La Regione Lazio ha trovato un backup

Giovedì pomeriggio la dirigenza della Regione Lazio ha annunciato di essere riuscita a recuperare un backup (cioè una copia di sicurezza) dei dati del database regionale, bloccati dopo aver subìto un grave attacco hacker che pochi giorni fa ne aveva interrotto tutte le attività digitali, compreso il sistema di prenotazione e di gestione della campagna di vaccinazione contro il coronavirus. Il backup dovrebbe consentire di ripristinare i dati e di riavviare gran parte delle attività, anche se la dinamica di come è avvenuto il recupero non è ancora del tutto chiara.

– Leggi anche: Sei risposte sull’attacco informatico alla Regione Lazio

La notizia è stata data dal presidente della Regione, Nicola Zingaretti, che ha detto che il backup è stato recuperato grazie a un «sistema di ultimissima generazione, protetto da hardware», e che contiene dati aggiornati fino al 30 luglio, dunque fino al giorno prima dell’attacco, che è cominciato nella notte tra l’1 e il 2 agosto.

La settimana scorsa la Regione Lazio era stata colpita da un attacco con “ransomware”, un software malevolo che blocca i dati e i sistemi della vittima con l’obiettivo di ottenere un riscatto (ransom, in inglese) per sbloccarli. L’attacco aveva bloccato tutti i servizi digitali della Regione, creando notevoli danni soprattutto alla campagna vaccinale, il cui sistema di prenotazione è stato ripristinato soltanto giovedì. Nella maggior parte degli attacchi di questo tipo, di solito è quasi impossibile recuperare i dati bloccati dagli hacker a meno di pagare un riscatto. Questa volta però, ha annunciato Zingaretti, la Regione Lazio ci sarebbe riuscita.

L’annuncio molto generico di Zingaretti (in particolare la parte sulla “protezione hardware” non è molto chiara) è stato precisato da Corrado Giustozzi, un esperto di sicurezza informatica che lavora per AGID, l’agenzia del governo che si occupa di innovazione e sviluppo dei servizi digitali, e che in questi giorni ha collaborato con i tecnici della Regione. Giustozzi ha scritto su Facebook e Twitter che i dati sono stati ottenuti senza il pagamento di riscatto «recuperando i backup sulla Virtual Tape Library che non erano stati cifrati ma solo cancellati dagli attaccanti per renderli indisponibili».

Confermo con gioia che la Regione Lazio ha recuperato i dati senza pagamento di riscatto. Non decifrando i dati ma recuperando i backup che non erano stati cifrati ma solo cancellati. Ma lavorando a basso livello i tecnici di LazioCrea hanno recuperato tutto.

— Corrado Giustozzi 🇮🇹🇪🇺 (@cgiustozzi) August 5, 2021

In pratica, quando gli hacker erano entrati nei sistemi della Regione Lazio anziché cifrare uno dei sistemi di backup (pratica che ne avrebbe bloccato l’accesso) si sarebbero limitati a cancellarlo. I tecnici della Regione hanno poi recuperato questo backup cancellato con un lavoro «difficile e complesso», ha scritto Giustozzi, che ha consentito di riottenere tutti i dati aggiornati al 30 luglio.

Repubblica ha poi aggiunto ulteriori dettagli a questa ricostruzione, dicendo che il sistema di backup era stato acquistato nel 2019 da un’azienda statunitense, senza però specificare quale.

L’annuncio del recupero dei dati è piuttosto sorprendente, perché è molto raro che i gruppi di criminali informatici che compiono attacchi con ransomware siano così poco accorti da lasciare alle vittime la possibilità di recuperare i dati senza pagare il riscatto. Inoltre contraddice almeno in parte le comunicazioni dei giorni precedenti. Dopo l’attacco, infatti, le autorità avevano detto che il backup dei dati era stato cifrato, cioè bloccato dagli hacker, e non cancellato.

Era una cosa che avevano detto, fra gli altri, l’assessore alla Salute della Regione Lazio, Alessio D’Amato, e la ministra dell’Interno, Luciana Lamorgese. Lamorgese, in un’audizione davanti al COPASIR, aveva previsto perfino che il recupero completo dei dati avrebbe potuto richiedere degli anni, anziché pochi giorni come invece sembra essere avvenuto.

In ogni caso, in sistemi informatici complessi come quello della Regione Lazio i sistemi di backup sono numerosi, e dunque, benché raro, non è impossibile che almeno uno di questi abbia consentito il recupero dei dati.

Per capire con precisione com’è avvenuto il recupero, sarà necessario che la Regione renda pubblica una spiegazione più particolareggiata. Giustozzi ha scritto su Facebook che saranno forniti maggiori «dettagli tecnici» sull’operazione di recupero «quando sarà il momento».