attacco-ransomware-westpoleUn attacco ransomware ha colpito WestPole, generando notevoli disagi nei servizi pubblici: WestPole ospita vari servizi della società PA Digitale, e l’attacco ha causato un blocco significativo, specialmente nei Comuni che utilizzano il software Cloud SaaS “Urbi”.


L’incidente ha interessato i centri di elaborazione dati di Milano e Roma fin dalle 5 del mattino dell’8 dicembre scorso e a quanto pare è ancora in atto.

L’attacco informatico a WestPole ha inflitto danni significativi ai servizi digitali cruciali per le Pubbliche Amministrazioni coinvolte.

I dettagli dell’attacco Ransomware a WestPole

WestPole, identificato come il provider italiano di servizi digitali colpito, ospita una gamma diversificata di servizi della società PA Digitale, tra cui spicca il portale Cloud Urbi. Questo portale opera nell’ambito dell’amministrazione trasparente, gestendo l’albo pretorio e fornendo diversi servizi di pagamento online per un gran numero di Comuni.

Il sistema è stato così  preso di mira dagli hacker, con conseguenze gravi e persistenti: la situazione attuale impedisce il normale svolgimento di molte attività quotidiane per le istituzioni coinvolte.

Gli effetti pratici di questo attacco sono chiaramente percepibili, con la paralisi della posta elettronica certificata, dell’albo pretorio e del processo di protocollazione delle PEC in arrivo.

Il blocco delle aree che utilizzano banche dati telematiche comporta gravi difficoltà operative, mettendo a rischio la tempestività e l’efficacia delle risposte delle istituzioni alle esigenze dei cittadini e delle aziende fornitrici.

Tuttavia attualmente la portata esatta dell’attacco e l’importo richiesto come riscatto non sono ancora del tutto chiari. L’operazione di hacking è stato presumibilmente perpetrata dalla cyber gang nota come “Hunters“, anche se al momento non c’è una rivendicazione pubblica ufficiale e non emergono dettagli utili per l’attribuzione dell’attacco.

La modalità di attacco

Secondo alcune indiscrezioni, la tecnica utilizzata per l’attacco si deve ascrivere alla categoria ransomware: l’attacco informatico risulta condotto per mezzo di un virus di ultima generazione. Un virus realizzato appositamente dai cybercriminali per l’infrastruttura, che ha reso temporaneamente indisponibili alcuni server aziendali.

Per chi non lo sapesse il ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione.

Queste tattiche forzano l’utente a pagare l’autore del malware per rimuovere il ransomware:

  • sia con un programma che decritti i file criptati
  • sia con un codice di sblocco che elimini le modifiche fatte dal ransomware.

La situazione è critica

Inoltre, questo “blitz” informatico ha creato una situazione critica che richiede azioni immediate per ripristinare l’integrità dei servizi pubblici compromessi.

Le istituzioni coinvolte devono lavorare rapidamente per individuare e neutralizzare la minaccia, ripristinare i sistemi colpiti e implementare misure di sicurezza più robuste per prevenire futuri attacchi di questo genere.

La collaborazione tra enti pubblici, fornitori di servizi digitali e esperti in sicurezza informatica diventa cruciale per superare questa sfida e proteggere la sicurezza e la continuità dei servizi pubblici digitali.

La sicurezza è fondamentale

Ovviamente quanto capitato alla Società Westpole pone alcun interrogativi sulla sicurezza dei dati pubblici, quindi serve sempre la massima attenzione.

Ricordiamo che per prevenire problematiche di questo tipo potrebbe bastare anche una semplice operazione di controllo e vigilanza.

Occorre in sintesi assicurarsi che le politiche legate ai protocolli di sicurezza informatica risultino applicate da tutti.

Pertanto non solo le Pubbliche Amministrazioni al vertice della “Piramide”, ma anche tutti i vari fornitori e sub-fornitori di servizi dovrebbero adeguare le proprie policy agli standard di sicurezza informatica internazionale.

Le best practice da attuare in questi casi

In conclusione, l’attacco ransomware a WestPole ha evidenziato la vulnerabilità delle infrastrutture digitali che supportano i servizi essenziali delle Pubbliche Amministrazioni. Affrontare e mitigare gli impatti di tali attacchi richiede una risposta tempestiva e coordinata.

Di seguito, vengono suggerite alcune best practice da implementare in situazioni simili:

  1. Analisi Forense e Identificazione della Minaccia:
    • Condurre un’analisi forense approfondita per comprendere la natura e l’origine dell’attacco.
    • Identificare la tipologia di ransomware e le sue modalità di propagazione.
  2. Isolamento e Contenimento:
    • Isolare immediatamente le parti colpite per impedire la diffusione dell’attacco.
    • Contenere l’incidente disattivando i sistemi compromessi per evitare ulteriori danni.
  3. Backup e Ripristino:
    • Utilizzare backup regolari e offline per ripristinare i sistemi compromessi.
    • Verificare l’integrità dei backup per assicurare un ripristino affidabile.
  4. Collaborazione con Autorità e Esperti in Sicurezza:
    • Coinvolgere le autorità competenti e le forze dell’ordine per indagare sull’attacco.
    • Collaborare con esperti in sicurezza informatica per implementare soluzioni efficaci.
  5. Comunicazione Trasparente:
    • Comunicare apertamente con il pubblico, riconoscendo l’incidente e fornendo aggiornamenti regolari.
    • Fornire indicazioni chiare su come gli utenti possono proteggersi e collaborare nella risposta.
  6. Aggiornamento delle Politiche di Sicurezza:
    • Rivedere e migliorare le politiche di sicurezza informatica, tenendo conto delle lezioni apprese dall’incidente.
    • Implementare misure di sicurezza avanzate per prevenire futuri attacchi.
  7. Formazione del Personale:
    • Fornire formazione continua al personale sull’identificazione e la gestione delle minacce informatiche.
    • Creare consapevolezza sulla sicurezza digitale per ridurre il rischio di attacchi attraverso l’ingegneria sociale.
  8. Valutazione Continua della Sicurezza:
    • Effettuare valutazioni regolari della sicurezza per identificare potenziali vulnerabilità.
    • Implementare patch e aggiornamenti di sicurezza tempestivamente.
  9. Collaborazione tra Enti Pubblici e Privati:
    • Promuovere la collaborazione tra enti pubblici e fornitori di servizi digitali per condividere informazioni sulla sicurezza.
    • Partecipare a comunità di sicurezza informatica per scambiare best practice e informazioni sulle minacce.
  10. Pianificazione per il Futuro:
    • Creare un piano di risposta agli incidenti per affrontare prontamente futuri attacchi.
    • Considerare investimenti a lungo termine nella sicurezza informatica per rafforzare la resilienza contro minacce emergenti.

Implementare queste best practice richiede un impegno continuo e una visione proattiva per garantire la sicurezza e la continuità dei servizi pubblici digitali. Solo attraverso una risposta collettiva e strategie robuste di sicurezza informatica sarà possibile proteggere le infrastrutture critiche e mantenere la fiducia del pubblico.

 

 


Fonte: articolo di redazione lentepubblica.it