Un attacco informatico di dimensioni ancora sconosciute ha colpito la filiale italiana del gruppo informatico europeo Westpole, mettendone fuori uso l’infrastruttura cloud. Ciò ha creato pesanti disagi, tra gli altri, sui sistemi vitali della società Pa Digitale e di numerosi enti locali e nazionali che usano il software Urbi (sviluppato da PA Digitale e le cui funzionalità dipendono proprio dall’infrastruttura cloud di Westpole) per l’anagrafe e i servizi ai cittadini, oltre alle attività di conservatoria degli enti pubblici.
Indice degli argomenti
I danni dell’attacco Westpole
Ci sono interruzioni nei servizi al cittadino (pagamenti, carta d’identità), alle aziende (Suap) e nelle attività interne dei Comuni (albo pretorio, protocollo).
Disagi si registrano anche tra numerose aziende private che hanno Westpole tra i fornitori di servizi cloud. Tra queste anche il Gruppo Buffetti S.p.A. (di cui fa parte la stessa PA Digitale) e Dylog, di cui a sua volta fa parte Buffetti: il loro programma di fatturazione, Quifattura, si appoggia proprio sui server di Westpole.
Come si legge nel comunicato che riportiamo di seguito, PA Digitale si è da subito attivata per ottenere da Westpole il ripristino di una nuova infrastruttura affidabile e sicura sulla quale riattivare i propri servizi. Ma, evidentemente, i tempi per un pieno ritorno alla normalità non saranno brevi. Al momento, la priorità sembrerebbe essere quella di ripristinare i sistemi per il calcolo delle buste paga, così da assicurare lo stipendio ai dipendenti pubblici in questo periodo di festività.
Le implicazioni dell’attacco informatico a Westpole, dunque, sono enormi e le autorità stanno lavorando febbrilmente per comprendere la portata completa di questo incidente che potrebbe segnare un nuovo e pericoloso capitolo nella sicurezza digitale italiana.
Cosa sappiamo dell’attacco informatico a Westpole
Westpole, lo ricordiamo, è un Service Provider e uno Skill Integrator che fornisce servizi digitali alla pubblica amministrazione in Italia.
Al momento, le informazioni sulla natura dell’attacco sono scarse: sembrerebbe essere iniziato alle 5 del mattino dello scorso 8 dicembre e, nel momento in cui scriviamo, il sito Internet risulta essere ancora in manutenzione.
Da parte sua, l’azienda ha tempestivamente fornito aggiornamenti ai propri clienti su quanto stava accadendo. In particolare, le attività malevole avrebbero interessato i sistemi server e quelli di storage dell’infrastruttura cloud.
Di fatto, quindi, si riscontrano notevoli disagi per il normale svolgimento di molte attività quotidiane delle istituzioni coinvolte. Urbi, infatti, è un software cloud SaaS (Software as a Service) che viene utilizzato per la gestione dell’albo pretorio e per fornire diversi servizi di pagamento online offerti ai cittadini da un gran numero di Comuni in tutta Italia.
Potrebbe trattarsi di un ransomware
Il sospetto è che si tratti di un attacco ransomware, una minaccia sempre più diffusa in cui i malintenzionati bloccano sistemi digitali per estorcere un riscatto.
Aggiornamento 18 dicembre: confermato un ransomware, è Lockbit.
Tuttavia, ciò che rende questo attacco particolarmente enigmatico è l’assenza di richieste di riscatto da parte degli aggressori e per il momento la mancanza di qualsiasi rivendicazione pubblica.
L’azienda ha comunque assicurato che al momento non ci sono segnali che lascino supporre che i dati dei clienti siano stati esfiltrati o siano trapelati all’esterno.
Attacco informatico a Westpole: i disagi negli enti pubblici
Dunque, l’attacco informatico a Westpole sta creando notevoli disagi e preoccupazioni tra i suoi oltre 1.500 clienti. Tra questi anche il Quirinale e l’ANAC che però, a dispetto delle prime notizie, non sono stati assolutamente coinvolti nell’accaduto: per la loro importanza e struttura, infatti, questi enti sono dotati di un proprio centro elaborazione.
Rispetto alle prime notizie circolate in rete e a quanto scritto inizialmente sulla base di queste indiscrezioni, anche l’ISTAT ha reso noto con un comunicato del 14 dicembre 2023 che i suoi sistemi non hanno subito alcun danno da questo attacco informatico. Come si legge nella nota, l’Istituto non ha infatti in essere alcun contratto di fornitura per questo tipo di servizi dal marzo 2023.
Invece, numerose altre istituzioni chiave potrebbero trovarsi ora in uno stato di vulnerabilità che potrebbe minacciare la sicurezza e la riservatezza delle informazioni sensibili che gestiscono quotidianamente, e soprattutto a gestire notevoli disagi per i cittadini in quanto i loro servizi dipendono proprio dall’infrastruttura cloud di Westpole.
