L’arrivo del primo malware della nuova guerra tra Russia e Ucraina, HermeticWiper può essere solo l’inizio di una cyberwar per cui l’Italia dovrebbe attrezzarsi in fretta.
L’incremento degli attacchi sponsorizzati da Stati sovrani, in questo caso la Russia, desta particolare preoccupazione. E non soltanto per le ripercussioni che il conflitto rischia di avere dal punto di vista umanitario e degli equilibri geopolitici della regione.
Indice degli argomenti
La cyberwar porta la guerra subito in Italia
Quarant’anni fa, infatti, avremmo forse potuto considerare la crisi in Ucraina come un conflitto lontano (Donetsk è a più di 2000 Km dall’Italia), mentre oggi non è più così.
L’escalation odierna comporta un possibile coinvolgimento dell’Italia in quanto membro della NATO e di conseguenza, per ritorsione della Russia, potrebbe portare lo scontro direttamente nel nostro paese, attraverso il cyber spazio, dove 2000 km di distanza non significano assolutamente nulla.
Con attacchi russi mirati a organizzazioni italiane, per finalità diversi: sabotaggio e blocco di sistemi aziendali, infrastrutture critiche pubbliche e private.
Emblematico in tal senso è il bollettino pubblicato pochi giorni fa dal CSIRT Italia, nel quale si evidenzia “il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino”, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche”.
L’attenzione, in caso di coinvolgimento dell’Italia, non riguarda però solo le organizzazioni che intrattengono rapporti con l’Ucraina: tutte le organizzazioni, in particolare quelle nel perimetro di sicurezza nazionale cibernetica.
Di oggi l’allarme dell’Agenzia per la cybersicurezza nazionale in merito al nuovo malware.
Cyberattacchi da e verso governi sovrani
Gli attacchi informatici su larga scala sponsorizzati dai governi sovrani non sono un fenomeno nuovo in Europa. Azioni simili sono state condotte con una certa regolarità negli ultimi anni, anche ai danni di paesi dell’Unione Europea. Tra i primi e più gravi, ricordiamo l’offensiva che nel 2007 mise fuori uso i servizi digitali di media, istituti bancari ed enti governativi dell’Estonia. È lecito aspettarsi azioni di portata simile o perfino maggiore in caso di scoppio del conflitto in Ucraina.
Naturalmente, speriamo tutti di poter guardare fra qualche settimana a questi giorni come ad uno scampato pericolo, un’occasione per farci qualche domanda seria sulla nostra capacità di affrontare situazioni di conflitto. Per contro, un peggioramento della crisi ucraina potrebbe rappresentare l’inizio della fine di un lungo periodo di relativa tranquillità. In ogni caso, è opportuno chiedersi quanto le nostre aziende e le nostre pubbliche amministrazioni siano pronte.
- Non si tratta solo di proteggersi da cybercriminali interessati a ottenere più denaro possibile con ransomware senza scoprirsi e causare danni tali da attirare troppo l’attenzione. Magari anche con la complicità del governo russo che in questa maniera in accordo con criminale può anche sperare di finanziarsi compensando le sanzioni occidentali.
- Né ci sono solo attacchi che possono colpire di rimbalzo le nostre organizzazioni pur essendo dirette inizialmente a quelle ucraine, come successo in passato.
- Bisogna infatti anche pensare ad attacchi mirati che puntino esplicitamente a causare il maggior danno possibile alle infrastrutture critiche di un Paese occidentale.
Quanto è pronta l’Italia?
Se ci chiediamo quale sia, a oggi, il livello di preparazione delle aziende e delle pubbliche amministrazioni italiane, la risposta più immediata sembrerebbe essere “molto basso”. In generale, è difficile sostenere che qualcuno sia realmente pronto ad affrontare un conflitto, e la capacità di opporre resistenza ad attacchi mirati varia molto, anche fra aziende dello stesso settore. Qui però è utile chiarire un punto importante.
