Nulla trapela al momento in merito alle esatte circostanze che hanno portato al down prolungato del sito istituzionale del Ministero della Transizione Ecologica e di tutti i servizi online che fanno capo al dicastero. Sappiamo che va avanti da ormai quasi due giorni. Il ministro Roberto Cingolani ha parlato di uno spegnimento volontario dell’infrastruttura, deciso dopo aver individuato il tentativo di un non meglio precisato attacco proveniente dall’esterno.
Quella che inizialmente sembrava poter essere considerata esclusivamente una misura precauzionale assume ora i connotati di una risposta a una violazione di fatto confermata. È quanto emerge dalle parole di Roberto Baldoni, direttore generale dell’Agenzia per la Cybersecurity Nazionale, intervistato da Adnkronos Live. Fa riferimento diretto alla valutazione dei danni.
Ci sono delle indagini in atto. In questo momento, quello che posso dire, è che insieme ai ragazzi dell’Agenzia, ai quali spetta il ruolo di capire quali sono i danni, da dove sono entrati e come ripristinare i servizi, c’è la Polizia Postale che conduce le indagini per comprendere da dove sia arrivato l’attacco. Siamo nella fase di valutazione, di incident response.
Attacco al MITE: indagini e ripristino in corso
Baldoni non fornisce alcuna indicazione in merito alla provenienza dell’azione. Considerando lo scenario attuale, non si può escludere l’ipotesi di un gesto legato alla cosiddetta cyberwar esplosa in concomitanza con l’inizio della guerra in Ucraina. Solo le indagini in corso chiariranno se si tratta o meno di un attacco di matrice russa. Ricordiamo che la stessa Agenzia, a fine febbraio e a pochi giorni dall’inizio del conflitto, ha invitato a innalzare le difese con un avviso di massima allerta.
In merito alle tempistiche per il ripristino dei sistemi informatici legati al MITE, al momento risulta impossibile formulare previsioni attendibili.
Dobbiamo ripristinarli nel più breve tempo possibile. È chiaro che, più profondo è l’attacco, più ci si impiega per il ripristino in una modalità che successivamente non comporti altri rischi. Lo abbiamo visto anche con Ferrovie. Il grosso problema è ripristinare quando il nemico è ancora all’interno: allora si rischia un gioco per cui non si è riusciti a togliere il virus dall’interno del sistema. Se questo non viene fatto, c’è un rischio di reinfezione.
Il riferimento è all’azione malevola perpetrata mediante ransomware dal gruppo russo-bulgaro Hive nelle scorse settimane, avanzando la richiesta di pagamento di un riscatto da 5 milioni di euro.