Come si poteva immaginare, la scalata dei ransomware è solo all’inizio e dopo la regione Lazio arriva anche l’incidente di sicurezza del servizio sanitario regionale della Toscana. Da quanto trapelato dalle prime notizie di stampa sembra che l’evento malevolo sia accaduto tra il 17 e il 18 agosto scorsi. Tuttavia, seguendo le ricostruzioni fornite dai tecnici dell’azienda sanitaria ARS Toscana, i sistemi non dovrebbero essere stati compromessi grazie alla presenza di backup non intaccati dall’incidente di sicurezza.
Dalle dichiarazioni pervenute in merito all’accaduto, il ransomware avrebbe cifrato i dati dei sistemi informativi della ARS Toscana causando la compromissione di molte informazioni epidemiologiche salvate in essi. Non ci sono, invece, dati sensibili di cittadini (soprattutto dati sanitari personali) poiché l’ARS Toscana non li tratta direttamente.
Il presidente Eugenio Giani ha dichiarato che “è in corso il lavoro dei tecnici che sono intervenuti nell’immediatezza e che stanno ultimando il recupero dei dati epidemiologici e statistici trattati dall’Agenzia”. Nel frattempo, la Regione ha confermato che non ci sono stati down dei propri sistemi ma soprattutto dei servizi esterni offerti alla cittadinanza. Nessuno tra portale dell’ARS, banche dati e server di posta elettronica hanno avuto periodi di malfunzionamento estesi che potrebbero aver compromesso la loro operabilità.
Ancora una volta tornano le motivazioni che abbiamo delineato sempre più spesso negli ultimi tempi. Viviamo in una società guidata dai dati dove questi sono diventati uno degli asset fondamentali e più remunerativi. Causare malfunzionamenti o impossessarsi di dati personali da un lato può essere una fonte di guadagno per i malintenzionati e dall’altro arreca danni d’immagine con importanti ricadute economiche al proprio business.
Per di più, la componente umana intesa come gli utenti che sono bersaglio di eventuali campagne di phishing e social engineering continua ad essere l’anello debole per penetrare i sistemi aziendali. Molto spesso, l’emotività gioca brutti scherzi e alterna la capacità di distinguere correttamente un’azione corretta da una potenzialmente rischiosa. Bisognerebbe cercare di non arrivare a questo livello di scelta e soprattutto non farlo in momenti in cui non si è completamente lucidi (vale a dire periodi di stress o ansia, momenti in cui è necessario fare qualcosa in estrema fretta, ecc…).
In questo caso la presenza di un backup è stata fondamentale ma soprattutto utile, in quanto la copia dei dati non era stata compromessa essa stessa dal ransomware. Tuttavia, non sempre è sufficiente dal momento che è necessario capire da quanto il virus era nel sistema e quindi in quante copie passate del backup potremmo potenzialmente trovarlo.
Un altro fattore essenziale è dato dalla segregazione dei sistemi con cui si intende la divisione delle infrastrutture per evitare di avere un unicum raggiungibile da ogni punto della rete aziendale. Tale ipotesi si raggiunge con un’adeguata progettazione delle infrastrutture e con una oculata gestione degli accessi. Naturalmente il principio del privilegio minimo (PoLP) è sempre da considerarsi estremamente efficace nella definizione dei ruoli per l’accesso ai sistemi. In questo modo si evita di andare incontro a potenziali super utenti in grado di accedere a ogni componente dell’infrastruttura e che se compromessi potrebbero generare danni enormi.
Per il momento i sistemi dell’ARS Toscana sembrano di nuovo sotto controllo e nei prossimi giorni inizieranno le indagini della polizia postale per stabilire con esattezza le cause e le origini di tale incidente. Invece, per noi cittadini valgono sempre i principi cardine della sicurezza su Internet: attenzione a ciò che si scarica e alle e-mail che si ricevono, evitare di accedere a contenuti di mittenti sconosciuti e mai inserire credenziali personali in nessuna pagina web.