Lo scandaloso caso dell'attacco ai cittadini abruzzesi
I dati personali di migliaia di cittadini abruzzesi sono finiti in rete. Pessima la gestione della sanità, ma ancora di più lo è stata la gestione della crisi. A chi mettiamo in mano la nostra salute?
Tempo stimato per la lettura: 11 minuti e 36 secondi
In sintesi:
La ASL1 della Regione Abruzzo è stata hackerata. Pubblicati in rete 522 gigabyte di dati personali tra referti medici, risultati di test sull’HIV, dati personali di minori e molto altro;
Il gruppo autore dell’attacco ha scritto direttamente al Presidente della Regione e della ASL1, accusandoli direttamente di imbrogliare i cittadini;
La gestione della crisi da parte delle istituzioni è stata scandalosa, ma anche quella nazionale non è da meno. Fanno arrabbiare gli 1,7 milioni di euro stanziati nel 2022 per la sicurezza della sanità regionale.
La parola di oggi: SQL Injection
Prima, una premessa:
Nel trattare questo fatto, che ha rilevanza prima di tutto politica, ho volutamente omesso l’appartenenza politica dei protagonisti citati. Non volevo che questo articolo diventasse l’occasione per dare la colpa a una o l’altra fazione. Non mi interessa, in questi frangenti le responsabilità politiche sono a tutti i livelli: locale, nazionale, a destra e sinistra, senza nessuno escluso. Bisogna rendersi conto (e denunciare) che l’inadeguatezza della classe politica è spesso un fatto che tocca tutti i livelli di governo e tutte le parti politiche, senza esclusione.
Quello che è successo all’ASL1 della Regione Abruzzo non è soltanto l’ennesimo caso di hacking verso un database pubblico. È l’ennesimo caso di come in Italia il problema dei dati personali e dell’adeguamento delle strutture digitali a un livello di sicurezza anche minimo, sia un problema solo di facciata, da trattare solo quando un fatto diventa di dominio pubblico (vedi il blocco temporaneo di ChatGPT).
Centinaia di gigabyte di dati personali, sensibili o - per dirla in maniera tecnicamente corretta - “particolari”, sono stati esposti sul dark web per essere scaricati da chiunque. Cartelle cliniche, referti medici di ogni tipo, dati sui minori. Dati che mai avremmo voluto finissero in mano di chiunque.
Provate a pensarci un attimo: abitate in Abruzzo in una delle città coperte dalla ASL1 (Avezzano, Sulmona, L’Aquila)? I dati dei vostri esami, compresi il vostro indirizzo di casa, il risultato degli esami ematologici o peggio ancora di quelli oncologici; esami ginecologici quando non perizie psicologiche o psichiatriche, sono stati esposti pubblicamente alla mercé di chiunque. È un fatto grave? No, gravissimo.
Prima di arrivare alle conclusioni però mettiamo in ordine i fatti.
Cos’è successo: cronistoria di un disastro annunciato
Per ricostruire la cronistoria di questo fatto gravissimo, mi sono appoggiato all’ottimo articolo scritto da Michele Pinassi sul suo blog zerozone.it. Pinassi, oltre a ricostruire i fatti, ci permette di toccare con mano quello che è successo e in quanto esperto di sicurezza, fornendoci anche il dettaglio sulle tecniche utilizzate.
Succede che la notte tra il 2 e il 3 Maggio, poche decine di giorni fa, l’ASL1 subisce un attacco informatico. AbruzzoWeb.it, che come vedremo sarà la testata più attiva su questo fronte, riporta la notizia di disagi tecnici probabilmente dovuti a un attacco hacker.
Nel frattempo, l’ASL1 comunica di avere un problema informatico. Lo fa con una nota sul proprio sito, in cui afferma “Per interruzione del sistema informatico, non dovuto a problemi interni, non è possibile al momento effettuare la prenotazione di prestazioni presso sportelli CUP, call center e servizio online”. Fa un po’ sorridere, di certo un sorriso amaro, l’inciso “non dovuto a problemi interni”.
Poche ore dopo, il 4 Maggio, sempre abruzzoweb.it riporta una nota dell’ASL1, oggi non più presente sul sito dell’ASL, in cui si dice che “[…] Si spera di poter risolvere il problema al più presto ma possiamo rassicurare che nessun dato sanitario o sensibile è stato trafugato o perduto. L’archivio informatico è integro”. Nessun dato sanitario o sensibile è stato trafugato o perduto.
Questa comunicazione non va d’accordo con quanto appare sul DSL (Data Leak Site) del gruppo Monti, che è il gruppo di hacker che ha compiuto l’attacco. Sulla pagina, che non è accessibile pubblicamente ma che è raggiungibile su quello che viene definito Dark Web, nella sezione “Muro della vergogna”, appare anche l’ASL 1 di Avezzano-Sulmona-L’Aquila. In questo post, la banda dice di aver sottratto 522 gigabyte di dati, tra cui i dati di pazienti positivi all’HIV e a riprova di quello che affermano pubblicano un referto clinico di un’ecografia ginecologica con i dati personali della paziente.
In altre parole, il 4 maggio il gruppo hacker rivendica l’attacco, affermando di essere in possesso di mezzo terabyte di dati dei pazienti. Contemporaneamente l’ASL1 afferma che nessun dato sanitario o sensibile è stato trafugato. L’informazione nazionale, nel frattempo, dorme.
Un consigliere denuncia, la Regione esce allo scoperto
Ad accorgersi che il fatto è più grave di quello che sembrava è il consigliere regionale Giorgio Fedele:”La pubblicazione, qualora si rivelasse autentica, sarebbe una prova del possesso dei dati sensibili, personali e sanitari, di migliaia di cittadini in cura nell’Azienda sanitaria in provincia dell’Aquila. Un’eventualità spaventosa che mi auguro vivamente non venga confermata perché significherebbe trovarsi davanti a una violazione gravissima e senza precedenti nella nostra regione”. Nel frattempo, nessuna notizia viene pubblicata sul sito dell’ASL1.
All’indomani della dichiarazione del consigliere Fedele, si sveglia anche la Regione, che invia all’ASL il dirigente del servizio Sanità Digitale, Camillo Odio. La notizia finisce su una testata nazionale, Il Messaggero, che parla per la prima volta di riscatto.
Finalmente, il 7 maggio, il sito dell’ASL pubblica la notizia: “In conseguenza dell’attacco hacker subito dall’ASL 1 Abruzzo, la Regione ha costituito un gruppo di pronto intervento di sicurezza informatica che sta operando a supporto dei gruppi tecnici dell’Azienda, immediatamente attivati nella gestione dell’incidente, per limitare il disagio derivante dall’indisponibilità di alcuni dei servizi informatici”. E infatti, il giorno dopo, il caso deflagra, quanto meno sulla stampa locale. Si parla di ritorno al fax, alla carta e penna. Si teme per gli stipendi dei dipendenti. Ma soprattutto, per la prima volta, si parla di un anticipo sul riscatto: 25.000 euro. Un po’ poco rispetto agli altri casi analoghi.
Da lì in avanti la questione si fa politica, tanto che il 10 maggio, la gang Monti pubblica, oltre alla seconda tranche di dati, una lettera aperta al Presidente della Regione Abruzzo Marco Marsilio e a Ferdinando Romano, Direttore Generale della ASL1.
La lettera, che riporto qui sopra, dice sinteticamente:”[…] Questo incidente vi apre gli occhi su molti problemi: corruzione, avidità e stupidità di quelle persone a cui avete affidato la cosa più preziosa della vita - la vostra salute, spendete una grande quantità di soldi delle tasse dei cittadini su una casa di cartone dove conservate i dati sulla salute dei vostri cittadini. Li state imbrogliando, spendete i loro soldi, ma non li proteggete in nessun modo”. Poi aggiunge “State evitando un incontro con la commissione regionale sulla sanità, parlando di problemi di privacy, tenendo in questo modo i tuoi cittadini all’oscuro”. Infine aggiungono esplicitamente “Perché non ci contattate? Possiamo arrivare a un accordo e ripristinare il database in non più di 8 ore”.
Arriviamo finalmente all’atto politico del gruppo hacker: il gruppo attacca direttamente i due dirigenti, accusandoli di sperperare i soldi dei cittadini senza proteggerli adeguatamente.
Poi, il giorno dopo, arriva un’altra comunicazione, questa volta rivolta ai cittadini abruzzesi. Il gruppo Monti fa riferimento a un file nominato “PAZIENTI.txt”. Quello che suggeriscono di fare ai cittadini è di controllare se all’interno di questo file c’è il proprio nome. Se c’è, il gruppo hacker consiglia di fare causa all’ASL1. E poi aggiungono “se non trovi il tuo nome, non preoccuparti, potrebbe essere nel prossimo file che pubblicheremo”.
Il 13 Maggio, la gang pubblica la quarta tranche di dati e la stampa comincia a parlare di riscatto: 2 milioni di euro, che il Presidente della Regione si affretta a dichiarare che non verrà pagato. Intanto arrivano i primi dettagli tecnici sull’attacco, che pare essere di tipo “SQL Injection”. Questo genere di attacchi sfrutta una vulnerabilità di una pagina web, in questo caso una pagina della piattaforma dell’albo pretorio della Regione Abruzzo.
