Grave cyber attacco alla Pubblica Amministrazione in Italia tramite la PEC

Italia Robertobaldoni Dis Cybersecurity Pec Cisr Infosec Cyberattack Hacker Cyberspionaggio Nsc Cioc Csirt Giustizia Tribunali Pec Sicurezzacibernetica

La Pubblica Amministrazione in Italia, specie quella legata al Comitato Interministeriale per la Sicurezza della Repubblica (CISR), ha subito un violento attacco cibernetico. Il vice direttore del DIS per la cyber security, Roberto Baldoni: E’ passato tramite un unico operatore PEC

Lo Stato e la Pubblica Amministrazione in Italia nei giorni scorsi sono state vittime di un cyber attacco, passato tramite la Posta Elettronica Certificata (PEC). E’ stata un’operazione di spionaggio cibernetico, in cui gli hacker malevoli hanno rubato dati personali dei proprietari della PEC. Sembra, ma non ci sono conferme ufficiali, che l’aggressore sia un attore a livello statuale. A proposito il CNAIPIC della Polizia di Stato sta conducendo indagini ad hoc. Le vittime sono soggetti privati e pubblici. In particolare appartenenti alle istituzioni che fanno parte del Comitato Interministeriale per la Sicurezza della Repubblica (CISR). Cioè Presidenza del Consiglio, Autorità Delegata e i ministeri di Esteri, Difesa, Interno, Economia e Finanze, Sviluppo Economico e Giustizia. Il vice direttore del Dipartimento Informazioni per la Sicurezza (DIS), Roberto Baldoni, ha spiegato che è proprio quest’ultimo dicastero a essere stato coinvolto in maniera più visibile nell’attacco informatico. Ma non è l’unico.

Coinvolte 98.000 caselle di posta elettronica certificata, appartenenti a enti della PA collegati con il CISR. Colpita soprattutto la Giustizia ma non solo. In tutto sono state compromesse 500.000 mail di soggetti privati e di altre pubbliche amministrazioni

La conferma viene dal fatto che La dimensione del cyber attacco ha coinvolto circa 98.000 caselle di posta di enti della pubblica amministrazione CISR sulle 500.000 totali. E i magistrati in Italia sono circa 9.000, quindi di conseguenza xi sono almeno altri 89.000 soggetti, i quali fanno parte di enti della PA del CISR, che sono stati compromessi. A loro si aggiungono i privati cittadini e quelli di amministrazioni non facenti capo al Comitato. In questo contesto, Baldoni ha spiegato che “in un sistema di gestione del rischio partiamo per mettere al sicuro gli asset critici del sistema paese. Partiamo dal CISR e poi ci allarghiamo. Ci siamo concentrati soprattutto sulla chiusura della problematica e nel rispristino dei sistemi, che ancora è in atto. La polizia postale sta portando avanti indagini per risalire ai responsabili, che non provengono dall’Italia”, ha aggiunto il vice direttore del DIS.

Il vice direttore del DIS per la cyber security: Esfiltrate informazioni personali dei proprietari delle caselle di posta elettronica. Dai nomi utenti alle password. Queste vanno immediatamente cambiate da tutti coloro che potrebbero essere toccati dall’attacco cibernetico

Secondo Baldoni, il cyber attacco “non è sembrato di estrema raffinatezza tecnica dal punto di vista operativo, ma bisogna ancora effettuare le analisi”. Questo, nato dopo l’attività di ricognizione dell’operatore PEC target del 10 novembre, si è svolto il 12 nell’arco di poche ore. Infatti, si è concluso appena c’è stato lo shut down dei server, “Ci sono state esfiltrazioni di dati personali, non di documenti – ha sottolineato il vice direttore del DIS . Cioè appartenenti alla persona che è il proprietario della casella di posta elettronica”. Dagli nomi utenti alle password cifrate. La stima dei danni, però, non è stata ancora ultimata. Si consiglia, di conseguenza, a chiunque possieda una mail PEC di cambiare immediatamente le password. Specialmente se appartiene a qualche ente della Pubblica Amministrazione in Italia, legato al CSIR.