Nell’Italia settentrionale, città come Lecco, Imperia e Samarate si trovano a fronteggiare una crisi che ha messo in pericolo i loro servizi comunali. Le amministrazioni provinciali di Brescia e Lodi, insieme a enti regionali come l’ARPA Lombardia, sono anch’essi potenzialmente esposti, sollevando preoccupazioni sulla sicurezza dei dati dei cittadini.
Tra i clienti di Westpole risultano, inoltre, anche il ministero dell’Ambiente, la Banca d’Italia, il comando generale dei carabinieri e Sogin, la società responsabile dello smaltimento degli impianti nucleari italiani e la messa in sicurezza dei rifiuti radioattivi. E ancora, il Fondo di previdenza per il personale del ministero dell’Economia, il Consiglio regionale del Veneto, l’Accademia della Crusca, il Consorzio autostrade siciliane, l’Ente parco nazionale dell’Aspromonte e quello dell’arcipelago della Maddalena.
PA digitale nega che ci siano dati esfiltrati. Aspettiamo di vedere se ce ne sarà un sample, però, nell’eventuale rivendicazione di Lockbit.
Problemi anche con la fatturazione elettronica
Come dicevamo in apertura, inoltre, notevoli sono i disagi anche per gli oltre 38mila utenti di Buffetti e Dylog che usano il gestionale Quifattura per l’invio e la ricezione delle fatture elettroniche.
In questo caso, i tecnici sono al lavoro per migrare i sistemi sul cloud Azure di Microsoft, ma ciò ha richiesto anche l’intervento da parte dell’Agenzia delle Entrate che ha accordato una dilazione dei tempi utili per le registrazioni delle fatture e la trasmissione degli adempimenti IVA.
Sull’attacco esteso che ha investito pubbliche amministrazioni che si avvalgono dei servizi di Westpole è intervenuto anche il prefetto Bruno Frattasi, Direttore dell’Agenzia per la Cybersicurezza Nazionale: “L’Acn è intervenuta per analizzare la vastità dell’impatto e indicare le modalità di recupero dei dati e per aiutare Westpole a ripristinare i suoi servizi come pratica di resilienza. Acn ha infatti due funzioni: una è proteggere la superficie, la seconda è appunto far ripartire i servizi”.
Ricordiamo, infatti, che l’ACN è subentrata ad AgID come Autorità di verifica delle misure di sicurezza e delle procedure di ripristino adottate dai fornitori di servizi cloud per la pubblica amministrazione, come Westpole, appunto.
ACN: in corso recupero dati degli enti
Aggiornamento 18 dicembre:
L’Agenzia per la Cybersicurezza Nazionale scrive in una nota del 18 sera: “da diversi giorni è in contatto con la Westpole S.p.A. e con PA Digitale S.p.A. per dare loro il massimo supporto al contenimento dei disservizi dovuti all’attacco informatico di tipo ransomware portato a segno dal gruppo di hacker russofono Lockbit 3.0.
L’attività svolta ha consentito il ripristino di tutti i servizi impattati, nonché il recupero dei dati oggetto dell’attacco per più di 700 dei soggetti pubblici nazionali e locali, legati alla catena di approvvigionamento di PA Digitale S.p.A.
Per le restanti Amministrazioni – sono circa 1.000 i soggetti pubblici legati contrattualmente a PA Digitale S.p.A. per l’erogazione di servizi gestionali di varia natura – resta l’esigenza di recuperare i dati risalenti ai 3 giorni precedenti l’attacco, avvenuto l’8 dicembre.
È inoltre da precisare, come confermato dalla stessa società PA Digitale, che l’attività svolta consente di scongiurare la paventata, mancata erogazione degli stipendi di dicembre e delle tredicesime a favore dei dipendenti di alcune Amministrazioni locali indirettamente impattate.
Infine, i rallentamenti dei servizi digitali che si sono registrati nella mattinata odierna sono dovuti alla congestione degli accessi simultanei e non rappresentano una conseguenza diretta dell’attacco informatico”.
Campanello d’allarme per la sicurezza delle infrastrutture digitali
In conclusione, l’attacco a Westpole rappresenta un campanello d’allarme sulla crescente vulnerabilità delle infrastrutture digitali della pubblica amministrazione italiana.
E ci ricorda anche che, oltre alle Pubbliche Amministrazioni, agli enti e alle istituzioni pubbliche e private, anche i fornitori di servizi dovrebbero sempre adottare corrette policy di sicurezza informatica.
Le autorità competenti devono ora affrontare una corsa contro il tempo per ripristinare l’integrità dei sistemi colpiti: solo con una risposta tempestiva e coordinata è infatti possibile mitigare gli impatti di un attacco informatico.
