Scienza e tecnologia

Attacco informatico a Westpole e PA Digitale, anche in Sardegna disagi per il blocco dei servizi della pubblica amministrazione

hacker-PA

 

ROMA. Un attacco hacker avvenuto all'alba dell'8 dicembre ha causato gravi problemi nella fornitura di servizi da parte della pubblica amministrazione: un gruppo di cyber-criminali, la cui identità è ancora sconosciuta, ha preso di mira i datacenter di Westpole (LINK) un'impresa che fornisce infrastrutture cloud certificate per supportare le attività di comuni e altri enti pubblici anche governativi.  Questo attacco ha provocato il blocco totale dei server nelle sedi di Milano e Roma, interrompendo tutti i servizi della società in Italia.   

Tra i server cloud che sono stati colpiti ci  sono anche quelli che gestiscono i servizi digitali di centinaia di Enti pubblici in quanto tra i clienti di Westpole figura PA Digitale (LINK)  la società del gruppo Buffetticon sede in provincia di Lodi, che conta oltre 1.500 amministrazioni pubbliche gestite in tutta Italia e anche in Sardegna (vedi approfondimento in calce all'articolo).  

La Westpole ha fornito, seppure in ritardo, una prima comunicazione ufficiale informando gli utenti dell'interruzione dei servizi dovuta a un incidente di sicurezza. E annunciando che,  per il momento, non sembrano esserci prove di furto di dati. Questo dopo che diversi  giorni consecutivi, il suo sito web  è rimasto inaccessibile, mostrando un messaggio che indicava lavori di manutenzione in corso. 

FireShot-Capture-267-----westpoleit-2

Senza cedere al tentativo di minimizzare quanto accaduto, bisogna però avere il coraggio di dichiarare che questo incidente, per la gravità e criticità dei sistemi coinvolti, mette tutti di fronte al problema di cosa comporti nel nostro paese, una corsa sfrenata alla "digitalizzazione e migrazione al Cloud" per le Pubbliche Amministrazioni. Corsa che vede anche due  importanti linee di finanziamento economico,  grazie alle "misure" e azioni varate dal Governo Draghi e finanziate attraverso il PNRR con molte centinaia di milioni di euro. 

Purtroppo dobbiamo constatare che questo Piano Nazionale di Ripresa e Resilienza, visto dalla "periferia dell'impero",  sembra subire battute d'arresto sempre peggiori e presentare molte più criticità del previsto. La realtà sembra molto lontana dai proclami politici del precedente e anche dell'attuale governo, anche a causa di ritardi, incongruenze  e inadempienze legati alle attività di Enti centrali e ministeri  competenti.  

Sono proprio  tali organismi centrali dello Stato che infatti dovrebbero verificare, collaudare e validare rapidamente le attività di migrazione al Cloud che sono state richieste  ai piccoli Enti locali come i Comuni, che le hanno poi a loro volta demandate per la "messa a terra" alle imprese private qualificate. 

Questi Enti centrali dovrebbero quindi  occuparsi il prima possibile di verificare la qualità degli interventi di migrazione verso il Cloud, anche allo scopo di premiare le soluzioni migliori per migliorare le altre, identificando e prevenendo le problematiche di sicurezza correlate alla presenza in rete di ogni PA. 

Di tali ritardi e inadempienze dimostrati dal governo e dai Ministeri riguardo la digitalizzazione della PA e la "messa a terra" del PNRR  in Italia, ne abbiamo parlato in modo approfondito anche in un articolo precedente. (LINK)

E anche questo attacco hacker rappresenta un campanello d'allarme essendo uno dei primi esempi eclatanti di quello che potrebbe avvenire una volta che il patrimonio informativo dell'intera Amministrazione Pubblica italiana sarà disponibile integralmente sul web.  Questa migrazione verso il Cloud delle nostre PA è un'operazione innovativa e dalle enormi potenzialità che però, quando non venga ben governata e controllata, rischia di ritorcersi contro tutti noi e compromettere pesantemente il funzionamento quotidiano di qualsiasi servizio erogato da un Ente Pubblico verso i cittadini. 

E per prevenire, intercettare  e risolvere i futuri problemi non è certo sufficiente creare (peraltro con pesante ritardo rispetto il resto dei paesi occidentali) una Agenzia di CyberSicurezza Nazionale (LINK) o una vasta mole di "linee guida" e indicazioni tecniche spesso destinate a restare sulla carta. 

Servirebbe invece il reclutamento di un vero e proprio esercito di professionisti ICT della sicurezza informatica che siano in grado di essere presenti ovunque e lavorare capillarmente in tutti gli Enti pubblici per operare un rapido cambio di mentalità e il profondo mutamento culturale di cui si avrebbe bisogno.  Serve un'azione capillare che sia in grado di penetrare,  nell'arco dei prossimi anni, in tutti i livelli della macchina tecnica e amministrativa della PA.  Un'azione molto costosa, da protrarsi a lungo nel tempo, di cui però non c'è traccia nel PNRR, che non ha stanziato risorse economiche necessarie per mantenere in esercizio pluriennale e migliorare la sicurezza delle complesse infrastrutture Cloud che si stanno andando a creare, magari prevedendo anche la crescita e l'impiego di risorse umane specializzate, sia esterne che interne alla PA. Si preferisce invece destinare  centinaia di milioni di euro alla creazione di altre infrastrutture fisiche di ben dubbia utilità come il Ponte sullo Stretto di Messina.   

Per far fronte alla migrazione di massa della PA verso il Cloud servirebbe investire in risorse umane e infrastrutture immateriali di conoscenza e cultura allo scopo di creare un esercito di specialisti della sicurezza informatica. Sapendo che si tratta di professionisti che è già molto raro trovare, in Italia e nel mercato delle aziende private. Figurarsi quanta disponibilità di tali professionisti ci sarà per il pubblico, in particolare con gli attuali livelli di retribuzione e con i tempi dei concorsi e regole di assunzione del personale che conosciamo.

La PA scaraventata sul Cloud avrà un esercito con nessun generale, ben pochi ufficiali e ancor meno soldati volontari. Esercito destinato a perdere sicuramente in una guerra difficile da combattere come quella che si prospetta.  

APPROFONDIMENTO:

Ritornando all'attacco hacker dell'8 dicembre, con tutti i pericoli di questa guerra attraverso il web di cui si sta parlando, è importante notare come tra i server cloud della Westpole che sono stati colpiti ci  siano anche quelli di PA Digitale (LINK) società del gruppo Buffetti, con sede in provincia di Lodi, che conta oltre 1.500 clienti nella PA.  

PA Digitale sviluppa infatti il software URBI,  un applicativo gestionale per custodire e archiviare documenti e atti emanati dalle varie Amministrazioni pubbliche sue clienti. Tra queste  figurano anche diversi  grandi enti, come la Presidenza della Repubblica, l'Autorità per le comunicazioni o l'Istat, ma soprattutto ci sono migliaia di  Comuni.  Se i primi grandi Enti sono in grado di far girare Urbi su propri datacenter interni e  non hanno presumibilmente subìto conseguenze dal blocco del cloud di Westpole, molti Enti locali minori dipendono  invece totalmente dai datacenter finiti nel mirino dell'attacco informatico.

Il risultato dell'operazione è che da venerdì scorso molti uffici Comunali in tutta Italia non riescono ad accedere ai loro documenti conservati in remoto con conseguenze pesanti sull'operatività quotidiana. Su molti di questi Enti pubblici è stato bloccato ad esempio l'albo pretorio online, lo spazio pubblico di consultazione di atti,  avvisi e notifiche. E ci sono problemi a protocollare pratiche e domande attraverso si sistemi di protocollo informatico.  

Va anche precisato che ben pochi tra  i Comuni colpiti hanno avvisato i cittadini dei problemi legati all'attacco ai server di PA Digitale. Lo ha fatto ad esempio il Comune di  Cernusco sul Naviglio in provincia di Milano, che dall'11 dicembre avvisa dell'interruzione forzata dei servizi. (LINK). Ma sono molti di più i Comuni che, pur essendo vittime del blocco, hanno preferito non divulgare troppo il problema. 

Oltre al software URBI, va anche detto che Buffetti e Dylog stanno gestendo i disservizi subìti da circa 38mila utenti di Quifattura, gestionale per la fatturazione elettronica anche esso in  cloud sugli stessi datacenter della  Westpole che è anche connesso al  Sistema di interscambio (Sdi), il programma dell'Agenzia delle entrate per la ricezione e il controllo delle fatture elettroniche. (LINK)

A causa dell'attacco informatico ai server di Buffetti e Westpole, gli utenti di Quifattura non sono stati in grado di inviare fatture elettroniche né di riceverle. Per farvi fronte l'azienda ha migrato i propri sistemi sul cloud di  altri provider. Ma ha dovuto per questo motivo convalidare un nuovo protocollo di connessione allo Sdi attraverso  Sogei, la società informatica dello Stato, motivo per cui l'Agenzia delle entrate ha accordato una dilazione di ben 12 giorni per le registrazioni delle fatture  e per gli  adempimenti Iva da parte dei commercialisti.

Cosa questa mai successa prima d'ora e che dimostra la gravità della situazione.

Peraltro, come riportano diversi siti specializzati tra cui Wired (LINK)  il 14 dicembre anche  SOGEI (LINK) ha registrato un malfunzionamento dell'infrastruttura informatica che ha messo fuori uso fino alle prime ore del mattino i servizi dell’area riservata e del portale fatture e corrispettivi del sito internet dell’Agenzia delle entrate, il servizio telematico doganale e i servizi della piattaforma di accoglienza dell’Agenzia delle dogane e dei monopoli. Un problema quest'ultimo che sembrerebbe essere scollegato dall'attacco a Westpole, ma fa comunque parte di una spirale che somma disservizi a disagi in ambiti che sembrano farsi sempre  più critici  per tante delle nostre pubbliche amministrazioni operanti sul web.

Diverse di queste amministrazioni pubbliche sono in Sardegna.  Non è stato possibile conoscere  quante esse siano.  PA Digitale sul proprio sito, dichiara comunque di fornire servizi ad una lunga lista di enti pubblici tra cui figurano  anche i Comuni sardi di Cagliari e  Carbonia

E anche questa mattina, ad esempio, accedendo  all'area dei servizi online del Comune di Carbonia, il cloud server gestito dal software Urbi, restituiva  una pagina bianca di errore.  (LINK)  

Il Comune di Carbonia quindi è certamente in compagnia di tanti altri Enti tra quelli che la stessa PA Digitale cita nel proprio Portfolio, come il Consiglio regionale del Veneto, l’Ente parco nazionale Dolomiti bellunesi, l’Ente regionale per il diritto allo studio universitario di Pavia, l’Ente regionale per i servizi dell’agricoltura della Lombardia e l’Agenzia regionale per la protezione dell’ambiente della stessa regione, l’Accademia della Crusca, la Soprintendenza speciale per il Colosseo, il Consorzio autostrade siciliane, l’Ente regionale per il diritto allo studio di Messina e l’Ente parco nazionale dell’Aspromonte. E ancora, si contano i Comuni di Lecco, Imperia, Samarate, Comunità montana Valtellina di Tirano, unione dei comuni collinari del Vergante, Castellone, Arese, La Spezia, Orbetello, Isola del Giglio, Fiumicino, Falconara Marittima, Foligno, Villaricca, Ischia e Ascoli Piceno. Così come le amministrazioni provinciali di Brescia, Lecco, Lodi, Massa Carrara e Macerata. Questo solo per elencarne alcuni.

Va anche precisato che AgID, l'Agenzia per l'Italia digitale (LINK), chiamata a vigilare sui gestori dei servizi Cloud per gli enti pubblici, ha inviato una diffida ufficiale a PA Digitale, che ora dovrà rispondere in merito all'impatto dell'attacco, le dimensioni dei disservizi, il numero di contratti attivi con enti pubblici e privati, i documenti relativi al sistema di conservazione digitale e protezione dei documenti sul cloud e il rischio di perdita di dati, anche sensibili, che questo comporta. L'accreditamento  e la qualificazione Cloud PA con ACN e AgID prevede infatti il rigido rispetto di alcune regole e standard informatici di sicurezza.  Tra cui il rapidissimo ripristino del servizio  mentre in questo caso i disagi proseguono da giorni. La diffida non è solo carta, ma un passaggio critico. Prevede pesanti sanzioni economiche e bastano due diffide di questo tipo per far scattare l'esclusione dell'azienda dalla lista dei fornitori accreditati per lavorare con gli enti pubblici.