Gaetano Di Meglio | Le piattaforme digitali dei comuni di Forio e di Barano, sull’isola, sono tra i 1500 “client” colpiti da un attacco hacker che ha messo in ginocchio il server della Westpole, un’azienda che fornisce infrastruttura cloud certificata per la pubblica amministrazione.
La vicenda non è locale, anche se i riverberi locali sono molteplici e stanno creando problemi anche alle amministrazioni di Stani Verde e Dionigi Gaudioso, e che vi raccontiamo con il dettaglio articolo Giancarlo Calzetta de Il Sole24 Ore.
Un attacco hacker sferrato prima dell’alba dell’8 dicembre ha messo in crisi l’erogazione di servizi da parte della pubblica amministrazione. Un gruppo di cyber-criminali molto ben organizzato, ma ancora senza nome, ha colpito Westpole, un’azienda che fornisce infrastruttura cloud certificata per supportare le attività di comuni e altri enti governativi. La sia azione ha portato al blocco di tutti i server delle sedi di Milano e Roma e allo stop dei servizi connessi.
Finora potrebbe sembrare un attacco come tanti, ma tra i clienti di Westpole c’è PA Digitale , l’azienda che produce il software URBI, una piattaforma di soluzioni applicative gestionali per la Pubblica Amministrazione che viene usata da centinaia tra amministrazioni Comunali, provinciali e centrali, aziende pubbliche locali, utility, gestori di pubblici servizi, enti per l’edilizia pubblica residenziale, parchi nazionali e regionali e così via. Tramite Urbi si gestiscono servizi di anagrafe, riscossione di tributi, emissioni di certificati: tutte operazioni che sono diventate impossibili in centinaia di sportelli elettronici.
Comunicazione lenta e lacunosa con il pubblico
Per quattro giorni il sito di Westpole è rimasto bloccato su di una pagina che annunciava dei lavori di manutenzione, mentre il loro centralino telefonico era irraggiungibile nelle sedi di Milano e Roma. Alle 19.00 del 12 dicembre è apparsa la prima informativa pubblica in cui il team di Westpole Italia informava dell’interruzione dei servizi causata da un incidente di sicurezza, rassicurando gli utenti sul fatto che al momento non ci sono indizi di un possibile furto di dati. L’azienda colpita, comprensibilmente impegnata nell’opera di ripristino dei servizi, ha però comunicato in maniera più ampia con i propri clienti e da una dichiarazione rilasciata da PA Digitale per ottemperare agli obblighi di legge del GDPR veniamo a sapere che l’attacco ha effettivamente criptato i file di oltre 1500 macchine (virtuali) e che l’attacco è stato portato a termine da un operatore ostile non meglio identificato.
Stavolta l’obiettivo non erano i dati.
L’azione dei criminali sembra esser stata focalizzata sui server dal momento che Westpole ha dichiarato che “per tutti i servizi che prevedevano l’utilizzo di una componente repository di tipo NAS, i dati non risultano essere compromessi, e, allo stato attuale delle analisi, non risultano accessi dell’utenza compromessa o di altre utenze sospette”. Secondo quanto dichiarato da Westpole a PA Digitale, la messa fuori linea dei propri sistemi, adottata come prima azione di contenimento, è stata una misura precauzionale e si stanno mettendo in atto le necessarie misure di sicurezza aggiuntive per garantire una ripresa delle operazioni affidabile, chiudendo le eventuali falle che hanno portato alla compromissione dei giorni passati. PA Digitale non sa, al momento del rilascio del documento, se dei dati possano essere andati persi a causa dell’attacco restando irrimediabilmente cifrati e sembra che la violazione informatica sia comunque rimasta circoscritta all’infrastruttura di Westpole, senza colpire quella dei suoi clienti.
L’attacco a Westpole, quindi, sembra di tipo DOS, ovvero mirato a bloccarne l’operatività per chiedere un riscatto in cambio dei codici necessari a decifrare i file colpiti e permettere il ritorno all’operatività. La portata di questa azione è indubbiamente importante e proprio per questo è possibile che i criminali non abbiamo rubato i dati in possesso di Westpole o si siano limitati a esfiltrarne una quantità molto limitata. Dal momento che le macchine coinvolte è di circa 1.500, infatti, rubare i dati avrebbe comportato un tempo di trasferimento molto lungo, con la possibilità per i criminali di esser scoperti durante l’operazione. Questa è una buona notizia, che bisogna verificare, ma che non modifica il quadro di gravità della situazione.