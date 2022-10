Ad un mese e mezzo dall’attacco informatico che aveva colpito l’ASL Città di Torino, oggi l’emergenza è finalmente rientrata.

ATTACCO INFORMATICO

Alle 6 del mattino dello scorso 19 agosto erano pervenute alla Struttura Tecnologie dell’ASL Città di Torino le prime segnalazioni di malfunzionamento ed anomalie dei sistemi applicativi aziendali, che a seguito di verifiche ed analisi sono risultate la conseguenza di un attacco informatico di tipo ransomware.

Prontamente si è proceduto ad effettuare la denuncia alla Polizia Postale di Torino, la quale è intervenuta, sin dal primo giorno, con le attività di indagine. Parallelamente, si è fatta la segnalazione dell’attacco hacker alla Prefettura ed allo CSIRT (Computer Security Incident Response Team) dell’Agenzia per la Cybersicurezza Nazionale (ACN). Gli specialisti del team DDFIR (Detection Digital Forensic & Incident Response) dello CSIRT sono intervenuti prontamente. L’operatività dell’Azienda è sempre stata garantita con procedure alternative, sin dal giorno dell’attacco.

SITUAZIONE ATTUALE

Complessivamente, ad oggi, sono stati ripristinati il 95% dei servizi e dei sistemi applicativi dell’ASL Città di Torino. Degli oltre 300TB di dati che sono gestiti dall’ASL, ne restano da ripristinare solo 0,700TB. 398 Server su 428 Server presenti nei datacenter dell’ASL Città di Torino sono stati analizzati, verificati, bonificati e ripristinati. Il ripristino di ogni Server, di concerto con gli specialisti del team CSIRT dell’ACN, è stato preceduto dalla copiatura di tutti i servizi, applicativi e sistemi, su un nuovo ambiente, lasciando inalterati i sistemi/server originali compromessi, al fine di consentire le attività di analisi e indagini.

La copia del Server è stata analizzata, controllata, bonificata con la rimozione di eventuali file malevoli o sospetti. Le macchine che hanno presentato uno stato di compromissione superiore alla soglia definita con lo CSIRT sono state rifatte ex novo. I restanti 30 Server, classificati come minori, sono in fase di analisi e le attività saranno completate nei prossimi 15 giorni.

Non è stato un semplice lavoro di ripristino del Server o Sistema precedente; con il supporto dello CSIRT (Computer Security Incident Response Team) dell’ACN (Agenzia per la Cybersicurezza Nazionale) è stata portata avanti una strategia di irrobustimento dell’infrastruttura, dei Server e dei Computer utilizzati dai dipendenti, che di fatto ha anticipato le attività che erano state programmate nell’ambito dei progetti finanziati con i fondi del PNRR. Si precisa che il lavoro, sino ad oggi eseguito, ha permesso il recupero, grazie all’utilizzo di appositi strumenti e software, dei dati cifrati dall’attaccante.

NESSUN RISCATTO

L’ASL Città di Torino non ha mai preso in considerazione la richiesta di riscatto avanzata dai criminali, ma tutti gli operatori informatici hanno dimostrato grande spirito di servizio, così come tutto il personale (sanitario, tecnico e amministrativo) ha saputo trovare soluzioni per mantenere i servizi attivi anche nei momenti più difficili, riducendo al minimo i disagi per i Cittadini.