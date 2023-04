“Cari concittadini, come molti di voi sapranno, l’11 marzo scorso un attacco hacker ha messo in difficoltà il sistema informatico del Comune. Ancor più critica è stata la conseguente pubblicazione di dati sensibili sul web, a opera del gruppo criminale, con una gravissima violazione della privacy a danno di alcuni cittadini”. Comincia con queste parole il messaggio del sindaco, Mario Conio, rivolto alla cittadinanza di Taggia dopo l’attacco hacker dello scorso 11 marzo.

“Ciò che è successo non va preso con leggerezza. Purtroppo questo tipo di incursione è sempre più frequente. Garantisco la massima serietà da parte dell’amministrazione, degli Uffici Comunali e del nostro Responsabile per la protezione dei dati personali, nella gestione dell’accaduto. Per ragioni di doverosa trasparenza, è mia intenzione darvi i dettagli dell’emergenza e come questa è stata affrontata” prosegue il primo cittadino taggiasco che poi entra nei particolari:

𝐍𝐚𝐭𝐮𝐫𝐚 𝐝𝐞𝐥𝐥𝐚 𝐯𝐢𝐨𝐥𝐚𝐳𝐢𝐨𝐧𝐞: attraverso l’accesso alla rete interna all’Ente, gli hacker hanno effettuato upload del virus ransomware, il quale si è propagato nel resto della rete interna, fino a raggiungere i server sui quali risiedono le banche dati comunali. L’attacco ha determinato una perdita di riservatezza, perdita di integrità e perdita di disponibilità dei dati personali.

𝐐𝐮𝐚𝐧𝐝𝐨 è 𝐚𝐯𝐯𝐞𝐧𝐮𝐭𝐨 𝐥’𝐚𝐭𝐭𝐚𝐜𝐜𝐨: sulla base degli accertamenti fin qui condotti, l’attacco è stato perpetrato in data certamente antecedente al momento in cui è stato constatato, anche se non pare possibile individuare il momento esatto in cui i malintenzionati si siano introdotti nel sistema informativo ed abbia iniziato la propria attività criminosa. Ci siamo accorti della violazione l’11 marzo 2023 alle 12.30.

𝐃𝐞𝐬𝐜𝐫𝐢𝐳𝐢𝐨𝐧𝐞 𝐝𝐞𝐥𝐥𝐚 𝐯𝐢𝐨𝐥𝐚𝐳𝐢𝐨𝐧𝐞: l’attacco è stato perpetrato attraverso la diffusione del ransomware cryptolocker “White Rabbit”. Sono stati attaccati il server master, le macchine virtuali da questo ospitate e i supporti di backup on line, tutti presenti in apposito locale CED dedicato, sotto chiave e dotato di allarme; altresì sono stati violati tutti i personal computer rimasti accesi presso le singole postazioni di lavoro.

𝐂𝐚𝐭𝐞𝐠𝐨𝐫𝐢𝐞 𝐝𝐢 𝐢𝐧𝐭𝐞𝐫𝐞𝐬𝐬𝐚𝐭𝐢 𝐜𝐨𝐢𝐧𝐯𝐨𝐥𝐭𝐢 𝐧𝐞𝐥𝐥𝐚 𝐯𝐢𝐨𝐥𝐚𝐳𝐢𝐨𝐧𝐞: la violazione ha interessato i dati relativi al personale, agli amministratori, ai soggetti residenti e non residenti, ai contribuenti, agli utenti dei servizi comunali, contenuti all’interno degli applicativi utilizzati e nei documenti depositati negli archivi. Non è possibile stabilire con esattezza il numero di interessati.

