L’attacco informatico al Comune di Ferrara è stato pesante, distruttivo e mirato. Il Comune non ha alcuna intenzione di trattare con i cyber criminali. Dal municipio una nota circa gli aggiornamenti relativi all’attacco subìto il 12 luglio scorso da parte di una gang denominata Rhysida Ransomware.
Il Comune di Ferrara spiega che la cybergang ha dimostrato di avere approfondite conoscenze tecniche unite probabilmente alla conoscenza dell’infrastruttura Comunale e della società in house della Regione Emilia-Romagna Lepida che ospita alcune delle risorse del comune, tra cui le copie di sicurezza (che sono state cancellate dalla gang).
La reazione del Comune è stata immediata: sono state bloccate tutte le connessioni da e verso l’esterno, sono stati disconnessi dalla rete tutti i PC in modo da bloccare qualsiasi processo dannoso che stesse utilizzando l’infrastruttura per diffondersi, il Response Team del fornitore ha iniziato immediatamente a lavorare per la valutazione dei danni e la programmazione di un piano di ripartenza.
A tutt’oggi i servizi di front office per i cittadini erogati tramite lo sportello telematico polifunzionale risultano funzionanti, mentre quelli erogati presso sportelli fisici sono in corso di riattivazione in quanto ogni singola postazione di lavoro deve essere bonificata. Anche i servizi interni all’ente (gestione del personale, contabilità, acquisti e liquidazioni, ecc.) stanno tornando fruibili in funzione della distribuzione di nuove postazioni di lavoro certificate.
La verifica dei danni è in corso ed è particolarmente complessa. Il Comune sottolinea che le procedure aziendali non sono state toccate (anagrafe, servizi scolastici, ecc.). Sono stati invece interessati documenti memorizzati presso diversi servizi su aree di memoria condivise. Non tutti sono stati interessati dall’attacco, ma una importante quantità di essi è stata cifrata. Le verifiche sull’eventuale “esfiltrazione”, cioè l’illecita trasmissione verso l’esterno (un sito dell’attaccante) per utilizzo ai fini di ricatto, sono in corso.
Tutti i singoli Servizi, per il tramite dei relativi Dirigenti, stanno facendo le opportune verifiche sui dati a rilevanza GDPR. Si tratta di una verifica che richiederà un tempo significativo.
Il Comune informa che al momento non risultano evidenze che i dati personali dei cittadini siano stati esfiltrati, né risulta che il gruppo criminale li abbia diffusi sul dark web. Al tal fine procedono le verifiche con aggiornamenti periodici all’Autorità garante. La cifratura dei dati personali può comportare la perdita di documenti relativi a un insieme circoscritto di cittadini, mentre la potenziale esfiltrazione di vecchi dati di archivio potrebbe potenzialmente interessare tutti i cittadini.
La gang Rhysida ha fatto apparire sui pc colpiti un messaggio con le indicazioni per essere contattata, messaggio che è stato segnalato alla polizia delle comunicazioni. A tal proposito, il Comune informa che non ha alcuna intenzione di trattare con criminali.
Infine, è ancora in corso la ricerca della causa scatenante dell’attacco, in collaborazione con il Response Team.
L’Amministrazione proseguirà la propria collaborazione, insieme ai team interni ed esterni coinvolti, con tutte le Autorità preposte, in particolare la Polizia delle Comunicazioni e l’Agenzia per la Cybersicurezza Nazionale (ACN). Terrà inoltre allineato il Garante Privacy mediante periodiche segnalazioni integrative, che fanno seguito a quella preliminare inviata con tempestività a ridosso dell’evento.
https://www.comune.fe.it/it/b/11822/attacco-informatico-al-comune-di-ferrara-comunicazione
