In piena estate, nella notte dello scorso 16 agosto, l’Arpac ha subito un grave attacco di pirateria informatica (di tipo ransomware) che ha prodotto la cifratura dell’ambiente di virtualizzazione causando il blocco di tutti i sistemi agenziali. Immediatamente rientrati in servizio, i tecnici hanno verificato che gli hacker avevano iniziato ad inserirsi nel sistema già dal 7 agosto, sferrando poi l’attacco nella notte del 16. Per capire meglio com’è andata e qual è la situazione ad oggi, ci siamo rivolti al DG Stefano Sorvino.
Un’emergenza inusuale rispetto alle tante finora vissute dall’Arpac.
Nelle variegate esperienze di un manager pubblico può accadere di tutto ed occorre la predisposizione ad affrontare in tempo reale ogni evenienza, ma questa è risultata del tutto nuova pur essendo argomento di crescente attualità. E’ infatti notizia recente che si stanno moltiplicando a dismisura gli attacchi di pirateria informatica nei confronti di una molteplicità di amministrazioni ed enti pubblici (tra cui Regione Lazio, Inps, Corte dei Conti, Asl, ecc.) e soggetti privati di varia dimensione, con finalità prevalentemente estorsive ed emulative di “terrorismo informatico” – dai contorni ancora in parte oscuri – che pongono in attualissima evidenza la centralità della “cyber security” a livello nazionale ed internazionale.
Si sa qualcosa sul movente e la provenienza di questo atto di pirateria?
Non ancora e comunque si tende a mantenere una certa riservatezza sulle relative attività investigative, suggerita anche alle amministrazioni hackerate per evitare di dare risalto alle azioni degli aggressori. In generale la Polizia Postale e l’apposita Agenzia nazionale di recente costituzione, operativa dallo scorso anno, si stanno progressivamente attrezzando ed è stato di recente approvato un piano nazionale pluriennale per la sicurezza informatica, su impulso anche dell’ex sottosegretario alla Presidenza Gabrielli già delegato al coordinamento dei servizi di informazione e sicurezza.
E’ corretto dire che l’Arpac dispone di un alto livello di informatizzazione?
Assolutamente, si. Da alcuni anni è anzi all’avanguardia nell’attuazione del Codice dell’amministrazione digitale, sia per le avanzate procedure di gestione ed organizzazione interna – con l’apposito sistema Sicr@web – sia per l’aggiornata rimodulazione del portale istituzionale che ospita l’imponente sistema dei dati e delle informazioni ambientali della Campania a disposizione delle autorità, degli operatori ed addetti a lavori e, soprattutto, dei cittadini utenti.
I risultati conseguiti nell’ultimo quinquennio, in termini di connettività, innovazione e razionalizzazione dei sistemi digitali ed informatici, sono davvero notevoli, frutto degli investimenti della politica agenziale ma anche della professionalità ed abnegazione dello sparuto ma qualificatissimo numero di operatori dell’Unità SINF, diretta dalla dott.ssa Loredana La Via ed incardinata presso la Direzione Generale, in costante raccordo con i referenti informatici di tutte le strutture agenziali. In particolare, negli ultimi anni, oltre alla digitalizzazione di tutti i procedimenti amministrativi e di gestione tecnica, si è sempre più compiutamente implementato il sito/portale, progressivamente arricchito di contenuti ed elementi tematici e recentemente rivisitato. Esso è stato reso sempre più facilmente accessibile e fruibile dai cittadini-utenti per rendere disponibile la più ampia ed aggiornata base di conoscenze ufficiali ed informazioni oggettive in tutti i molteplici settori ambientali in cui operano i monitoraggi e controlli dell’Arpac.
Quali sono state le conseguenze dell’attacco?
Innanzitutto, l’improvviso oscuramento del portale informativo in cui vengono pubblicati ed aggiornati quotidianamente i dati ambientali riferiti alle continue attività di rilevazione. Alcune particolarmente sensibili in periodo estivo, come il controllo della qualità delle acque di balneazione, e – costantemente – le centraline di monitoraggio dell’aria. L’attacco hacker è stato sferrato alle 1.30 di notte e per precauzione, nelle ore immediatamente successive, sono stati isolati o spenti i server fisici, il sito web, i software di piattaforme informatiche e gli altri sistemi coinvolti. Va però subito detto che, nonostante il grave ed improvviso incidente, l’Agenzia ha continuato a garantire il prosieguo di tutte le proprie attività di controllo e monitoraggio, anche se la pubblicazione dei dati registrati è risultata limitata ed oscurata dal provvisorio fermo del sito, con temporanea perdita di visibilità.
In secondo luogo, il blackout del sistema ha determinato la paralisi dei circuiti e dei servizi di gestione interna (amministrativa e tecnica) – oggi completamente digitalizzati – dai procedimenti deliberativi a quelli di fatturazione e pagamento, al ricevimento e trasmissione di atti sia a rilevanza esterna che tra gli uffici e strutture agenziali. Apparentemente si profilava un problema senza precedenti per un ente delicato come Arpac, sia sotto il profilo dell’agibilità gestionale che della visibilità istituzionale.
Un altro danno importante è che l’attacco hacker ha impedito di scaricare i dati delle misurazioni prodotti dalle centraline di monitoraggio della qualità dell’aria, comportando la sospensione del corrispondente bollettino quotidiano, attesa l’impossibilità di accedere, on line e da remoto, agli stessi dati acquisiti dalle relative centraline. I tecnici dell’ARPAC hanno dovuto, quotidianamente, recarsi presso ognuna delle oltre 40 centraline dislocate sul territorio regionale per acquisire i dati e provvedere manualmente alla pubblicazione di quelli salienti, con particolare riferimento ai cd. sforamenti. Purtroppo gli effetti negativi dell’hackeraggio non si esauriranno con il ripristino della funzionalità automatica di acquisizione dei dati, in quanto occorre recuperare ed elaborare i dati di circa tre mesi di misurazioni per la pubblicazione dei relativi bollettini della qualità dell’aria.
Come siete intervenuti nell’immediato?
Sono state attivate tutte le misure di riorganizzazione possibili. E’ stata immediatamente avviata, da parte della struttura SINF con il supporto di consulenti, sia un’accurata analisi e puntuale ricognizione del danno informatico (effettivo e potenziale) e delle sue conseguenze discendenti, sia una valutazione speditiva ma attenta delle modalità e del percorso più rapido di ripristino in condizioni di sicurezza. L’Unità operativa Sistemi informativi ed informatici si è avvalsa della proficua collaborazione del SOC (Security Operation Center) di Roma, in qualità di fornitore dei servizi di sicurezza nell’ambito del contratto di servizio, senza particolare aggravio di costi. Il primo elemento confortante è stato rappresentato dal rapido rilievo che, in virtù delle accorte misure di gestione e prevenzione adottate precedentemente (anche con back up), non è risultata distruzione e perdita di dati con conseguente esfiltrazione massiva verso l’esterno.
E’ da sottolineare che l’attacco (come evidenziato dal SOC nel report finale) è stato possibile a causa della compromissione di un account utente e non per carenza di misure di sicurezza, da tempo praticate e valorizzate dall’Agenzia – nella gestione di server e reti da parte dell’U.O. SINF – che, pur nel massimo contenimento dei costi, non ha mai trascurato le problematiche di cyber-security della rete informatica agenziale. La competente Unità Operativa ha sempre attenzionato anche la “security awareness” da parte dei dipendenti e, conseguentemente, curato con diligenza l’informazione al personale operante ed agli utenti interni sulle questioni di sicurezza informatica.
A questo punto sono partite le denunce.
Immediate e circostanziate. Innanzitutto al Compartimento di Polizia Postale – con l’avvio di una proficua collaborazione -, all’Autorità Garante della protezione dei dati personali ed all’apposita Agenzia nazionale per la cyber sicurezza per la verifica dei delicati adempimenti di competenza. Nel frattempo è stata data immediata comunicazione dell’interruzione sopravvenuta a tutti gli Enti con cui vi sono costanti interlocuzioni di servizio, fra cui le Direzioni Generali della Regione, l’Ispra, il Ministero dell’Ambiente, le Prefetture e le Procure della Repubblica della Campania, le principali amministrazioni territoriali, le Asl, i Corpi di polizia.
