L’estensione del decreto Golden Power ad asset immateriali come i software per la sicurezza e gli antivirus (e non solo quelli), come da decreto approvato venerdì sera (vedi sotto), porta a riflettere su come muoversi in scenari di escalation militare con le relative alleanze NATO per ottimizzare le operazioni di cybersicurezza nazionale in tempi brevi.
Un decreto per la sovranità tecnologica anche nella cyber: le mosse di Italia ed Europa
Indice degli argomenti
Golden Power, lo scenario
Nel luglio 2019 in un commento al nuovo decreto Golden Power scrissi quanto segue: “Se a mio avviso questo decreto può avere senso in una situazione di staticità e di pace apparente tra Stati esso perde di intensità in un contesto di Early Warning dinamico in scenari di conflitto e pre conflitti reali laddove aziende internazionali sotto un controllo di un governo nemico pongono in essere attività di appoggio ad un attacco preventivo cibernetico. Quindi il decreto è ben studiato in situazioni di non conflitto ma dovrebbe subire ulteriori perimetri restrittivi in situazioni di pre conflitto”.
L’attuale crisi ucraina e la prospettiva concreta di escalation di attacchi cinetici in risposta ad attacchi cyber e viceversa, pone in essere, ora più che mai, l’esigenza di una strategia di difesa nazionale capillare con regole d’ingaggio ben precise, strategia che coinvolga tutta la comunità, dal singolo cittadino alle società che erogano servizi in rete.
Manca una analisi correlata sugli impatti di attacchi cyber alle infrastrutture critiche e un modello di propagazione degli stessi effetti ad altre infrastrutture collegate; per esempio: un attacco cyber primario ad una rete elettrica quali effetti produce su ospedali, trasporti, telecomunicazioni ecc.? Manca quindi un censimento puntuale di tutti i nostri Asset nazionali misurati con specifici indicatori economico-finanziari e di analisi del rischio questo in vista dell’utilizzo di nuovi sistemi monetari in via di attivazione.
Tre possibili linee di intervento
Prima ancora di consolidare una struttura governativa di risk management e treath intelligence in via di imminente definizione, certamente in ritardo per via dell’emergenza Covid-19, rispetto alle mutate esigenze geopolitiche internazionali, l’Agenzia Nazionale potrebbe muoversi seguendo tre linee di intervento rapido presso l’Industry, le PMI e i cittadini privati che accedono ad internet:
- raccomandazioni di encryption dei dati con cifranti nazionali e/o occidentali, questo per tutte le società che espongono servizi alla collettività e per tutti gli asset relativi a Operatori di Servizi Essenziali(OSE) e Fornitori di Servizi Digitali (FDS) che gestiscono dati non classificati per impedire attività di esfiltrazione dati in chiaro e OSINT avversaria. In pratica spingere questi soggetti a quei livelli di maturità avanzati tendenti ad un Security Cloud Model con una corretta postura e utilizzo diffuso di connessioni VPN esterne sui dati e servizi esposti e comunque lo sviluppo di contesti di Data Security Management e Keys Management.
- raccomandazioni di utilizzo, da parte delle PMI e di tutta l’utenza privata, su reti fisse e mobili, di sistemi di Intrusion Detection/Prevention e SIEM nazionali/occidentali non pervasivi disegnati con specifiche Tecniche Tattiche e Procedure di tipo Kill Chain (si presume che l’Industry, OSE e FDD abbiano già queste dotazioni unitamente ai loro CSOC/CERT/CSIRT) con capacità di monitorare attività maliziose e poi “killare” sessioni malevoli con evidenza degli indicatori di compromissione(IoC) o ancora meglio di indicatori di attacco (IoA) rilevati real-time, oltre alle tecniche di encryption dei dati.
- Advanced Information Sharing gestito da analisti altamente specializzati della rete CERT/CSIRT nazionale e che sappiano fornire informazioni di early warning veramente utili. Inoltre, awareness sui nuovi sistemi difensivi proposti soprattutto per l’utenza privata, con bollettini diramati per addestrare al riconoscimento di possibili scenari di compromissione nonché all’uso di tecnologie di Intrusion Detection unitamente ad un ripasso sulle più elementari protezioni da phishing e ransomware.
