COME ARGINARE GLI ATTACCHI INFORMATICI ALLA RETE NAZIONALE. FONDAMENTALE IL FATTORE UMANO
di Luciano Castro
La strategia di difesa dagli attacchi informatici si poggia su tre pilastri: sicurezza digitale, applicativa e organizzativa. Senza dimenticare che bisogna integrarli con il fattore umano.
Il conflitto che si sta combattendo sul dominio informatico, infatti, è invisibile ma non per questo meno reale e pericoloso. L’allarme di possibili attacchi ai danni del governo, della pubblica amministrazione e delle aziende italiane arriva da più parti: il Csirt (Computer security incident response team), il nucleo operativo dell’Agenzia nazionale per la cybersicurezza, ha segnalato «allerta massima per attacchi cyber russi in Italia». L’ex capo della polizia e della Protezione civile, Franco Gabrielli, oggi sottosegretario alla presidenza del Consiglio con delega alla Sicurezza nazionale, ha ribadito di recente come in Italia ci fossero già «segnali di crisi prima che iniziasse la guerra», ma che purtroppo al momento «scontiamo i limiti strutturali di un sistema di server pubblici inadeguato». Allarme rilanciato anche dal presidente del Copasir, Adolfo Urso, che ha sottolineato l’urgenza di «accelerare nella costruzione dell’Agenzia per la cybersicurezza nazionale, implementare il perimetro di sicurezza, fare il cloud nazionale per i dati della Pubblica amministrazione».
Tutti concordano non solo sull’imminente possibilità di attacchi informatici alla rete nazionale, ma anche sulla capacità degli hacker russi di mettere in ginocchio l’apparato economico di uno Stato e le sue infrastrutture strategiche, che al momento sono decisamente impreparate. Allora, come difenderci?
La sicurezza informatica di uno Stato si rafforza, appunto, attraverso tre pilastri di intervento: la sicurezza infrastrutturale; la sicurezza applicativa o digitale; la sicurezza organizzativa. Per sicurezza infrastrutturale intendiamo la sicurezza dei server, delle infrastrutture strategiche del paese, della pubblica amministrazione che vede nella migrazione dei dati sensibili sulla piattaforma cloud uno degli strumenti più appropriati a disposizione delle istituzioni per migliorare la «postura difensiva» in chiave cyber del paese. Come farlo? Attraverso una sempre crescente operatività della neo istituita Agenzia per la cybersicurezza nazionale, che sappiamo avere oltre alle competenze in materia di perimetro di sicurezza nazionale cibernetica, sicurezza e integrità delle comunicazioni elettroniche, delle reti e dei sistemi informativi, anche le competenze che regolano i livelli minimi di sicurezza, capacità e affidabilità delle infrastrutture digitali per la pubblica amministrazione nonché le caratteristiche di qualità, sicurezza, performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione. Inoltre agendo sulla implementazione della strategia nazionale cloud e del regolamento per il cloud, che dettano le regole di sicurezza, capacità e affidabilità delle infrastrutture digitali per la pubblica amministrazione, promuovendo la realizzazione del sistema operativo del paese anche mediante l’adozione del cloud computing nel settore pubblico. E, ancora, con la costituzione del Polo strategico nazionale (Psn). Come indicato nella strategia cloud Italia, il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Con un obiettivo: ospitare i dati e i servizi critici e strategici di amministrazioni centrali e non.
Il secondo pilastro di intervento ha come fine ultimo quello di garantire la sicurezza applicativa o digitale che riguarda processi e persone che sviluppano e producono gli strumenti informatici necessari a difendere i nostri dati e le nostre informazioni strategiche. In questa fase è necessaria una cura particolare nell’azione e nella programmazione degli strumenti al fine di rispettare gli standard qualitativi e di sicurezza adottati come benchmark e di monitorare che questi vengano applicati e mantenuti nel tempo, attraverso controlli settoriali e trasversali (dal penetration testing al vulnerability assessment). Perché ogni giorno nascono nuovi virus e nuove tipologie di malware o armi informatiche: sono gli exploit zero-day, ossia il metodo utilizzato dagli hacker per attaccare i sistemi con una vulnerabilità non identificata in precedenza per provocare danni o sottrarre dati a un sistema colpito. E ogni giorno ce ne sono di nuovi. Da qui inevitabilmente si arriva al terzo pilastro: la sicurezza organizzativa. Che passa attraverso la formazione, l’organizzazione e un nuovo concetto di cultura digitale capace di insistere su quel fattore che può fare la differenza, che può segnare lo spartiacque tra vincere o perdere una battaglia: il fattore umano. Aggiornamenti costanti, gestione dei processi e formazione verticale e tecnica sono le fondamenta di un’architettura statale protetta e sicura. Perché diventa dirimente capire che la vera minaccia che un paese corre non è il defacement (come accadde per la regione Lazio attraverso un banalissimo ransomware), ossia l’attacco di piraterie che cambia un sito, ma l’eventuale fuoriuscita di dati e informazioni sensibili.
