Il giorno 8 dicembre, l’infrastruttura IT del Cloud Service Provider Westpole è stata compromessa da un attacco (riteniamo ransomware); numerosi notiziari specialistici hanno riportato la notizia, come Cybersecurity360.
A distanza di otto dodici giorni, il sito web è tuttora in manutenzione.
Le gravi implicazioni sui servizi resi a moltissime organizzazioni pubbliche sono evidenti; si stima che siano circa qualche centinaio milletrecento gli enti pubblici coinvolti nel data-breach, dei quali circa 540 Comuni.
Anche se nelle comunicazioni ufficiali viene specificato: “Vogliamo assicurarvi che al momento non ci sono indicazioni nei sistemi informativi (dei clienti) di Westpole che i dati (dei clienti) siano stati esfiltrati o trapelati”, dubitiamo che un attacco ransomware venga portato senza esfiltrazione; auspichiamo che le misure di sicurezza abbiano scongiurato l’esfiltrazione, ma su questo non scommetteremmo.
Di certo gli attori malevoli non avranno potuto esfiltrare semplicemente le centinaia (se non migliaia) di terabytes di dati della grandissima infrastruttura cloud di Westpole (sappiamo che hanno vari datacenters in Italia).
Banalmente, anche solo per problemi di tempo di trasferimento e di spazio disco dove memorizzare l’esfiltrazione.
Come da tempo auspichiamo, è tempo di parlare in modo serio della sicurezza del Cloud, e questo deve essere fatto a livello di Governo Nazionale.
Come abbiamo visto, un attacco andato a termine ad un grande cloud provider mette in ginocchio mezza Italia; altro che infrastrutture critiche!
Nel frattempo, AGID indaga sull’evento; attendiamo ulteriori informazioni, che sono doverose dato il numero di soggetti coinvolti.
UPDATE: il breach è stato causato dalla cyber-gang LockBit, e le dimensioni sono tali da essere – per adesso – il più grande breach occorso ad un cloud provider italiano.
UPDATE: WestPole e PA digitale, il vero conto del disastro: enorme. Oggi, dopo 10 giorni, il sito web è ancora in manutenzione.
UPDATE: altro articolo non aggiornatissimo di Wired, ma interessante nei contenuti; indichiamo anche un altro articolo di Wired: Che fine hanno fatto i laboratori che devono controllare la cybersecurity delle reti nazionali, del quale riportiamo un estratto:
“Secondo una ricerca di Grenke Italia, società specializzata nel noleggio operativo di beni e servizi strumentali per le imprese, il 72,7% delle pmi italiane non ha mai svolto attività di formazione in materia di cybersecurity, il 73,3% non sa cosa sia un attacco ransomware mentre il 43% non ha un responsabile della sicurezza informatica, il 26% è quasi sprovvisto di sistemi di protezione e solo 1 azienda su 4 (22%) ha una rete segmentata cioè più sicura.”
Nel mentre, che molti giornali dichiarano che “gli stipendi di dicembre sono salvi” (un pò come dire che il ladro è entrato ma per fortuna non ha preso niente), non comprendendo che sono state cifrate contemporaneamente 1500 virtual machines, che non sappiamo quanti dati siano stati esfiltrati.
Abbiamo inoltre notizia che si stà interessando del significativo evento sulla sicurezza (non si chiama più data breach) anche il COPASIR, come avevamo auspicato precedentemente in questo stesso post. Auspichiamo siano anche appurati completamente i fatti e le responsabilità.
UPDATE 1 FEB: a distanza di circa due mesi da breach di WestPole, Wired pubblica un articolo “Come è andata a finire..“, interessante per avere una altra narrazione sull’accaduto ma soprattutto per avere conto degli sviuppi nei quasi due mesi trascorsi.