L’attacco hacker che è stato subito nello scorso mese di aprile da SardegnaIT, società in-house della Regione Sardegna che si occupa di tutta l’infrastruttura tecnologica dell'amminsitrazione regionale, pare aver dato luogo al più grande data breach (furto di dati) di cui si abbia notizia, non solo in Italia, subito da una Amministrazione Pubblica. Un triste primato quindi.
Questo data breach, di cui abbiamo dato notizia in un precedente articolo (LINK), è stato causato dal noto software malevolo ransomware, chiamato "Quantum Locker" che si è impadronito di circa cinquanta server facenti parte del datacenter di SardegnaIT. Secondo l'amministratore delegato della società, Alessio Grazietti pare che tutto sia frutto di un vero e proprio autogol. A differenza di altri attacchi simili verificati altrove, SardegnaIT non sarebbe stata infatti presa di mira da nessun attacco diretto da parte del gruppo Quantum, ma il malware sarebbe stato installato per errore da un dipendente durante l’installazione di un software legittimo.
È l’ennesima dimostrazione di come l’anello più debole di una infrastruttura e di un sistema informatico sia, sempre più spesso, il fattore umano interno.
Purtroppo, nonostante gli interventi degli informatici di SardegnaIT siano riusciti ad evitare il tentativo di riscatto grazie al ripristino di copie di backup dei server compromessi, una marea di dati riservati e sensibili trattati dai vari uffici della regione Sardegna, che erano contenuti su quei server, sono stati sottratti e pubblicati in rete dal gruppo di hacker Quantum Locker che ha creato il software omonimo.
Stiamo parlando di una mole di dati enorme pari a 169.225 files per oltre 155 GigaByte di spazio disco. Dati che sono addirittura liberamente accessibili a chiunque, non sono solo sul dark web, ma vengono diffusi direttamente in P2P, attraverso la rete Tor.
Una perdita ancora più importante se pensiamo che questi file comprendono unicamente documenti, immagini, video e testi. Infatti purtroppo, in questo specifico caso e a differenza di altri attacchi hacker rivolti verso pubbliche amministrazioni o aziende private di cui si ha spesso notizia, questi dati sottratti e resi pubblici sono depurati da ogni byte che potesse aumentarne la dimensione ma indebolirne il contenuto. Negli oltre 160mila file non c’è infatti nessuna traccia di quella che è la classica copia o immagine con "esfiltrazione" massiva di tutto il contenuto di una macchina compromessa, copia che quindi avrebbe anche un gran numero di file inutili di sistema operativo, librerie, installazioni di programmi o altri simili.
Analizzando natura e contenuto dei documenti si può quindi ipotizzare un attacco che abbia svuotato integralmente diversi "fileserver" o "repository" documentali messi a disposizione della Regione e dei suoi dipendenti come spazi interni di archiviazione "in chiaro" (senza adottare quindi nessuna tecnica di criptaggio dei contenuti) per le più diverse tipologie di documentazione di uso quotidiano negli uffici di un ente pubblico. Questo, anche senza essere necessariamente degli esperti informatici, la dice lunga sul genere di ben poco oculata conservazione e gestione quotidiana degli atti digitali, contenenti anche molti dati sensibili o riservati, che veniva fatta attraverso tali server.
Tanti esperti di CyberSecurity, in tutta Italia, stanno analizzando in questi giorni la vasta mole di dati resi pubblici. E la cosa richiederà sicuramente tempo prima di poter affermare quale sia la reale entità del problema. Quello che è possibile constatare fin d'ora, secondo gli esperti che ne stanno dando notizia nei vari siti specializzati in Cyber Sicurezza o sui loro social, è che l’archivio disponibile online comprende un gran numero di documenti d’identità, anagrafiche complete (numeri di telefono, indirizzi email, residenza e domicilio), documenti su emolumenti e stipendi, organigrammi interni, mansionari e cambi di ruolo, oltre a varia altra documentazione, che dovrebbe essere riservata, sulle loro condizioni di salute. Quindi si tratterebbe di dati documentali allegati o reportistica estratta dai database e dai relativi software di gestione economica e giuridica del dipendenti della Regione Sardegna.
Questo per quanto riguarda i dati interni del personale della Regione Sardegna. Invece, per quanto riguarda i soggetti esterni, vengono esposti dati che risalgono a tutto l'ultimo decennio (dal 2010 al 2021) e riguardano l’intero territorio regionale. Contenenti materiale presentato dai cittadini nei loro rapporti con la Regione o dalle imprese per forniture e gare d’appalto. Troviamo infatti un importante numero di anagrafiche, in relazione a verifiche sui tributi (pagati/non pagati) da contribuenti, verbali di accertamento e sanzioni, contratti stipulati con titolari di imprese ecc.
La parte che sembra rivestire alta sensibilità è data dai documenti (che dovevano essere soggetti a riservata conservazione) su verifiche, sopralluoghi e verbali sugli abusi edilizi in giro per la Sardegna. Ci sono anche 6.430 cartelle piene di video e foto relative a sopralluoghi in costruzioni e cantieri oggetto di verifica. Ma anche video integrali di riunioni decisionali interne del personale dirigente. Un'altra grande parte dei dati è occupata da documenti, contratti (firmati o in bozza) tra imprese e Regione e tra cittadini e Regione, comunicazioni riguardanti contenziosi, bozze di determinazioni e innumerevoli comunicazioni interne, nonché esiti di note disciplinari verso i dipendenti: 87.072 documenti in formato PDF e 27.550 documenti in formato Word.
Nessun omissis. Tutto in chiaro. Niente veniva nascosto in questi documenti interni e ognuno dei dossier è ricco di dettagli, dati personali e amministrativi, anche riservati, su quanto accaduto negli ultimi dieci anni.
Un archivio enorme e una enorme perdita di dati, che si tramutano anche in una perdita di immagine e credibilità, per una società come SardegnaIT che avrebbe dovuto garantire il funzionamento della macchina informativa dell'Amministrazione Regionale e anche l'aderenza a norme su privacy e GDPR
Enorme perdita di credibilità anche per la stessa Regione Sardegna che a SardegnaIT ha affidato i suoi dati. Amministrazione regionale che, almeno stando ai "rumours" dell'ultima ora, sta chiedendo a gran voce la testa dei responsabili, minacciando la rescissione dei contratti che la legano a SardegnaIT. Una cosa questa che, se si avverasse, significherebbe l'immediata chiusura per una società "in house" che vede come unico cliente proprio la Regione Sardegna.
Enorme perdita di dati e credibilità che sicuramente non passerà inosservata, soprattutto agli occhi delle persone coinvolte direttamente nella proprietà di questi dati illecitamente trafugati e pubblicati. Persone che, stando alle indicazioni delle normative e del Garante Nazionale, andrebbero anche tutte, singolarmente, dettagliatamente informate di quanto avvenuto.