La prima tessera a cadere è quella di Westpole, quando il gruppo cybercriminale russo Lockbit attacca alle 5.30 dell’8 dicembre i data center della società informatica europea a Milano e a Roma. L’intrusione spegne 1.500 macchine virtuali, mettendo ko l’infrastruttura cloud di Westpole. E cripta i dati con un attacco ransomware: per riaverli indietro, occorre pagare un riscatto. A quel punto cade la seconda tessera: i software che il gruppo Buffetti e le sue controllate, PA Digitale e Dylog, appoggiano sul cloud di Westpole. Tra questi vi sono i programmi di PA Digitale usati dagli uffici pubblici. Che a loro volta finiscono vittime dell’effetto domino: circa 1.000 enti si ritrovano al rientro dal ponte dell’Immacolata con servizi bloccati per giorni. È uno dei più gravi incidenti informatici che coinvolge la pubblica amministrazione.
Cos’è successo:
- L’incidente informatico di dicembre
- Scattano le contromisure
- L’attacco supply chain
L’incidente informatico di dicembre
Mentre Westpole per alcuni giorni si trincera dietro un avviso “sito in manutenzione”, mentre l’attacco informatico è già avvenuto, è PA Digitale a farsi carico delle chiamate allarmate degli uffici pubblici. La società della galassia Buffetti, sede a Pieve di Fissiraga (in provincia di Lodi), conta circa 1.500 clienti nel settore statale. Sono in particolare i più piccoli a subire le conseguenze più pesanti dell’attacco a Westpole, perché al suo cloud si appoggia Urbi, un software gestionale sviluppato da PA Digitale per le attività di conservatoria.
Il blocco impedisce così di accedere ai documenti salvati nel cloud, impalla l’albo pretorio online, lo spazio pubblico di avvisi e notifiche degli enti, impedisce di protocollare pratiche e domande. Tra i Comuni che avvisano subito i concittadini dei problemi legati all’attacco a Westpole vi sono Rieti e Cernusco sul Naviglio (in provincia di Milano). PA Digitale impiega dieci giorni per ripristinare i dati di circa 700 enti. Serviranno altre settimane per aiutare i clienti a ripristinare i dati caricati nei tre giorni precedenti all’attacco, attraverso i backup aggiornati all’8 dicembre che l’azienda dichiara a Wired di avere in mano.
Scattano le contromisure
A distanza di due mesi, si diradano le nubi all’orizzonte. Il 18 e 19 gennaio l’Agenzia per l’Italia digitale (Agid), l’ufficio nato per coordinare la transizione digitale della pubblica amministrazione a cui spettano i controlli sui fornitori dei servizi di conservatoria, ha ispezionato la sede di PA Digitale, senza trovare gravi falle nei sistemi. I riflettori sono concentrati su Westpole, dove è cominciato tutto. È stato l’attacco ai suoi sistemi a provocare l’effetto a cascata sul gruppo Buffetti (che ha subito conseguenze anche suoi servizi di fatturazione elettronica rivolti ai privati) e sugli enti pubblici. In questo caso i controlli spettano all’Agenzia per la cybersicurezza nazionale (Acn). È sua responsabilità vigilare sui fornitori di cloud accreditati a lavorare con il pubblico, come Westpole. Wired ha chiesto informazioni a Westpole e Acn, che non hanno fornito risposte.
Al momento, a quanto apprende Wired, PA Digitale sta lavorando ancora con Westpole, per via della dimensione complessiva degli impianti di cui ha bisogno. E perché una migrazione di programmi e dati come quelli in capo all’azienda non si sposta con uno schiocco di dita. Dal canto suo, Westpole sta rispondendo alle richieste del cliente, dal punto di vista tecnico e operativo, dopo una fase iniziale in cui erano state giudicate “non soddisfacenti”. Ma non è detto che duri per sempre. L’azienda di Lodi infatti si sta guardando intorno. E sta vagliando le offerte di altri operatori del segmento cloud, già accreditati presso Acn, per valutare se traslocare i suoi servizi. Ancora da decidere anche una eventuale richiesta danni a carico di Westpole.
L’attacco supply chain
Dopo l’attacco di dicembre, PA Digitale ha creato un coordinamento cybersecurity interno. E ha aggiunto un nuovo data center a Roma, di proprietà di un altro operatore, per diversificare il paniere di fornitori e assicurare la continuità dei servizi. L’attacco supply chain, ossia che sfrutta la catena di fornitura per propagarsi, come le onde provocate da un sasso gettato in uno stagno, è una delle tattiche più utilizzate dai cybercriminali per raggiungere il loro obiettivo (magari aggirando le difese attraverso un fornitore infettato facilmente) o per espandere la superficie di attacco.
E i rischi sono in aumento. Enisa, l’agenzia europea per la cybersicurezza, cita uno studio di Capterra, ecommerce del software, secondo cui nel 2023 il 61% delle aziende intervistate per un sondaggio aziendale ha riferito aver subito un attacco supply chain nei dodici mesi precedenti. Mentre il centro studi Juniper calcola un aumento dei costi di queste incursioni del 76% nel 2026 rispetto al 2023. Per Enisa, in particolare, a rischio sono i fornitori locali, ritenuti dalle associazioni criminali più esposti alle minacce informatiche. Trend Micro, società di cybersicurezza, prevede che “i cyber criminali possono approfittare dei provider, con difese deboli, per ottenere l’accesso a software ampiamente utilizzati ed entrare nelle supply chain dei vendor. Alla fine il danno maggiore lo subiranno gli utenti finali. Nel 2024, i vendor dovranno prevedere che gli autori delle minacce colpiranno alla fonte, ovvero il codice stesso su cui sono basate le infrastrutture informatiche, con attacchi sempre più mirati a componenti di terze parti come librerie, pipeline e container”. Meglio correre ai ripari.
Fonte : Wired