𝐂𝐨𝐧𝐬𝐞𝐠𝐮𝐞𝐧𝐳𝐞 𝐝𝐞𝐥𝐥’𝐚𝐭𝐭𝐚𝐜𝐜𝐨: la violazione ha crittografato, rendendo quindi illeggibili e inutilizzabili i file. Il gruppo hacker ha conseguentemente inviato ripetute richieste di pagamento di ingenti somme di denaro a titolo di riscatto, il Comune ha mantenuto un atteggiamento di chiusura e contrasto dell’attività criminale. Mentre una verifica iniziale non consentiva di esprimersi in merito ad una eventuale esfiltrazione di dati personali, successive evidenze lo hanno confermato (pubblicazione su pagine internet). In conseguenza di quanto sopra, i dati, divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento, potranno essere correlati, senza sforzo irragionevole, ad altre informazioni relative agli interessati e potrebbero essere utilizzati per finalità diverse da quelle previste oppure in modo non lecito. Tutti gli uffici comunali manterranno un livello di massima allerta per evitare il presentarsi di situazioni dannose o pericolose per gli interessati, in relazione al compimento delle attività e dei servizi di competenza comunale. I profili di integrità e di disponibilità dei dati sono stati risolti grazie al tempestivo intervento dei tecnici comunali.

𝐌𝐢𝐬𝐮𝐫𝐞 𝐭𝐞𝐜𝐧𝐢𝐜𝐡𝐞 𝐞 𝐨𝐫𝐠𝐚𝐧𝐢𝐳𝐳𝐚𝐭𝐢𝐯𝐞 𝐚𝐝𝐨𝐭𝐭𝐚𝐭𝐞 (𝐨 𝐝𝐢 𝐜𝐮𝐢 𝐬𝐢 𝐩𝐫𝐨𝐩𝐨𝐧𝐞 𝐥’𝐚𝐝𝐨𝐳𝐢𝐨𝐧𝐞) 𝐩𝐞𝐫 𝐩𝐨𝐫𝐫𝐞 𝐫𝐢𝐦𝐞𝐝𝐢𝐨 𝐚𝐥𝐥𝐚 𝐯𝐢𝐨𝐥𝐚𝐳𝐢𝐨𝐧𝐞 𝐞 𝐚𝐭𝐭𝐞𝐧𝐮𝐚𝐫𝐧𝐞 𝐢 𝐩𝐨𝐬𝐬𝐢𝐛𝐢𝐥𝐢 𝐞𝐟𝐟𝐞𝐭𝐭𝐢 𝐧𝐞𝐠𝐚𝐭𝐢𝐯𝐢 𝐩𝐞𝐫 𝐠𝐥𝐢 𝐢𝐧𝐭𝐞𝐫𝐞𝐬𝐬𝐚𝐭𝐢:

Dal momento della rilevazione dell’attacco sono state prontamente attivate le policy e le procedure di emergenza del Comune. Le azioni messe in campo sono:

– 𝐈𝐝𝐞𝐧𝐭𝐢𝐟𝐢𝐜𝐚𝐳𝐢𝐨𝐧𝐞: attività di cyber investigation per determinare l’attore malevolo e le modalità e relativo vettore di attacco (in fase di ultimazione dell’analisi); – 𝐀𝐭𝐭𝐢𝐯𝐢𝐭à 𝐝𝐢 𝐚𝐧𝐚𝐥𝐢𝐬𝐢 𝐥𝐨𝐠 per verificare possibile esfiltrazione dati (attività completata); – 𝐂𝐨𝐧𝐭𝐞𝐧𝐢𝐦𝐞𝐧𝐭𝐨: sono state attivate le azioni di mappatura delle macchine e dei sistemi infettati e compartimentato l’area per mitigare gli effetti malevoli affinché il danno non si propagasse ulteriormente (attività completata); – 𝐄𝐫𝐚𝐝𝐢𝐜𝐚𝐭𝐢𝐨𝐧: attività di rimozione della minaccia (attività completata); – 𝐑𝐞𝐜𝐨𝐯𝐞𝐫𝐲: attività di ripristino dei sistemi, database e servizi (attività completata).

Informazioni sull'autore del post