L’Ente Nazionale per l’Aviazione Civile è sotto attacco hacker. Lo è stato per gli ultimi quattro giorni, e la piena operatività e funzionalità di tutti i servizi non è ancora stata ripristinata.

I circa mille dipendenti ENAC sono stati estromessi dalle loro caselle di posta elettronica, e non riescono tuttora ad accedervi, e gli archivi digitali dell’Ente risultano ancora non recuperati.

L’inizio dell’attacco, perpetrato tramite – sembra – un ransomware, risale a venerdì 10 luglio, quando il sito è entrato in manutenzione dopo che nei giorni precedenti alcune sezioni avevano già presentato degli indizi di malfunzionamento.

L’ENAC ha presentato denuncia alla procura della Repubblica di Roma e al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche), e ha avviato la procedura prevista per mitigare il danno e ripristinare i servizi compromessi.

In una nota, l’Ente ha poi dichiarato che non sono stati sottratti dati, e che sono presenti backup di quanto sembra irrecuperabile dagli archivi digitali, rassicurando poi in merito alla gestione della documentazione Nato-UEO, allocata su un sistema separato, non online, rimasto completamente estraneo alle mire dell’attacco.

In Italia, dal maggio 2018, la gestione degli incidenti informatici per infrastrutture critiche, operatori di servizi essenziali e fornitori di servizi digitali rientra sotto la disciplina della Direttiva NIS: la norma prevedeva che gli Stati membri individuassero le strutture da sottoporre alle procedure di notifica descritte per gli incidenti e a quelle per il ripristino delle condizioni, e l’Italia, nel dicembre del 2018, ha comunicato di aver individuato 465 soggetti, senza però mai rendere pubblico l’elenco.

Di questi soggetti sottoposti alla “disciplina NIS” si conoscono però i settori di operatività, e dato che quello dei trasporti rientra nell’ambito di applicazione, ENAC potrebbe ragionevolmente essere considerato un Operatore di Servizi Essenziali, soprattutto dopo aver attivato la procedura presso il CNAIPIC.

Potrebbe quindi trattarsi del primo caso di applicazione della Direttiva NIS nel nostro paese, e di un primo esame per valutare anche l’operatività del CSIRT italiano, finalmente a regime.

Photo by James Glas on Unsplash