Il recente cyber attacco compiuto dal gruppo Hive a Rete Ferroviaria Italiana (RFI) – un’azienda pubblica in forma di società per azioni con funzione di gestore dell’infrastruttura ferroviaria nazionale, partecipata al 100% da Ferrovie dello Stato Italiane – ha mostrato assai bene come la consapevolezza delle minacce cibernetiche sia ancora sostanzialmente sottovalutata nel nostro Paese.
Le aziende italiane si preparino alla cyber warfare: ecco come
L’aspetto paradossale della vicenda RFI
Nella vicenda RFI colpisce non tanto l’attacco in sé, seppur portato a un’infrastruttura critica di rilevanza nazionale, quanto piuttosto le modalità successive mediante le quali sono state divulgate, sul social network Twitch, da parte di un probabile dipendente RFI, le credenziali di accesso al backend del data leak site, la piattaforma dove si sarebbero dovute svolgere le eventuali negoziazioni tra RFI e i cybercriminali di Hive. Tale situazione ha portato al raddoppio del riscatto richiesto (da 5 a 10 milioni di euro) nonché alla messa alla berlina, su tutti i canali social, dell’operato di RFI.
Al di là delle vicende specifiche di quanto accaduto, sulle quali gli organi competenti dovranno svolgere tutti gli approfondimenti necessari, quello che si vuole qui rilevare è l’aspetto paradossale della vicenda in relazione alla scarsissima cyber security awareness dei dipendenti degli enti pubblici; situazione, peraltro, palesatasi anche in altri precedenti data breaches a livello nazionale (Regione Lazio, SIAE, ecc.).
Questo evento costituisce solo l’ultimo, in ordine di tempo, dei continui e frequenti attacchi delle cyber gang criminali alla Pubblica amministrazione (PA), intesa in senso lato, che si sono succeduti da marzo 2020 in avanti, anche a seguito dell’avvento della pandemia da Covid-19. L’incidenza che la crisi sanitaria ha avuto sulle difese cibernetiche degli enti pubblici è indiscutibile: essa ha comportato l’utilizzo sempre più pervasivo dei dispositivi collegati alla rete, in primis gli smartphone, dispositivi sempre più pervasivi ed ubiqui, i quali hanno enormemente esteso il perimetro di sicurezza informatico. Tale situazione ha evidenziato, pertanto, tutte le debolezze e le vulnerabilità del Paese in termini di cultura della cyber security awareness.
Oggigiorno, la consapevolezza e la percezione da parte delle aziende, degli enti pubblici e dei cittadini in generale dei cyber risks, dopo l’avvento della pandemia è costantemente in crescita, ma ha evidenziato tutte le carenze di natura formativa, a livello generale, degli strumenti di prevenzione alla cyber security. L’istituzione della neonata Agenzia Nazionale sulla Cybersecurity (ACN), con la Legge 4 agosto 2021 n. 109, testimonia come l’attenzione su queste tematiche sia massima da parte del legislatore, anche se mette in evidenza come il sistema dell’istruzione pubblica italiana sia molto carente in termini di cyber igiene diffusa, a partire dalle scuole primarie, dove i fenomeni di cyber bullismo dominano la scena nazionale.
Oggi termini come insider threats (minacce interne), phishing, ransomware, malware, supply chain attacks (attacchi alla catena dei fornitori) sono concetti sostanzialmente sconosciuti sia agli alunni delle scuole italiane sia alla stragrande maggioranza dei dipendenti pubblici, mentre nelle aziende private la situazione sembra essere leggermente migliore grazie ai crescenti investimenti nell’attività formativa dei dipendenti.
Competenze digitali, le “colpe” della scuola e le conseguenze
Da questo punto di vista, il sistema scolastico, a partire dalle scuole primarie, non investe pienamente nella cultura della sicurezza creando un gap in termini di digital divide in ambito informatico. Ciò lo si vede anche dalla lettura dei dati dell’indice Digital Economy and Society Index (DESI) in termini di competenze digitali dove nonostante i recenti progressi sin qui compiuti è proprio la prima componente, relativa al “Capitale umano”, quella che fa registrare la peggiore performance dell’Italia, a livello europeo.
