Gli hacker hanno colpito più forte durante la pandemia. E lo hanno fatto soprattutto ai danni della PA, delle banche e delle telecomunicazioni. Questo è il primo dato che salta agli occhi a leggere la relazione dei nostri servizi segreti sulle minacce cibernetiche che incombono sull’Italia.
Il rapporto, realizzato dal DIS, AISE e AISI per il Parlamento italiano, ovviamente non parla solo di questo, ma fornisce una disamina abbastanza dettagliata dei pericoli rappresentati da criminalità organizzata, terrorismo jihadista, immigrazione clandestina, estremisti ed eversori di destra e di sinistra, con tutto il quadro delle minacce all’economia nazionale, comprese le crisi regionali.
Indice degli argomenti
La minaccia cibernetica
Ma focalizziamoci sulla minaccia cibernetica alla quale è dedicato un intero allegato al rapporto: il Documento di Sicurezza Nazionale 2020.
Qui si legge che in otto mesi lo CSIRT italiano (Computer Security Incident Response Team) ha ricevuto 25.845 segnalazioni, gestito 3.558 incidenti informatici, 117 critici, e 273 vulnerabilità gravi. Una media di 15 incidenti al giorno. Per capire l’entità del problema dobbiamo pensare che ogni giorno diciassette aziende, organizzazioni, entità pubbliche “rilevanti” che hanno volontariamente notificato la notizia dell’attacco, sono state preparate e aiutate a contenere e minimizzare l’incidente.
Non è chiarito nel rapporto, ma da fonti qualificate si apprende che alcune decine di queste sarebbero finite all’attenzione del Nucleo per la Sicurezza Cibernetica risalendo la catena gerarchica fino al Presidente del Consiglio.
Si tratta di realtà che forniscono servizi essenziali e strategici al paese, che interessano un gran numero di utenti, e che stanno alla base delle normali attività quotidiane di tanti italiani: trasporti, comunicazione, salute, lavoro, affari.
Numericamente possono sembrare pochi – se confrontati ai numeri della pandemia cibernetica a cui ci hanno abituato i rapporti delle aziende di cybersecurity – ma sono numeri che nessuno aveva ufficialmente fornito prima in una relazione dei Servizi. E chissà cosa accadrà quando le segnalazioni diventeranno obbligatorie in forza della legge sul Perimetro di sicurezza nazionale cibernetica.
Spie, criminali e hacktivisti: i numeri della minaccia cibernetica
Il rapporto evidenzia come una serie di attori “abbiano sfruttato, nel periodo pandemico, il massiccio ricorso al lavoro agile e la conseguente accessibilità da Internet di risorse digitali di Ministeri, aziende di ruolo strategico e infrastrutture critiche”, facendole bersaglio di campagne di matrice statuale, criminale o hacktivista.
Tra i target privilegiati ci sono stati diversi “Dicasteri ed altre Amministrazioni dello Stato, nei cui confronti si è registrata una intensa campagna di diffusione di malware”.
L’analisi di questi attacchi cibernetici rilevanti per la sicurezza nazionale raccolti dall’Intelligence ha fatto emergere un generale incremento delle aggressioni (+20%), che hanno riguardato per lo più, i sistemi IT di soggetti pubblici (83%, un incremento di 10 punti percentuali rispetto al 2019) in particolare le Amministrazioni locali (48%, valore in aumento di oltre 30 punti percentuali rispetto all’anno precedente), unitamente ai Ministeri titolari di funzioni critiche (+ 2% nel confronto anno su anno).
Invece, le azioni digitali ostili perpetrate nei confronti dei soggetti privati hanno interessato prevalentemente il settore bancario (11%, in aumento di 4 punti percentuali rispetto al 2019), quello farmaceutico/sanitario (7%, in più rispetto allo scorso anno) e dei servizi IT (11%, dato pressoché stabile).
La scheda del DIS sul Centro nazionale per la sicurezza cibernetica
“Considerato che l’Italia sarà, in pochi mesi, chiamata a creare il proprio Centro di coordinamento nazionale, destinato ad operare in stretto raccordo con il sopra richiamato Centro europeo, il DIS ha condotto un approfondimento in merito all’organizzazione e alle funzioni che la nuova struttura sarà chiamata a svolgere, evidenziando l’esigenza che questo Ente assuma anche le funzioni di centro nazionale di ricerca e sviluppo in cybersecurity, in linea con quanto previsto dal Piano Nazionale per la protezione cibernetica e la sicurezza informatica (marzo 2017) e alla cui istituzione il Parlamento, come già accennato, ha impegnato il Governo, con tre ordini del giorno, in sede di conversione in legge del D.L. n. 105/2019 sul Perimetro di sicurezza nazionale cibernetica.
Il Centro avrebbe quindi l’obiettivo, da un lato, di favorire lo sviluppo e il potenziamento di una industria italiana ed europea competitiva, in grado di fornire tecnologie e servizi abilitanti ad elevato grado di sicurezza, con particolare riguardo all’ambito delle infrastrutture critiche digitali, alle principali filiere industriali nazionali e, dall’altro, di operare – in termini di supporto, studio e sviluppo – in stretta sinergia con i diversi soggetti che compongono l’architettura nazionale di sicurezza cibernetica.
La menzionata nuova struttura, inoltre, costituirebbe la naturale interfaccia dei Centri di competenza previsti dal Piano nazionale Impresa 4.0 – che fa seguito all’iniziativa della Commissione europea “Digitising European Industry” dell’aprile 2016, volta a promuovere la trasformazione digitale delle imprese, rafforzando i collegamenti tra ricerca e industria – oltre che dei Digital Innovation Hub, distribuiti sul territorio a supporto delle piccole e medie imprese e delle Pubbliche Amministrazioni locali per il relativo incremento delle capacità di prevenzione e di valutazione del livello di maturità digitale e tecnologica, nonché per l’accrescimento della consapevolezza”.