Il vero pericolo che va contenuto è rappresentato dalla fuga di informazioni, non dagli attacchi di piccoli gangster informatici.
Il Csirt ha pubblicato una serie di linee guida e azioni di mitigazione (riduzione della superficie di attacco esterna; riduzione della superficie di attacco interna; controllo stringente degli accessi ai sistemi/servizi; monitoraggio dei log, del traffico di rete e delle attività effettuate dagli account di amministrazione; organizzazione interna per la preparazione e gestione delle crisi cibernetiche; pianificazione della revisione delle proprie infrastrutture It in ottica zero Trust; sostenere l’infosharing interno ed esterno) per contrastare lo scenario di pericolo causato dal conflitto russo-ucraino, ma l’ambizione deve essere quella di guardare al futuro e non al breve periodo.
Le nostre infrastrutture strategiche, i nostri dati, le nostre informazioni sensibili non saranno mai protette e al sicuro fin quando il paese non raggiungerà un livello di resilienza informatica adeguato alle minacce ricorrenti, fin quando non raggiungerà un’indipendenza e un’autonomia strategica nazionale in campo cyber, fin quando non metterà a sistema i tre pilastri, sicurezza digitale, applicativa e organizzativa, con il fattore che più di tutti conta. Il fattore umano. Perché siamo uomini che costruiamo macchine, non viceversa.
L’estorsione resta la prima causa (86%)
Il più grande pericolo che corre non solo lo Stato ma l’intero sistema-paese è la fuga di informazioni e dati sensibili. E in quest’ottica, lo scenario è tragico, per usare un eufemismo. Non solo la severità degli attacchi è in forte aumento (si pensi che nel 2021 il 79% degli attacchi rilevati ha avuto un impatto «elevato») ma il cybercrime, ossia gli attacchi messi in atto per estorcere denaro alle vittime, si conferma la motivazione dell’86% delle attività malevole.
A fornire un quadro di riferimento per analizzare lo scenario attuale, comprenderne i rischi, gli obiettivi e quindi poter agire tempestivamente rispetto ai tre pilastri di intervento (si veda l’altro articolo in pagina) è stato il Rapporto Clusit 2022 sulla sicurezza Ict in Italia (si veda ItaliaOggi Sette del 14/3/2022).
Dall’indagine è emerso come l’aumento di attacchi gravi si registri in base allo strumento, al target e alla finalità verso singoli bersagli (soprattutto di tipo ransomware, cioè con l’aggravante della double extortion, la doppia estorsione, cioè della minaccia di diffondere i dati rubati alle vittime qualora non paghino il riscatto). Si registra inoltre una diversificazione sia delle «armi» utilizzate (cybercrime +16% rispetto al 2020; espionage-sabotage, cioè spionaggio cybernetico, -17,8% rispetto al 2020; information warfare, ossia la cosiddetta guerra delle informazioni, + 11,4% rispetto al 2020; hacktivism -58,3% rispetto al 2020); sia delle vittime privilegiate. Rispetto al 2020 nel 2021 la crescita maggiore nel numero di attacchi gravi si osserva verso le categorie transportation/storage (trasporti e stoccaggio) +93,3%; altri servizi +66,7%; informazione e multimedia (news & multimedia) +60,5%; commercio all’ingrosso e al dettaglio (wholesale/retail) +51,9%; settore pubblico e militare (governement/military) +36,4%; ospitalità (hospitability) +36,4%).
Fonte: