Incidente alla supply chain di Westpole: PA sotto attacco
di Sofia Scozzari e Anna Vaccarelli del Comitato Direttivo Women for Security
Un altro incidente informatico. Un altro attacco alla PA italiana.
Partiamo dai fatti.
L'8 dicembre scorso Westpole S.p.A., l’azienda che fornisce servizi cloud a PA Digitale, che a sua volta serve comuni ed enti pubblici, ha iniziato a registrare disservizi.
Le problematiche che hanno impattato l'operatività di diverse pubbliche amministrazioni si sono rivelate in seguito frutto di un ransomware rivendicato recentemente dal gruppo cybercriminale Lockbit.
Lockbit è un gruppo hacker già noto, una vera e propria azienda che opera con il modello RaaS (Ransomware as a service), con un’organizzazione piramidale, proprio come una azienda.
Nei giorni successivi all'incidente, Westpole ha dichiarato di aver avviato tempestivamente le procedure per il ripristino dei sistemi, mentre pochi giorni dopo PA Digitale ha reso noto con un comunicato stampa che riteneva poco probabile l’esfiltrazione dei dati da parte dell’attaccante, a loro parere maggiormente interessato al blocco dell’infrastruttura che non al contenuto dei dati.
La rivendicazione di Lockbit cambia però le carte in tavola, in quanto è pratica comune da parte del gruppo cybercriminale non limitarsi al riscatto per ripristinare i sistemi cifrati in prima battuta ma anche chiederne uno ulteriore (la cosiddetta "double estortion") per non diffondere i dati sottratti prima della cifratura.
Ovviamente, in attesa di ulteriori dettagli da parte di Lockbit, non abbiamo nessuna conferma, ma resta il dubbio che possa essere avvenuta l'esfiltrazione di dati e che una parte di questi potrebbe rivelarsi molto sensibile.
A fronte di cyber attacchi che si verificano da diversi anni, colpisce quanto non si comprendano ancora le implicazioni, non solo per quanto riguarda il potenziale blocco dei sistemi, ma soprattutto per la protezione dei dati e le responsabilità nei confronti del cittadino.
L’ennesima lezione da imparare
Questo tipo di attacco ci consente di fare alcune riflessioni: la scelta degli attaccanti è caduta su un (solo) fornitore di servizi Cloud, ma è un fornitore di molti soggetti, tra cui PA Digitale, che produce un software usato da centinaia di enti della Pubblica amministrazione italiana per gestire e archiviare documenti; di conseguenza, oltre un migliaio (si parla di 1300) uffici amministrativi stanno subendo disagi e rallentamenti.
L’attacco singolo alle stesse pubbliche amministrazioni sarebbe stato molto più oneroso per gli attaccanti. È evidente quindi che un attacco alla supply chain è la modalità più conveniente dal punto di vista del criminale informatico ed è quella che probabilmente ci dovremo aspettare con sempre maggiore frequenza nell’immediato futuro.
Sembra che circa 700 uffici abbiano già ripristinato o stiano ripristinando i dati e i sistemi, grazie alle corrette procedure di backup, mentre gli altri non sono ancora riusciti a farlo. Al di là dei numeri, questo dimostra che preparando adeguate contromisure e procedure di recovery i danni possono essere ridotti, se non minimizzati. Chi aveva lavorato su questi piani di ripristino ha potuto ricominciare presto a erogare servizi agli utenti. Resta il dubbio della esflitrazione dei dati, benché Westpole neghi che questo sia avvenuto.
Ciò che non è stato ancora chiarito è da dove sia partito l’attacco: le statistiche affermano che in oltre il 95% dei casi di attacchi alla base ci sia un errore umano. Questo sposta l’attenzione, ancora una volta, sulla necessità di formare negli utenti una cultura di cybersecurity: la disattenzione o l’ingenuità di una singola persona può generare danni ingenti a intere organizzazioni.
Da un comunicato e da un’intervista a Bruno Frattasi, pare che l’ACN (Agenzia per la Cybersicurezza Nazionale) sia intervenuta tempestivamente, aiutando Westpole a ripristinare i sistemi: la presenza costante e attenta di un gruppo di esperti è una buona notizia!
(Aggiornato al 20 dicembre 2023)