Sito bloccato, servizi inaccessibili ed esposizione dei dati degli utenti. Nel giorno in cui è possibile inviare le richieste di bonus e congedi, l’Inps si blocca. Il presidente dell’ente, Pasquale Tridico, parla di un attacco hacker, tesi sostenuta anche dal presidente del Consiglio, Giuseppe Conte.

Nel frattempo gli hacker smentiscono ufficialmente l’attacco.

Queste le parole della ministra:

L’INPS è un’amministrazione pubblica che, così come ha comunicato al Ministero del Lavoro e delle politiche sociali, per la tutela massima della salute dei suoi dipendenti ha deciso di collocare il proprio personale in smart working e ha dovuto gestire il contesto emergenziale utilizzando gli strumenti contrattuali già nella sua disponibilità. Dalla relazione emerge che in tale contesto l’Istituto ha proceduto da subito all’allocazione di nuove risorse elaborative per supportare quelle esistenti, sia sul front end del portale Internet che sugli application server del back end con database dedicati. I potenziamenti hanno portato al raddoppio della capacità elaborativa delle infrastrutture dell’INPS, e al contempo è stata aumentata la connettività Internet del 500 per cento rispetto all’inizio dell’anno, anche per far fronte al carico dei dipendenti in lavoro agile e del personale in supporto da remoto. L’infrastruttura tecnologica dell’Istituto, progettata per le attività istituzionali e ad elevata capacità computazionale, con migliaia di server distribuiti su più datacenter, che erogano tutti i servizi istituzionali compreso quello del portale, è stata bersaglio di attacchi DDOS nelle ultime settimane, attacchi che sono stati portati all’attenzione della procura della Repubblica mediante formale atto di querela in data 3 aprile 2020 e che hanno imposto, tra gli interventi di maggiore urgenza, il blocco degli indirizzi IP provenienti da alcuni Paesi. Sin dall’inizio del mio mandato da Ministro, per la mole di dati e di misure che l’Istituto è chiamato a gestire, ho richiesto che venisse data la possibilità ad INPS di poter reinvestire in informatica tutti o in parte i risparmi provenienti dalla spending review alla quale anche l’INPS è stato chiamato, e lo ritengo ancora necessario.

La carta del DDoS viene lanciata sul tavolo senza informazioni ulteriori, soprattutto sul reale impatto che tali attacchi possano aver avuto; il sospetto è che – pur senza negare la sussistenza di tali attacchi – il problema sia stato però nella scarsità di risorse server e nell’eccesso di domanda nelle ore calde del “Cura Italia”. In parte la ministra sembra infatti anche confermare il fatto che gli attacchi e il data breach non abbiano correlazione diretta, smontando buona parte delle spiegazioni fornite nel “day after”:

[…] l’INPS, nella relazione fornita al Ministero, sottolinea che da successivi approfondimenti il problema del caching non sembra avere una diretta correlazione con l’attacco subito – si chiama DDOS -, sebbene la potenziale concomitanza dello stesso, insieme alle numerosissime richieste da parte degli utenti, abbia indotto l’Istituto ad adottare un servizio informatico per la gestione dell’emergenza COVID-19 nell’ambito del quale si è generato il disservizio. Nonostante la numerosità e la portata degli attacchi subiti, anche negli ultimi giorni, l’Istituto è riuscito efficacemente a garantire la presentazione delle domande delle prestazioni e, in particolare, quelle per indennità da 600 euro, che hanno raggiunto quasi 3 milioni in pochi giorni.