La genesi del cyber attacco agli enti della PA in Italia. Il 10 novembre c’è stata la ricognizione del target e il 12 l’aggressione, segnalata dall’operatore al CNAIPIC della Polizia. Questo l’ha girata all’NSC in quanto poteva avere rilevanza per la sicurezza nazionale

Come si è sviluppato il cyber attacco alla PA in Italia? “Un solo operatore di PEC, che fornisce servizi a una varietà di soggetti, ha subito un’aggressione cibernetica, in cui i primi sintomi si sono registrati il 10 novembre – ha sottolineato Baldoni -. Ovviamente erano operazioni di scanning, come ce ne sono milioni ogni giorno su Internet. Queste però erano propedeutiche all’attacco che si è verificato il 12 novembre. Alle 17:15 c’è stata la detection dell’evento. Ciò ha portato a un blocco del servizio. Successivamente ci sono state analisi all’interno dell’azienda colpita e il 13 novembre è stata data notifica dell’incidente al CNAIPIC”, ha aggiunto il vice direttore del DIS. La struttura si è accorta che “la problematica poteva avere rilevanza dal punto di vista della sicurezza nazionale e ha segnalato ciò al Nucleo per la Sicurezza Cibernetica (NSC)”. L’NSC è presieduto dal vice direttore del DIS con delega sulla cyber. Vi fanno parte anche AISE, AISI, i ministeri CISR, Protezione Civile, AgID e consigliere militare del presidente del Consiglio. Se necessario possono essere integrati altri membri del settore pubblico e privato.

L’NSC entra in gioco collezionando informazioni da tutti i sensori e il 14 novembre avvisa il presidente del Consiglio di un cyber attacco importante

Dopo la segnalazione dalla Polizia all’NSC del cyber attacco all’operatore PEC, “è partito il primo protocollo di allerta. Di questi peraltro ce ne sono stati diversi in questi primi 8 mesi di lavoro – ha proseguito Baldoni -. L’incidente ha però richiesto di passare a un secondo livello di allerta. Perché, in base a una serie di informazioni che ricevevamo dalle varie organizzazioni toccate dall’incidente, e l’evento più eclatante è stato il blocco dei Tribunali per la giornata del 14 novembre, abbiamo iniziato a collezionare informazioni da tutti i nostri sensori. Dallo CSIRT italiano ai CERT-N al CERT-PA, CNAIPIC e CIOC, con tutte le loro costituencies a supporto. Il 14 novembre alle 16:00 –ha detto il vice direttore del DIS per la cyber security – abbiamo dato informazione al presidente del Consiglio, che era in atto un attacco cibernetico importante”.

Si convoca un NSC straordinario, che si adopera per capire cosa accade, nonché come contenere il danno e ripristinare i sistemi. Il 16 novembre, aggiornamenti al presidente del Consiglio e il 19 nuovo CISR tecnico per fare il punto della situazione

“A quel punto – ha sottolineato il vice direttore del DIS con delega sulla cyber security – è stato convocato un NSC straordinario. Questo ha cercato di avere la figura operativa di ciò che stava accadendo e nello stesso tempo cercare di definire centralmente tutte le operazioni da fare per contenere il danno e ripristinare i sistemi. Dal 15 al 16 novembre abbiamo avuto una riunione estesa al target per cercare di capire cosa era successo nei dettagli più rilevanti e successivamente abbiamo proseguito con l’attività di monitoraggio e di attuazione delle misure di contenimento. Il 16 novembre – ha detto Baldoni – c’è stato l’aggiornamento al presidente del Consiglio e si è convocato il CISR tecnico che si è tenuto il 19 novembre. Qui si è fatto un resoconto di ciò che era accaduto all’interno dell’ente target e di tutti i risvolti che ci sono stati nelle varie amministrazioni.

Baldoni: Il cyber attacco “è stato grave e ha avuto ricadute importanti. Ma noi stavamo lavorando da tempo su una serie di punti, che definiscono cosa dobbiamo fare per il nostro sistema cibernetico nazionale”. Di fatto, è stata una vera e propria esercitazione del sistema paese e in particolare di tutta l’architettura della cyber security italiana

“Parliamo di oltre 30.000 domini e di un numero molto importante di mail e di dati esposti al cyber attacco – ha precisato Baldoni -. Circa 500.000 caselle di posta elettronica”. Il cyber attacco “è stato grave e ha avuto ricadute importanti – ha concluso -. Ma noi stavamo lavorando da tempo su una serie di punti, che definiscono cosa dobbiamo fare per il nostro sistema cibernetico nazionale”. Di fatto, questa è stata una vera e propria esercitazione del sistema paese e in particolare per tutta l’architettura di sicurezza cibernetica italiana, istituita dal Decreto del Presidente del Consiglio (DPCM) del febbraio del 2017. Questa vede a capo il premier e a scalare ci sono il CISR, il CISR tecnico, l’NSC e, infine il DIS. I primi tre si occupano del coordinamento politico, il quarto di quello ministeriale e il quinto nell’ambito della comunità d’intelligence.