L’attacco cyber al Centro elaborazione dati della Regione Lazio non è stato l’Armageddon digitale per l’amministrazione pubblica italiana, ma ha rappresentato un duro avvertimento per il sistema-Paese. Confermando, per trovare mezzo pieno il bicchiere, che le linee guida programmatiche consolidate negli ultimi mesi sulla base del lavoro svolto negli anni precedenti sulla cybersicurezza sono quelle giuste.

Si tratta del terzo attacco alla sicurezza sanitaria nazionale dopo quelli del 2020 al San Raffaele di Milano e allo Spallanzani di Roma, in prima linea nella lotta al virus. Un attacco portato nei confronti delle macchine e non delle persone, un ransomware basato su una tecnologia reperibile con relativa facilità dai pirati sul dark web, Lockbit 2.0, acquistabile “modularmente” dai criminali informatici. Un attacco che conferma quanto sia urgente dare seguito alla linea decisa dal governo Draghi e caldeggiata dall’autorità delegata alla sicurezza della Repubblica, prefetto Franco Gabrielli, sulla pronta attivazione dell’Agenzia per la cybersicurezza nazionale (Acn).

Nicola Zingaretti, presidente della Regione Lazio ed ex segretario del Partito Democratico, ha detto allarmato che si potrebbe esser trattato del più grave attacco cybernetico contro enti pubblici della storia italiana. Ma “di eccezionale in questo attacco”, ha sottolineato l’esperto di sicurezza informatica e protezione dati Matteo Navacci Cybersecurity360, “non c’è nulla. Anzi, era ben possibile aspettarselo. Secondo l’ultimo Rapporto Clusit il settore pubblico è tra gli obiettivi più colpiti dal cybercrime nel 2020. La stragrande maggioranza degli attacchi sono proprio malware (come il ransomware che si presume abbia colpito la Regione Lazio), con un trend in evidente crescita”. In un’audizione al parlamento e nel recente passaggio al Copasir, del resto, anche Gabrielli aveva dichiarato che a suo avviso è necessario consolidare un perimetro di sicurezza cybernetica eccessivamente a macchia di leopardo.

L’avanzamento prodotto negli ultimi anni con l’istituzione del perimetro nazionale, il recepimento di direttive europee come la celebre Nis, la definizione di protocolli condivisi di sicurezza tra imprese e istituzioni non cancella i limiti politici, economici e culturali che fino a qualche anno fa caratterizzavano il sistema-Paese nel mondo cybernetico. E che del resto coinvolge spesso i software degli apparati pubblici. Come dichiarato dal ministro della Transizione Digitale Vittorio Colao al Festival dell’Economia di Trento il 93-95% dei server della Pubblica amministrazione non è oggigiorno in condizioni si sicurezza. Colao ha sottolineato l’esigenza di cloud più strutturati perché i dati sensibili dei cittadini e quelli meno sensibili siano tenuti in sicurezza e, in quest’ottica, anche il Lazio non fa eccezione. “Stiamo considerando i servizi di un sistema software che è rimasto privo di marcatura CE, presidio che avrebbe ben potuto tutelare i cittadini da questo incidente”, ha commentato Infosec.

Logico dunque che ci sia ancora molta strada da percorrere. Ma in quest’ottica la risposta delle autorità e dell’apparato di sicurezza lascia ben sperare. La Polizia Postale si è subito adoperata, individuando secondo quanto risulta i server di partenza dell’attacco in Germania; il Copasir guidato da Adolfo Urso ha convocato d’urgenza il ministro dell’Interno Luciana Lamorgese e il direttore del Dis Elisabetta Belloni, i servizi d’informazione e sicurezza sono all’opera e la politica, su spinta di Urso in persona, si prepara ad accelerare il processo di approvazione dell’Acn al Senato prima della pausa estiva.

Prima di vedere razionalizzate le competenze tra Dis e Acn, i servizi hanno coperto con attenzione, in sponda col Copasir, il rischio cyber. La relazione del Dis per l’anno 2020 sottolinea che il Covid-19  “è stato un evento determinante anche in termini di impatto sulla società, sulle tecnologie in uso alla popolazione, sulla digitalizzazione di attività e servizi nonché sul conseguente ampliarsi della superficie di rischio cibernetico per l’individuo e per l’intero Sistema Paese” e che una cultura della sicurezza in ambito digitale e tecnologico va assolutamente sviluppata.

Quando l’Acn con i suoi 800 dipendenti sarà a pieno regime bisognerà creare, in quest’ottica, un canale di scrutinio preferenziale per quelle sezioni del cloud dati più sensibili ad attacchi di tipo ransomware. Banche, assicurazioni, Pa, università, centri di ricerca sono solo alcuni dei target più a rischio, aventi la sanità in cima perchè settore più esposto alla necessità di pagare riscatti. Lo stress-test dell’attacco alla regione Lazio ha sicuramente segnalato i profondi ritardi che il Paese deve ancora colmare, ma anche esposto la presenza di fermento e di un’attenzione strategica mancante fino a pochi anni fa. La leva degli investimenti strategici e della creazione di competenze ora deve fare il resto: facendo diventare l’Acn perno di un sistema che integri la sicurezza come prerequisito (security-by-design) nella costruzione degli apparati informatici di enti pubblici e aziende e nella loro governance secondo un preciso piano nazionale ed europeo.