Quando vi siete accorti che qualcosa non andava? E come?
«Sabato sera, quando a tutti noi è arrivato il bollettino del Csirt (la squadra di pronto intervento dell’Agenzia nazionale per la cybersicurezza, ndr). Un orario sicuramente non casuale. Gli attacchi avvengono quasi sempre nel fine settimana, quando le strutture di protezione hanno la guardia più bassa».
Alessandro Manfredini, capo della sicurezza di A2A, è il presidente di Apsia, l’organizzazione dei security manager aziendali. Una comunità investita in pieno dall’allarme lanciato in pieno weekend sugli attacchi pirata in corso in Italia e all’estero.
A quel punto cosa avete fatto?
«Sono iniziate subito le consultazioni sia all’interno delle aziende che tra colleghi per capire quale fosse lo stato dell’arte, quale impatto l’attacco stesse avendo».
E cosa avete capito?
«Che la situazione era meno drammatica di come poi è stata raccontata. La nostra agenzia aveva appurato che nelle ore precedenti l’analoga agenzia francese aveva registrato delle scansioni, delle incursioni di hacker alla ricerca di falle, abbastanza sostenute nei confronti di aziende locali che avevano questa vulnerabilità. Si trattava di vulnerabilità che erano note già dal 2021, quando il produttore aveva comunicato la necessità di un aggiornamento di sicurezza e indicato le patch, le toppe da applicare ai sistemi».
Ma se il “nemico" era noto come è stato possibile che riuscisse comunque a colpire?
«Evidentemente non tutti avevano preso nella dovuta considerazione l’aggiornamento di questa vulnerabilità. Ma si è trattato di un impatto circoscritto. Il bilancio finale della giornata dice che il sistema Paese ha retto bene, la risposta è stata efficace. Il messaggio che abbiamo ricevuto è che non si può abbassare la guardia, è una continua gara tra guardie e ladri in cui l’aggiornamento continuo è indispensabile. Il fatto che qualche decina di sistemi in Italia non fossero patchati contro questa minaccia già nota è la prova che c’è ancora da migliorare su questo versante. Questo episodio deve essere uno stimolo».
Da chi è venuto l’attacco? Criminali, vandali, potenze estere?
«Il movente è sempre economico, la figura un po’ romantica dell’hacker spinto dall’ideologia appartiene al passato. Abbiamo a che fare con criminali comuni che si sono digitalizzati e hanno a disposizione strumenti facilmente acquistabili con risorse economiche modeste nei bassifondi del web. Sono dei ransomware, virus in grado di crittografare i dati colpiti e renderli indisponibili al legittimo proprietario. I criminali comprano questi virus sul darkweb come una volta compravano al mercato nero una pistola per fare una rapina in banca. L’obiettivo è sempre ottenere un riscatto in cambio della restituzione dei dati».
Se gli attacchi si ripetono, vuol dire che rendono, che ci sono aziende che cedono al ricatto.
«La sicurezza al cento per cento non esiste, e diffido da chi la promette. La cosa importante è saper reagire con tempestività a una minaccia. Anche perché l’attacco non viene portato all’improvviso, è l’atto finale di una attività malevola iniziata molto tempo prima».
- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.