La “proposta di deliberazione consiliare relativa all’istituzione di una commissione d’inchiesta sulla sicurezza informatica e sulla tutela della privacy informatica nell’ambito del Comune di Gorizia” è stata bocciata compattamente dalla maggioranza (cliccando qui potete leggerne il testo).
A nulla è servito sottolineare che nessuno voleva mettere in croce nessuno, che l’intento era quello di garantire maggiore trasparenza rispetto al tristemente noto fatto avvenuto il 29 agosto 2022 e più in generale rispetto a tutto ciò che concerne il trattamento di dati personali da parte dell’ente.
I cittadini erano e sono molto preoccupati, ma questo non sembra interessare a chi amministra la città.
Con quale scusa hanno bocciato la proposta della minoranza che, dopo una rivisitazione squisitamente formale è stata depositata i primi di dicembre 2022? Che della questione hackeraggio avremmo dovuto discuterne in seno alla commissione cultura prevista il 16 dicembre 2022 ma convocata il 12, ovvero quattro giorni prima in barba al regolamento.
Perché all’interno della commissione cultura? Perché è l’Assessore alla Cultura Fabrizio Oreti ad avere la delega al digitale. In quell’occasione l’opposizione non si presentò e per un motivo molto semplice: era in corso un braccio di ferro per il coordinamento della commissioni. La maggioranza, nonostante qualche voce fuori dal coro emersa alle capigruppo, non intendeva e non intende concedere alla minoranza alcun genere di spazio, nemmeno il semplice coordinamento di qualche commissione. Il primo punto all’ordine del giorno il 16 dicembre sarebbe stato proprio la scelta del coordinatore, di conseguenza compattamente abbiamo deciso di non presentarci.
Abbiamo tra le nostre fila nomi autorevoli a cui potrebbe e dovrebbe essere concesso più spazio, anche alla luce del fatto che l’esito delle elezioni comunali ha visto maggioranza e opposizione distanziate da una manciata di voti. In più occasioni abbiamo evidenziato come sia necessario una dialettica, un rapporto alla pari almeno nell’affrontare le questioni più importanti per la città, ma non siamo mai astati ascoltati.
Bene, veniamo alla seduta del Consiglio comunale di ieri. Di seguito troverete il testo del mio intervento relativo alla proposta di deliberazione consiliare relativa all’istituzione di una commissione di inchiesta (molti dei punti da me toccati sono stati affrontati anche da altri collegi della minoranza) e il testo di una “relazione” letta dall’Assessore Oreti (senza data e senza firma) che, secondo lui, risponderebbe ai quesiti che noi avremmo voluto porre in senso alla commissione di inchiesta.
Nel maldestro tentativo di giustificare il suo NO alla nostra richiesta, l’Assessore ha dimostrato nei fatti come la commissione cultura del 16 dicembre 2022 non era altro che il modo per svuotare di significato e di potenza la nostra richiesta. Parlare dell’hackeraggio in commissione cultura avrebbe giustificato, per lui, la non necessità della commissione.
La commissione, che avevamo deciso assieme alla maggioranza di chiamare “trasparenza” e non “di inchiesta” perché ad alcuni suonava troppo minaccioso (anche se è bene ricordare che ai tempi dell’amministrazione Brancati all’allora opposizione questo nome non era dispiaciuto affatto), non ci sarà, ma almeno ora chi ha votato convintamente NO si prenderà le responsabilità politiche della propria scelta.
Mio intervento (predisposto grazie alle preziose informazioni contenute nel sito https://www.redhotcyber.com/)
E’ iniziato tutto lunedì 29 agosto quando ciò che sembrava un banale disservizio della rete si è rivelato l’ennesimo attacco informatico ai danni di una pubblica amministrazione italiana. Questa volta a farne le spese è stato il Comune di Gorizia la cui infrastruttura IT è stata vittima di un attacco informatico di tipo ransomware.
