Non esistendo un parametro non esiste neanche la possibilità di decidere quale sia il più grave. Sicuramente, è il più odioso, visto che ha rallentato la campagna vaccinale. Ma tutto si può dire meno che fosse inaspettato. Non c’è solo il report del Check Point Software, secondo il quale le aziende italiane sono a rischio ransomsware centinaia di volte a settimana, non c’è solo l’ultimo rapporto «Clusi» secondo cui, nel mirino del cybercrimine sono entrate soprattutto le strutture pubbliche. Non ci sono, insomma, solo le statistiche.
C’è anche la cronaca, le notizie: l’ultima, di non molto tempo fa, quando la seconda città greca, Salonicco, dovette sospendere tutti i servizi on line. Perché lì era accaduto più o meno la stessa cosa capitata nel Lazio. E dire invece che tutti gli osservatori – anche i più autorevoli – appena tre mesi fa scrivevano che si era ad un punto di svolta nella risposta agli attacchi ransomsware.
Si riferivano a quel che è avvenuto dopo la vicenda della Colonial Pipeline. Vicenda nota che può essere riassunta in poche righe: sfruttando un baco nella sicurezza, un gruppo aveva introdotto nel sistema che controlla l’oleodotto fra il Texas e New York un software malevolo. Appunto un software di estorsione, che accede ai dispositivi – in tanti modi, addirittura cliccando sul link contenuto in una mail, anche se questa strategia è ormai quasi in disuso – e poi cripta i dati. Dell’intero sistema o di singoli file. Per sbloccarli, bisogna pagare un riscatto. Ovviamente, in cripto valuta.
Accadde esattamente questo, all’inizio di maggio alla Colonial Pipeline. Le conseguenze però furono imprevedibili, molto al di là di quel che probabilmente avevano ipotizzato i ricattatori. Perché paralizzato l’oleodotto, si bloccò il 45 % degli approvvigionamenti della benzina, che transitava proprio da lì. Con l’effetto immediato di un super rialzo dei prezzi. Al punto che la Casa Bianca dovette intervenire. Addirittura con una legge che sbloccava i limiti imposti al trasporto su strada. In qualche modo quello di Biden è stato il primo provvedimento imposto da un ransomsware. Ma la cosa rilevante è quel che accadde dopo.
Con uno sforzo investigativo senza precedenti – del quale ovviamente non si conoscono tutti i dettagli – l’Fbi nel giro di qualche settimana riuscì ad attribuire l’attacco informatico ad un gruppo preciso, «DarkSide» – che dava anche il nome al software che però probabilmente era stato «affittato» ad un altro gruppo: si usa così nel dark web – e da lì riuscì a bloccare le infrastrutture che avrebbero consentito la riscossione del riscatto in bitcoin. Riscatto che, anche questo è noto, fu pagato.
L’azione di contrasto, insomma, l’attività diplomatica – fu indicata la «pista russa» per l’attacco alla Pipeline -, il coordinamento con le intelligence di mezzo mondo avevano portato a qualche risultato. Così molti sostennero che si era ad una svolta. I fatti li hanno smentiti. Perché al di là delle frasi roboanti, non sembra esserci nulla di eccezionale nell’attacco subito al Ced del Lazio. Forse solo la mancanza di adeguate protezioni. Certo, «nessuna opzione è esclusa dagli investigatori», come ha spiegato Zingaretti – va ricordato che già domenica mattina hanno cominciato a girare voci sulla possibile matrice terroristica ed in particolare no vax; che non sono state neanche escluse da Umberto Repetto, direttore di Infosec –; nulla è escluso, si diceva, anche se gli studiosi, per lo più, si sono affrettati a spiegare che gli attacchi ransomsware da molti anni sono completamente automatizzati.
Quasi “industrializzati”. Non c’è una pianificazione voluta, insomma – di chi vuole colpire quel sistema per colpire quella istituzione – ma procedono a caso. Per raggiungere più target possibili. Fino a che non trovano una «porta» ed entrano. Poi vanno all’incasso.
Questo non riduce di un millimetro le preoccupazioni. Non attenuate dai pochissimi elementi tecnici forniti dalla Regione Lazio. Perché forse non basta l’affermazione che i dati dei trascorsi sanitari delle persone non sono stati trafugati. Resta da ricordare che il regolamento europeo sulla privacy (il troppo citato e troppo spesso dimenticato Gdpr) prevede precisi obblighi di informazione verso i soggetti interessati. Almeno quando il furto potrebbe mettere a rischio i loro diritti. E sarebbe esattamente il caso dei dati sanitari.