Informatica e cybersicurezza nella Pubblica amministrazione. Quando l’hacker diventa… superfluo

Accadde a Poste Italiane.

Poste Italiane settore informatico, interno giorno.
L’impiegato zelante e il dirigente. Si alza il sipario.

L’impiegato zelante: -Dottò hanno hackerato il nostro sito –
Il dirigente (sobbalzando sulla sedia):- Gesù e chi è stato?-
L’impiegato zelante:- quelli sono stati gli Hacker –
Il dirigente (agitando la penna verso l’Impiegato zelante con aria di superiorità):- e io ve l’avevo detto: gli Accheri della polvere sono animaletti che s’infilano sotto al pavimento, vanno dentro alle macchine e le intasano, avete chiamato la disinfestazione?–
L’impiegato zelante:- Dottò ma quelli sono uomini non insetti… –
Il Dirigente:- Esposito ma che andate dicendo? Gli uomini sotto al pavimento? –
L’Impiegato zelante:- Dottò gli Hacker sono dei programmatori che si divertono a rovinare i siti degli altri, magari questi sono pure russi –
Il Dirigente:- E secondo te questi vengono dalla Russia con le pinze e il cacciavite a guastare le macchine in Italia?  Come fanno a entrare? Ci sono i tornelli e ci vuole il tesserino da inserire. L’hanno avuto dai nostri ispettori? Non credo proprio: abbiamo la massima sicurezza noi! –
L’Impiegato zelante:- dottò quelli fanno con i computer da laggiù, entrano nel sito e sfasciano tutte cose –
Il Dirigente:- Senta Esposito, lo sanno anche i bambini che per accedere al nostro sito ci vuole la password. A quelli chi gliel’ha data? Babbo natale? –
L’impiegato zelante:- Vabbuò dottò come non detto… –

SCHERZANDO MA NON TROPPO

Naturalmente ho celiato ma sta di fatto che alcuni giorni fa il sistema informatico di Poste Italiane S.p.A. ha dato forfait. Alcuni uffici hanno chiuso al pubblico, non si potevano effettuare transazioni da casa o con le carte di credito. L’azienda si è trincerata dietro un “Problemi tecnici” e la cosa è finita lì: a chi serviva danaro o doveva pagare le bollette è rimasto come un babbeo. Però anche alcuni mesi prima s’era presentato lo stesso problema causando gli stessi inconvenienti. Mi chiedo se al Ministero delle Poste, organo di controllo, quanto avvenuto praticamente in casa sua, interessi a qualcuno perchè di provvedimenti presi a carico di Poste S.p.A. per il disservizio non ci è dato sapere.

INPS

Non so se lo ricordate: allo scoccare della mezzanotte tra il 31 marzo e il 1° aprile del 2020, il sito dell’Inps fu preso d’assalto da decine di migliaia di autonomi per richiedere il bonus di 600 euro previsto dal decreto Cura Italia. Il grande numero di accessi creò tanti di quei problemi da rendere inaccessibile il servizio a buona parte degli utenti. In quel caso l’Inps si “auto hackerò”, perdonatemi il termine, perché provocò ai suoi sistemi un involontario attacco Ddos (Distribuited Denial of Service). Non c’era un gruppo di criminali a combinare quel guaio, è bastato un semplice sovraccarico di accessi.

La cosa andava prevista e progettato il sistema adeguatamente. Non vi voglio rompere le scatole con dei tecnicismi ma ogni centro che si rispetti con accesso al pubblico usa un sistema chiamato “load balancing” che, però, bisogna saper configurare. La cosa avrebbe, probabilmente, risolto il problema ma, visti i risultati, oso ritenere fosse completamente ignota ai tecnici dell’azienda. Magari l’avevano orecchiata da qualche parte ma inventariata come “stupidata informatica”.

LA SANITÀ PUBBLICA

Andando più indietro nel tempo, ma non di tanto, nel Lazio e in altre regioni è stato colpito il sistema di prenotazioni del Sistema Sanitario, quindi niente analisi, visite e vaccinazioni. La cosa s’è protratta per un bel po’, dopodiché i solerti tecnici hanno risolto il problema e memori dell’accaduto… ci sono ricascati di lì a qualche giorno.

