Il Registro Elettronico Axios è Stato Rubato.

Si poteva evitare un attacco ramsonware alla piattaforma di registro elettronico?

Le Verità sul Cloud

Continuiamo a raccontarci che è tutto bello e sicuro.

Venerdì della settimana scorsa, durante la serata, è stato hackerato, tramite un un Ransomware, il server che ospita i dati della piattaforma del registro elettronico di Axios,  una software house che detiene circa il 40% del mercato delle scuole italiane per quel tipo di servizio.

Cos’è un Ransomware? Oramai dovrebbe essere una parola d’uso comune, visto la frequenza degli attacchi che ricevono privati cittadini, imprese ed istituzioni, ma facciamo un breve riepilogo.

Arriva una mail (solitamente funziona così) o vi è una falla di sicurezza in un sistema dovuta ad una password debole o un software/sistema non aggiornato, ed un malintenzionato riesce a far eseguire all’interno del sistema stesso un programma che crittografa il contenuto. In sostanza, rende tutti dati illeggibili. Questo è quanto è successo ai server di Aixos, colpiti da un ramsonware che ha reso il registro elettronico non accessibile.

Come è possibile che sia stato hackerato un registro elettronico?

Per hackerare un registro elettronico, come in questo caso, l’Hacker di turno, utilizza semplicemente una strategia legale (la crittografia, quindi l’aumento della sicurezza dei propri dati) per renderli indisponibili all’utente. In sostanza, “codifica” il contenuto di un computer o server tramite una “chiave crittografica” (per semplificare una specie di password) che, in mancanza della stessa, rende impossibile l’apertura dei files.

Il malintenzionato, per inviare la chiave crittografica e quindi dar la possibilità di poter accedere ai propri documenti e/o dati, chiede un riscatto. Tutto come un vero e proprio sequestro, anziché di persona, di dati.

Ed evidentemente, non chiede il pagamento tramite bonifico sul conto XXYY, ma tramite moneta virtuale che, per sua stessa natura, rende la transazione non tracciabile.

Infografica tratta da Science – C. Smith che spiega la non tracciabilità dei bitcoin.

Si parla di un problema importante, di mancata disponibilità del registro elettronico, che si aggiunge alle difficoltà di gestione del servizio scolastico di questi tempi.

La comunicazione iniziale di Axios agli istituti, dopo aver verificato la presenza di un ramsonware che ha inibito l’accesso alla piattaforma del registro elettronico, è stata la seguente: 

“Gentili clienti, a seguito di un improvviso malfunzionamento tecnico occorso durante la notte si è reso necessario un intervento di manutenzione straordinaria“

Purtroppo il problema su larga scala è stato “scoperto” lunedì mattina e probabilmente, il processo di crittografia aveva già attaccato irrimediabilmente tutto il database.

Infatti, dopo qualche tempo, arriva una seconda comunicazione

“A seguito di approfondite verifiche tecniche messe in atto da sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura.”

Noi consulenti abbiamo sempre il mantra da ripetere ai clienti “Il rischio zero non esiste”, ma sono proprio queste le occasioni durante le quali dovremmo renderci conto che, se succede un disastro del genere ad un fornitore di servizi cloud per la Pubblica Amministrazione, quasi certamente potrà succedere ad aziende che nemmeno pensano a dove sono conservati i loro dati!

CREDI CHE I TUOI DATI POSSANO ESSERE IN PERICOLO?

RICHIEDI UNA VERIFICA GRATUITA AD UN NOSTO ESPERTO IN SICUREZZA

Ma il caso in questione fa sorgere diversi dubbi.

