LA RIFLESSIONE

Attacco alla Regione Lazio: cosa impariamo dagli errori commessi

La Regione Lazio non è, e non sarà, la sola a patire un attacco informatico come quello che ha bloccato il sistema di prenotazioni vaccini: riflettere su quanto accaduto può quindi servire a individuare i punti cardine per una reale sicurezza in azienda (pubblica o privata che sia) e non commettere gli stessi errori

16 Ago 2021
C
Fabrizio Cirilli

Information & Cyber Security Advisor presso P4I - Partners4Innovation

Per molti addetti ai lavori quello che è accaduto alla Regione Lazio è, al contempo, imbarazzante e comprensibile.

Di certo rimangono parecchie domande aperte che probabilmente non avranno mai risposta, o almeno non prima che le procedure investigative e legali siano concluse. Proprio mentre scrivo il TG1 annuncia che manca poco alla scadenza dell’ultimatum degli “hacker”. Quanto meno inutile se i dati sono stati recuperati e la falla chiusa davvero. Anche qui non si capisce se i dati siano o meno stati immessi in rete per rivenderli o utilizzarli in altre attività criminali.

Sulla non comunicazione c’è poco da dire. Sull’uso della terminologia, invece, temo che si debba lavorare ancora molto e la neonata unità di cyber security governativa non è da meno e dovrà vedersela con un “backlog” non banale.

Leggiamo ancora termini come attacco hacker, sicurezza informatica, cyber security, incidenti di sicurezza inseriti nelle frasi come se fossero parole magiche o chiavi per attrarre l’attenzione. In effetti, l’uso improprio non solo è formalmente scorretto, ma alimenta la disinformazione e la confusione. Come pensiamo di coinvolgere le persone e crescere utilizzando termini errati?

Io ho una domanda: se foste l’AD/CEO di una organizzazione (pubblica o privata che sia), sborsereste soldi per l’ultimo modello di uno strumento costosissimo già comprato lo scorso anno perché: “necessario” per una maggiore efficienza? Ovviamente la risposta è articolata ma tendenzialmente sarebbe un “no, perché dovrei farlo avendo già investito fior di quattrini per la stessa cosa lo scorso anno?”.

Questa è la percezione quando un Security Manager/CISO ecc. si presenta “cappello in mano” alle riunioni di budget con richieste del genere (permettetemi la semplificazione per rendere la scena anche a chi non è addetto ai lavori, perché sono loro che dobbiamo coinvolgere in questa lotta).

Regione Lazio e ransomware, lieto fine amaro: troppi errori fatti

I fattori cardine per una reale sicurezza

L’approccio corretto, manco a dirlo, sarebbe quello proposto da standard organizzativi che suggeriscono la contestualizzazione della sicurezza. Il mondo intorno a noi cambia e così le esigenze e i rischi in un’azienda (pubblica o privata non importa).

WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity

Ogni variazione al “sistema” di fatto muove i rischi, in particolare cambia il rischio relativo alle informazioni.

Quello che pochi giorni fa poteva essere o apparire sicuro può diventare in pochi giorni o ore debole ed esposto ad attacchi o “interessi” illeciti. Non ci interessa il perché ma il solo fatto che sia cambiato. Cambiato significa più o meno appetibile, interessante, critico e via dicendo. Il cambiamento può andare in qualsiasi direzione, migliorativa o peggiorativa. Comunque, è un rischio che cambia e con esso il nostro scenario di riferimento, incluse le contromisure applicabili.

In uno scenario dinamico, dove le difese tecnologiche non bastano più, come ampiamente dimostrato dagli ultimi attacchi, abbiamo bisogno di alcuni fattori cardine:

  • consapevolezza,
  • formazione,
  • rivalutazione continua dei rischi,
  • responsabilità,
  • competenze,
  • la sicurezza delle informazioni come elemento strutturale, come parte integrante della vita di ognuno in azienda.

Non c’è niente di tecnico qui. I tecnicismi arrivano solo quando, avendo individuato i rischi sulle informazioni, coinvolgo le persone per la scelta delle contromisure più idonee alle nostre esigenze. Solo a questo punto entra in ballo la sicurezza informatica e le soluzioni tecnologiche.

