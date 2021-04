Il caso è più grave del previsto. Ci vorrà almeno tutto il fine settimana per ripristinare i registri elettronici di circa 2.500 scuole italiane, fuori uso dalla notte di venerdì scorso e dunque dal rientro post-pasquale. Mercoledì 7 aprile Axios Italia, la società che sviluppa la piattaforma utilizzata da un gran numero di istituti, ha spiegato di aver ingaggiato due società – Momit e Swascan del gruppo Tinexta – per “effettuare tutte le opportune verifiche prima di ritornare online con i sistemi”. Probabile che le due società stiano cercando di forzare la crittografia grazie alla quale il malware ha congelato i server con i dati, i voti, le pagelle, le presenze, le note, i compiti e tutte le altre informazioni che ruotano intorno alla vita di migliaia di classi italiane. Chiedendo un riscatto in bitcoin che ovviamente, anche su indicazioni della Polizia postale a cui Axios ha presentato un esposto il 6 aprile, non sarà pagato. Oppure che stiano semplicemente ultimando le operazioni di ripristino dai server di backup, rafforzando i dispositivi di sicurezza.

Servirà dunque ancora “qualche giorno di pazienza” spiega la società, che è poi tornata a rassicurare studenti, dirigenti scolastici e famiglie con un documento – di fatto una lettera ai presidi, gli istituti sono i clienti finali dell’azienda – nel quale mette in chiaro che “i dati personali gestiti non sono stati persi/distrutti e non vi è stata alcuna visione/estrapolazione indebita”. Non solo. Il gruppo spiega che “le misure di sicurezza adottate, incluse le soluzioni di disaster recovery, nonostante un “attacco brutale con finalità estorsive” similare a quello ricevuto recentemente da multinazionali (esempio Acer), hanno consentito di preservare i dati gestiti nel rispetto della normativa privacy”. Stefano Rocchi, amministratore unico di Axios, ha aggiunto all’Agi che “non sono stati persi dati importanti, ma solo qualcosa di marginale che può essere facilmente recuperato. Inoltre voglio precisare che nessun dato è stato rubato dai nostri sistemi. Questo dimostra che la nostra sicurezza era buona”. A quanto è stato dichiarato, insomma, dalla prossima settimana le scuole servite dovrebbero poter riprendere a utilizzare i registri, fermi a prima delle vacanze pasquali, aggiornandoli secondo la procedura illustrata qui.

La ragione del rinvio sta nelle stesse parole di Rocchi: “Abbiamo deciso di rimandare a venerdì o al massimo a lunedì prossimo. Il motivo è che vogliamo potenziare ulteriormente le misure di sicurezza”. Sempre nel documento è infatti precisato che i ritardi sono “dovuti principalmente a scrupolosi controlli atti a verificare la bontà della bonifica effettuata e del regolare ripristino di tutte le funzionalità della piattaforma”. Secondo Axios non ci sarebbero neanche ragioni per rispettare quanto previsto dal Regolamento generale europeo per la protezione dei dati personali in termini di notifica al Garante per la protezione dei dati personali. Questo perché “non risultano presenti rischi per i diritti e le libertà delle persone fisiche”. Ma su questo aspetto ci sarà senz’altro bisogno di approfondimenti e non è da escludere un intervento dell’authority guidata da Pasquale Stanzione, che potrebbe essere utile a tranquillizzare istituti, famiglie e studenti. Non parliamo infatti solo di voti o compiti ma anche, per esempio, di informazioni sulla disabilità degli alunni che non sono di certo dati comuni.

L’istruzione, come molti altri ambiti, è finito nel giro dei bersagli preferiti dagli hacker proprio con la migrazione di milioni di studenti all’insegnamento a distanza o comunque misto, fra casa e aula, legato alle restrizioni per la pandemia: “A livello globale stiamo assistendo a un forte aumento degli attacchi informatici contro il settore dell’istruzione, proprio in un momento delicato in cui le scuole non possono permettersi l’interruzione dei propri sistemi – spiega Max Heinemeyer, direttore della ricerca sulle minacce della società di sicurezza informatica Darktrace – prendere di mira argomenti che scuotono il dibattito pubblico come la didattica a distanza aumenta la pressione sulle potenziali vittime che sono di solito più propense a pagare un riscatto proprio quando la posta in gioco è più alta”.

