Anche se da un punto di vista puramente strategico il recente conflitto scoppiato in Ucraina sembra riportare indietro la storia militare di quasi 80 anni dove è la fanteria ad avere il peso maggiore, abbiamo visto in questo conflitto per la prima volta l’utilizzo della “Cyberwar” come arma; come un bombardamento può mettere fuori uso le infrastrutture di un paese allo stesso modo un cyber-attacco può paralizzare aeroporti, treni e comunicazioni.
Il 24 febbraio l’aggressione della Russia all’Ucraina era stato anticipato da un attacco tramite un malware che aveva cancellato i computer di una banca ucraina e di un'agenzia governativa. Ma gli attacchi informatici alle strutture amministrative ed economiche ucraine erano iniziati già prima dell'invasione militare: il governo di Zelensky aveva segnalato un cyber-attacco il 14 gennaio che aveva preso di mira i siti web del ministero degli esteri del paese, il gabinetto dei ministri e i consigli della difesa. Un mese dopo i responsabili della cybersecurity ucraine hanno segnalato un attacco DDoS1 contro due delle maggiori banche del paese, PrivatBank e Oschadbank.
Affianco agli attacchi “ufficiali” portati avanti da entrambi i contendenti (anche l’Ucraina tramite una trentina di gruppi di Hacker porta avanti una sua guerra informatica alla Russia) si sono schierati gruppi di hacktivisti2 come Anonymous che, il 26 febbraio ha dichiarato di essere sceso in guerra contro la Russia, creano danni e disservizi come l’Hackeraggio della TV russa con la trasmissione di immagini della guerra o il furto di 35 mila file della banca centrale russa contenente anche contratti segreti; un'azione che ha bloccato il traffico ferroviario in Bielorussia, nazione che appoggia esplicitamente la Russia sia logisticamente che militarmente, è stata rivendicata dai un gruppo hacker.
Affianco a questi attacchi che creano disservizi gli attacchi informatici hanno anche una funzione più diretta nel conflitto: a quanto si è appreso le truppe russe in territorio ucraino non hanno sistemi di comunicazione radio criptati e sono state divulgate le frequenze e le istruzioni necessarie a intercettare gli ordini provenienti dalla catena di comando e le comunicazioni tra le truppe sul campo.
Ma in Italia siamo pronti ad affrontare una guerra informatica?
Il 23 marzo un attacco ransomware ha colpito Trenitalia bloccando la vendita dei biglietti nelle stazioni, nelle biglietterie e self service. Anche se l'attacco hacker sembra essere opera della gang di hacker russo-bulgaro Hive non si sa ancora se sia collegato alla guerra Russo-Ucraina, ma ci mostra la fragilità delle nostre strutture.
Questa fragilità era già stata notata nel luglio del 2021 quando il CED e i servizi informatici della Regione Lazio hanno subito un attacco ransomware3 anche se in quel caso non si è trattato di un attacco informatico mirato (a differenza di quanto ha più volte dichiarato il presidente della Regione Lazio Zingaretti) ma di un ransomware che è entrato nel sistema a causa della “svista” di un dipendente della regione in Smart working.
A tal riguardo risulta interessante e preoccupante al tempo stesso il rapporto Cert-Agid sulla sicurezza dei siti pubblici del dicembre 2020 che dice quanto i nostri dati affidati alle PA locali siano a rischio. Da questa ricerca risulta che 445 (2%) portali istituzionali risultano senza HTTPS abilitato; 13.297 (67%) di questi portali hanno gravi problemi di sicurezza; 4.510 (22%) hanno un canale HTTPS mal configurato; mentre solo 1.766 (9%) utilizzano un canale HTTPS sicuro. Quasi il 50% dei siti monitorati anziché utilizzare soluzioni ad hoc si affidano a dei CSM che non sempre sono aggiornati all’ultima versione.
Se affianco a questi problemi strutturali mettiamo anche il fatto che molti dei dipendenti pubblici non hanno alcuna conoscenza sulla sicurezza informatica e si comportano con superficialità come nel caso sopra citato dell’attacco ramsomware alla Regione Lazio il quadro generale che si presenta è quello di un possibile colabrodo.
L’ Agenzia per l'Italia digitale (AGID) ha emanato una serie di misure minime di sicurezza per le pubbliche amministrazioni che andrebbero attuate. A seconda della complessità del sistema informativo a cui si riferiscono e della realtà organizzativa dell’Amministrazione, le misure minime possono essere implementate in modo graduale seguendo tre livelli di attuazione: minimo, standard, avanzato.
