Il 2021 che ci ha appena lasciati è stato un anno particolare e complicato sotto tanti punti di vista, non escluso quello della cybersecurity. Ovviamente il perdurare della pandemia ha continuato a mettere a dura prova la società a tutti i livelli, dalle strutture produttive alle famiglie: e di questa situazione hanno approfittato le organizzazioni criminali che, seguendo una dinamica perfettamente darwiniana, sono sempre pronte a sfruttare con rapidità ed efficacia tutte le occasioni propizie che espongono le debolezze e aumentano le vulnerabilità delle proprie vittime potenziali.
Quali esperienze ci porteremo dunque a casa da questo 2021, e quali saranno i punti chiave che caratterizzeranno il 2022 sul fronte del contrasto alla minaccia cibernetica? Proviamo a fare brevemente il punto in questa rapida carrellata di inizio anno.
La crescente minaccia alla sanità
Sul fronte della minaccia l’anno passato ha visto essenzialmente confermarsi le previsioni dell’anno precedente, con un inasprimento degli attacchi condotti soprattutto mediante ransomware e diretti principalmente verso la sanità, che è oramai la vittima preferita, e in generale la pubblica amministrazione. Che la sanità sia il bersaglio perfetto per questo tipo di minaccia tutti gli esperti lo vanno dicendo da anni, ma solo di recente la cosa sembra essere stata compresa anche dal grande pubblico, grazie ad alcuni eventi dall’ampia portata mediatica. In tutti i rapporti Clusit degli ultimi anni, ad esempio, veniva evidenziato come la tendenza degli attacchi fosse in crescita soprattutto nei riguardi del settore pubblico e della sanità, molto più che verso altri tipi di obiettivi. Il motivo è semplice, e si basa su tre aspetti concomitanti.
In primo luogo, la sanità ha fortissima la cultura della safety (salvaguardia dell’incolumità delle persone) ma non quella della security (protezione degli asset materiali), e anzi la seconda viene spesso vista come ostacolo al conseguimento della prima. Ma soprattutto, essendo un settore benefico e non avendo fine di lucro, non si aspetta di essere vittima di attacchi deliberati: e di conseguenza non possiede nel proprio DNA tutti quegli strumenti culturali e organizzativi necessari a prevenirli e contrastarli.
In secondo luogo, la sanità è frequentemente caratterizzata dalla presenza di tecnologie IT obsolete: ciò sia per la cronica mancanza di fondi di cui soffre, sia per vere e proprie esigenze tecnologiche. I sistemi IT elettromedicali, infatti, non possono essere aggiornati impunemente, perché perdono la certificazione; e la necessità di rendere visibile “tutto a tutti” fa spesso optare per architetture di rete “piatte” con limitata segmentazione. Inoltre, se non soprattutto, permane ancora nel settore un certo atteggiamento culturale che vede l’informatica come un necessario ma fastidioso supporto all’operatività, di tipo “impiantistico” e di basso livello, e non come uno strumento strategico: e così le poche risorse economiche disponibili alla struttura vengono generalmente dirottate verso acquisti di beni e servizi “primari”, afferenti all’operatività clinica, e quasi mai indirizzate verso il potenziamento delle strutture o del personale IT che vengono considerati meno importanti e soprattutto meno critici. Un direttore generale o un direttore sanitario, tanto per esemplificare, sono perfettamente in grado di valutare in termini di rapporto costo-benefici l’acquisto di un nuovo ecografo, ma non altrettanto quello di un nuovo firewall: e questo bias culturale penalizza ovviamente gli investimenti in cybersecurity.
In terzo e ultimo luogo la sanità è fra tutti i possibili bersagli, quello che ha più da perdere, e dunque è potenzialmente più sensibile di altri alla coercizione del ricatto. In qualsiasi altro settore produttivo, infatti, le possibili perdite a seguito di un blocco dei sistemi si misurano quasi esclusivamente sul piano dei mancati ricavi, il che consente di fare ad esempio delle valutazioni costi-benefici in termini puramente di bilancio economico. Nel caso della sanità invece le possibili perdite riguardano la salute e anche la vita stessa delle persone assistite, che sono valori superiori ed incommensurabili rispetto ad ogni valutazione economica.
La combinazione di questi tre fattori fa sì che la sanità risulti intrinsecamente vulnerabile ad attacchi odiosi e vigliacchi come quelli dei ransomware, e costituisca quindi la vittima ideale per le organizzazioni criminali che sono, per definizione, spietate e orientate ad ottenere il massimo profitto col minimo sforzo. Di questo oramai gli attaccanti si sono resi conto benissimo, mentre le potenziali vittime ancora si crogiolano in un falso senso di sicurezza dato dall’errata convinzione di non costituire un bersaglio appetibile per le organizzazioni criminali.
L’attacco alla Regione Lazio, un attacco allo Stato
L’episodio più clamoroso del 2021 da questo punto di vista è stato senza dubbio l’attacco ransomware condotto ai danni della Regione Lazio, che ai primi di agosto ha bloccato l’operatività di molti servizi primari erogati in ambito sanitario, in un momento oltretutto assai critico per via dello stato di gestione emergenziale della pandemia e della campagna di vaccinazione. Fortunatamente, e grazie anche alla competenza tecnica del team di risposta, l’attacco non è andato completamente a buon fine e la Regione ha potuto ripristinare i propri servizi recuperando i relativi dati senza dover pagare alcun riscatto; ma i disservizi causati sia dall’attacco in sé che dalla complessità e laboriosità delle procedure di bonifica e ripristino sono perdurati a lungo, ed hanno provocato parecchi disagi alla popolazione laziale.
Al di là delle modalità dell’attacco in sé, che sono state piuttosto sofisticate in quanto il ransomware è stato inoculato manualmente sui sistemi durante un’intrusione notturna, e al di là anche dell’analisi delle possibili concause e responsabilità che hanno consentito l’attacco, che verranno accertate dalle diverse inchieste in corso, il punto forse più interessante da considerare riguarda proprio il concetto stesso che ha guidato l’attacco. È chiaro, infatti, che la Regione Lazio, così come qualsiasi altra Amministrazione, non ha né i fondi né le possibilità materiali di pagare un riscatto milionario ad un’organizzazione criminale: è quantomeno impossibile inserire a bilancio una partita del genere, per non parlare di altri aspetti di dubbia liceità. Quindi, senza pure voler scomodare il terrorismo, come assai inopportunamente ha fatto in quei giorni il Presidente della Regione Lazio in alcune sue dichiarazioni pubbliche, è chiaro che l’attacco era in realtà diretto allo Stato, in quanto unico soggetto in grado eventualmente di pagare il riscatto.
Si è quindi si è trattato di un atto particolarmente sfrontato, che ha, per così dire, alzato l’asticella a livelli mai toccati in precedenza. Un po’ come quando viene rapito qualche cooperante di qualche ONG in un Paese del terzo mondo, dove il reale destinatario della minaccia estorsiva non è certo la ONG né la famiglia del rapito, che non possono pagare l’importo del riscatto, ma è lo Stato cui appartiene il cooperante rapito, che può intervenire copertamente mediante i fondi riservati di cui alcune strutture istituzionalmente dispongono.
Il caso della Regione Lazio non è stato l’unico, anzi il 2021 ha visto un enorme incremento di attacchi ransomware condotti verso aziende e organizzazioni di tutti i tipi, soprattutto nel settore pubblico: ma è stato certamente il più eclatante, ha galvanizzato l’attenzione dei media e del pubblico per giorni e giorni, ed è diventato già un caso di scuola per quanto riguarda le cause che lo hanno consentito e soprattutto le modalità, invero assai lacunose, di gestione della crisi da parte della Regione.
Ancorché finito relativamente bene è stato un brutto incidente, e come tutti i brutti incidenti va studiato ed analizzato per imparare dagli errori e cercare di non ripeterli in futuro. In particolare, le organizzazioni dovranno adottare procedure di gestione delle crisi che contemplino anche il caso di attacco ransomware, che finora era stato grossolanamente sottovalutato come “improbabile” ma oramai è diventato un evento così frequente e diffuso da non poter più essere escluso a priori dal novero dei possibili disastri.
Log4j
Log4j è un altro brutto episodio che ha funestato il 2021 proprio verso il suo termine, e purtroppo i suoi effetti si propagheranno anche nel 2022 e forse più in là. È una situazione differente ma anch’essa un classico, già verificatosi più volte in passato anche se non a questi livelli di gravità.
Il problema in questo caso sta nella modalità estesa e disinvolta con cui al giorno d’oggi si impiegano nei propri prodotti software dei “mattoni” sviluppati da altri, seguendo il concetto dei “software components” (che spesso sono delle “black box”) tanto osannato nello scorso decennio. Ovviamente nessuno vuole reinventare la ruota, quindi il concetto di riuso di software altrui, meglio se sotto forma di librerie chiuse ed autoconsistenti, è sano ed efficace; il problema sorge tuttavia quando questo riutilizzo avviene in forma incontrollata e soprattutto in modo acritico, dando per scontato (senza tuttavia sincerarsene) che quella particolare libreria, ancorché comoda da usare e disponibile gratuitamente, sia anche davvero adatta allo scopo e soprattutto priva di difetti sia funzionali che soprattutto di sicurezza.
Il software open source e i problemi del riuso incontrollato
Purtroppo, la grande disponibilità di software open source o comunque libero e/o aperto non equivale necessariamente a poter disporre di software di qualità e robustezza industriali: molto spesso, invece, le librerie che si trovano nel pubblico sono scritte per i propri scopi personali da singoli programmatori, che per quanto esperti e in buona fede rilasciano software amatoriale e non prodotti “bullet-proof”. Purtroppo però questi pezzi di codice finiscono poi per essere inconsapevolmente inseriti in sistemi “mission critical”, sia per pigrizia del relativo sviluppatore finale che per mal riposta fiducia nelle capacità dello sviluppatore iniziale e soprattutto nella comunità del software aperto: il concetto di fondo, purtroppo errato, è che se un pezzo di codice è “disponibile a tutti” è anche stato automaticamente “controllato da tutti” e quindi non nasconde bug o errori; la triste realtà è invece che tutti fanno questo ragionamento e quindi nessuno ha mai davvero verificato quel codice tranne il suo sviluppatore/manutentore, che tuttavia non può fornire questa garanzia.
Così, tanto più una libreria si diffonde, tanto più si rischia di ritrovarla inserita, all’insaputa di tutti, all’interno di sistemi sempre più critici, impiegati in molteplici ambiti e spesso su scala mondiale. E il giorno in cui si dovesse scoprire che quella libreria ha un bug o una vulnerabilità di sicurezza, tutti i sistemi che la impiegano diventerebbero automaticamente vulnerabili: laddove il vero problema, prima ancora del patching, è riuscire a capire quali sistemi la impiegano, che non è affatto banale.
Un film analogo a quello di Log4j si era visto qualche anno fa con le famose librerie OpnSSL, usate da praticamente qualsiasi pezzo di software che si collega on-line per attivare una sessione sicura, e all’improvviso riconosciute come affette da un grave bug di sicurezza; e si scoprì che, nonostante fossero impiegate in sistemi mission-critical, erano sviluppate da tre oscuri volontari che ovviamente non lo facevano per mestiere e quindi non potevano garantirne la perfezione assoluta.
Il caso di Log4j è analogo ma assi peggiore: trattandosi di una libreria per Java che automatizza le funzioni di logging, e dato che qualsiasi applicazione ha necessità di effettuare almeno un minino di logging, col passare degli anni è diventata lo standard de facto adoperata da qualsiasi sviluppatore, e dunque è finita dentro un numero inverosimile di applicazioni anche embedded. Ora si è scoperto (o meglio ri-scoperto, dato che la cosa era emersa tempo prima ma per qualche strano motivo poi non se ne era più parlato…) che inviando alla libreria Log4j un testo da loggare che in realtà ha la sintassi di un comando lecito, la libreria lo esegue! Questo significa che, al netto di qualche fattore di mitigazione dato dal contesto, praticamente tutte le applicazioni Java in circolazione possono trasformarsi in backdoor alla portata dei malintenzionati: un disastro di portata mondiale. E naturalmente il problema è che non si sa quali e quante applicazioni problematiche ci sono in circolazione, il che rende la correzione del problema un vero incubo.
Una “disciplina” per lo sviluppo del software
Si comincia così a discutere nuovamente di “disciplina” nello sviluppo del software e nella gestione delle librerie, un tema periodicamente già affrontato più volte nel corso degli anni (se ne parlava ai tempi in cui Unix System V introdusse le “share libraries”, di cui le DLL di Windows sono una versione ancora più nefasta) ma mai definitivamente risolto in modo accettabile. Già sarebbe tanto disporre di una “lista dei materiali” impiegati in modalità riuso dai prodotti finali, la cosiddetta SBOM (Software Bill of Materials) di cui oggigiorno si parla tanto: almeno si saprebbe dove andare a mettere le mani in caso di problemi. Ma, a meno di imporre standard rigorosi per lo sviluppo del software con controllo da parte dei sistemi operativi a tempo di installazione, da questo problema non se ne uscirà tanto presto. Purtroppo però il tempo è proprio quello che non abbiamo a disposizione, perché ogni giorno che passa si producono tonnellate di nuove applicazioni basate su librerie di terze e quarte parti che, oggi o domani, potrebbero rivelare vulnerabilità inattese. E saremmo di nuovo da capo.
Agenzia e Perimetro: le iniziative di contrasto alle minacce cyber
Anche sul fronte del contrasto alla minaccia, e dunque delle attività dei “buoni”, il 2021 è stato un anno importante, ancorché di transizione. Sono infatti nate, o si sono consolidate, importanti iniziative finalizzate a mettere a fattor comune le competenze, le energie, le strutture e le procedure di prevenzione e contrasto presenti nel nostro Paese, al fine di organizzare una difesa più efficace assicurando un miglior coordinamento tra tutti gli attori coinvolti.
Da un lato infatti è stato portato avanti dal Governo il complesso iter legislativo di finalizzazione del cosiddetto Perimetro di sicurezza nazionale cibernetica, che come noto rappresenta il complemento, tutto italiano, alla Direttiva NIS europea. Il Perimetro, infatti, si rivolge a quegli operatori che forniscono prodotti o servizi critici per il funzionamento dello Stato, ma che non essendo rubricati come Operatori di Servizi Essenziali (ex “infrastrutture critiche”) non ricadono nelle maglie della Direttiva NIS, imponendo loro tutta una serie di misure di sicurezza e di procedure operative finalizzate ad innalzarne il livello di prevenzione e risposta di eventuali attacchi cibernetici.
