Attacco hacker in Provincia, si cerca il recupero dati

Sembrava una tranquilla domenica pomeriggio di metà ottobre, una delle ultime col sole, prima dell’effettivo autunno meteorologico.

Un tecnico informatico della provincia di Perugia era in servizio: approfittando della giornata festiva stava lanciando un aggiornamento quando si è reso conto che qualcosa non andava.

Immediatamente ha contattato la società Sinapsi, a cui l’amministrazione provinciale ha affidato la gestione della cybersecurity per quello che fin da subito ha sembrato avere i connotati di un attacco informativo.

Immediatamente sono stati staccati i computer dalla rete ed è cominciata la conta dei danni.

Per due giorni sia gli impiegati sia gli utenti sono rimasti bloccati, poi, da mercoledì, sono stati attivati i principali servizi online, l’archivio e il protocollo.

Allertata la polizia postale: gli agenti stanno valutando l’entità dei danni, per poi risalire alla causa.

Ma su questo aspetto c’è il massimo riserbo, così come sui precedenti attacchi che hanno interessato la Regione.

La finalità ultima, più che arrestare i responsabili, sarà quella di innalzare i livelli di sicurezza.

Stando a quanto abbiamo appreso, l’attacco è arrivato con modalità molto sofisticate, ben più veemente di quello che lo scorso luglio aveva colpito la Regione, i particolare la società Puntozero.

Si tratta di un Ransomware, un programma che blocca l’accesso del dispositivo che infetta, cripta i dati e poi chiede un riscatto per riattivarli.

Al momento non risulta sia stata presentata una denuncia in tal senso, ma è pur vero che spesso – quando gli attacchi riguardano società private – le denunce non vengono quasi mai presentate e si preferisce pagare il riscatto, magari in bitcoin.

Ovviamente, le istutuzioni pubbliche dovrebbero comportarsi in modo più rigoroso.

A quanto pare l’attacco sarebbe partito dal Centro Europa, più precisamente dal Lussemburgo.

E ciò spiega anche perché i firewall – che sono delle barriere informatiche contro gli hacker – non abbiano funzionato: avevano interdetto gli accessi dall’Est e da oltre Europa ma non bloccavano invece i tentativi di accesso da paesi comunitari. Quindi si sono fatti fregare così.

L’intrusione ha riguardato il 50% delle macchine. Sono stati criptati i file e sono stati cancellati i dati.

Gli hard disk sono stati staccati e catalogati: nei prossimi giorni si cercherà il recupero dei dati.

Intanto gli impiegati stanno cercando di riscotruire i procedimenti in corso, in particolare per quegli incartamenti che non sono passati da protocollo.

Una volta valutati i danni, sarà verificato se possono essere coperti dall’assicurazione, che era scaduta il 30 giugno e per il rinnovo erano necessari degli adempimenti informatici.

Anche su questo fronte, c’è massimo riserbo.