Viceversa, è stata registrata una riduzione (-7%) nel numero delle “proiezioni digitali di matrice statuale” leggi “hacker di stato”, a fronte di un simile incremento di episodi dalla matrice non identificabile (+ 6% rispetto al 2019), che potrebbe essere il risultato di un maggior impegno degli stessi attaccanti a dissimulare queste azioni clandestine.
I dati sulle tipologie di attacco rilevate nel corso del 2020 hanno confermato il preponderante ricorso a tecniche di SQL Injection per violare le infrastrutture informatiche delle vittime (60% del totale), successive a una prima fase di osservazione delle vulnerabilità tecniche del target grazie ad attività di scansione di reti e sistemi. Numericamente ridotte, ma di grande risultato quando riescono, le campagne di spear phishing (0,3%), per veicolare software malevoli, come i Remote Access Trojan-RAT, impiegati per acquisire il controllo remoto delle risorse compromesse.
Inoltre, attacchi ransomware hanno coinvolto soggetti di rilievo nazionale, sia del settore sanitario che dell’industria del Made in Italy, sfruttando per l’infezione nuove modalità di collegamento attivate per lo smart working: un florilegio di ceppi e gang criminali come Agent Tesla, Emotet, Netwalker, Sunburst, che hanno paralizzato aziende come Geox, Luxottica, Campari Group, Enel e molte altre.
Spionaggio e paramilitari cibernetici
Il “Comparto”, cioè l’insieme dell’intelligence nostrana, ha anche rilevato importanti campagne con finalità di spionaggio. Poche (2,5%), ma caratterizzate dalla difficile individuazione, rappresentano le più insidiose per il Sistema Paese, in termini di informazioni esfiltrate, perdita di operatività e competitività, nonché dispendio di risorse economiche per la loro mitigazione.
Gli autori sono definiti Advancend Persistent Threat (APT) per la capacità di infiltrarsi nei sistemi produttivi e finanziari e dopo averne spremute le informazioni, tendono a sabotarli, bloccarli o scambiarle con altri attori finanziati da governi canaglia.
In quest’ambito, dice la relazione, “sono parse di assoluto rilievo le campagne indirizzate verso Ministeri e primari fornitori nazionali di servizi di comunicazione elettronica, condotte attraverso azioni digitali altamente strutturate e con l’impiego di tecniche e strumenti sofisticati”, ma anche verso operatori di servizi essenziali del settore energetico per cui le nostre cyber-guardie hanno impiegato molte risorse a contrasto come nel caso dell’attacco digitale alla catena di fornitura (supply chain) della società texana SolarWinds, per il potenziale impatto su reti e sistemi nazionali la cui portata non è ancora chiara per nessuno.
Fake news e disinformazione
Infine, per quanto riguarda la minaccia ibrida – che interessa i settori diplomatico, militare, economico/finanziario – si è assistito al tentativo di intossicare il dibattito pubblico attraverso attività di disinformazione e/o di influenza, nel contesto di più ampie campagne: “è stata registrata una elevatissima produzione di fake news e narrazioni allarmistiche, sfociate in un surplus informativo (cd. infodemia) di difficile discernimento per la collettività”.
Ce n’è anche per i social network: “Fattore di rischio intrinseco al fenomeno della disinformazione online ha continuato a risiedere nelle logiche e negli algoritmi alla base dello stesso funzionamento dei social media, tendenti a creare un ambiente autoreferenziale ed autoalimentante, fondato sulla condivisione dei contenuti e delle relazioni di interesse che, polarizzando l’informazione disponibile, ne alimenta quindi la percezione parziale e faziosa”.
Dietro le apparentemente innocue “bufale” quindi, spiega l’intelligence, ci sono degli attori statali che mescolano campagne disinformative e attacchi cibernetici, per trasformare la pandemia in un vantaggio strategico di lungo termine influenzando l’opinione pubblica ed i processi decisionali nazionali, nonché a danneggiare i nostri assetti economici.
Il centro nazionale per la sicurezza cibernetica
Largo spazio nel documento di Sicurezza Nazionale viene infine dato all’insieme del lavoro svolto dal Comparto, soprattutto per arrivare al “Perimetro di sicurezza nazionale cibernetica” che obbliga gli operatori di servizi vitali per il paese al rispetto di stringenti misure di sicurezza, la notifica di incidenti, l’acquisto regolato di beni e servizi ICT, per reti, sistemi informativi e servizi informatici utilizzati da soggetti inclusi nel Perimetro.
Ma nel rapporto si parla ampiamente di tutto il processo di rafforzamento dell’architettura nazionale di sicurezza cibernetica contigua al “Perimetro”, e cioè:
- l’implementazione della Direttiva europea NIS;
- la sicurezza delle reti 5G (con la disciplina nazionale sul Golden Power e le linee guida europee per il procurement di tecnologia 5G da fornitori extraeuropei);
- le attività del Nucleo di Sicurezza Cibernetica e dello CSIRT.
- A cui possiamo aggiungere le attività di awareness, comunicazione e formazione svolte dal comparto insieme ad aziende, media ed università.
Con una scheda finale (vedi box sopra) che dovrà essere vagliata dalle autorità competenti al più presto e che riguarda la realizzazione del Centro nazionale per la sicurezza cibernetica.
Boicottato da Italia Viva e Partito Democratico durante il precedente governo, dovrà essere pronto per la fine dell’anno.
Istituto Italiano di Cybersicurezza, un nuovo modello di protezione: lo avremo mai?