Attacco ransomware contro Xplain: l’organizzazione d’intervento di fedpol
La Svizzera è chiamata a far fronte a una crescente minaccia di attacchi ransomware. I criminali si infiltrano nei sistemi informatici, sottraggono o criptano dati e mettono le aziende sotto pressione. In seguito all’attacco ai danni di un’azienda che fornisce servizi a fedpol, occorre impostare una vasta gestione dell’evento.
Gli attacchi ransomware diventano una seria minaccia per la Svizzera. I malviventi si servono di falle nella sicurezza dei sistemi informatici per accedere ai dati e trafugarli o criptarli, spesso a fini di estorsione. Il loro ultimatum: pagare un riscatto oppure i dati sottratti verranno pubblicati o resi inaccessibili in modo permanente. Le organizzazioni che subiscono un tale attacco devono far fronte a notevoli oneri amministrativi, finanziari e in termini di personale. Gli attacchi ransomware vanno ben oltre l’immediata perdita dei dati, in quanto comportano, a lungo termine, un danno economico e alla reputazione di persone e aziende.
Nel 2023 diverse aziende in Svizzera diventano vittime di simili attacchi, tra cui l’azienda Xplain. Il gruppo hacker «Play», che agisce in modo professionale e ricatta ogni anno centinaia di aziende con il metodo ransomware, la prende di mira in primavera. Tra i clienti di Xplain si annoverano soprattutto autorità cantonali e federali, tra cui anche fedpol.
«Il peso della responsabilità gravava sulle nostre spalle. Tuttavia ho percepito la coesione all’interno di fedpol e l’enorme sostegno da parte delle mie colleghe e dei miei colleghi.»
Dominic*, analista di polizia
Un attacco ransomware ai danni di un fornitore di servizi può ripercuotersi anche sui suoi clienti.
Dopo l’attacco ai danni di Xplain, fedpol attiva rapidamente un’organizzazione d’intervento (EO), una sorta di stato maggiore di crisi interno, composto da persone specialiste di diverse divisioni. La gestione delle possibili ripercussioni dell’attacco contro l’azienda che fornisce servizi a fedpol assume la massima priorità. Durante alcune fasi sono oltre 60 collaboratrici e collaboratori di fedpol a occuparsi del caso 24 ore su 24, mentre le loro colleghe e i loro colleghi si fanno carico delle attività quotidiane. La missione dell’EO è di:
- identificare e analizzare i dati sottratti;
- avviare le misure a protezione delle persone, dell’infrastruttura e dei dati;
- informare ulteriori organizzazioni coinvolte;
- seguire il caso sul piano giuridico così da individuare eventuali falle nei bandi e nei contratti e da impedire che simili casi si riproducano;
- fornire sostegno ai partner in seno all’Amministrazione federale;
- garantire la comunicazione verso l’interno e l’esterno;
- e, soprattutto, trarre i debiti insegnamenti.
Per saperne di più sul lavoro in seno all’EO, leggi il resoconto dell’analista di polizia Dominic*.
Resoconto di Dominic*, analista di polizia in seno all’EO
Quando sono stato assegnato all’EO, la mia vita lavorativa di analista di polizia si è capovolta completamente da un giorno all’altro. Sono stato incaricato, insieme al mio superiore, di creare il centro di informazione e analisi dell’EO sul piano fisico e strutturale. Abbiamo lavorato giorno e notte, talvolta per 16 ore di fila, e anche nel fine settimana. Il peso della responsabilità che gravava sulle nostre spalle si faceva sentire. Ma al contempo ho percepito la coesione all’interno di fedpol e l’enorme sostegno da parte delle mie colleghe e dei miei colleghi.
Oltre al lavoro nell’EO, continuavano anche le attività quotidiane. Per il loro disbrigo ho sempre potuto fare affidamento sul prezioso sostegno del mio team. Nonostante la fatica e gli sforzi, per me è sempre stato chiaro che spettasse a noi gestire questa crisi. Tale consapevolezza mi ha spronato e motivato ulteriormente. Sebbene fossi tenuto a serbare il segreto, la mia cerchia privata ha mostrato molta comprensione per questa situazione straordinaria.
Sono fiero di aver fatto parte dell’EO che si è adoperata in modo instancabile. È stata un’esperienza alquanto arricchente che mi ha permesso di apprendere molto e di fare la conoscenza di nuove colleghe e nuovi colleghi. Questo impiego mi ha segnato e mi ha mostrato l’importanza di restare uniti nei tempi di crisi e di sostenersi a vicenda. Mi ha ricordato che l’unione fa la forza.
fedpol segnala immediatamente l’accaduto all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) e sporge denuncia contro ignoti. Un organo indipendente dovrà fare chiarezza su come dati sensibili di fedpol siano potuti finire sui server di Xplain e restarvi.
Al momento della chiusura redazionale del presente rapporto sono in corso il procedimento penale contro ignoti, l’inchiesta da parte dell’IFPDT e un’inchiesta amministrative ordinata dal Consiglio federale. Molte questioni risultano ancora irrisolte. Sebbene il caso abbia già permesso di trarre molti insegnamenti, non siamo ancora giunti al termine. Ma una cosa è certa: l’elevato impegno profuso dall’EO di fedpol ha contribuito in modo sostanziale a scongiurare potenziali rischi per le persone, i dati e l’infrastruttura.
* Nome di fantasia