Roberto Sommella
Qualcuno sostiene che la prossima guerra fredda sia già in corso. Si combatte sul filo della rete e della protezione dei dati personali. Ci sono alcuni segnali in questo senso, come il crescente approccio muscolare di Stati Uniti, Cina e Russia ai temi relativi allo strapotere delle Big tech e all’approvvigionamento energetico, che sembrano confermarlo. Una cosa è certa però: la dematerializzazione di molti settori economici e anche di parte della finanza, dal boom del bitcoin al successo del fintech, rende fondamentale il ruolo dello Stato nel proteggere i cittadini, i loro risparmi, le loro stesse identità. Per questo è nata in Italia l’Agenzia per la cybersicurezza nazionale (Acn), organismo per certi versi ibrido, in quanto per una parte risponde ai requisiti tipici dei servizi segreti, come ad esempio quelli del Dis, e per un’altra affronta la necessità di fare informazione e prevenzione. Milano Finanza ha perciò intervistato il Direttore di questa neonata agenzia, già comunque pienamente operativa: Roberto Baldoni, uno dei massimi esperti di sicurezza digitale, un solido curriculum riconosciuto a livello internazionale. Seduto nella sua stanza, nel palazzo al centro di Roma, strategicamente collocato nel quadrilatero che ha per vertici l’ambasciata americana, palazzo Chigi, Montecitorio e il Quirinale, l’uomo della sicurezza cibernetica affronterà con il suo staff innumerevoli dossier, dalla tutela del risparmio al controllo dei flussi finanziari in Borsa, per passare alla vita di tutti i giorni, come le transazioni bancarie, gli attacchi hacker alle imprese, il passaggio a nuovi sistemi operativi, l’emissione anche di un semplice biglietto della nuova Alitalia. Un meta mondo a contatto con quello reale, in superficie.
Domanda. Direttore Baldoni, quali sono i compiti della neonata Agenzia per la cybersicurezza?
Risposta. Attualmente l’Agenzia ad un mese dalla nascita svolge i compiti Autorità nazionale in materia di cybersicurezza e sviluppa le capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica. Inoltre progressivamente si sta strutturando per svolgere i seguenti compiti previsti dal DL 82/2021 come ad esempio, la definizione e il mantenimento di un quadro giuridico nazionale coerente nel dominio della cybersicurezza, supportando nel contempo lo sviluppo di competenze industriali, tecnologiche e scientifiche a vantaggio della autonomia strategica nazionale ed europea, e mirando a stimolare nel contempo la crescita di una solida forza lavoro multidisciplinare nel campo della cybersecurity cercando di incentivare la partecipazione della componente femminile.
D. Insomma un mare magnum. Quali sono oggi i rischi più grandi che il mondo dell’economia e della finanza corre con l’estrema digitalizzazione?
R. La natura stessa delle risorse manipolate dai servizi finanziari (dati sensibili e monetari), fa sì che essi siano intrinsecamente tra i target preferenziali di attacco. Inoltre, l’alto grado di interconnessione tra i servizi stessi determina una maggiore complessità del sistema finanziario, che, anche in considerazione delle moderne tecniche di trading caratterizzate da alta sofisticazione, automazione e utilizzo di strumenti di AI – quali ad esempio l’High Frequency Trading (HFT) – può causare problemi tecnici legati ad esempio al modello di predizione del prezzo a causa della stabilità degli algoritmi o a causa di veri e propri attacchi cyber.
D. Faccia un esempio di possibile attacco.
R. Un attaccante potrebbe piazzare ordini creati appositamente per confondere il modello del prezzo ad un costo relativamente piccolo per l’attaccante. Per mitigare questi rischi sono in atto importanti investimenti da parte dei gestori dei servizi, per assicurare adeguate performance dei sistemi informatici, con conseguenti aumenti dei costi delle transazioni sugli utenti finali.
D. Voi siete competenti anche per la cybersicurezza delle transazioni finanziarie: il risparmio e la Borsa sono al sicuro?
R. La sicurezza assoluta di qualunque sistema informatico è obiettivo impossibile da raggiungere. Un approccio a cui tendere deve essere pertanto l’opposto: adottare misure per portare il costo di un attacco ad essere maggiore di qualsiasi potenziale vantaggio, ricorrendo il più possibile a tecniche di security-by-design, ovvero l’inclusione di meccanismi di sicurezza fin dalla primissima fase di concezione di applicazioni e sistemi informatici e poi manutenzione continua dei sistemi stessi. A livello nazionale, il lavoro del Perimetro di Sicurezza Nazionale Cibernetica, che coinvolge anche il settore finanziario, ha permesso di innalzare le difese definendo misure di sicurezza e processi quali lo scrutinio tecnologico e le notifiche di incidente. Questo va a rafforzare il quadro definito dalla Direttiva NIS, volta ad assicurare le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi nel mercato europeo.
D. Qual è il vostro ruolo nel contesto delle istituzioni economiche?
R. Nel recepimento della direttiva in ambito nazionale l’agenzia ha un ruolo centrale, di concerto con le autorità competenti, quali il Mef per il settore finanziario e settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore Banca d’Italia e Consob. In qualità di punto di contatto unico europeo svolge inoltre una funzione di collegamento per garantire la cooperazione transfrontaliera con le autorità competenti degli altri Stati membri.
D. A regime quanti dipendenti avrà l’autorità che presiede e quali poteri ?
R. Circa 300 alla fine del 2023 e 800 nel 2027, tra i principali poteri l’Acn assumerà le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica. A tendere aumentano il numero e la portata degli obiettivi, con un profilo strategico mirato: contribuire fattivamente allo sviluppo della digitalizzazione del Paese, del sistema produttivo e della PA, per il conseguimento dell’autonomia tecnologica, nazionale ed europea, in settori di rilevanza strategica a tutela degli interessi nazionali.
D. Il mondo sta vivendo una fase di grande rimbalzo economico ma connotato anche da un aumento delle materie prime. Può esserci un pericolo anche di aumento dei costi per la sicurezza per mettersi al riparo dagli attacchi hacker?
R. Senza dubbio le conseguenze dell’incremento di cyber attacchi per il nostro Paese sono molto pesanti a livello economico. Tra le ragioni di questa esponenziale crescita, anche come effetto della pandemia, troviamo sicuramente l’incremento dello smart-working. L’aumento del numero dei sistemi esposti dalle aziende ha determinato una parallela crescita di attacchi che sfruttano falle nella postura di sicurezza delle aziende registrando un tentativo di accesso abusivo ai sistemi di gestione remota. Quelli sostenuti per il potenziamento dei nostri presidi di sicurezza informatica, pertanto, non devono essere visti come dei costi in senso assoluto, bensì come il migliore degli investimenti possibile, per proteggere il nostro sistema, ridurre le conseguenze economiche degli attacchi, ma soprattutto per creare un cyberspazio sicuro ed accogliente, premessa imprescindibile per un Paese avanzato e in crescita costante.
D. Le criptomonete e le blockchain stanno assumendo sempre più importanza nel contesto finanziario ma non sono regolate, nemmeno dal punto di vista della cybersicurezza. Cosa potete fare dal vostro punto di vista ?
R. L’agenzia pianifica di costituire unità specifiche per lo studio di tecnologie quali Dlt e blockchain, approfondendo i rischi e le opportunità associati, per supportare gli attori nazionali negli ambiti delle interlocuzioni, anche a livello internazionale, legate agli aspetti tecnico-economici relativi ai cripto-assets, quali le criptovalute.
D. Cosa si sa del recente attacco avvenuto alla Siae?
R. Dalle informazioni al momento disponibili si evidenzia una rivendicazione da parte dell’attore noto come Everest. Da una prima analisi si parla di 60 GB di dati sottratti, per un totale di 28000 documenti esfiltrati e pubblicati sul Dark web come esempio dimostrativo, accompagnato da una richiesta di riscatto. Delle 38 vittime di Everest alla data di oggi, Siae sarebbe la prima vittima italiana. Tra i documenti pubblicati vi sono alcuni documenti d’identità e dati dei clienti, oltre a documenti finanziari. Il team di Everest afferma inoltre di essere in possesso di numerosi passaporti, patenti di guida, documenti di pagamento, conti bancari e carte di credito. Sulla base dei monitoraggi effettuati dallo CSIRT Italia (Computer Security Incident Response Team) sono presenti segnali compatibili con un vettore d’attacco di tipo phishing. Pur essendo tipicamente la cifratura una caratteristica del modus operandi della crew coinvolta in questo caso non sembra essere stato utilizzato un cryptolocker.
D. Quali azioni suggerisce alle aziende per ridurre il rischio di essere vittima di tali attacchi?
R. Siamo nel bel mezzo di una forte mareggiata nel cyberspazio, suggerisco in particolare alle piccole e medie aziende di “rinforzare gli ormeggi” e attuare con immediatezza almeno le seguenti azioni: adottare misure che assicurino una gestione appropriata delle credenziali e dei privilegi di accesso, usare autenticazione a due fattori per tutti i servizi esposti, effettuare backup giornalieri di cui una copia va sempre mantenuta off-line ed esercitare il personale con mirate campagne di test per aumentare la consapevolezza del rischio. Successivamente eseguire una business impact analysis per meglio comprendere la propria postura di sicurezza e decidere le azioni successive.
D. Che coordinamento ha l’autorità che presiede con il Dis e le agenzie di intelligence?
R. Il coordinamento con il Dis e le agenzie Aise e Aisi avviene attraverso l’autorità delegata alla sicurezza della repubblica, qualora istituita, ovvero attraverso il presidente del consiglio. L’agenzia si occuperà fondamentalmente della cyber-resilienza del sistema paese la capacità quindi di prevenire attacchi cibernetici e in caso questi arrivino a buon fine di mitigarli. Il Comparto si occuperà della parte di cyber-intelligence ovvero di portare avanti azioni con lo scopo di tutelare il cyberspazio nazionale.
D. Provi ad immaginare l’Italia e il mondo tra 35 anni, saremo sempre più interconnessi, basterà un’autorità per la cybersicurezza?
R. Con l’aumentare della digitalizzazione e delle dimensioni virtuali non si fa fatica ad immaginare delle autorità sull’etica degli algoritmi e delle macchine e di autorità di regolamentazione tra mondo fisico e mondi virtuali. Un futuro sfidante e tutto da scrivere! (riproduzione riservata)
Fonte: