Nella notte di sabato 31 luglio un attacco informatico ha paralizzato il sistema sanitario della Regione Lazio., questo quanto scriveva il ced sul proprio sito: “È in corso un potente attacco hacker al ced regionale. I sistemi sono tutti disattivati compresi tutti quelli del portale Salute Lazio e della rete vaccinale. Sono in corso tutte le operazioni di difesa e di verifica per evitare il protrarsi dei disservizi. Le operazioni relative alle vaccinazioni potranno subire dei rallentamenti. Ci scusiamo per il disagio indipendente dalla nostra volontà.”
Già cinque o sei anni fa ci sono stati casi di attacchi a ospedali negli Stati uniti, poi nel Regno Unito, l’anno scorso è successo in Germania e è anche da noi, anche se in misura più ridotta. Gli attacchi interessano la sanità perché è indifesa e ha tanto da perdere. Ovviamente è un atto odioso, ma è nella logica criminale. In questo caso è un attacco estremamente sfacciato, perché colpisce una struttura pubblica importante con ricadute gigantesche. Si può considerare un attacco allo stato. Non è un attacco terroristico o ideologico. È pura criminalità.
Questo attacco è un atto della criminalità organizzata. La stessa che spaccia droga e vende armi. Hanno imparato a fare anche questo tipo di reati. Questo è un rapimento a scopo di riscatto. Non viene rapita una persona o qualcosa di fisico, ma viene negata la disponibilità di accesso ai sistemi. È un atto criminale. In questo caso un atto sfacciato, clamoroso, ma perfettamente ingegnerizzato dal punto di vista criminale. Colpisce la vittima più debole, che ha tanto da perdere: la sanità. Sono anni che fenomeni del genere accadono nei confronti di strutture sanitarie. Purtroppo, qualunque sistema, informatico o no, può essere attaccato da un criminale con tempo, risorse, conoscenza a disposizione.
Quello che è successo non è stata la disattenzione di un impiegato, ma un attacco mirato condotto direttamente. C’è stata un’intrusione in un computer da cui si è ottenuto l’accesso ai sistemi che sono stati infettati con un malware. È stato un attacco pianificato condotto da qualcuno che conosceva la struttura informatica della regione.
Si è sentito dire che l’attacco partisse dalla Germania o dalla Russia, ma sono affermazioni assolutamente prive di fondamento. È impossibile dirlo adesso. Il fatto che un attacco sia arrivato, ammesso che sia vero, da server che si trovano in Germania non vuol dire che sia stato effettuato da li. È facilissimo smistare le comunicazioni. Io posso stare a Roma e, tramite un server in Germania, attaccare la Regione Lazio. È troppo presto per attribuire l’attacco a qualcuno. Sono affermazioni qualunquiste. Queste informazioni si possono ottenere solo dopo indagini molto lunghe e molto complesse che non c’è stato tempo di condurre.
Il vero problema che va affrontato adesso è uscire da questa situazione di indisponibilità di dati, e l’unico modo è con i backup che, per buona pratica, si dovrebbero mantenere proprio per ripristinare le attività in caso di disastro, non sappiamo ancora se i backup ci sono e come sono organizzati, l’unica cosa certa è che dopo una situazione di questa bisogna fare sempre una analisi profonda e farne tesoro per migliorare in futuro
Il 6 agosto alle 19 ora italiana La Regione Lazio ha trovato un backup intatto dei dati del database sanitario regionale. Non è perfettamente chiaro da dove salti fuori questo backup: Zingaretti ha detto che è stato recuperato da “un sistema di ultimissima generazione protetto da hardware”. si sa comunque che il backup risale al 30 luglio, e quindi è molto recente.
Il tweet di Corrado Giustozzi, giornalista ed informatico, in cui scrive:” Confermo con gioia che la Regione Lazio ha recuperato i dati senza pagamento di riscatto. Non decifrando i dati ma recuperando i backup che non erano stati cifrati ma solo cancellati. Ma lavorando a basso livello i tecnici di LazioCrea hanno recuperato tutto”, sembra lasciar intendere che si è riusciti a ricostruire i file con un software di recovery degli hard disk (gli “undelete”, per capirci), visto che i backup erano solo stati cancellati e non criptati.
