Un attacco hacker sta bloccando le Tredicesime nella pubblica amministrazione? Cosa sappiamo

L’8 dicembre Westpole ha subito un attacco hacker. E fino a qui non è esattamente una novità. Come abbiamo documentato in passato in Italia gli attacchi hacker alle aziende sono parecchi, soprattutto quelli che si concentrano sui dati sanitari. L’attacco a Westpole però negli ultimi giorni è diventato una delle notizie più battute nei portali che si occupano di sicurezza informatica. Westpole si occupa di gestire servizi in cloud per privati e per enti pubblici. Tra i suoi clienti c’è anche PA Digitale, il progetto che gestisce il software Urbi Smart.

Questa piattaforma è formata da un insieme di applicazioni gestionali. I servizi di Urbi Smart sono di vario tipo. Si va dal supporto per i pagamenti elettronici alla gestione dei documenti amministrativi. Da quello che si legge sul portale di PA Digitale è una piattaforma che potremmo definire quasi antica, considerando i tempi del web: è attiva dal 1999.

La dinamica dell’attacco a Westpole

L’attacco hacker è stato confermato da Westpole. Al momento il sito dell’azienda è bloccato. Compaiono solo due comunicati stampa in cui vengono riportate praticamente le stesse informazioni: “L'8 Dicembre, abbiamo rilevato alcune attività sospette nel Data Center Westpole in Italia. A causa di questo incidente di sicurezza, molti dei sistemi IT dei nostri clienti, ed i nostri stessi, stanno subendo interruzioni”.

Il primo comunicato è del 12 dicembre. Il secondo del 15 dicembre. Oltre alla conferma dell’attacco, non c’è molto altro. In questi casi le dichiarazioni sono abbastanza standard: variano tra “l’azienda si è messa subito al lavoro” e “l’azienda riparerà tutti i danni”. Westpole non si sbilancia sui tempi del ripristino o sul futuro di questi dati, non parla nemmeno di richieste di riscatto, lo schema tipico dei ransomware. Si limita a dire: “Sfortunatamente, alcuni clienti sono ancora interessati dal problema”.

La versione di PA Digitale

A parlarne invece in modo più chiaro è PA Digitale che il 13 dicembre ha pubblicato un comunicato stampa in cui viene descritta in maniera analitica la dinamica dell’attacco: “La società Westpole ha confermato l’attacco e la conseguente criptazione delle macchine presenti sull'infrastruttura informatica della stessa Westpole: a seguito di questa operazione di attacco, i servizi e i dati presenti sull’architettura sono diventati indisponibili”.

Nessun dato, però, sarebbe stato diffuso, almeno per il momento: “Westpole tuttavia non ha evidenziato, né durante il periodo di esecuzione dell’attacco, né durante i giorni precedenti, alcuna esfiltrazione di dati”. In questi casi è meglio però aspettare qualche tempo. I dati potrebbero benissimo comparire nei prossimi giorni in qualche forum del dark web. E senza rivendicazioni e richieste di pagamento è difficile anche rintracciare i mandanti. Secondo altre fonti però dietro all'attacco ci sarebbe un gruppo hacker già noto per altre azioni in Italia: Lockbit.

I servizi di PA Digitale riguardano un discreto elenco di enti pubblici ma non certo tutta l'Italia. Da quello che sappiamo, Westpole era legata a diversi enti, dal Consiglio Regionale del Veneto, all’Accademia della Crusca, passando per il Consorzio autostrada siciliana, l’amministrazione provinciale di Brescia, quella di Lodi, il comune di Lecco, quello di La Spezia e Cagliari.

Le conseguenze dell’attacco hacker

Visto che la macchina digitale è bloccata, uno dei dubbi legati all’attacco a Westpole è diventato l’erogazione degli stipendi per i dipendenti degli enti coinvolti. Certo, magari si farà fatica a controllare i dati delle loro buste paga ma al momento sembra improbabile che questo attacco arrivi a compromettere l’erogazione delle tredicesime per i dipendenti che lavorano nei comuni dove viene utilizzato Urbi Smart.

Una smentita diretta su questo è arrivata da Roberto Ciambetti, presidente del Consiglio Regionale del Veneto, uno degli enti coinvolti in questi disagi: “Non esiste alcun rischio per il pagamento ai dipendenti dell’assemblea legislativa della mensilità di dicembre e relativa ‘tredicesima’, prevista per il 20 dicembre. Chi ha parlato di stipendi messi a rischio è stato tratto in inganno dall’impossibilità temporanea, come è stato ben specificato dai mass media, da parte dei dipendenti di accedere al sistema per verificare lo stato dei loro cartellini”.

La conferma dell'Agenzia per cybersicurezza

Anche l'Agenzia per la Cybersicurezza Nazionale (ACN) ha diffuso una nota sull'attacco, spiegando che non c'è nessun rischio per i dipendenti pubblici di vedere sfumare i loro stipendi: "L'attività svolta dopo l'attacco consente di scongiurare la paventata, mancata erogazione degli stipendi di dicembre e delle tredicesime a favore dei dipendenti di alcune Amministrazioni locali indirettamente impattate". Non solo, ACN spiega anche che i rallentamenti registrati dai clienti: "Sono dovuti alla congestione degli accessi simultanei e non rappresentano una conseguenza diretta dell'attacco". (ANSA). 2023-12-