I dati non sarebbero persi ma secondo Heinemeyer l’operazione potrebbe far parte di “una campagna ransomware “a doppia minaccia” in cui gli attaccanti non solo criptano i dati ma minacciano di rubarli e rilasciarli se non viene pagato un riscatto. Non è sorprendente che l’attacco abbia avuto luogo durante il fine settimana di Pasqua, quando i team di sicurezza sono probabilmente più lenti a rispondere. Il settore dell’istruzione soffre già di una carenza di competenze informatiche”.

Davide Gubiani, responsabile di Security Engineering per il Sud Europa di Check Point Software Technologies, sottolinea invece la possibilità di un effetto domino. D’altronde, secondo gli ultimi dati del Security Report dell’azienda, nel 2020 una nuova organizzazione è stata vittima di ransomware ogni 10 secondi in tutto il mondo: “Si tratta di un classico attacco ransomware che rende inaccessibili i dati dei computer infettati e chiede il pagamento di uno riscatto per ripristinarli. In questo caso, l’attacco assume un’importanza particolare, perché i dati in ostaggio sono quelli di studenti minorenni, quindi è a rischio la privacy degli studenti. Inoltre, quest’attacco ha provocato sicuramente un notevole disagio nei confronti di insegnanti e studenti che non riescono ad accedere ai risultati derivanti da settimane di scuola. Altro rischio da non dimenticare è il fatto che questo ransowmare possa contagiare tramite la piattaforma dei registri elettronici anche i pc degli studenti e degli insegnanti.

Come andrà finire? “Il rifiuto da parte dell’azienda di pagare il riscatto è un’azione coraggiosa e importante, in questo modo non ha alimentato il cybercrimine. Il ripristino dei dati dipende tutto dall’azienda. Se prima dell’attacco Axios disponeva già di una strategia di backup e di recovery plan, i dati saranno ripristinati in breve tempo, se così non fosse, i tempi per il ripristino potrebbero essere più lunghi e senza un’adeguata strategia di backup quest’azione di ripristino potrebbe non andare a buon fine” conclude Gubiani.

Per evitare questo tipo di operazioni, spiega Filadelfio Emanuele, Security & Operation Manager presso CybergON di Elmec Informatica, non si può lasciare nulla al caso. Considerare i tempi, ad esempio, può essere vitale: “Il caso dell’attacco subito da Axios ha messo fuori uso dei servizi chiave per docenti, studenti e genitori e si parla di possibili ripercussioni che possono durare fino a lunedì 12 aprile, ben oltre una settimana dall’attacco. Sempre più spesso i gruppi di cybercrime attaccano aziende ed enti al venerdì sera, a ridosso del weekend e in orari extralavorativi, per sfruttare una maggiore finestra temporale prima che vengano prese contromisure – spiega l’esperto – e in questo caso la tempistica nella risposta è tutto. Consente non solo di mantenere la continuità del servizio, ma anche di evitare che altri gruppi di cybercrime approfittino della vulnerabilità. Quanto è accaduto ci deve far riflettere sulla necessità di una diffusione della cultura della sicurezza informatica per prevenire i rischi. Ad esempio strutturando processi di monitoraggio delle vulnerabilità e di aggiornamento dei sistemi, oltre a fissare finestre di manutenzioni ordinarie e di emergenza. Mantenere aggiornato un sistema di manutenzione preventiva, in gergo “patchare”, è spesso la chiave per ridurre significativamente i rischi operativi in termini di diminuzione di fault e tempi di ripristino, e mantenere sotto controllo lo stato di hardware e software che costituiscono l’infrastruttura ICT per garantire la loro piena efficienza. Il monitoraggio continuo sulle macchine è necessario per verificare eventuali anomalie. Tuttavia gli strumenti da soli potrebbero non essere in grado di rilevare tutto e subito. È necessario disporre di un team per la rilevazione e la gestione delle anomalie in modo proattivo, per mettere in campo una risposta efficace e tempestiva”.