Sei risposte sull’attacco informatico alla Regione Lazio

Nella notte tra sabato e domenica un attacco ha colpito i sistemi informatici della Regione Lazio, e in particolare il Centro elaborazione dati (CED), il sistema che gestisce l’intera struttura informatica regionale. Appena si sono accorti del problema, per evitare il proliferare dell’attacco e la sottrazione di dati, i tecnici della Regione hanno disattivato il sistema, di fatto bloccando tutti i servizi informatici regionali, il più importante dei quali, in questo momento, riguarda quello della gestione della campagna vaccinale.

Che problemi ci sono con la campagna vaccinale?
Da domenica il sito della Regione Lazio e tutti i siti legati ai servizi informatici regionali sono irraggiungibili. Questo riguarda anzitutto la campagna vaccinale: la piattaforma regionale per la prenotazione degli appuntamenti delle vaccinazioni è bloccata, e non è possibile prendere nuovi appuntamenti per vaccinarsi.

Sono anche bloccati tutti gli altri sistemi di gestione della campagna vaccinale. Le registrazioni delle vaccinazioni effettuate, che di solito vengono fatte sul sistema regionale, da domenica sono fatte sull’anagrafe nazionale, con metodi più lunghi e macchinosi. Alessio D’Amato, l’assessore regionale alla Sanità, lunedì in conferenza stampa ha detto che i ritardi saranno di non più di 24 ore. Potrebbero esserci ritardi anche nella comunicazione degli esiti dei tamponi, e di conseguenza nell’emissione dei Green Pass.

Quali altri servizi sono inaccessibili?
Tutti gli altri servizi sanitari gestiti dalla Regione. Tra le altre cose, da domenica è impossibile prenotare visite specialistiche e sono interrotti gli screening programmati, come per esempio le mammografie.

Inoltre, sono bloccati anche tutti i servizi informatici non sanitari che di solito fanno riferimento alla Regione Lazio. I cittadini e le imprese laziali non possono pagare il bollo auto, né ottenere per esempio diverse autorizzazioni sanitarie ed edilizie, come quelle legate al Genio civile.

Chi è stato, e perché?
Sul “chi” per ora non ci sono risposte: sono in corso le indagini di cui si stanno occupando, tra gli altri, la polizia postale e il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche.

Sul “perché”, la ragione più plausibile è che si sia trattato di un attacco compiuto con un “ransomware”, cioè un software malevolo che blocca i dati e i sistemi della vittima con l’obiettivo di ottenere un riscatto (ransom, in inglese) per sbloccarli. Secondo le prime ricostruzioni diffuse dai giornali italiani, gli hacker sarebbero riusciti a ottenere l’accesso di un dipendente, e da lì sarebbero riusciti a entrare nel sistema regionale, inserendo il ransomware che ha cifrato i dati del CED.

Non è ancora chiaro se la Regione abbia ricevuto una richiesta esplicita di riscatto, che di solito viene trovata nei sistemi compromessi e in cui è richiesto il pagamento di una somma di denaro in bitcoin. Nicola Zingaretti, il presidente della Regione Lazio, ha detto che non sarebbe arrivata nessuna richiesta «ufficiale», ma che «nella web page del virus compare l’invito a contattare un presunto attaccante», cosa che non è stata fatta. Zingaretti ha detto comunque che non sarà pagato nessun riscatto.

Sono stati rubati dei dati?
Lunedì in conferenza stampa il presidente Zingaretti ha detto che «nessun dato sanitario è stato rubato e i dati finanziari e del bilancio non sono stati toccati». Secondo le autorità, dunque, gli hacker non avrebbero estratto informazioni dal sistema, che contiene i dati sanitari di 5,8 milioni di persone. Per molti esperti, tuttavia, è presto per dirlo: a seguito di attacchi come quello che ha colpito la Regione di solito è necessario molto tempo prima di poter quantificare con esattezza i danni.

Si parla di “attacco all’Italia” o di “attacco terroristico”, cosa vuol dire?
Per ora non molto. Gli attacchi informatici con fini di pura distruzione, per così dire, sono estremamente rari, ed è più probabile che quello contro la Regione Lazio sia un atto criminale. Simili attacchi con ransomware sono avvenuti in tutto il mondo e hanno colpito grandi istituzioni ed enti sanitari, e sono un evento ormai piuttosto comune e in notevole crescita. Inoltre, come ha scritto su Twitter Stefano Zanero, professore associato di Computer Security al Politecnico di Milano, se l’attacco avesse avuto intenti distruttivi gli aggressori avrebbero, appunto, distrutto tutti i dati, anziché limitarsi a cifrarli e bloccarli.

Anche la notizia per cui, come hanno scritto alcuni giornali, l’attacco verrebbe dall’estero per ora ha poco valore: è piuttosto facile per i criminali informatici nascondere o dissimulare la loro provenienza, e serviranno analisi più accurate.

Quanto tempo ci vorrà per rimettere a posto le cose?
Poiché per ora le informazioni sull’attacco sono scarne, è piuttosto difficile dirlo. Zingaretti ha annunciato lunedì che i dati dei servizi sanitari saranno migrati su un sistema cloud per creare una specie di sistema informatico parallelo e alternativo a quello bloccato, ma per ora non ci sono informazioni precise sia su quando la migrazione sarà completata sia su quali funzionalità saranno ripristinate.

Ha detto Zingaretti che le prenotazioni già fissate fino a sabato consentono di proseguire la campagna vaccinale a buon ritmo fino al 13 di agosto. In seguito, se i sistemi non saranno ripristinati, rischiano di esserci ritardi seri.