Dall’altro lato l’Italia si è dotata di una struttura unitaria di vertice, l’Agenzia per la cybersicurezza nazionale, che avrà lo scopo di raccogliere in un unico soggetto tutte le competenze e le responsabilità che insistono sul complesso tema della cybersecurity nazionale e che ad oggi erano frammentate e sparpagliate in tanti Ministeri o Agenzie differenti. La nuova Agenzia diventa così l’unico interlocutore di tutti i soggetti, pubblici e privati, per le questioni di sicurezza cibernetica, e l’unico ente intitolato ad emettere normative tecniche e linee guida, ad effettuare il monitoraggio della situazione, a raccogliere gli incidenti, a svolgere attività di vigilanza e controllo. Per fare ciò eredita innanzitutto l’intera struttura di sicurezza cibernetica esistente, che dal 2017 col cosiddetto “Decreto Gentiloni” era stata posta nel comparto intelligence all’interno del DIS, compreso lo CSIRT Italiano; è dotata inoltre una pianta organica imponente, che prevede circa trecento risorse per il 2022 che dovrebbero arrivare a ottocento nel 2025, oltretutto inquadrate col medesimo trattamento previsto dal contratto di Banca d’Italia per ovviare alla scarsa attrattività dei contratti pubblici nei confronti dei talenti presenti nel settore privato.
Sia il Perimetro che l’Agenzia sono il risultato di un grande sforzo da parte del nostro Governo, che ha dimostrato di voler prendere molto sul serio la questione della sicurezza cibernetica. Per entrambe le strutture l’iter costitutivo iniziale è concluso ma rimangono da emanare alcuni decreti attuativi, che stabiliranno le modalità operative di ciascuna: il Covid ha purtroppo rallentato i lavori, soprattutto per quanto riguarda il Perimetro, ma oramai tutto dovrebbe essere in dirittura d’arrivo e si prevede che entrambe le strutture potranno raggiungere la piena operatività nei primi mesi del 2022.
La Direttiva NIS2
Anche l’Europa non è stata con le mani in mano durante il 2021. È infatti stata sviluppata compiutamente a Bruxelles la nuova versione della Direttiva NIS, chiamata con poca fantasia NIS2, che, annunciata proprio a Natale 2020, è oramai pronta ad entrare in esercizio una volta che sarà compiuto l’iter legislativo di approvazione da parte del Parlamento e del Consiglio europei.
La NIS2 innalzerà di molto quanto già stabilito dalla pioneristica Direttiva NIS del 2018, costruendo proprio sull’esperienza maturata in questi tre anni dagli Stati Membri. In particolare gli aspetti più rilevanti riguardano l’estensione dei requisiti di protezione a tutti i settori, quindi non più ai soli Operatori di Servizi Essenziali ma ad un novero assai più ampio di imprese e organizzazioni, tra cui tutta la Pubblica Amministrazione; e la scomparsa degli elenchi di Operatori individuati come tali da apposite Autorità, sostituito da un’applicazione generale per cui tutte le imprese e le organizzazioni di determinate dimensioni o caratteristiche saranno automaticamente soggette alla norma, come già adesso accade ad esempio per il GDPR.
L’anno che verrà
Ogni anno, di questi tempi, ci auguriamo che l’anno che sta iniziando sia migliore di quello che ci siamo lasciati dietro le spalle: è nella natura umana, e spesso è solo un atteggiamento scaramantico. Questa volta invece, almeno per quanto riguarda la sicurezza cibernetica, sembra di poter dire che all’anno nuovo è affidato solo il compito di portare a compimento, e mandare in esercizio, iniziative che hanno trovato la loro genesi nel 2021, con tutte le difficoltà che quest’anno ha avuto.
Naturalmente il solo augurio non basta, ma serve tanto impegno da parte di tutti. La sfida, infatti, non è solo portare a regime strutture burocratiche ma riuscire a far penetrare nel tessuto sociale la cultura della sicurezza, e la sensibilità di quanto sia importante il comportamento di ciascuno per il bene di tutti. Forse il 2021, coi suoi eventi shock, ha davvero contribuito a creare una prima scintilla di questo atteggiamento: molte Pubbliche Amministrazioni, infatti, che prima erano apatiche e scettiche di fronte al problema, hanno cominciato seriamente a chiedersi “cosa farei se succedesse a me?”. Speriamo che la nuova Agenzia riesca anche a contribuire alla formazione di una vera cultura nazionale della sicurezza: sarebbe il miglior regalo che questo 2022 potrebbe portarci.