La conferma è arrivata dallo stesso sindaco Rodolfo Ziberna che ha riportato la seguente dichiarazione:
“Per riavere i dati contenuti nel sistema informatico del Comune dovrete pagare seguendo le istruzioni contenute in questo messaggio, in caso contrario i dati saranno pubblicati on line e quindi visibili a tutti”. Sembra un film ma è un messaggio reale trovato ieri sul server dai tecnici del Comune di Gorizia che stavano indagando sul blackout informatico che aveva colpito l’ente nella notte fra domenica e lunedì. Abbiamo così accertato che, a provocarlo, è stato un attacco hacker al sistema del Comune, una cosa gravissima anche se va detto subito che alcuni servizi importanti, in particolare quelli dell’anagrafe sono stati solo sfiorati in quanto collegati a server esterni e questo ci ha permesso di riattivare una serie di attività, ad esempio le carte d’identità elettroniche e i cambi di indirizzo mentre le certificazioni sono ancora bloccate. Gli uffici stanno lavorando per cercare di sbloccare quanto prima tutti i servizi mentre la Polizia Postale, subito informata sta indagando sulla vicenda. Di più, in questo momento non posso dire. Mi dispiace molto per i disagi che questa situazione sta creando si cittadini ma anche al personale del Comune. Aggiornerò tutti sull’evoluzione di questa incredibile vicenda. Faccio un appello ai cittadini: sappiamo che nel nostro territorio sono aumentati i resti informatici per cui invito tutti a stare molto attenti, soprattutto ad aprire mail sconosciute e a rivolgersi alla polizia postale quando si trovano di fronte a qualcosa di anomalo.
Con questo comunicato la cittadinanza è stata informata dell’attacco subito e del ripristino di “alcuni servizi”, peccato però che non si sia fatto utilizzo della medesima comunicazione per informare in modo appropriato tutti gli interessati coinvolti dal data breach, dal momento che la violazione è stata accertata ed ha prodotto non solo una indisponibilità dei dati ma anche l’esfiltrazione degli stessi con tanto di richiesta di riscatto.
Nessun punto di contatto cui fare riferimento e, per quanto riguarda le misure di mitigazione adottate, sono state richiamate soltanto le attività condotte dalla Polizia Postale per l’analisi dell’incidente.
Addirittura, nella sezione “Privacy e note legali” del sito nei giorni successivi alla sua pubblicazione su Internet l’informativa riportava dei campi XXXXXXXXXXXXXX da compilare sia per il titolare del trattamento che per il responsabile della protezione dei dati.
Quel che è stato possibile sapere è che alcuni servizi importanti erano stati solo sfiorati in quanto collegati a server esterni ma nulla veniva detto dell’esfiltrazione se non richiamando la ransom note ovverosia la richiesta di riscatto da parte dei cybercriminali.
DOMANDA 1: perché solo alcuni servizi erano su server esterni?
Un interessato non ha avuto modo di ricevere aggiornamenti che gli potessero consentire di valutare la gravità del data breach occorso e di conseguenza la propria esposizione a dei rischi. Non aver comunicato quali dati personali sono stati oggetto di esfiltrazione ha comportato una situazione di sostanziale inconsapevolezza per gli interessati coinvolti dalla violazione.
Non essere stati portati a conoscenza delle probabili conseguenze del data breach ha impedito infatti l’adozione in autonomia di alcune misure di protezione e dunque ha esposto a rischi e pericoli consistenti quali ad esempio phishing, furti di identità, compromissione di credenziali o password.
Allo stesso modo, l’assenza di informazioni circa le misure di mitigazione adottate e di cui si propone l’adozione non ha consentito di comprendere quali azioni e cautele poteva essere possibile e utile impiegare per contenere gli effetti negativi della violazione di sicurezza.
Eppure, gli attuali scenari di rischio non portano a considerare un attacco ransomware come qualcosa di assolutamente incredibile o appartenente al novero della fantascienza. Tutt’altro. Da quanto riporta ENISA, l’agenzia europea per la sicurezza cyber, questa tipologia di attacchi è tutt’altro che sorprendente e oramai è tristemente nota nel quotidiano per gli attacchi realizzati verso organizzazioni pubbliche e private.
Nella perplessità di questa strategia comunicativa, si è atteso con speranza che fosse attuata quanto meno una correzione di rotta, venissero forniti dei chiarimenti e soprattutto le informazioni prescritte dall’art. 34 GDPR (“Comunicazione di una violazione dei dati personali all’interessato”) dal momento che un rischio elevato per i diritti e le libertà delle persone fisiche – stando a quanto è stato riportato nel messaggio del sindaco – sembra essersi realizzato. E che ovviamente entro 72 (o senza ingiustificato ritardo) ore dalla scoperta dell’incidente venisse notificato il databreach al Garante Privacy (come previsto dall’articolo 33 del GDPR).
DOMANDA 2: è stato fatto?
Ma dopo molti giorni il sito del comune di Gorizia risultava ancora non funzionante, probabilmente per l’assenza dei backup per effettuare il ripristino.
DOMANDA 3: ad oggi, è possibile quantificare quanti e quali documenti sono andati persi per sempre?
Andando ad analizzare i dati esfiltrati (ricordo che l’accesso alla rete onion e al download dei dati attraverso TOR Browser è praticabile da chiunque, anche se non dotato di particolari competenze in materia. Ciò significa che tali dati sono accessibili da qualsiasi persona che sappia normalmente utilizzare un PC), oggi sappiamo, e non grazie all’amministrazione, che essi sono:
dati personali, documenti di identità, bilanci interni, informazioni sui redditi e nascite, informazioni sulle case di riposo gestite dal Comune, consuntivi di attività, gare di appalto, tagli di budget, stipule con le ditte, nomine dei dirigenti, piani ferie interni, informazioni sugli uffici di anagrafe, cimitero, protocollo, elettorale, ecc…, informazioni sul COVID, Corte dei Conti…
Stiamo parlando di 268.000 files per un totale di 53 GB di dati liberamente visionabili e scaricabili dal sito di LockBit, dati che fanno comprendere con precisione il funzionamento interno del Comune di Gorizia.
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile.
Si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
formare il personale attraverso corsi di Awareness, utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche, eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino (da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware, per questo i backup critici devono essere isolati dalla rete per una protezione ottimale), mantenere il sistema operativo e tutto il software sempre aggiornato, mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione, limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi, evitare di abilitare le macro dagli allegati di posta elettronica, non seguire i collegamenti Web non richiesti nelle e-mail e molto altro ancora.
DOMANDA 4: tutto questo era stato fatto prima?
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda. Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
Intervento dell’Assessore Fabrizio Oreti
In data 29 agosto 2022 si è avuta contezza del fatto che il Comune aveva subito un attacco del tipo ransomware che ha coinvolto l’infrastruttura server ed il sistema di backup. Sono ancora in corso indagini a riguardo, dunque è necessario mantenere un doveroso riserbo. Si ritiene però di dare un’informazione di massima per quel che si può in merito ai fatti.
L’attacco ha colpito in particolare i server del Comune che sono stati cifrati dai criminali rendendoli di fatto non operativi. Si precisa che i server ospitati in server farm esterna al Comune, quali server farm Insiel, ad esempio protocollo, anagrafe, contabilità, tributi, gestione amministrativa, conservazione sostitutiva, SUAP, SUE, albo pretorio on-line, cartella sociale, posta elettronica, Server Farm Inaz (stipendi), server Farm Pa digitale, servizi educativi, server Farm Maggioli (multe polizia locale) non hanno subito l’attacco e pertanto tali servizi non sono stati compromessi. Va precisato altresì che neppure il sistema di videosorveglianza cittadino è stato compromesso dall’attacco.
I server fisici comunali non possono essere acceduti fino a che non saranno concluse le attività in corso di concerto con le autorità delegatale alle indagini. Immediatamente sono state fatte tutte le denunce previste a partire da autorità giudiziaria e garante privacy, la Regione immediatamente allertata unitamente a Insiel dagli uffici comunali, ci ha prontamente supportato anche in diverse attività di ripristino. Nel contempo, però, ha comprensibilmente imposto la bonifica dei pc in uso in comune assolutamente necessaria per non inquinare la Rupar. Trattasi, ovviamente, di un’attività molto onerosa e non di poco conto.
