Tra le notizie sul cyberattacco alla Regione Lazio ne spunta una che colpisce l’immaginazione come la prima scena di un thriller ad alta tensione. La falla che ha permesso l’ingresso hacker alla regione Lazio potrebbe essere stata aperta da un dipendente di LazioCrea in smartworking a Frosinone.
Quel dipendente in smartworking potevi essere tu
E già ti sembra di vederlo questo involontario protagonista con il suo portatile appoggiato su una qualche postazione anti-ergonomica, con il mal di schiena e la tazza macchiata di caffè sempre a portata di mano. È lì, ancora davanti al terminale a tarda ora, per sbrigare del lavoro o forse a navigare in rete per i fatti suoi, ma con il pc aziendale. Come facciamo tutti. Ed ecco che gli sfugge un clic sbagliato. È stanco, distratto, risponde a una mail falsa, scarica un file traditore e fornisce le credenziali per l’accesso. Il cybercriminale entra nel sistema della Regione Lazio, copia tutti i dati e li rende inaccessibili con un codice e, proprio come in un film, sui terminali appare la scritta “Hello Lazio! I vostri file sono stati criptati”.
Poi parte l’azione, la caccia ai responsabili, la corsa a ripristinare il sistema, le dichiarazione dei politici e dei tecnici. Ma noi fermiamoci pure qui, perché è da questa prima scena che capiamo che poteva capitare a chiunque.
Il singolo dipendente non è responsabile del cyberattacco
Nella realtà dei fatti non è ancora chiaro se è partito tutto dal dipendente di LazioCrea che ha abboccato a una trappola di phishing oppure se c’è stata un’intrusione più complessa, operata giorni prima in un altro sistema collegato a quello della Regione (Engineering spa, società specializzata in servizi informatici). Chi l’aveva compiuta avrebbe trovato qui “la chiave” d’ingresso, cioè le credenziali dell’impiegato di LazioCrea, e la avrebbe venduta ad altri. «Comunque sia andata in questa vicenda, c’è da riflettere sul fatto che un lavoratore può far chiudere un’azienda o mettere in seria crisi un servizio pubblico» spiega Simone Scanavini esperto di cybersecurity. «Sia chiaro, il singolo non è responsabile giuridicamente di nulla. Come è giusto, visto che tra l’altro si fa pochissima formazione efficace». E qui il pensiero del lavoratore al terminale medio vola a quei noiosi filmatini online dove l’hacker ha sempre la felpa nera con il cappuccio alzato. In questo e in un banale test finale si risolve di solito l’aggiornamento sui temi della sicurezza digitale.
Ma ora che si è capito che il cybercrimine è un superproblema che riguarda Stato e aziende, cittadini e lavoratori, andiamo a riguardare alcuni fotogrammi della storia che forse possono tornare utili a tutti. Per esempio, quanto incide lo smartworking?
È difficile conciliare smartworking e cybersicurezza
«Lo smartworking può aumentare i rischi di violazione perché sul pc di casa spesso non ci sono tutte le protezioni che ci sono in ufficio» spiega Simone Scanavini. «Di solito a chi lavora da remoto è data la possibilità di connettersi alla rete aziendale ma la navigazione non passa per il sistema di protezione che si ha in presenza. In pratica, si lavora con una mano sulla scrivania dell’ufficio e con l’altra su quella di casa. Usando lo stesso pc sia per lavorare sia per cose personali un clic sbagliato può essere fatale».
Tenere il pc acceso di notte non è un rischio
Tornando alla storia dell’impiegato di Frosinone (o forse è addirittura un programmatore? Le voci sono tante) si è detto che ha lasciato il computer acceso di notte. Ottimo dettaglio per la sceneggiatura del nostro film ma non rilevante in assoluto per la sicurezza
Lo è forse di più il fatto che fosse “un amministratore”. Una definizione che potrebbe fa credere che si trattasse di un pezzo grosso dell’azienda. «Non c’entra niente con le cariche aziendali» spiega Scanavini «sta invece a indicare cosa si può fare con il proprio pc. Quando si compra un computer e con il proprio account lo si configura, si diventa l’amministratore locale della macchina e si può decidere per esempio, che programmi installare. Poi c’è l’amministratore del sistema che decide cosa può fare la rete dei pc collegati a uno stesso dominio. Uno dei più tipici errori nella gestione del lavoro da remoto è permettere ai dipendenti di essere amministratori locali del loro pc aziendale, cioè di installare quello che vogliono. E quindi, anche qualcosa che potrebbe inavvertitamente mettere a rischio tutta la rete».
Cosa fare e non fare sul pc aziendale
È un bel problema di libertà: chi lavora da casa sa quanto è seccante non poter usare lo stessa macchina per fare shopping online, guardare video, giocare, stare sui social, lasciarlo usare ai figli. «Persino io che mi occupo di cybersicurezza non voglio essere amministratore locale del mio pc portatile aziendale, perché un errore può capitare davvero a chiunque e preferisco limitarmi. È come con il vaccino» suggerisce Simone Scanavini. «Non solo le macchine ma anche gli umani sono sottoposti agli attacchi di un virus e la libertà di non vaccinarsi può aumentare il rischio di infezione per tutta la comunità». Paragone azzardato ma efficace.
Non bisogna mai pagare il riscatto
La responsabilità personale nell’uso del digitale sta diventando sempre più importante però non sta tutta sulle spalle del singolo utente, anzi. La sbadataggine, l’ingenuità, l’errore umano, andranno sempre messi in conto perché le trappole tecnologiche e psicologiche si moltiplicano e si perfezionano. Le fragilità umane e quelle dei sistemi informatici vanno protette con l’aggiornamento e soprattutto con i sistemi di sicurezza. Le protezioni esistono, sono in continuo miglioramento ma costose. Ecco il problema: su di esse bisogna investire tanto denaro. «Molto meglio spendere soldi per prevenire gli attacchi che per pagare i riscatti che non garantiscono affatto il ripristino dei siti e la restituzione dei dati rubati ma contribuiscono a rendere sempre più gravi le aggressioni» sottolinea Scanavini. Oggi, per la Regione Lazio si parla di terrorismo e sono partite complesse indagini da parte della polizia postale ma la verità è che questi attacchi sono ormai all’ordine del giorno e non guardano in faccia nessuno. Il vero motivo, quasi sempre, è estorcere denaro. Il giro d’affari è superiore al traffico di droga internazionale e già rappresenta il terzo pil mondiale. È la nuova criminalità, senza costi e imprendibile. E non è un film.