Il livello minimo è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme; quello standard è il livello che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza e rappresenta la maggior parte delle realtà della PA italiana; infine il livello avanzato deve essere adottato dalle organizzazioni maggiormente esposte a rischi in base alla criticità delle informazioni trattate o dei servizi erogati, ma deve anche essere visto come l’obiettivo di miglioramento da parte di tutte le altre organizzazioni. È importante sottolineare che sebbene queste linee guida risalgono al 2017 il rapporto Cert-Agid sulla sicurezza dei siti pubblici è del 2020 e mostra quindi quanto sia ancora molto il lavoro da fare.
Per ultimo bisogna inserire nelle nostre considerazioni sulla sicurezza informatica italiana anche il recente dibattito sull’aumento delle spese militari in Italia: da quanto riportato da Adolfo Urso, presidente del Copasir, "Più spese per la difesa servono anche alla cybersecurity".
In diverse Relazioni il Comitato parlamentare per la sicurezza della Repubblica ha documentato al Parlamento come la Russia fosse diventata un Paese molto attrezzato nella sfera cibernetica e quanto fosse importante la difesa cyber, indicando la necessità di estendere il “golden power”4 al sistema delle telecomunicazioni e la necessità di realizzare un perimetro nazionale sulla sicurezza cibernetica. Questi due obiettivi sono stati raggiunti mentre a giugno 2021 è stata realizzata l’Agenzia nazionale cibernetica (un risultato purtroppo arrivato con dieci anni di ritardo rispetto a Paesi come la Francia e la Germania).
Una parte dell’aumento delle spese previste per la difesa andrebbero quindi a finanziare l’Agenzia nazionale cibernetica dato che, come abbiamo visto, la Cyberwar è pericolosa come una guerra normale.
Se nelle aziende private il problema della sicurezza informatica è sentita da tempo, tanto che gli investimenti sono sempre più sostanziosi e riguardano anche la formazione del personale, lo stesso non vale per la pubblica amministrazione dove spesso mancano le competenze e la reale percezione del pericolo che rappresenta. Affianco a questo stiamo assistendo a prese di posizione ideologiche che impediscono l’attuazione di un vero piano di sicurezza a livello nazionale.
Anche se non si potrà mai avere una sicurezza informatica al 100% ma cercare di limitare i danni è diventato oggi non più un opzione ma un obbligo.
1 Un attacco DDoS (Distributed Denial of Service) è un'arma di sicurezza informatica mirata a interrompere le operazioni di servizio o ad estorcere denaro da organizzazioni mirate. Gli attacchi possono essere guidati da politica, religione, competizione o profitto. Un attacco DDoS è una versione distribuita di un attacco Denial of Service (DoS) con lo scopo di interrompere le operazioni aziendali. Questo attacco utilizza un grande volume di traffico per sovraccaricare le normali operazioni di interconnessione di servizio, server o rete, rendendole non disponibili. Gli attacchi DoS interrompono un servizio mentre gli attacchi distribuiti (DDoS) sono eseguiti su scala molto più ampia, con la conseguente chiusura di intere infrastrutture e servizi scalabili (servizi Cloud).
2 L’hacktivismo è una forma di attivismo digitale non violento, il cui scopo principale non è legato a interessi economici personali. Gli Hacktivisti con le loro campagne mirano a obiettivi politici, sociali o anche religiosi in linea con la causa propugnata da ciascun gruppo di appartenenza.
3 I ransomware sono virus informatici che rendono inaccessibili i file dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli.
4 Il golden power è uno strumento normativo, previsto in alcuni ordinamenti giuridici, che permette al Governo di un Paese sovrano di bloccare o apporre particolari condizioni a specifiche operazioni finanziarie, che ricadano nell'interesse nazionale
BIBLIOGRAFIA:
https://cert-agid.gov.it/news/monitoraggio-sul-corretto-utilizzo-del-protocollo-https-e-dei-livelli-di-aggiornamento-delle-versioni-dei-cms-nei-portali-istituzionali-della-pa/
https://sog.luiss.it/sites/sog.luiss.it/files/Policy_paper_print.pdf
https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict
https://www.gazzettaufficiale.it/eli/id/2017/05/05/17A03060/sg