Nessuno può evitare che un notebook possa essere lasciato “aperto”, le tecnologie e le regole sono fatte (si sa) per essere aggirate ma la consapevolezza, la responsabilizzazione, il coinvolgimento, l’aggiornamento continuo producono effetti maggiori di obblighi e restrizioni. Ne abbiamo casi sotto gli occhi tutti i giorni in vari campi.

Certo, una sicurezza del genere “costa” di più in termini organizzativi, richiede un coinvolgimento, un effort (come dicono quelli esperti) maggiore del semplice acquisto dell’ultimo apparato alla moda e dello scarico di responsabilità (indefinite) su personale tecnico.

È questo che dobbiamo combattere, con la proprietà di linguaggio e con la conoscenza. Altro che cyberqualcosa buttati qua e là nelle frasi!

Attacco Regione Lazio, che dicono le norme: una lezione per fare meglio

Sicurezza delle informazioni, business continuity e disaster recovery

Sempre per restare nel caos terminologico: sicurezza delle informazioni non è business continuitydisaster recovery; business continuity e disaster recovery non sono la stessa cosa o peggio ancora uno sostitutivo dell’altro.

Eventi e incidenti per gli standard non sono situazioni che necessariamente hanno avuto già un impatto sulla sicurezza delle informazioni, cioè non è detto che la riservatezza, l’integrità e/o la disponibilità delle informazioni che proteggiamo sia stata compromessa. Questo è un punto fondamentale per poter capire e applicare quanto gli standard ci propongono e l’esperienza ci insegna.

La metto su un altro piano: un BSOD (Blue Screen of Death – la temibile schermata blu di Windows) è sicuramente un evento, che può trasformarsi in qualcosa di più (un incidente) ma non necessariamente implica che abbiamo perso qualcosa delle informazioni. Come minimo necessita di un’analisi più approfondita e strutturata per capirne le implicazioni e la portata (anche qui esistono vari standard che spiegano ampiamente che alla gestione degli incidenti ci si prepara e ci si allena).

Sempre per il caso Regione Lazio, il fatto che sia stato interrotto un servizio pubblico, relativo alla salute, a ridosso della partenza del green pass, e che i dati personali/sanitari potessero essere stati violati ne delineava uno degli scenari di impatto di sicura gravità, giustificando pienamente l’attivazione di un piano di continuità e forse di disaster recovery.

Questo è il compito della business continuity: assicurare l’esistenza stessa dell’azienda, anche a fronte di scenari drammatici e complessi, per assicurare i servizi necessari anche in caso di incidente.

Quello di cui ci si sarebbe dovuti occupare e che probabilmente non ha funzionato nel caso della Regione Lazio. Di certo non lo si può inventare il giorno prima o peggio ancora il giorno stesso.

Conclusioni

Mi spiace citare il caso della Regione Lazio, ma è l’ennesimo caso eclatante di poca progettualità in queste tematiche, che ancora molti si ostinano a vedere come fatti separati e indipendenti. La storia ne è piena.

Vi riporto qui alcuni dei dati raccolti in rete[1] con i relativi riscatti pagati o “risposte” attivate:

Interessante è la catena dei costi nascosti dietro tali situazioni:

Davvero impressionanti se provate a fare due conti.

Purtroppo, la Regione Lazio non è, e non sarà, la sola a patire un attacco del genere.

Chiudo qui questa mia riflessione in un week end agostano. Da una parte con l’amarezza dovuta al fatto che di questi argomenti se ne parla da almeno trent’anni (a mia memoria) e che, nonostante i progressi e i modelli disponibili, si continua a rimanere ancorati a vecchie logiche atte più a dimostrare di avere ragione piuttosto che al cambiamento di cui avremmo bisogno.

Dall’altra penso alle dozzine di post di colleghi su LinkedIn (alcuni spassosissimi) che hanno dimostrato l’esistenza di competenze e voglia di fare notevoli. Chissà se il Prof. Baldoni naviga su LinkedIn.

 

NOTE

  1. Negli USA è prassi analizzare questi dati, anche se a volte le fonti non sono del tutto chiare, non che io sia un esterofilo ma lì si trovano dati del genere con maggior facilità. Noi abbiamo il rapporto Clusit che pochi consultano o leggono per cambiare davvero.

WHITEPAPER
Trend e prospettive future nel mercato del log management
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr