Sta ancora facendo notizia
l'attacco di ieri al sito INPS, che ha causato diversi problemi e obbligato l'ente previdenziale a metterlo offline per qualche ora. Fin da subito il presidente INPS Pasquale Tridico ha parlato esplicitamente di "violenti attacchi hacker".
Le indagini sono ancora in corso, ma ci sono informazioni diffuse da Verizon che consentono di inserire quanto accaduto in un quadro ben più ampio. Quello dei
cyber attacchi ai danni della Pubblica Amministrazione. È stato lo stesso Garante della privacy ieri a sottolineare come "quella della mancanza di sicurezza […] dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente".
L'indagine
Data Breach Investigations Report 2019 condotta da Verizon svelava che il settore della Pubblica Amministrazione
è tra i più colpiti dai cybercriminali. Su 23.399 incidenti analizzati, i
l 66% delle violazioni era legato allo spionaggio, il 29% era mosso dalle motivazioni economico-finanziarie. Di tutti gli attacchi,
330 hanno comportato la divulgazione di dati. Nel 68% dei casi i dati compromessi riguardavano la PA. Tuttavia, il 22% dei casi ha compromesso dati personali e il 12% è consistito nel furto di credenziali.
I dati di Verizon risalgono al 2019, quindi a un periodo "ordinario". L'attacco di ieri è da inserire in un
contesto straordinario, che amplifica qualsiasi problema di sicurezza informatica preesistente. Non è un caso che l'attacco sia andato in scena nel primo giorno utile per presentare le domande per l'indennità da 600 euro come bonus di marzo per i mancati guadagni dovuti all’epidemia Covid-19. Il sito INPS ora più che mai è
un'infrastruttura critica a tutti gli effetti: in moltissimi casi è l'unica interfaccia fra lo Stato e chi è in uno stato di bisogno.
Attaccare INPS ha creato
tensioni sociali (come chiaramente emerso dai messaggi sui social), ha
bloccato procedure di vitale importanza per la cittadinanza. Stando alle voci di corridoio, sarebbe stato un
attacco DDoS a mettere KO il servizio. Se così fosse, l'intento sarebbe chiaro: non rubare dati o ricattare, nemmeno spiare. Sarebbe
destabilizzare. Paralizzare un servizio critico in un momento critico, come da manuale della
guerra digitale.
Tutti gli aggiornamenti di cyber sicurezza sul coronavirus sono raccolti nello speciale Coronavirus e sicurezza: proteggersi dal contagio digitale
L'aspetto peggiore della faccenda non è l'epilogo, quanto la
mancata prevenzione. Tutti gli esperti di sicurezza avevano allertato da settimane sull'urgenza di chiudere le vulnerabilità delle infrastrutture critiche: ospedali, centri di ricerca, Pubblica Amministrazione, servizi di prima necessità. L'informatico forense Paolo dal Checco ha dichiarato a La Repubblica che "
Il sito di Inps è frutto di anni di gare al massimo ribasso e soffre dei mali tipici della pubblica amministrazione: sotto dimensionato, mal progettato".
Per stessa ammissione dei gestori, il sito era oggetto di attacchi da giorni. Era solo questione di tempo prima che accadesse l'inevitabile. Anzi, l'evitabile, perché esistono servizi per gestire gli attacchi DDoS, esistono tecniche per farvi fronte sia internamente sia esternamente. Ma l'infrastruttura era inadeguata per reggere un traffico che, anche senza attacchi, era altamente prevedibile, viste le istruzioni per richiedete dei bonus.