L’attività di ripristino è durata a lungo, come è stata sviluppata?
I nostri tecnici, con i necessari supporti, si sono attivati febbrilmente per il più rapido ripristino dei sistemi ma contestualizzati con la necessaria messa in sicurezza, perché la tempestiva riattivazione senza l’individuazione e neutralizzazione del punto di vulnerabilità e penetrazione avrebbe potuto esporre il sistema ad ulteriori intrusioni con ancora più severe conseguenze. L’operazione è apparsa subito complessa e laboriosa, con tempi tecnici non brevi e non esattamente prevedibili, attese le notevoli dimensioni dei dispositivi Arpac, articolati in circa 70 server e poco meno di 600 postazioni da ripristinare progressivamente, coniugando sempre esigenze di tempestività e messa in sicurezza. Il sistema in definitiva comprende la gestione dell’infrastruttura, gli applicativi gestionali verticali (sicraweb, presenze) e tutta l’informatica ambientale a servizio dall’esterno con la relativa modellistica ed i flussi verso Ispra, SIRA, ecc.
Nel frattempo, nelle more del non immediato ripristino, si è innanzitutto pienamente garantita la continuità degli ordinari cronoprogrammi delle attività tecniche di controllo e monitoraggio delle matrici ambientali della Campania – che, è bene sottolinearlo, non si sono mai interrotte né rallentate – affinché non risentissero dei disservizi determinati dall’hackeraggio e non vi fosse significativa perdita di produttività. Si sono rapidamente attivati, anche avvalendosi del supporto della Regione, siti provvisori in alternativa a quelli ordinari, per la pubblicazione dei dati ambientali di più sensibile interesse come, nel periodo estivo, quelli del monitoraggio delle acque di balneazione della importante e turistica costa campana.
Si è rapidamente provveduto all’attivazione di un protocollo di emergenza per la ricezione e la trasmissione degli atti (sempre di volume ingentissimo) in entrata ed uscita e quindi per il riscontro della corrispondenza ed all’istituzione di un albo informatico per la regolare pubblicazione delle delibere nuovamente adottate in formato cartaceo. Si è così regolarmente garantito lo svolgimento dell’attività amministrativa, la continuità di molteplici ed importanti procedimenti e del processo deliberativo, con tutti i crismi di legittimità e trasparenza assicurando la doverosa pubblicità legale degli atti. Anzi, proprio nel periodo tra settembre ed ottobre, nonostante tale aggravio tecnico, sono stati adottati importanti e per certi versi “storici” provvedimenti di amministrazione, in particolare per il personale e la gestione delle risorse umane. In definitiva, attraverso una serie di rapidi ed impegnativi accorgimenti, si è limitata al massimo la perdita di produttività ed il disagio all’utenza ed alla funzionalità dell’Ente, rendendo scarsamente percettibili al pubblico gli effetti di un problema oggettivamente pesante.
Qual è oggi la situazione?
Oggi il problema è quasi superato ed alle spalle. Nel mese di ottobre il sito/portale ordinario è stato ripristinato nella pienezza dei suoi contenuti ed è ormai in fase avanzata la progressiva riattivazione delle postazioni individuali di lavoro, secondo priorità funzionali con la graduale eliminazione ed il recupero di ogni disservizio.
Tuttavia, un’esperienza così difficile ed impegnativa deve essere oggetto di un’attenta riflessione non solo per consuntivare gli inevitabili danni ma soprattutto per affinare e rafforzare i sistemi di prevenzione e sicurezza, consolidando la struttura informatica dell’Agenzia ed il suo capitale umano anche in questo senso, nel contesto di una questione più generale – quella della sicurezza del dominio cibernetico – oggi di significativo rilievo nell’agenda politica nazionale, che richiede sempre maggiore attenzione e preparazione oltre al consolidamento e all’incremento delle misure di prevenzione attiva e passiva a trecentosessanta gradi.