La Ministra spiega che gli attacchi ai sistemi INPS si sarebbero registrati tra il 21 marzo e il 4 aprile e spiega di aver lasciato agli atti anche tracce relative al monitoraggio degli attacchi stessi – tutti depositati assieme alla denuncia formale alle autorità competenti. Le parole successive sono relative al data breach, con la ministra che entra più nel dettaglio per spiegare (così come già si sospettava) che il problema fosse correlato alla cache:

Alle ore 9 del 1° aprile erano già pervenute oltre 300 mila domande di indennità di 600 euro. A questo punto, in accordo con i tecnici Microsoft, che nel frattempo avevano effettuato il troubleshooting con i loro laboratori sulle cause che avevano portato al rollback del giorno precedente, l’INPS ha optato per riattivare il servizio CDN, questa volta su tecnologia Akamai, anche in considerazione del fatto che il servizio stava degradando a livelli non accettabili. Gli stessi tecnici del fornitore hanno configurato la soluzione predisponendo il sistema al servizio Akamai, che è stato attivato alle ore 10,20 del 1° aprile. Al momento dell’attivazione, come illustrato sempre dalla relazione INPS, si è palesato l’anomalo funzionamento del meccanismo di caching che di fatto ha provocato la replica di alcune schede anagrafiche presenti nel portale INPS, l’unico sottoposto a cache. Le applicazioni invece, risiedendo su altri domini non sottoposti a cache, non hanno risentito del problema di cache dei propri contenuti dinamici. Non appena sono emersi i primi segnali di un potenziale data breach, e per l’esattezza alle ore 10,30, è stato inviato il rollback della soluzione per tornare…

A questo punto la seduta si interrompe per l’intervengo del deputato Lollobrigida, che chiede alla ministra di “parlare italiano”. La ministra si difende sottolineando come sia complesso entrare nel dettaglio del problema senza usare termini tecnici come “cache”. E anche questo va registrato e lasciato alle cronache di questa parentesi, affinché ognuno – anche la politica – si prenda la propria dose di responsabilità.

Entrando nello specifico delle misure adottate nel decreto-legge “Cura Italia”, da quanto emerge dalla relazione che l’Istituto ha fornito, per quest’ultimo è stato necessario attivare una modalità operativa alternativa alla rituale per far fronte alle richieste dell’utenza e contingentare i tempi, avendo a disposizione poco più di dieci giorni tra l’emanazione del decreto-legge e la data individuata come avvio del servizio. Nei contratti in essere, sulla base delle informazioni pervenute da INPS, l’Istituto ha optato per l’offerta tecnologica di Microsoft, che nell’ambito dei servizi Cloud Azure, propone un servizio di distribuzione dei contenuti basato su propria tecnologia o su tecnologia Akamai leader del mercato di riferimento. Microsoft ha messo a disposizione, oltre al servizio in ambiente cloud, anche tutte le risorse professionali indispensabili per configurare l’ambiente target. L’INPS ha sottolineato che la predisposizione degli ambienti tecnologici rappresenta solo un aspetto dell’erogazione dei servizi richiesti dal decreto-legge n. 18 del 2020. All’indomani della pubblicazione del decreto-legge è stata intrapresa l’analisi amministrativa con le direzioni di prodotto competenti, concretizzando in condivisione una serie di requisiti funzionali da realizzare a livello applicativo. Considerato che le nuove prestazioni introdotte dal decreto-legge presupponevano l’accesso esclusivamente in modalità telematica attraverso l’utilizzo delle credenziali già in possesso degli utenti, l’Istituto si è trovato a dover fare le considerazioni seguenti.: molti potenziali beneficiari delle prestazioni avrebbero potuto non essere in possesso di credenziali di accesso PIN SPID, CIE e CNS, per non aver mai usufruito di servizi INPS; sarebbe stato oggettivamente impossibile recarsi presso gli uffici dell’INPS o dei gestori delle identità SPID, a causa delle ordinanze restrittive, per poter ottenere una identità digitale; i servizi di recapito postale necessari per il PIN a distanza hanno subito una interruzione.

Matteo Flora, imprenditore e informatico che all’AGI spiega il punto di vista informatico: “La cosa che ritengo più probabile è che qualcuno abbia attivato un meccanismo di memoria cache per aiutare il sito che in quelle ore faticava a stare online”, spiega Flora. Una sorta di scorciatoia per alleggerire il sistema dalle centinaia di migliaia di richieste di compilazione dei moduli: “Con la cache, invece di chiedere tutte le volte al server le informazioni per ‘comporre’ le pagine dei moduli da compilare, sovraccaricando ulteriormente il sistema, si tengono in memoria alcune ‘parti’ delle richieste e richiamarle per rendere più leggera l’operazione. Qualcuno deve aver messo in cache anche le pagine degli utenti autenticati nel sito nell’Inps o per lo meno le sessioni autenticate. Quindi chi è entrato per primo ha caricato i suoi dati, ma questi sono stati memorizzati, e l’utente successivo entrando nel sito li ha potuti vedere come se fossero i suoi. Si tratta di decine, forse centinaia di migliaia di dati personali di utenti che sono stati esposti ad altre persone”.

Dettagli ulteriori sono stati forniti inoltre in relazione a quanto accaduto dal 1 aprile in poi, quando il sito è stato prima fermato e poi progressivamente recuperato con modalità di emergenza:

[…] il servizio è stato riaperto solo dopo tre ore, durante le quali è stata messa in produzione una homepage opportunamente alleggerita per consentire un più veloce e diretto accesso alle procedure dei congedi, bonus e indennità, e la nuova versione dell’applicazione dell’indennità 600 euro contenente sostanziali migliorie in termini prestazionali. Contestualmente sono state adeguate le soglie di allarme delle protezioni anti DDOS, cioè anti attacco, sulla base delle prime misurazioni degli attacchi osservati nella mattinata unitamente all’elevato carico delle richieste dell’utenza.

Al fine di consentire un’ adeguata segmentazione delle richieste, l’INPS afferma che è stato altresì predisposto il contingentamento del traffico proveniente da patronati e cittadini, stabilendo che i primi potessero accedere al servizio in via esclusiva dalle 8 alle 16, mentre i cittadini nella restante parte dell’orario. Alla riapertura del servizio erano tuttavia presenti attacchi DDOS, anche se efficacemente contrastati, ma l’elevato numero di richieste di tutti i cittadini in attesa della riapertura ha comunque provocato molti accodamenti. Il numero delle domande si è attestato su volumi che fino alle ore 20 non hanno superato le 29 mila unità orarie.

A questo punto, considerata l’inefficacia delle soluzioni, si è optato per soluzioni in house per rendere ancora più leggero il flusso e ridurre al minimo la presenza dell’utente sul servizio. Alle ore 22 è stata rilasciata un’ulteriore versione dell’applicativo relativo all’indennità 600 euro; dopo il rilascio di quest’ultima versione dell’applicazione, essendo anche cessati gli attacchi sulla rete, è stata possibile fin da subito l’acquisizione di un numero assai elevato di domande, che attorno alla mezzanotte raggiungevano le 100 mila in un’ora, per poi salire ulteriormente a 107 mila alle ore una del 2 aprile.

Da questo momento, nonostante gli ulteriori attacchi informatici ricevuti, il servizio è stato erogato con volumi altissimi per tutta la giornata del 2 aprile, con punte di quasi 150 mila domande l’ora intorno alle 18. Il giorno 2 aprile, a seguito di alcune segnalazioni dei patronati, INPS ha introdotto ulteriori semplificazioni sull’applicazione relativa all’indennità da 600 euro, quali l’eliminazione dell’obbligo di acquisire preventivamente la delega dell’assistito, ottenendo tale dichiarazione contestualmente alla presentazione della domanda.

La relazione della ministra Catalfo è servita quantomeno a far luce su alcuni dettagli tecnici, a smontare una volta per tutte la questione del DDoS ed a portare in Parlamento un tema tecnico di importanza nazionale.

Fonte: Punto Informatico, AGI