L’attacco hacker

E’ ormai di dominio pubblico (avendone parlato e scritto sia i principali telegiornali nazionali sia i quotidiani più letti) l’attacco hacker che si è manifestato la mattina del giorno 8 dicembre 2023 e che ha colpito l’azienda tecnologia WEST POLE s.r.l., che gestisce servizi cloud per le attività online di enti privati e pubblici in Europa.

Tra i clienti di WEST POLE S.r.l. vi è anche PA DIGITALE S.p.a., che offre servizi digitali per numerose pubblica Amministrazioni.

Il gruppo hacker che ha sferrato l’attacco, che si è palesato nel gruppo hacker russofono Lockbit 3.0, ha voluto colpire la Pubblica Amministrazione colpendo la catena di erogazione dei servizi digitali, criptando i dati trattati dall’operatore privato che vede tra i clienti committenti soprattutto Pubbliche Amministrazioni.

Il gruppo hacker Lockbit 3.0 ha infatti colpito la struttura di West Pole S.r.l., che fornisce l’infrastruttura informatica su cui vengono erogati i servizi (e trattati i dati) da parte di PA Digitale alle Pubbliche Amministrazioni clienti, principalmente tramite il servizio “as a service” URBI.

Le PA colpite indirettamente (ma di fatto rendendo inaccessibili sia i dati sia i servizi offerti da PA Digitale) sono oltre 1000, sia Amministrazioni Centrali così come enti locali ed altri enti pubblici (tra questi la stessa Anac, Unioni di Comuni, città e Comuni).

L’attacco ha comportato che il gruppo Lockbit 3.0, dopo essere penetrato nel sistema di West Pole, ne ha criptato i dati, compresi quelli di gestione dei software, attraverso i quali vengono erogati i servizi a tutte le PA coinvolte.

In considerazione delle dimensioni dell’attacco è intervenuta direttamente ACN, l’Autorità per la Cyber Nazionale, che ha fatto sapere, in una intervista del Presidente a Skytg 24, di essere «da diversi giorni in contatto con la Westpole S.p.A. e con PA Digitale S.p.A. per dare loro il massimo supporto al contenimento dei disservizi dovuti all'attacco informatico di tipo ransomware portato a segno dal gruppo di hacker russofono Lockbit 3.0 (…). L'attività svolta ha consentito il ripristino di tutti i servizi impattati, nonché il recupero dei dati oggetto dell'attacco per più di 700 dei soggetti pubblici nazionali e locali, legati alla catena di approvvigionamento di PA Digitale S.p.A».

Sotto il profilo della tutela del dato personale, al di là dell’operatività dei servizi, si è immediatamente posto il tema dell’eventuale esfiltrazione o distruzione di dati di cui sono titolari le PA e che erano trattati da West Pole, e a monte da PA Digitale, in forza dei contratti di servizio stipulati con gli enti pubblici.

PA Digitale, sul punto, ha dichiarato che “Westpole non ha evidenziato, né durante il periodo di esecuzione dell’attacco, né durante i giorni precedenti, alcuna esfiltrazione di dati. “Abbiamo operato sin da subito per ottenere da Westpole il ripristino di una nuova infrastruttura affidabile e sicura sulla quale, attivando propri gruppi di lavoro in emergenza, ha proceduto alla reimportazione dei dati dei propri clienti partendo da backup di dati, operando, senza limiti di risorse e orario, per garantire un’effettiva, sicura e tempestiva ripresa dei servizi. I clienti – continua la nota – sono progressivamente in fase di riavvio a scaglioni e per gruppi successivi, con le prime riattivazioni avvenute già nella giornata di ieri. Man mano che i singoli clienti vengono ripristinati sulla nuova infrastruttura viene loro riattivato l’accesso ai servizi applicativi e da quel momento il cliente potrà tornare ad operare nel sistema”.

La stessa PA Digitale, poi, ha comunicato (in alcuni casi allegandola in copia) che la stessa West Pole ha tempestivamente provveduto a dare comunicazione di data breach al Garante della Privacy, che è stato quindi tempestivamente informato dell’attacco.

Al momento, PA Digitale sta ripristinando i servizi recuperando dai back-up i dati degli enti. In considerazione del numero di enti coinvolti (si pensi che la piattaforma West-Pole opera per circa 1300 enti pubblici), le operazioni, a distanza di quasi oltre dieci giorni, non sono ancora concluse e non tutti i servizi sono pienamente operativi.

Un simile attacco, tuttavia, porta necessariamente a considerare ulteriori misure che debbono essere adottate dal singolo ente pubblico non tanto per prevenire un attacco che coinvolge un soggetto terzo, ma per garantire un tempestivo ripristino dei servizi.

Le misure di sicurezza informatica e le prassi operative da adottare.

Come più volte evidenziato anche in precedenti news (ad es. quella relativa all’attacco subito da un’Azienda Sanitaria che portato il Garante ad erogare una sanzione pecuniaria per non avere adottato adeguate misure a tutela dei dati personali), il trattamento dei dati di cui è titolare l’Ente Pubblico con modalità prettamente digitali determina la necessità di adottare non solo misure tecniche di sicurezza attuate in modo specifico al perimetro dei dati personali, in ottemperanza al regolamento, ma misure di sicurezza organizzative, procedurali e anche tecniche, tutte insieme, capaci di ridurre il rischio di compromissione di tutti i dati trattati dell’Ente.

Tra questi, come detto, rientrano le misure di sicurezza informatica che, con riferimento agli Enti Pubblici, si riferiscono alle MISURE MINIME DI SICUREZZA individuate da AGID e che ogni P.A. ha l’obbligo di adottare sin dal 2017 (non solo quelle relative al livello minimo, ma al livello standard).

Pertanto, la prima indicazione operativa, ancora una volta, è rappresentata dalla raccomandazione agli enti pubblici titolari di dati personali di provvedere all’implementazione delle misure di sicurezza adottate sino a completare il livello di sicurezza “standard” di tali misure, a cui si rinvia e di cui si è già svolto un approfondimento nelle precedenti news.

Con riferimento al caso concreto appena occorso a PA Digitale, l’esperienza ha mostrato l’opportunità di svolgere una specifica misura di sicurezza, rappresentata dal back-up dei dati di cui l’ente è titolare e che vengono riversati e trattati dal servizio digitale in cloud fornito dal soggetto terzo (nel caso di specie era PA Digitale s.p.a. per tramite di West Pole s.r.l.).

Da un lato, infatti, la società affidataria del servizio (come nel caso di specie) rappresentava il possesso delle misure di sicurezza richieste per garantire la sicurezza dei dati, tuttavia ciò non è stato sufficiente ad impedire l’attacco hacker. Solo gli approfondimenti successivi al ripristino dei servizi consentiranno di accertare le modalità dell’attacco ed eventuali responsabilità dell’operatore economico.

Nel frattempo, tuttavia, è chiaro che se la singola amministrazione fosse in possesso dei dati riversati sul servizio in cloud URBI ciò consentirebbe, una volta ripristinata l’infrastruttura, di ricaricare molto più rapidamente i dati con la certezza che i dati medesimi sono stati conservati.

Nell’ipotesi in cui, poi, l’attacco hacker subito da PA Digitale avesse coinvolto anche i back-up, quantomeno quelli più recenti, il back-up eseguito dall’Ente titolare consentirebbe di poter garantire il ripristino dei dati dei soggetti interessati dal trattamento.