Queste vulnerabilità permettono (semplificando) di impartire dei comandi direttamente al database tramite un normale form presente sulla pagina web. In pratica, per fare un esempio semplice semplice, in un campo dove è previsto che io inserisca la mia email o in un altro dove è possibile fare una ricerca, si può inserire un’istruzione che inganna il sistema facendo eseguire un comando direttamente al database (SQL è proprio il linguaggio di un certo tipo di database, “injection” è la tecnica tramite cui si passa un comando scritto in questo linguaggio attraverso un campo che non lo prevederebbe, per sua natura).
La dura realtà: mezzo terabyte di dati privati disponibili a tutti
Cominciano quindi a definirsi i contorni del tipo di attacco: come sempre, si parte da una pagina periferica, magari non aggiornata, per sfruttare una falla e inserirsi nel sistema. Da lì in poi diventa tutto facile: una volta che si ha accesso al database non si hanno più limiti. Ma sorge la prima domanda: com’è possibile che nessun sistema abbia notificato un traffico anomalo di questa entità? 522 gigabyte in uscita dalla rete dell’ASL, in poche ore, avrebbero dovuto far scattare qualche allarme. E invece niente.
Il 15 maggio è il giorno dell’armageddon: tutti i dati vengono pubblicati con una nota del gruppo Monti: “Non abbiamo mai chiesto un riscatto, la cifra è stata inventata dalla stampa”.
Come (non) hanno reagito le istituzioni
Dopo questa lunga cronistoria, viene da domandarsi come abbiano reagito le istituzioni. Come vedremo, il gruppo Monti si sospetta sia collegato al ransomware Conti, distribuito da un gruppo che si pensa possa avere sede in Russia. Pertanto la questione è di interesse nazionale.
Viene dunque da chiedersi: come hanno reagito le istituzioni? Come hanno comunicato il fatto ai cittadini? Cercando sui siti dei principali ministeri coinvolti, però, non si trova alcuna traccia dell’accaduto: il sito del Ministero della Salute, navigando il quale sembra di fare un viaggio nel passato del web, non ne parla. Ma non ne parla nemmeno il Ministero degli Interni e persino il sito dell’Agenzia sulla Cybersicurezza Nazionale, nata all’indomani di un altro grave attacco ai sistemi della Regione Lazio nel 2021 (attacco però non mirato alla Regione, ma avvenuto per colpa di un dipendente caduto in una “trappola”), tratta la questione. Insomma, le istituzioni tacciono completamente uno dei più grandi furti di dati della storia di questo paese.
Con chi dovremmo prendercela? Adesso che sappiamo che i nostri dati personali non sono al sicuro, stiamo meglio o peggio di prima? Insomma, per farla breve: Questi signori della gang Monti, ci hanno fatto o meno un torto?
Esiste un hacking etico? Un tribunale dice di si, ma c’entra poco con i fatti dell’Abruzzo
Quello che davvero è interessante, in questa brutta storia di sistemi non protetti e di cattiva gestione (quando non scarsa trasparenza) da parte della politica, è il rapporto tra hacker e cittadini. Gli hacker usano toni confidenziali e parlano al cittadino in maniera diretta. Il messaggio sembra voler essere “noi ti stiamo aiutando perché smascheriamo chi dovrebbe proteggerti e invece non lo fa”.
Il problema è che chi si mette nei panni di Robin Hood, alla fine, più che rubare ai ricchi, ruba ai poveri stessi aggiungendo poi lo sberleffo: “Vedi? Ti sto rubando quel poco che hai così poi ti incazzi e ti ribelli”. Quello che il gruppo Monti ha fatto, non è stato solo dare prova di avere a disposizione dei dati, ma è un atto criminale. Ha messo in piazza dati personali e privati di centinaia di migliaia di cittadini che, da quanto ipotizzano alcune testate, sono già stati scaricati migliaia di volte.
Quante vite sono state danneggiate da questo fatto? Quante persone potranno subire ripercussioni e ricatti nel prossimo futuro da gente con pochi scrupoli che ha avuto accesso a questi dati?
Detto tutto questo, viene da domandarsi se esiste un forma di “hacking etico”. Il Tribunale di Catania, nel 2019, stabilì che il comportamento di un giovane che aveva penetrato i sistemi di un’app che aveva una vulnerabilità, non era punibile in quanto “hacking etico”. Il ragazzo, infatti, prima di divulgare agli utenti dell’app la vulnerabilità, aveva contattato lo staff dell’azienda più volte, la quale non si era adoperata per risolvere il problema. Il Tribunale ha parlato quindi di “divulgazione responsabile” e non ha quindi ritenuto responsabile il giovane del reato.
