Chiudete gli occhi e immaginate come sarebbe stata per l’Italia la guerra Ucraina senza ancora avere un’Agenzia per la Cybersecurity nazionale. Probabilmente qualche malware ci sarebbe arrivato, devastante. E invece finora l’Agenzia, sebbene appena nata e ancora in formazione, è riuscita a parare il colpo con un’attività incessante di condivisione informazioni, come ci racconta il direttore Roberto Baldoni.
Vi siete trovati catapultati in questa crisi, di colpo. Si può dire?
Esatto, proprio neonati. Giuridicamente lo siamo da dicembre e dal 14 gennaio siamo entrati in pre-allerta, con primi segnali di attacchi informatici in Ucraina.
Attenti a tecnologia russa come Kaspersky, ecco i consigli dell’Agenzia cyber nazionale
Indice degli argomenti
Come l’Agenzia Cyber sta gestendo la crisi Ucraina
Siete centrali in questa fase, come la state affrontando?
Con gli strumenti che abbiamo, il nucleo cyber sicurezza, che si riunisce ormai in modalità continuata.
L’allerta ha raggiunto livelli molto alti, abbiamo un confronto costante con operatori privati per prevenzione, mitigazione e situazioni particolari. Oggi (ieri, Ndr), per esempio, la raccomandazione su tecnologie russe è stata fatta sentito il nucleo cyber. Viene da un contesto interministeriale.
Siamo finora a quota a 7mila comunicazioni di supporto sulla guerra ad amministrazioni e aziende del perimetro di sicurezza cibernetica.
Ma anche facciamo comunicazioni pubbliche su sito CSIRT e comunicati stampa, ad esempio per raggiungere aziende di media grandezza che avevano delocalizzato in Ucraina, come mobilifici. Se condividevano il sistema di autenticazione con l’azienda ucraina, un malware poteva arrivare diretto in Italia. Le abbiamo raggiunte in collaborazione con l’ambasciatore.
I pericoli per l’Italia
Ecco appunto. Malware in Italia, ci sono, per la guerra Ucraina?
No, stiamo confinando bene il pericolo. La rete che abbiamo creato è servita. Ma gli spill over sono sempre in agguato, bisogna stare in allerta continua.
Ma ci sono attacchi diretti al nostro Paese?
Gli attacchi cyber endemici, com’è noto.
Sì, ma avvengono per le solite ragioni economiche o per motivi, diciamo così, geopolitici?
Se arriva un attacco non si sa per quale motivo, arriva ma al momento sono nella media.
Come si inserisce in questo contesto la raccomandazione su Kaspersky?
Non citiamo l’azienda. Riguarda tecnologie russe. Il problema è che la situazione potrebbe impattare sul loro livello di qualità nonostante le loro buone intenzioni.
L’importanza dello CSIRT
Chiariamo l’utilità vera dello CSIRT, in questo contesto
Una struttura che riceve informazioni da varie fonti e le valida. Abbiamo laboratori che studiano malware e avvertono gli interessati, con indicatori di compromissione (idc) che aziende e PA devono verificare al proprio interno. Se ci sono significa che il malware è entrato. Abbiamo distribuito 1500 idc da inizio crisi.
Prima dello CSIRT come si faceva? Era un casino, immagino, per le organizzazioni
Sì, in effetti. Lo CSIRT nasce nel Dis nel 2019 e al suo interno era più difficile dare informazioni all’esterno, eravamo in un contesto particolare. Ora è più facile dare informazioni. La cyber security, del resto, è sicurezza partecipata, dobbiamo fare rete.
Lo CSIRT è abbastanza ascoltato, si può fare di più?
Si può fare sempre di più. Ora siamo 75-80 in tutto e non tutti per lo CSIRT. Le agenzie francese e tedesca hanno 1.200 persone. Diventa un fattore di scala per lo CISRT, diverse posizioni messe a concorso sono legate a questo e altre lo saranno.
In linea generale CSIRT è ascoltato; si può fare di più per rendere più automatica la condivisione delle informazioni, con un sistema machine to machine. Bisogna avere a disposizione strumenti informatici, di cui ci dobbiamo dotare e in parte dovremo sviluppare, per estrare informazioni più importanti e condividerle in modo profilato con attori industriali, pubblici. Con sistemi di intelligenza artificiale.
Migliorando questo scambio proteggeremo meglio il Paese. Con più persone abiliteremo invece nuove funzioni dello CSIRT.
In che modo?
Abbiamo una posizione, ad esempio, come direttore di cyber risk manager che abiliterà applicativi e operazioni per valutare il rischio di un attacco e avvertire in modo più mirato chi può esserne soggetto.
C’è una parte legata alla cyber threat intelligence per estrarre informazioni utili dal parco informativo a disposizione. Ci stiamo strutturando molto velocemente.
Prossimi passi dell’Agenzia
I prossimi passi dell’Agenzia per riassumere quali saranno?
Crescere nelle diverse competenze indicate dal legislatore; il passo fondamentale è costituzione del CVCN per la certificazione entro il 30 giugno. Tantissimi dei posti a concorso, circa 70, riguardano CVCN.
Fondamentale per il Paese.
Perché?
Perché dovremo creare un sistema che da una parte sviluppare sistema di qualità per le infrastrutture critiche dall’altra permette di mantenere in Italia competenze per analizzare questi dispositivi. Se le perdiamo non siamo nemmeno in grado di capire quello che accade al proprio interno.
Una questione di sovranità digitale
Infatti. O la tecnologia la produci – e credo che l’agenzia lavorerà anche in questo senso – o almeno devi saperla analizzare. Altrimenti ti ci mettono quello che vogliono.
I rischi reali per l’Italia
Per concludere, quali sono i rischi reali concreti adesso per il Paese?
Se ci saranno ulteriori tipi di attacchi, potremmo essere coinvolti. In Israele c’è stato in settimana attacco importante su molti siti governativi, mandati offline. Dobbiamo essere pronti a gestire situazioni che si dovrebbero creare in questo mondo in cui non si capisce chi agisce e perché. E non possiamo escludere che possa arrivarci addosso una campagna importante.
