L’Agenzia per la cybersicurezza nazionale respinge l’attacco del collettivo hacker Killnet. Nel tardo pomeriggio del 30 maggio un lungo attacco informatico di oltre 10 ore ha interessato il portale istituzionale dello Csirt Italia, il team di risposta dell’Agenzia per la cybersicurezza nazionale. L’azione, annunciata ed in seguito rivendicata dal collettivo filorusso Killnet, è stata respinta, secondo quanto fa sapere lo stesso Csirt. Come quelli precedenti che hanno colpito nelle settimane scorse siti istituzionale, l’attacco del 30 maggio è stato di tipo Ddos (Distributed denial of service): in pratica si invia un’enorme quantità di richieste al sito web bersaglio, che non è in grado di gestirle e quindi di funzionare correttamente. L’offensiva, svoltasi in tre ondate, è stata mitigata “dai sistemi Anti-DDoS a protezione del portale, senza intaccare la disponibilità del sito web per gli utenti leciti”, informa lo stesso Team, che raccomanda l’adozione delle misure di protezione indicate nei precedenti alert.
La reazione di Killnet
L’azione tempestiva ed efficace del Csirt ha provocato la reazione del collettivo hacker. “Csirt Italian, eccellenti specialisti lavorano in questa organizzazione – si legge in un messaggio postato da Killnet su Telegram – Ho effettuato migliaia di attacchi a tali organizzazioni, anche cyberpol non dispone di un tale sistema per filtrare milioni di richieste. Al momento vedo che questi ragazzi sono dei bravi professionisti! Falso governo italiano, ti consiglio di aumentare lo stipendio di diverse migliaia di dollari a questa squadra. Csirt Accettate i miei rispetti signori”.
Postata anche una gif: sullo sfondo il logo dello Csirt e un omino impiccato. “Ho solo elogiato il sito Csirt.gov.it e il loro team. Le restanti migliaia di siti italiani che non funzionano, è un peccato – si legge in un altro post – Non pubblicheremo questo elenco perché le persone devono vedere tutto da sole. Spero che il sistema di monitoraggio italiano lo faccia per noi”. E infine un altro messaggio sibillino postato da Killnet: “Ho dimenticato di dirlo ai miei Csirt preferiti, non dimenticare di correggere questo errore. Il tuo database non funziona correttamente”. Dopo le minacce di domenica da parte degli hacker filorussi, che parlavano di un “colpo irreparabile”, l’Acn aveva lanciato un alert. Tuttavia ieri si sono registrate solo marginali criticità.
L’audizione del ministro Brunetta
“Nelle pubbliche amministrazioni uno dei temi centrali sia quello dell’acquisizione di competenze e profili professionali specializzati da reclutare” per garantire la cybersicurezza e rispondere agli attacchi. “Ci sono 600 milioni a disposizione nel Pnrr, e vorrei garantire massimo impegno tecnologico e finanziario, massima consapevolezza politica, ma soprattutto massimo impegno di capitale umano: occorre formare i quadri e le professionalità della Pubblica Amministrazione per dare sicurezza all’intero Paese”. Lo ha sottolineato il ministro della Pubblica Amministrazione, Renato Brunetta, rispondendo ad una interrogazione durante il question time alla Camera. Brunetta ha riferito che “l’attacco perpetrato proprio ieri da Killnet ai danni del sito istituzionale dello Csirt Italia – il Computer Security Incidente Response Team – istituito presso l’Agenzia per la Cybersicurezza Nazionale è stato mitigato dai sistemi di protezione del portale, e non ha intaccato la disponibilità del sito web per gli utenti”, e tuttavia “questo evento ci evidenzia come sia necessario dotare tutte le istituzioni – a tutti i livelli di Governo – delle capacità e delle competenze per riconoscere i rischi connessi alla sicurezza cibernetica; regolamentare le attività dello spazio cibernetico nell’ambito di uno strettissimo coordinamento europeo e internazionale”.
Brunetta ha fatto presente che “dall’11 maggio scorso sono stati osservati attacchi verso numerosi portali di Pubbliche Amministrazioni ed operatori privati tesi ad interrompere la fruizione dei servizi da essi erogati. Sotto il profilo tecnico tali eventi – come quello di ieri – ricadono nella famiglia dei Distributed Denial of Service (DDoS), ovvero attacchi effettuati attraverso l’utilizzo di sorgenti multiple distribuite che tendono a colpire i servizi esposti su Internet, impedendone la fruibilità. Gli attacchi che hanno interessato il settore sanitario, invece, sono stati caratterizzati dall’utilizzo di malware – ovvero da programmi informatici usati per disturbare le operazioni svolte da un utente di un computer – che hanno compromesso le reti informatiche permettendo agli attaccanti di accedere a sistemi di varia natura, anche cifrandoli”.
Rispetto ai rischi a cui è esposto il settore sanitario, Brunetta ha ricordato che “l’Agenzia per la Cybersicurezza nei mesi di settembre ed ottobre 2021 ha effettuato una campagna di sensibilizzazione, attraverso una serie di seminari tematici, indirizzata alle strutture sanitarie di tutte le Regioni. Inoltre, in occasione di alcuni attacchi a strutture sanitarie (come, ad esempio, gli ospedali Sacco e Fatebenefratelli di Milano) il personale dell’Agenzia è intervenuto in loco a supporto per le attività di contenimento, analisi dell’attacco e ripristino dei servizi essenziali”.
Il ministro ha poi ricordato che “lo scorso 17 maggio il Presidente del Consiglio dei Ministri, sentito il Comitato interministeriale per la cybersicurezza (Cic), ha adottato la Strategia nazionale di cybersicurezza, comprensiva del Piano di implementazione (contenente 82 misure). In tale strategia, si segnala che la transizione verso tecnologie Cloud della PA (siano esse del Polo Strategico Nazionale – Psn o del Public Cloud) rappresenta un elemento fondante per garantire adeguate garanzie di autonomia tecnologica del Paese. A questo si accompagna lo sviluppo di capacità di protezione per le infrastrutture nazionali, realizzate anche mediante programmi con i privati, e attraverso soluzioni tecnologiche finalizzate a ridurre in modo proattivo potenziali superfici di attacco, nonché attraverso il monitoraggio delle configurazioni dei domini di posta elettronica della PA, supportando e facilitando l’applicazione delle migliori configurazioni di sicurezza contro eventi di phishing o abusi collegati”.
