La presentazione al Security Summit del decimo rapporto annuale del Clusit sulla sicurezza ICT in Italia (ne abbiamo presentato gli elementi fondamentali qui) ha visto la presenza di alcuni fra i migliori esperti di cybersecurity italiani: un’occasione per ragionare sul problema sicurezza non solo nei suoi dettagli tecnici, ma anche da altri punti di vista: strutturali, organizzativi, e soprattutto di prospettiva, in modo da fornire indicazioni utili a mettersi proattivamente in sicurezza rispetto agli attacchi che, molto presumibilmente, potrebbero colpirci nei prossimi mesi.
Già, perché se dal rapporto – che è possibile scaricare in versione PDF dal sito del Clusit – emerge chiaramente che il 2017 è stato l’annus horribilis per la cybersicurezza (e il 2018 si annuncia anche peggiore), il dato veramente preoccupante non è tanto la quantità di attacchi, quanto il fatto che essi diventino sempre più sofisticati, più complessi da contrastare, e soprattutto che comincino a emergere le prove che le menti dietro le minacce sono cambiate.
Indice degli argomenti
Il Cybercrime non è l’unico pericolo
Se è vero che il cybercrime è sempre, da un punto di vista puramente numerico, il motore primo degli attacchi, è anche vero che da un punto di vista tecnico esso è anche artefice delle minacce meno sofisticate. Questo un po’ perché i team che sferrano questi attacchi sono spesso piccoli e non particolarmente competenti, e molto perché si sta diffondendo l’utilizzo di strumenti software per così dire “standardizzati” per la creazione di questi attacchi. Ebbene sì, il cybercrime si sta “industrializzando”, gli attacchi sono spesso portati attraverso l’uso di malware realizzato con toolkit o riutilizzando blocchi di codice ripresi da attacchi già sferrati in precedenza, a volte da altri team.
Tutto questo potrebbe voler dire due cose. Primo, che i team coinvolti nella creazione di attacchi si sono trovati costretti ad abbassare i loro costi, probabilmente per una minore redditività degli attacchi dovuta alle misure di contrasto più efficaci messe in campo dalle aziende negli ultimi anni. Secondo, questi team possono aver subito un’emorragia di hacker esperti. Le ipotesi sulla destinazione finale di questa “fuga di cervelli” ci portano a considerare altre forme di minacce, ancora più pericolose del cybercrime.
Information war, una lotta impari
Per ora sono ancora una piccola percentuale sul totale, ma stanno crescendo in modo preoccupante anche attacchi non mirati al “banale” furto di carte di credito e credenziali di accesso a conti bancari, bensì allo spionaggio industriale (furto di brevetti, progetti, informazioni di business) e al sabotaggio vero e proprio. E, anche se non è possibile parlare di prove schiaccianti, una lunga serie di indizi (a volte anche molto pesanti) fanno risalire molti di questi attacchi a gruppi di hacker che agiscono per conto e su mandato di entità istituzionali: governi di nazioni straniere, per essere più chiari. “Nel 2017 abbiamo visto definitivamente la discesa in campo degli Stati nelle attività di Information war, quindi hacking, sabotaggio, alterazione dell’opinione pubblica” ci ha confermato Andrea Zapparoli Manzoni, membro del consiglio direttivo del Clusit, da noi intervistato.
Non si tratta di un fenomeno recente – ricorderete sicuramente il caso StuxNet, emerso diversi anni fa, o l’apparato di Echelon per lo spionaggio delle comunicazioni aziendali – ma sicuramente si tratta di attività che nella stragrande maggioranza sono rimaste nell’ombra fino a ieri, e solo adesso cominciano a essere notate.
Un caso eclatante emerso di recente è stato quello di NotPetya, che sotto le apparenze di un ransomware come tanti celava in realtà un test di attacco alle strutture industriali ed energetiche dell’Ucraina, ma anche dell’Europa Occidentale. Che sono state colte impreparate, se è vero che persino un gigante come la danese Maersk ha riportato danni per 200 milioni di dollari.
Ebbene, molti esperti, risalendo le tracce lasciate da NotPetya, concordano nell’attribuire l’attacco a strutture governative russe.
Anche nazioni come Usa, Israele, Cina e Nord Corea hanno strutture statali dedite ad attività di cyberspionaggio e cybersabotaggio, e così molti altri. È appena il caso di far notare che anche un paese piccolo, che non può permettersi un potente arsenale di armamenti atomici o anche convenzionali, è perfettamente in grado di provocare al nemico danni ingenti con tecniche di cyberwar. Un gruppo di hacker ben preparati e una linea Internet è tutto ciò che serve per pianificare e condurre attacchi estremamente efficaci.
Guarda l’intervista a Andrea Zapparoli Manzoni
Il ruolo della politica
Finché l’azienda attaccata si trovava a fronteggiare un gruppo di malavitosi, si poteva ancora parlare di una partita, diciamo così, alla pari. Ma se un’azienda viene attaccata e messa in ginocchio da uno Stato estero, la partita è nettamente squilibrata in favore dell’attaccante, e il problema non è più semplicemente “tecnico”, ma politico. Perché trovare una soluzione tecnica ad attacchi sofisticati e mirati potrebbe richiedere risorse ingenti, che le aziende, soprattutto le piccole e medie imprese che costituiscono l’ossatura della nostra economia, non sono certo in grado di sostenere. Inoltre, scenari che contemplano cyber attacchi potenzialmente distruttivi per le aziende e le utility di un Paese vanno considerati veri e propri atti di guerra, alla stregua di un bombardamento.
Per questo la politica deve collaborare alla soluzione del problema. E questo lo potrebbe fare in vari modi. Per esempio, mettendo al lavoro sul contrasto delle cyber minacce le agenzie governative di controspionaggio. Oppure favorendo la creazione di infrastrutture di raccolta e analisi dei dati sui cyberattacchi, capaci di reagire proattivamente alle minacce. O ancora, favorendo la definizione di normative e di best practice volte a ridurre la percentuale di rischio, come sta succedendo per esempio con la GDPR che come effetto collaterale sta portando una maggiore protezione di alcune categorie di dati presenti in azienda.
A fronte di questi scenari non futuri, bensì già emergenti, non abbiamo ancora visto un concreto interesse della politica verso questi temi che potrebbero diventare critici per la sopravvivenza stessa delle aziende.
Gabriele Faggioli, Presidente del Clusit, ci ha detto che alle ultime elezioni nessun partito ha inserito nei suoi programmi l’argomento della cybersecurity. Ma questo non impedirà al Clusit di portare il problema all’attenzione di quasiasi governo che andasse in carica. “Come Clusit abbiamo già collaborato con organismi come l’Agit, con vari ministeri, e dato il nostro contributo allo sviluppo di leggi e normative europee in ambito cybersecurity, e su questo continueremo a lavorare”.
