Attacco informatico subito dal Comune di Ferrara, comunicazione agli interessati

Come già comunicato il giorno 12/7/2023, il Comune di Ferrara ha subito un attacco informatico da parte di una gang denominata Rhysida Ransomware. L’attacco è stato pesante, distruttivo e mirato. La cybergang che ha operato ha dimostrato di avere approfondite conoscenze tecniche unite probabilmente alla conoscenza dell’infrastruttura Comunale e della società in house della Regione Emilia-Romagna Lepida che ospita alcune delle nostre risorse, tra cui le copie di sicurezza (che sono state cancellate dalla gang).

Da parte dello stesso gruppo criminale si registrano numerosi casi di analoghi attacchi ad aziende e università.

La reazione del Comune di Ferrara è stata immediata, sono state bloccate tutte le connessioni da e verso l’esterno, sono stati disconnessi dalla rete tutti i PC in modo da bloccare qualsiasi processo dannoso che stesse utilizzando l’infrastruttura per diffondersi. Il Response Team del nostro fornitore ha cominciato immediatamente a lavorare per la valutazione dei danni e la programmazione di un piano di ripartenza. A tutt’oggi i servizi di front office per i cittadini erogati tramite lo sportello telematico polifunzionale risultano funzionanti, mentre quelli erogati presso sportelli fisici sono in corso di riattivazione in quanto ogni singola postazione di lavoro deve essere bonificata. Anche i servizi interni all’ente (gestione del personale, contabilità, acquisti e liquidazioni, ecc.) stanno tornando fruibili in funzione della distribuzione di nuove postazioni di lavoro certificate. Per accelerare la ripresa dei servizi, e di conseguenza mitigare i disagi dei cittadini e degli operatori interni, abbiamo ottenuto il supporto dell’Università degli Studi di Ferrara che ha fornito proprio personale tecnico.

La verifica dei danni è in corso ed è particolarmente complessa. Premesso che le procedure aziendali non sono state toccate (anagrafe, servizi scolastici, ecc.), sono stati interessati documenti memorizzati presso diversi servizi su aree di memoria condivise. Non tutti sono stati interessati dall’attacco, ma una importante quantità di essi è stata cifrata. Verifiche sono in corso sull’eventuale ‘esfiltrazione’, cioè l’illecita trasmissione verso l’esterno (un sito dell’attaccante) per utilizzo ai fini di ricatto.
Tutti i singoli Servizi, per il tramite dei relativi Dirigenti, stanno facendo le opportune verifiche sui dati a rilevanza GDPR. Si tratta di una verifica che richiederà un tempo significativo. Si ricorda che i dati personali trattati dal Comune di Ferrara lo sono in forza di leggi e regolamenti, quindi il Comune è obbligato a trattarli per fornire i servizi.

Al momento non esistono evidenze che i dati personali dei cittadini siano stati esfiltrati, né risulta che il gruppo criminale li abbia diffusi sul dark web. Al tal fine procedono le verifiche con aggiornamenti periodici all’Autorità garante. La cifratura dei dati personali può comportare la perdita di documenti relativi a un insieme circoscritto di cittadini, mentre la potenziale esfiltrazione di vecchi dati di archivio potrebbe potenzialmente interessare tutti i cittadini.

Aggiornamento 1 agosto 2023: La cifratura dei dati personali può comportare la perdita di documenti relativi a un insieme circoscritto di cittadini. Le ulteriori verifiche da noi effettuate escludono che siano stati esfiltrati archivi contenenti i dati dell'intera popolazione.

La gang ha fatto apparire sui pc colpiti un messaggio con le indicazioni per essere contattata. Ovviamente questo messaggio è stato segnalato alla polizia delle comunicazioni. Il Comune non ha alcuna intenzione di trattare con criminali.
La ricerca della causa scatenante dell’attacco è ancora in corso, in collaborazione con il Response Team.

Seppure la roadmap per aumentare significativamente la sicurezza informatica dell’Ente avesse già previsto ulteriori azioni da realizzare a breve, la situazione eccezionale creatasi ha fatto sì che la ricostruzione dell’ambiente operativo sia prevista in maniera controllata, prudenziale e con l’utilizzo degli ulteriori strumenti di sicurezza la cui acquisizione era già stata prevista e per i quali i progetti e le proposte dei fornitori erano già disponibili. Altri strumenti verranno ulteriormente previsti anche tramite il bando PNRR sulla sicurezza informatica che ha come ente attuatore Regione Emilia-Romagna e che comincerà ad erogare servizi agli Enti Locali nel prossimo autunno.

L’Amministrazione proseguirà la propria collaborazione, insieme ai team interni ed esterni coinvolti, con tutte le Autorità preposte, in particolare la Polizia delle Comunicazioni e l’Agenzia per la Cybersicurezza Nazionale (ACN). Terrà inoltre allineato il Garante Privacy mediante periodiche segnalazioni integrative, che fanno seguito a quella preliminare inviata con tempestività a ridosso dell’evento.