Abbiamo già scritto di quello che è successo al sistema delle prenotazioni vaccinali della regione Lazio. Ma quando ho letto la dichiarazione di un dirigente informatico di quella struttura che dice: “Stiamo decrittando, è la controffensiva al malware, è l’unico modo per evitare riscatti o simili, ma ci vuole tempo”, beh, a me sono venuti i brividi e l’orticaria. E non ho resistito ad aggiungere il mio modesto contributo. Come si dice in gergo “my 2 cents”.
Certo, bisogna capire come è stato sferrato l’attacco, quale strada il malware è riuscito a percorrere per arrivare al cuore dei sistemi informatici della regione, ma ormai, come si dice, i buoi sono scappati, bisogna correre alle contromisure. E velocemente. Ma quanto velocemente? E quali dati bisogna cercare di recuperare? Tutti? O solo quelli di un mese fa?
Queste risposte le può dare unicamente un piano di Disaster Recovery fatto secondo le best practice della sicurezza informatica. Gli esperti sanno benissimo di cosa si tratta, ma vorrei parlarne comunque a vantaggio di tutti gli altri nostri lettori.
Quando un malware come quello che ha colpito i sistemi della Regione Lazio si scatena comincia a crittografare tutti i dati ai quali riesce ad accedere con una “chiave” (un codice) che solo lui conosce. Questi dati quindi, senza questa chiave di decifrazione, non sono più accessibili se non a chi ha generato la chiave stessa. Scoprire questa chiave non è impossibile, ma estremamente complesso da realizzare, soprattutto non si può sapere a priori quanto tempo ci vorrà. Ecco dove sta il problema: il tempo a disposizione.
Un servizio pubblico come quello attualmente bloccato non può assolutamente permettersi di aspettare tutto quel tempo e soprattutto non può permettersi di non avere più disponibili quelle informazioni possibilmente fino all’ultima prenotazione inserita prima che il malware costringesse lo spegnimento di tutti i sistemi.
Se il dirigente di cui sopra dichiara che stanno cercando di decifrare i dati che il malware ha corrotto vuole per caso dire che non hanno una copia di quei dati, un backup disponibile per un ripristino? O, peggio ancora, vuol dire che il malware ha reso inservibili anche quei dati?
Il “minimo sindacale” per un piano di Disaster Recovery sono:
- Un Disaster Recovery Site – ovvero una infrastruttura tecnologica pronta e disponibile a ricevere i dati ripristinati e con delle postazioni utente pronte ad essere utilizzate per riattivare il servizio in tempi rapidi.
- Un backup dei dati disponibile – significa che il piano di salvataggio quotidiano dei dati di un sistema informatico devono prevedere almeno una cosiddetta copia “offline” ovvero non raggiungibile direttamente tramite la rete informatica. In genere si tratta di supporti rimovibili (nastri magnetici, dischi estraibili, ecc.) che vengono periodicamente estratti dai sistemi che li gestiscono proprio per far sì che non siano modificabili.
- A priori bisogna aver definito i 2 parametri fondamentali di un buon piano di Disaster Recovery, l’RTO e l’RPO – rispettivamente il Recovery Time Objective, ovvero, in quanto tempo devo essere in grado di ripristinare il funzionamento di tutti i sistemi, ed il Recovery Point Objective, ovvero quanti dati posso permettermi di perdere definitivamente a fronte di un disastro: l’ultimo mese? L’ultima settimana? L’ultimo giorno?
Se a fronte di una catastrofe come quella capitata ai sistemi della Regione Lazio la risposta è “stiamo cercando di decifrare i dati che il malware ha crittografato” allora vuol dire che non esiste un piano di Disaster Recovery e questo non è bello per un servizio pubblico ed estremamente critico in questo momento.