Se si esamina in dettaglio, difatti, la dimensione del “Capitale umano”, in base agli indicatori, di cui esso è composto, si vede che solo il 42% degli italiani, tra i 16 e i 74 anni, possiede perlomeno competenze digitali di base (il dato medio nella UE è del 56%). Lo stesso divario si ripropone per quanto riguarda le competenze digitali superiori a quelle di base che in Italia fanno registrare un valore del 22% rispetto al 31% della UE. La percentuale di italiani in possesso perlomeno di competenze di base in materia di software è del 45% (58% il dato medio UE) mentre la percentuale di specialisti ICT è pari al 3,6% dell’occupazione totale di fronte a una media UE del 4,3%. Un divario minore è, invece, quello fatto registrare per la percentuale femminile di specialisti ICT 16% vs. 19%) mentre per quel che concerne i laureati italiani che hanno scelto discipline ICT essi costituiscono l’1,3% rispetto a una media UE del 3,9%. In ultimo, solo il 15% delle imprese italiane eroga ai propri dipendenti dei corsi di formazione continua, in materia di ICT, vale a dire cinque punti percentuali al di sotto della media UE (20%).
Ed è proprio su questa carente formazione informatica di base, sia nelle scuole sia nelle imprese e negli enti pubblici, che si innestano i principali rischi cibernetici che hanno sin qui afflitto la PA italiana stante un processo di non facile implementazione della cyber security awareness training, non solo in termini di risorse allocate, quanto piuttosto in termini di tempi di apprendimento non facilmente comprimibili. Del resto, le nuove generazioni, ma anche i più esperenziati travet, non hanno piena consapevolezza di quali vulnerabilità si possano produrre con l’utilizzo del proprio device, in termini di accesso alla rete e hanno poca contezza del rischio di tracciabilità mediante gli identificativi che lo stesso dispositivo genera (MAC address, indirizzo IP, ecc.).
Dipendenti, vero anello debole
Gli attacchi cibernetici che si sono sin qui verificati hanno mostrato, pertanto, sin troppo bene, quanto tutte le organizzazioni siano vulnerabili a qualsivoglia tipologia di cyber attack e il ruolo che possono giocare, in tali eventi, i dipendenti. Questi ultimi, difatti, possono utilizzare il proprio accesso autorizzato a strutture, persone o informazioni per danneggiare la propria organizzazione, intenzionalmente o meno. Il danno può variare da comportamenti connotati da negligenza, come la mancata protezione dei dati o il clic su un collegamento di spear-phishing, ad attività consapevolmente dannose come il sabotaggio, il furto della proprietà intellettuale, la frode sul posto di lavoro, ecc.. Proprio per questa ragione, la potenziale vulnerabilità apportata dal fattore umano è divenuta, pertanto, un elemento significativo, nell’attuale panorama delle minacce cibernetiche e, da un punto di vista organizzativo e gestionale, un problema correlato è divenuto quello di come incorporare tali vettori di minacce nei piani di gestione del rischio organizzativo, al fine della mitigazione delle stesse.
Conclusioni
In definitiva, per quel che concerne la cyber igiene diffusa nel corpo sociale, sarebbe opportuno che il sistema scolastico iniziasse a educare le nuove generazioni a sessioni formative, a partire dalle scuole primarie, con appositi awareness training in ambito normativo (rendere edotte le nuove generazioni di quali sono i rischi legati ai cosiddetti computer’s crimes con approfondimenti sulla Legge 48/2008 che disciplina i reati informatici) e tecnologico (ad esempio, mediante l’approfondimento del NIST Cyber security framework e lo standard ISO 27001, considerati i global cyber security standard).
Per quel che riguarda, invece, la PA italiana, grazie anche alle risorse messe a disposizione dal Piano Nazionale di Ripresa e Resilienza (PNRR), si auspica che i primi passi che pur si stanno compiendo in tal senso possano agire sia sul re-skilling che sull’up-skilling della forza di lavoro pubblico. Bisogna partire, difatti, dal dato di partenza connotato dalla carenza diffusa di competenze IT, come testimoniata anche dal DESI, per implementare delle pervasive attività formative in campo pubblico al fine di rendere la PA nazionale meno vulnerabile al cyber risk e ai susseguenti danni reali e reputazionali, assai notevoli per tutto il sistema pubblico.
Molti dei cyber attacchi, difatti, sono derivati o facilitati da errori umani per mancata e scarsa formazione del dipendente pubblico nella tematica della cyber security awareness. Ciò è ancor più vero nella tuttora perdurante situazione pandemica, sperabilmente in via di progressiva risoluzione, in cui bisogna tener presente anche altri aspetti quali quelli psico-sociologici, ad esempio quelli a cui è stata sottoposta finora la forza lavoro pubblica per l’utilizzo massivo dello smart working remotizzato.
*Le opinioni qui espresse non coinvolgono quelle dei rispettivi enti di appartenenza. ↑