Viene da chiedersi: – Ma come ti bloccano per un sacco di tempo e quando hai finito di recuperare tutti i dati e riesci a far funzionare il sistema ci ricaschi come un bradipo ubriaco? “. Alla fine c’è stata pure una richiesta di riscatto. L’avranno pagato i nostri solerti guardiani del bene pubblico? Quello che sappiamo è che i dati furono recuperati da un salvataggio che era stato pure cancellato e manco criptato (sempre secondo le fonti ufficiali).

TROVATO IL CAPRO ESPIATORIO

La causa dell’inconveniente fu individuata in un dipendente di Frosinone di LazioCrea  (secondo le indagini di Cnaipic il Centro nazionale anticrimine informatico per la Protezione delle infrastrutture critiche), a cui furono rubati i dati di accesso al sistema. Non si sa se il tizio fosse stato vittima di un attacco mirato, di qualche virus realizzato ad arte o spulciando Internet. Rimane il fatto che di coloro che non hanno ben gestito la cosa e mai affrontato la protezione dei sistemi nulla si conosce: stanno ancora lì? Ci fidiamo, nonostante tutto, di loro?.

Pure qui ci sorge il dubbio sulla preparazione fornita al personale adibito a questi lavori particolarmente delicati. In seguito il Lazio iniziò a prendere in considerazione l’eventualità di dotarsi di un sito gemello per andare avanti con la campagna vaccinale e le visite (ricordate il Load Balancing? Ecco quella cosa là all’incirca). Aperta la stalla, scappati i buoi, hanno cominciato a pensare ai rimedi, non alla prevenzione, come al solito. In compenso, Lazio Crea ha mostrato i certificati di cyber security validi fino al 2023. Peccato che siano serviti a poco e che ci sia voluto un mese per ripartire.

Nelle ultime settimane è stata hackerata la rete a cui sono collegati i ministeri della Difesa, degli Esteri, dei Beni culturali, dell’Istruzione e il Consiglio superiore della magistratura. Cinquanta portali istituzionali sono finiti sotto attacco il 19 maggio, mentre già l’11 dello stesso mese erano stati colpiti quelli del Senato e dell’Iss.

LA CYBERSICUREZZA ITALIANA

Sulle azioni degli Hacker ha aperto un fascicolo d’indagine la procura di Roma che ha delegato gli accertamenti agli specialisti della Polizia postale. Appena hanno saputo la cosa gli Hacker russi di Killnet si sono preoccupati: “a’ polizia postale: mo’ song guai!!” pare abbiano esclamato in napoletano. L’Agenzia per la cybersicurezza nazionale ci tranquillizza avvertendo che gli attacchi di tipo Ddos possono rendere indisponibili i siti per un certo periodo di tempo ma non intaccano l’integrità dei sistemi (che fortuna!).

Anche la politica si è incaricata della questione e il sottosegretario Franco Gabrielli delegato ai Servizi e alla Cybersicurezza ci fa sapere che ”Alcuni di questi attacchi li abbiamo registrati anche nel recente passato, ovviamente oggi assumono un rilievo e un significato maggiore perché sono inquadrati in una vicenda bellica quella che viene giustamente chiamata una guerra ibrida perché lo scontro non avviene solo sul campo di battaglia ma anche nel dominio cibernetico e quindi ha conseguenze che vanno al di là dei confini della stessa Ucraina”. Gabrielli ci ha informati su quello che già sapevamo e ora siamo a posto, possiamo fare da puntaspilli per i prossimi pirati informatici. D’altro canto fu egli stesso ad affermare poco tempo fa che: “Bisogna correre. Subito l’Agenzia (quella per la cybersicurezza). Il 95% dei server della Pubblica amministrazione non è affidabile”. Se lo dice lui… .

LA SITUAZIONE

Che siano Poste, Inps o Asl ancora una volta balza agli occhi il pressappochismo dell’informatica nella Pubblica Amministrazione italiana. Settori e settori informatici paiono tirare avanti alla meno peggio per poi correre come matti quando ormai il danno è stato provocato. In quei momenti si innalzano cori: “Questi della ditta X non capiscono niente, quelli dell’azienda Y pigliano soldi e non sono capaci“. Sempre colpa dei manutentori esterni. I nostri scienziati, invece, sembrerebbero stare lì a guardare tentando di capire… (forse) .

Ah questi aggiornamenti… !