Supporto è stato dato altresì, dai Comune di Trieste, Udine che si sono resi disponibili anche al comodato di pc per un totale di 60 macchine utilizzate nella prima fase di bonifica. Pur nella difficoltà lavorativa pesante, si è agito subito per garantire l’operatività degli sportelli al cittadino anagrafe, stato civile, servizi funebri, SUAP, SUE elettorale. In particolare per quel che riguarda l’anagrafe, stante l’utilizzo dei PC del Ministero e la necessità di avere macchine certificate, è stato necessario qualche passaggio in più. Grazie agli sforzi di tutti pero l’ufficio è rimasto chiuso solo due giorni e tutti i cittadini che avevano già appuntamento sono stati chiamati telefonicamente dagli operatori comunali per essere prontamente avvisati al fine di ridurre al minimo i disagi a oggi è stata completata la bonifica di tutti i computer dell’ente.
Quanto alla posta elettronica che pure non è stata colpita dall’attacco erano saltate le credenziali di accesso dei singoli utenti dipendenti e amministratori. Anche in questo caso, grazie alla pronta Cooperazione di Insiel, in pochi giorni sono state ripristinate le caselle di dirigenti, p.o. e le caselle istituzionali di ufficio. Oggi tutte le caselle elettroniche nominali e istituzionali sono accessibili ed operative.
Relativamente al sito web istituzionale dell’ente che è stato reso indisponibile per alcuni giorni a seguito dell’attacco si è provveduto in data 6 settembre 2022 a pubblicare su Internet la versione aggiornata con un quantitativo minimale di contenuti presenti. Ad oggi i contenuti continuano a essere aggiunti ed aggiornati. Le azioni messe in atto per il ripristino dell’infrastruttura informatica consentono pertanto oggi la normale attività degli uffici e conseguentemente l’erogazione dei servizi ai cittadini e imprese.
Non è possibile quantificare l’entità della penetrazione da parte del gruppo hacker nel sistema comunale, l’entità o la tipologia dei dati esfiltrati. Su indicazione degli organi di polizia postale, come è buona prassi fare in queste situazioni, è stato affidato a ditta altamente specializzata nel campo della Cyber Security e leader del settore il servizio professionale per l’attività di Digital Forensics and Incident Response tuttora in fase di svolgimento. Infine, si precisa che da anni il Comune è impegnato sul fronte Sicurezza Informatica portando avanti le attività indicate da Agid in particolare continua l’azione di spostamento dei dati e degli applicativi in Cloud.
È già iniziata inoltre la ricostruzione in Cloud dell’infrastruttura colpita dall’attacco, è stata installata e configurata la nuova directory di dominio e di servizio per la gestione delle policy di dominio, è stato configurato il server DHCP, sono stati installati server per il sistema di telefonia VoIP di prossima attivazione, è stato installato il server per la gestione delle timbrature dipendenti, è stato attivato il servizio in Cloud AVCP-XML e la piattaforma SAAS per la gestione della centrale operativa della polizia locale.
Questa relazione dice qualcosina rispetto a ciò che è stato fatto dopo, molto poco sul prima. Ognuno la pensi come crede. Per noi la commissione trasparenza, a cui avremmo partecipato gratuitamente (senza percepire il gettone di presenza), sarebbe stata un’ottima occasione per fare il punto della situazione, per sentire degli esperti, per avere le informazioni corrette per rispondere alle domande preoccupate dei cittadini che ci hanno votato e mandato in Consiglio comunale. Dopo 180 giorni, questa era la durata prevista, avremmo forse ottenuto qualche dato interessante, forse no ma di sicuro non ci avremmo perso nulla.
A perdere, invece, è come sempre l’esercizio della democrazia.
Eleonora Sartori
Rispondi