruttura
CRITICITA’ relativa al ripristino completo dei DATI applicativi
Roma, 22/09/2021
No responses yet