Un grave attacco informatico del ransomware Lockbit ha colpito Westpole, un’azienda che fornisce servizi cloud alla società PA Digitale, responsabile di software e programmi utilizzati da numerosi enti pubblici italiani. Questo attacco ha avuto un impatto significativo sulla funzionalità di molti enti pubblici, causando disagi e rallentamenti.
Cos’è WestPole?
Westpole è un’azienda che fornisce servizi di cloud computing e soluzioni IT. Opera principalmente in Europa e si concentra sull’offerta di infrastrutture IT, servizi cloud, gestione dei dati e soluzioni di sicurezza informatica per le aziende e le pubbliche amministrazioni. Westpole offre una gamma di servizi che includono hosting, storage, backup, disaster recovery, e servizi di consulenza IT, tra gli altri.
Dettagli dell’Attacco
L’attacco è iniziato alle 5.30 dell’8 dicembre, quando i cyber criminali di LockBit hanno azzerato il funzionamento di circa 1.500 macchine virtuali nei data center di Westpole a Milano e Roma. Questo ha portato al blocco delle funzionalità di Urbi, un software gestionale sviluppato da PA Digitale per le attività di conservatoria degli enti pubblici.
Assenza di Furto di Dati
Nonostante il tipico modus operandi di LockBit preveda l’esfiltrazione dei dati prima di crittografarli con il ransomware, Westpole ha comunicato che non risulta alcun furto di dati. Questo è un aspetto rilevante, in quanto riduce il rischio di doppia estorsione, ovvero la minaccia di pubblicare i dati rubati se non viene pagato il riscatto. Ipotesi che solo il tempo potrà confermare se non compariranno avvisi di riscatto dalle pagine web LockBit.
Conseguenze per la Pubblica Amministrazione
Molti uffici pubblici non riescono ad accedere ai loro documenti salvati nel cloud, con conseguenze sull’operatività quotidiana. Sono bloccati l’albo pretorio online e ci sono problemi nel protocollare pratiche e domande. Comuni come Rieti e Cernusco sul Naviglio hanno avvisato i cittadini dei problemi legati all’attacco.
Impatto su Aziende Private
Anche aziende private come Buffetti e Dylog, che utilizzano il cloud di Westpole per programmi di fatturazione, hanno subito le conseguenze dell’attacco. Al momento, PA Digitale, Buffetti e Dylog stanno cercando di svincolare le proprie attività dal cloud di Westpole.
Misure di Mitigazione e Recupero
PA Digitale ha un backup dei dati di tutti gli enti aggiornato all’8 dicembre e sta utilizzando questo per riavviare i servizi, attraverso la migrazione su nuovi sistemi. L’azienda ha dato priorità agli enti che utilizzano i suoi software per elaborare i cedolini paga, per evitare che i dipendenti pubblici rimangano senza stipendio.
Intervento “eroico” dell’Agenzia per la Cybersicurezza Nazionale (ACN)
L’ACN ha chiarito che si tratta di LockBit ed è intervenuta per analizzare l’impatto dell’attacco ransomware e indicare le modalità di recupero dei dati, aiutando Westpole a ripristinare i suoi servizi secondo quanto riportato dalle veline di stampa.
L’ACN ha fornito supporto tecnico immediato, contribuendo al ripristino dei servizi e al recupero dei dati. Sono stati recuperati i dati di oltre 700 soggetti pubblici nazionali e locali che hanno contratti con PA Digitale S.p.A. Per le restanti amministrazioni, è necessario recuperare i dati dei tre giorni precedenti l’attacco. PA Digitale ha assicurato che il pagamento degli stipendi di dicembre e delle tredicesime avverrà regolarmente.
La notizia diffusa in questo modo dai media non risulta propriamente credibile visto che Westpole non si occupa di agricoltura ed è perfettamente in grado di ripristinare i suoi server, avendo anche più dipendenti dell’Agenzia Cybersicurezza Italiana. Bisogna puntualizzare anche la narrazione che i dipendenti della PA abbiano la tredicesima assicurata grazie all’ACN, sia in linea con una narrazione di propaganda cyber già vista in passato.
La proposta di Roberto Beneduci
Roberto Beneduci prende spunto dall’attacco a Westpole liberandolo dalle polemiche e formula una proposta che potrebbe tornare utile al mercato ed alla funzione di ACN. Secondo il CEO di CoreTech, le aziende che subiscono attacchi dovrebbero condividere le loro esperienze negative con ACN in modo tale che l’Ente formuli dei consigli da smistare alle imprese di sicurezza informatica. Questo migliorerebbe gradualmente il livello di difesa del Paese. Aiuterebbe anche ad intercettare da subito la gravità del danno visto che il settore IT è interessato in questo momento a comprendere come abbia fatto Westpole ad essere certa che non ci sia stata una esfiltrazione dei dati, condividendo eventuali consigli con tutto il reparto informatico italiano in modo che si adottino misure i sicurezza sempre più all’avanguardia.
Responsabilità e Misure di Sicurezza
Secondo Andrea Lisi, ANORC, non si può attribuire la colpa a chi si è affidato a Westpole, in quanto la scelta è stata fatta secondo le normative vigenti. PA Digitale, uno dei fornitori colpiti, è un conservatore iscritto ad ANORC e segue le Linee Guida di AgID per la conservazione dei documenti. Lisi esprime fiducia nel fatto che il sistema di conservazione abbia resistito all’attacco, grazie a un robusto sistema archivistico digitale e a misure di sicurezza adeguate.
Problemi e Soluzioni per la Conservazione dei Documenti
L’incidente solleva interrogativi su come le PA gestiscono e conservano i loro documenti. Lisi suggerisce che, se il sistema Paese si basa sul cloud, la sicurezza deve essere garantita da misure elevate e monitorate costantemente, non solo da autodichiarazioni.
Questo attacco informatico rappresenta uno dei più gravi incidenti del settore in Italia, mettendo in luce la vulnerabilità delle infrastrutture IT e l’importanza di misure di sicurezza efficaci, soprattutto quando si tratta di tutelare il perimetro cibernetico della PA con una riflessione sul cloud che non sempre è casa dello Stato che conserva i suoi dati altrove, bensì in casa di un privato.
Nello stupore e nella sorpresa generale dell’evento, Matrice Digitale ricorda che ACN poggia alcuni servizi non identificati sui server collocati in USA come raccontato in esclusiva dalla nostra testata.
