L'attacco ransomware al Comune di Ferrara, la lezione del CISO Massimo Poletti
di Luca Girodo, esperto di sicurezza IT e docente di securindex formazione
Sono stato molto colpito dall’articolo apparso su Red Hot Cyber la scorsa settimana, nel quale è stato intervistato l’Ing. Massimo Poletti – responsabile dei sistemi informativi del Comune di Ferrara – relativamente all’attacco ransomware subito dal Comune stesso nel 2023 che ha causato il blocco completo di tutte le attività per diversi giorni. Per la gestione esemplare dell'incidente, l’ing. Poletti è stato premiato come miglior CISO (Chief Information Security Officer) del 2024 da IKN Italy.
Cosa mi ha piacevolmente colpito? Il profondo cambio di paradigma.
Negli ultimi periodi parliamo spesso del “crisis management” applicato agli attacchi informatici, con lo scopo di diffondere quanto subìto come insegnamento o almeno un termine di esempio.
Il concetto che io ripeto sempre è: “a lesson learned”.
Occupandomi anche di formazione, l’esempio di quanto è accaduto mi è molto utile sia per rafforzare i concetti che espongo ai discenti (guarda caso molto simili a quanto accaduto a Ferrara) ma soprattutto perché ritengo che sia corretto cogliere l’attacco informatico come qualcosa da cui prendere esempio.
Quando si viene colpiti da un attacco informatico, l’atteggiamento odierno è di minimizzare il tutto, nascondere, negare e alla fine sottovalutare; purtroppo mi accorgo che questo atteggiamento è adottato da molte aziende, per paura di avere un danno reputazionale.
Sono convinto che mostrare ed elaborare - ovviamente non senza la collaborazione della propria comunità IT e la condivisione con tutti gli stakeholders – sia un mezzo per capire cosa e come fare meglio. Un esempio, appunto una lezione.
Ricordiamoci che un attacco hacker è un attacco criminale che una o più persone svolgono in maniera illecita verso di noi e le nostre attività con lo scopo di trarne un beneficio economico.
Di fatto non siamo noi i colpevoli, anzi siamo noi quelli che subiscono, siamo le vere e proprie vittime.
Tornando a quanto accaduto al Comune di Ferrara, purtroppo si è trattato di un “modus operandi” già noto, cioè un phishing che ha permesso di installare un malware. Quest’ultimo, tramite lateral movement, è riuscito a compromettere il dominio e la AD. Una volta raggiunto tale primo obiettivo, sono stati compromessi i backup remoti – che non erano in immodificabilità – ed è stato attivato il ransomware su tutti i dispositivi. In poche parole: tutto bloccato con richiesta di riscatto e nessun punto di ripristino utile.
Chiaramente non mi voglio soffermare sugli strumenti messi a protezione dell’infrastruttura del Comune, però mi permetto di dire che qualcosa sicuramente si poteva fare meglio. Questa vicenda spero possa essere un punto di partenza al fine rilevare alcuni passaggi strategici per poter dire con consapevolezza “avevo fatto questo ma mi è mancato quest’altro”.
Qualora vi capitasse malauguratamente di trovarvi in questa situazione non dovrete sentirvi “in difetto” nel chiedere supporto a professionisti del settore e denunciare alla Polizia Postale.
E’ successo. E’ un atto criminale. L’ho affrontato in questo o quest’altro modo! E ancora, questo l’ho risolto subito ma per quest’altro ci ho impiegato giorni!
Grazie Ing. Poletti, “lesson learned”, abbiamo capito la lezione.
Photo by Claudio
