Le ipotesi

Il Mite cancellato dal web: cosa succede al Ministero della Transizione Ecologica?

Il Mite cancellato dal web: cosa succede al Ministero della Transizione Ecologica?
Da quasi 48 ore, il sito è irraggiungibile. Il ministro Cingolani aveva parlato di una "misura precauzionale" in risposta a minacce esterne. Baldoni: "I servizi vanno ripristinati il prima possibile"
3 minuti di lettura

Un intero ministero italiano è scomparso dal Web. Il sito del Mite, il ministero della Transizione Ecologica è offline dal primo pomeriggio di mercoledì 6 aprile. La homepage non si apre, non è possibile accedere a nessuna delle pagine interne; del Mite rimane traccia solo negli snippet di Google.

Sono passate quasi 48 ore, e ancora le cause del disservizio non sono state comunicate. Va detto che era stato lo stesso responsabile del dicastero, Roberto Cingolani, a spiegare che si trattava di una misura precauzionale, per fermare “minacce esterne rilevate sulla rete informatica”. A Sportello Italia Recovery, su Radio1, Cingolani ha affermato che "la sicurezza è la priorità numero uno. Oltre alla sicurezza energetica, mentre vi parlo vi posso dire che abbiamo minacce esterne rilevate sulla rete informatica del ministero e per prudenza abbiamo dovuto sospendere il funzionamento di tutti i sistemi informatici del ministero". Un0’ammissionoe chiara, questa sì, che qualcosa non funziona.

Ma cosa o chi può colpire l’intero sistema informatico di un ministero italiano tanto da suggerire misure di questa portata? Alla domanda se possa trattarsi di attacco riconducibile a gruppi di cybercriminali filorussi, il Ministro ha ribattuto che "è impossibile rispondere in questo momento, ci sono le strutture preposte che stanno lavorando". E da più parti gli esperti ipotizzano che possa trattarsi di un ransomware, un software che cripta i dati e li rende inutilizzabili; per poterli usare di nuovo, i criminali informatici chiedono di solito un riscatto. 

"Dobbiamo ripristinarli nel più breve tempo possibile", ha detto il direttore generale dell'Agenzia per la Cybersicurezza nazionale, Roberto Baldoni, ospite di 'Adnkronos Live', all'indomani delle minacce esterne rilevate sulla rete informatica del ministero della Transizione ecologica che ha portato alla sospensione del funzionamento di tutti i sistemi informatici del ministero. "È chiaro che più profondo può essere l'attacco, lo abbiamo visto anche con Ferrovie, più tempo ci si mette per cercare di ripristinare le cose senza più rischi", ha concluso.

Baldoni si riferiva al recente hackeraggio a Trenitalia, che ha paralizzato il sito e rallentato le attività interne. In quel caso è stato accertato dagli analisti che l’aggressore era il gruppo Hive, con componenti e affiliati russi e bulgari. Come dire: soldi, non ideologia, anche se geograficamente l’attribuzione dell’attacco alla Russia è corretta. E corretta pare anche la ricostruzione della dinamica: sarebbe stato utilizzato un ransomware. 

E poi c’è stato il blocco dei sistemi informatici di Sogei, che il 30 marzo ha messo offline i siti del Dipartimento delle Finanze del Ministero dell'Economia e delle Finanze, dell’Agenzia delle Entrate, dell’Agenzia delle Dogane e dei Monopoli. Non disponibili per ore alcune funzioni del Green Pass, azzerate le scommesse online, le fatture e le ricette elettroniche. Addirittura, è stato irraggiungibile per diverso tempo il sito del Computer security incident response team italiano (Csirt). Non è stato un attacco hacker, ma un calo di tensione, ha spiegato la  Società generale d'informatica, che gestisce gran parte dei sistemi informatici della Pubblica Amministrazione.

Sia Sogei sia il Mite sono stati contattati da Italian Tech: rimaniamo in attesa di un loro commento.

Aggiornamento delle 21:30 del 7 aprile

I server sono ancora spenti, il sito è ancora offline, ormai da oltre 30 ore e sembrano poco verosimili le voci che davano il ritorno alla normalità in serata. Intanto l’agenzia di Cybersecuity sta lavorando, con la collaborazione di Sogei. E c’è l’indagine della Procura. A una prima verifica dei tecnici, l’attacco sembrerebbe molto pesante e avrebbe fatto danni gravi, quanto perché andranno riconfigurati i server dopo un periodo di inattività così lungo. I dati del Mite sarebbero comunque in sicurezza e il sistema informatico è ancora isolato e protetto da accessi esterni.Domani si proverà a ripristinare qualche servizio, a partire dalla posta elettronica, ma per il momento il Ministro e i suoi collaboratori comunicano via Whatsapp.
"La necessità di dover mantenere offline l’infrastruttura del Ministero è sintomatica della gravità dell’incidente occorso. Da un lato la necessità di isolare la minaccia, eradicarla evitando la propagazione ed ulteriori danni, dall’altro l’esigenza di investigare un incidente comprendendone le cause e cercando di attribuirlo ad una specifica categoria di attori, siano essi gruppi criminali che attori nation-state.
Che si tratti di un ransomware, piuttosto che di un sofisticato impianto con finalità di spionaggio o sabotaggio, è necessario comprendere come abbia penetrato l’infrastruttura governativa per evitare che altre strutture italiane possano essere colpite con tecniche simili", commenta Pierluigi Paganini Esperto di Cybersecurity e Intelligence. "In questa fase è anche necessario fugare il dubbio che qualche fornitore di servizi IT del MITE, così come di altri ministeri, possa essere stato compromesso. Lo spettro di un possibile attacco alla supply chain di servizi IT preoccupa noi esperti per le potenziali ricadute sulla sicurezza del sistema paese, delle infrastrutture critiche, e di uffici governativi. Sono ore cruciali, gli esperti dell’agenzia ACN sono al lavoro senza sosta ed operano in un contesto complesso, mentre il tempo scorre inesorabile. È in momenti come questo che la presenza di una struttura preposta alla difesa cibernetica nazionale fa la differenza". 
 
Aggiornamento ore 22
Non è raggiungibile il sito dell'ABI, l'Associazione Banche Italiane. 
 
(Articolo in aggiornamento)