Direttive dell’AGID indicano alle PA di utilizzare servizi CLOUD solo da “fornitori qualificati”. E le norme sono molto restrittive. In questo caso, sembra che non siano state rispettate. Ha senso dunque, mettere paletti di accesso così complicati e poi basarsi sulle sole autocertificazioni?  E’ accettabile che la ditta in questione (per l’appunto certificata secondo i rigidi protocollo Agid ) dichiari:

“Venerdì notte, intorno alle 2, abbiamo subito un attacco ransomware di ultimissima generazione – ha detto Rocchi a Giornalettismo –, uscito per la prima volta il 21 marzo, con i vari sistemi di sicurezza sono stati aggiornati contro questo ransomware sabato mattina. Con molta sfortuna, siamo stati attaccati la notte precedente, quando ancora i nostri sistemi di sicurezza non lo conoscevano. Non c’è stata alcuna perdita dei dati, né qualcosa è uscito fuori dai nostri archivi. Purtroppo è andata giù l’infrastruttura e su questo stiamo lavorando da sabato mattina” 

Per me (ripeto, mia opinione personale), la sottrazione di dati è ancor peggiore della perdita di dati stessa.  Dimostrare che in un attacco Ransomware non vi sia stata sottrazione dei dati (premesso che spero non vi sia nessuna perdita di dati) è alto esercizio di arrampicatura sugli specchi… Nella maggior parte dei casi l’attaccante provvede ad effettuare una copia dei dati crittografati proprio per aver maggior possibilità di far leva sulla paura dell’utente di veder i propri dati esposti al pubblico (tutte le varie collection che si trovano nel dark web sono risultato di attacchi phishing e ransomware…).

Quale è la morale della favola?

Ci affidiamo ad APP, servizi cloud, home banking e quant’altro, pensando che, siccome funziona, vada sempre tutto bene. Poi, quando succede un incidente, normalmente presi dall’onda dell’emozione, iniziamo un piano di investimenti urgenti e senza una logica coordinata. 

La sicurezza si costruisce dal basso, a nulla servono firewall da decine di migliaia di euro o dispositivi di analisi del traffico se non esiste una politica della sicurezza condivisa a livello aziendale.

Unica arma di Difesa Possibile? La Formazione del Personale!

Il Cloud non è sicuro né tantomeno pericoloso, sono le politiche di conservazione dei dati che applicano le aziende che devono essere valutate e la sensibilità degli utenti che va cambiata. A nulla serve produrre certificazioni/documenti se poi si tratta solamente di procedure che rimangono sulla carta. Un attacco ransomware, nel 99,9% dei casi, avviene per imperizia da parte di utenti. Sono sistemi molto ben architettati, ma vi sono alcune regole da seguire che possono fare in modo che i nostri sonni siano più tranquilli anche se utilizziamo software o app in cloud. per questo consigliamo di:

  • Sostituire le password con cadenza programmata e, nel caso di servizi di importanza rilevante, almeno ogni 90 giorni)
  • Utilizzare password “forti”, quindi NON contenenti parti del nome utente o facenti riferimento a stringhe conosciute (ABC, proprio nome, mese anno ecc.)
  • Mantenere i sistemi aggiornati
  • Non divulgare la propria password
  • Se “succede qualcosa di strano” (un fornitore invia una pro forma con iban diverso dal solito, un contatto invia una mail con errori di ortografia, ecc.) chiedere sempre conferma telefonica (mai per email!!) della validità della comunicazione
  • Confermare telefonicamente qualsiasi transazione telefonica rilevante (confermare con la propria agenzia bancaria o il cliente/Fornitore  i dati relativi alla transazione)
  • Se è troppo bello, troppo economico, troppo vantaggioso… non esiste.

Questi sono solo alcuni dei nostri consigli, ma se vuoi saperne di più, scarica il volantino della nostra piattaforma formazione, utile a prevenire in modo responsabile i possibili attacchi informatici a cui siamo esposti ogni giorno.

E ricordiamoci che la più grande falla di sicurezza nei sistemi informatici… è tra lo schermo e la sedia!

Roberto Finco

Contattaci per info e supporto!

6 + 14 =

Sede

Via Bongiovanni 36/C
44122 FERRARA

Orari

L-V: 9-13 14-18
S: reperibilità telefonica 09-13

Chiamaci

0532 1916101