Quando si pensa ad attacchi alle infrastrutture critiche, si pensa immediatamente ad attacchi sofisticati, ad Advanced Persistent Threat che partano da attacchi 0-day e cose del genere. La realtà degli attacchi, nella maggior parte dei casi, è molto più banale. Prendiamo ad esempio l’ultimo advisory pubblicato dall’FBI e dai servizi segreti degli Stati Uniti su un malware che avrebbe attaccato alcune infrastrutture critiche: non si parla di 0-day o altri strumenti sofisticati. Si parla invece di un ransomware che sfrutta una vulnerabilità non corretta vecchia di un anno, di cui sono note le modalità di funzionamento e diversi indicatori di compromissione.
Stuxnet, NotPetya contro aziende più importanti
Se prendiamo invece attacchi sofisticati come Stuxnet (o il russo NotPetya) il worm impiegato tra il 2009 e il 2010 per sabotare centrali nucleari in Iran, dobbiamo aspettarci che vengano utilizzati verso poche organizzazioni particolarmente critiche.
Questo perché richiedono uno sforzo notevole per essere sviluppati e messi in atto, e l’utilizzo di risorse “preziose”. La diffusione di Stuxnet ha infatti reso pubbliche le vulnerabilità 0-day che utilizzava, le quali hanno così perso efficacia, impedendo agli autori del malware di continuare a sfruttarli a lungo. Si tratta di uno sforzo che ha senso sostenere solo per determinati bersagli. Per tutti gli altri, al momento, basta molto meno.
Ma come insegna il caso NotPetya, anche un malware sofisticato quando sfugge dal controllo può colpire tutti, anche aziende minori (vedi sotto).
Guerra russo-ucraina, allarme cyber attacchi: rischi e strumenti di difesa
Una strategia a livello nazionale
È quindi su un livello di cybersecurity base che la maggior parte delle aziende deve lavorare ed è questo il focus primario delle iniziative di governance della cybersecurity introdotte dalle istituzioni italiane negli ultimi anni: dal Framework Nazionale per la Cyber Security e la Data Protection agli obblighi previsti dal Perimetro Nazionale di Sicurezza Cibernetica (PNSC), istituito con decreto-legge n. 105 del 21 settembre 2019 e oggetto di una serie di decreti attuativi. Non si tratta di misure fuori dal mondo, ma di quelle che sono considerate da tempo buone pratiche e che vengono ampiamente e diffusamente disattese.
La possibilità di attacchi sofisticati, infatti, non deve far perdere di vista l’importanza di misure di base, la cui attuazione è più spesso un problema di volontà e attenzione soprattutto da parte dei vertici aziendali, che di disponibilità di risorse che non siano tempo e competenze del personale che se ne dovrebbe occupare. Per quanto gli strumenti tecnologici siano importanti e richiedano adeguati investimenti, è necessario prima di tutto rafforzare l’efficacia dei processi di gestione. Su questo è bene essere chiari: un’eventuale situazione di conflitto si svilupperebbe in tempi relativamente brevi, come stiamo vedendo adesso. Non ci sarebbe tempo di pensare al budget del prossimo anno, e non ci sarebbero rinvii da chiedere nell’applicazione di normative, ma solo le azioni messe in atto fino a quel momento.
In merito a HermeticWiper, segnaliamo anche IOC (indicatori di compromissione) e raccomandazioni di CSIRT.
Crisi Russia-Ucraina, aziende italiane “esposte” a cyber attacchi: i consigli dell’Agenzia cyber
Come affrontare la minaccia
Sempre in quest’ottica, si possono comprendere i requisiti sui tempi di notifica degli incidenti allo CSIRT nazionale previsti dal DPCM n.81 del 14 aprile 2021: non si tratta di una notifica “per conoscenza”, ma della partecipazione a un sistema di difesa che permetta di allertare tempestivamente altre organizzazioni che possano essere soggette allo stesso attacco, e di predisporre contromisure che la singola organizzazione potrebbe non essere in grado di predisporre.
In questo senso, può essere il caso di affrontare il tema non in un’ottica di conformità normativa “minima” ma di effettiva partecipazione a un sistema che mira in ultima istanza a proteggere i partecipanti e il sistema paese.
Da questo punto di vista, potrebbe essere troppo tardi per la crisi in atto. Ma anche se questa dovesse in parte rientrare, complice l’avvicinarsi della primavera e quindi la pressione meno immediata sull’Unione Europea legata alle forniture di gas, non dobbiamo dimenticarci che dopo ogni estate, arriva sempre un nuovo inverno.