Aggiornamenti che bloccano una nazione e che potevano essere fatti, magari, di notte o nei giorni di minor traffico (la domenica? Magari la domenica notte?) sotto stima del volume di traffico delle transazioni. Un conto essere nel mirino degli hacker e un conto è auto hackerarsi come sarebbe avvenuto nel nostro caso. Il triste di queste vicende è che i grassi bonzi assisi dietro alle scrivanie danno l’impressione di non comprendere bene la materia che dovrebbero amministrare al meglio. Vabbè alla fine ci sono i tecnici delle ditte appaltatrici: facessero loro tanto sono strapagati… .

Pirateria a parte gli inconvenienti tecnici gridano vendetta. Se gli aggiornamenti ai sistemi causano all’efficienza generale problemi simili a quelli della pirateria informatica, qualcosa certamente non va. Gli allegri omini ministeriali paiono completamente avulsi dai problemi dell’utenza scomodata: vecchi che hanno fatto file, persone con scadenze da rispettare, problemi di riscossione o prenotazioni sanitarie. “Che ci vuoi fare c’è stato un inconveniente tecnico, stavamo aggiornando… .“.  Vengono in mente alcuni versi del Giusti:
…
Ah, intendo; il suo cervel, Dio lo riposi,
in tutt’altre faccende affaccendato,
a questa roba è morto e sotterrato.

QUANDO SI PARLA DI HACKER

Cinquanta attacchi ai sistemi della P.A. vi sembrano poca cosa? È un fatto gravissimo che fornisce una idea ben precisa di come è gestita la sicurezza, di come i nostri dati sensibili sono in pericolo e probabilmente anche i nostri risparmi. C’è da dire che il Csirt s’è dato da fare a tal punto da ricevere un messaggio d’elogio da parte dei signori di Killnet che pubblico a lato. Pensate come saranno orgogliosi di loro stessi i nostri tecnici… . Il Csirt (Computer Security Incident Response Team Italia) è la squadra che fa parte dell’Agenzia per la cybersicurezza nazionale. “Timeo Danaos et dona ferentes” (ho paura dei Greci soprattutto quando portano doni) erano le parole pronunciate da Laocoonte ai Troiani per convincerli a non introdurre il Cavallo di Troia all’interno delle mura della città.

Quelli dei pirati infomatici sono complimenti sinceri o la minaccia di attacchi futuri? Dopo questo messaggio, Killnet precisa: “Ho solo elogiato il sito csirt.gov.it e il loro team. Le restanti migliaia di siti italiani che non funzionano, è un peccato. Non pubblicheremo questo elenco perché le persone devono vedere tutto da sole. Spero che il sistema di monitoraggio italiano lo faccia per noi”.

C’è una sgrammaticata ironia nel gruppo degli hacker. Il messaggio è, infatti, accompagnato dal logo del CSIRT con un uomo impiccato. Stanno per essere organizzati ulteriori attacchi?

I PROBLEMI DELLA P.A.

L’informatica della P.A. pare soffrire di due problemi: gli Hacker e sé stessa. Gli attacchi della pirateria sono solitamente mossi da tre scopi: uno quasi amichevole e due praticamente ostili. Da una parte si vuole portare all’attenzione dell’utenza i punti critici di un sistema informatico. Accadde già nel 2009 a Poste Italiane. Dall’altra sabotare un sistema per scopi politici o per trafugare del denaro. Nella eventualità di un attacco benevolo sarebbero stati mostrati dei dati a suffragare l’operazione effettuata. Un attacco malevolo avrebbe puntato a obiettivi governativi di alto livello in modo più pesante o rubato denaro e beni rivendibili. Se furto di dati ci fosse, non ce ne accorgeremmo subito, semmai, giorni, settimane o mesi dopo. L’interesse di un criminale informatico è quello di celare per il maggior tempo possibile un suo attacco.

Nel caso di INPS e ultimamente di Poste tutto sembrerebbe dovuto alla perizia di chi gestisce i sistemi. I pirati informatici? Fanno quello che sanno fare: per lo più danneggiare e già basterebbero solo loro… . È tollerabile la cosa? Assolutamente no. Chissà se un giorno al Forum della Pubblica Amministrazione ci sarà uno stand che illustra la rinnovata sicurezza e il numero degli incapaci messi alla porta (perché ce ne sono, visti i risultati)?

Un saluto da un metro e mezzo di distanza.