Esiste dunque un concetto di hacking etico, che però non va molto d’accordo con chi, esplicitamente o velatamente, chiede un riscatto e danneggia volutamente i cittadini di tre province italiane pubblicandone dati privati e sensibili.
Dopo il danno la beffa: 1,7 milioni del PNRR per la sicurezza della sanità abruzzese
A tutto questo fa da sfondo una gestione incredibile, scandalosa e sconcertante non solo dei sistemi informatici, ma anche della crisi stessa. E tutto questo fa ancora più arrabbiare (o quantomeno dovrebbe), alla luce del finanziamento dei due progetti legati dal PNRR sulla Cybersecurity. Come riportato dal sito dell’Agenda Digitale della Regione Abruzzo, nel 2022 sono stati finanziati due progetti per un totale 1,7 milioni di euro sul tema della sicurezza digitale.
Il primo progetto, finanziato con 999.936,40€, fa persino sorridere, visto che l’oggetto è “INFRASTRUTTURA A SUPPORTO DELLA CYBER SECURITY PER IL CERT REGIONALE NELL'AMBITO DELLA SANITÀ”. Dove CERT sta per Computer Emergency Response Team. Sono stati spesi questi soldi? È stato attivato il CERT? Cosa si farà a livello nazionale per mettere in sicurezza le banche dati delle sanità regionali?
A noi cittadini nulla è dato sapere. La politica, quando si tratta di comunicare ai cittadini, lo fa sempre cavalcando i soliti temi, quelli che infiammano le platee social per raccogliere qualche like. Poi, quando sono chiamati a riferire su fatti così gravi, i dirigenti disertano le riunioni e si trincerano dietro “motivi di riservatezza”.
La campagna social che è nata in seguito ai fatti rilancia l’hashtag #troppogravepertacere. È proprio il caso di dirlo, non importa quale sia la fazione politica a sostegno di questa campagna, il fatto deve essere denunciato e diffuso per evitare che, anche questa volta, la cosa finisca nel dimenticatoio senza che nessuna responsabilità venga individuata nella dirigenza della regione e della sanità. No, è un fatto troppo grave per tacere.
SFAMA LA FOMO!
Cos’è la F.O.M.O.?1
È uscito un modello di computer portatile completamente rivoluzionario, perché non è dotato di monitor. Il laptop “SpaceTop” viene infatti venduto con un paio di occhiali per la realtà aumentata, che permettono di vedere uno o più schermi di enormi dimensioni, oltre a poter organizzare le finestre attorno a sé come si preferisce. Il computer è prenotatile per una cifra attorno ai 2000$, nemmeno tanto, e l’azienda offre gratuitamente pure un paio di lenti da vista da applicare agli occhiali. Da tenere d’occhio.
Il Montana è il primo stato degli Stati Uniti a bandire TikTok. Dal primo gennaio 2024 sarà infatti impossibile scaricare e utilizzare l’app, pena una multa di 10.000$. Perché questo accanimento contro TikTok? E perché è l’unica app cinese a preoccupare così tanto gli USA? Ne riparleremo.
L’unica, vera app di ChatGPT è finalmente arrivata sui dispositivi iOS (ma ahimè, non ancora in Italia). Nonostante l’AppStore di Apple sia pieno di app che citano il popolare chatbot di OpenAI, l’unica app ufficiale è quella riportata dall’annuncio dell’azienda. Diffidate dalle imitazioni.
TI SEI PERSO LE PRECEDENTI PUNTATE?
Se sei arrivato fino a qui, innanzitutto ti ringrazio.
Non ci siamo presentati: mi chiamo Franco Aquini e da anni scrivo di tecnologia e lavoro nel marketing e nella comunicazione.
Se hai apprezzato la newsletter Insalata Mista ti chiedo un favore: lascia un commento, una recensione, condividi la newsletter e più in generale parlane. Per me sarà la più grande ricompensa, oltre al fatto di sapere che hai gradito quello che ho scritto.
Franco Aquini
La F.O.M.O., un acronimo che sta per Fear Of Missing Out, è la deriva moderna del tam tam dei social network unita all’enorme disponibilità di strumenti di informazione e di intrattenimento. In pratica, è la paura di perdersi qualcosa e di non essere sempre al passo con i tempi. Con questa rubrica rispondiamo a queste paure, riassumendo in breve le notizie più significative della settimana, pescate dal mondo della tecnologia, dell’entertainment e del lifestyle.