La sicurezza, sempre più cyber, delle infrastrutture critiche di un Paese è un tema reale, da affrontare su più livelli e che coinvolge il singolo cittadino quanto i vertici governativi, eppure è un tema poco discusso se non da chi si trova a dover gestire il problema. Probabilmente il fatto che non si siano verificati incidenti che, nel caso specifico, avrebbero dimensioni catastrofiche ha fatto sì che la questione sia rimasta un po’ sottotono e poco trattata sui media generalisti, dove tipicamente si parla dell’ultimo sensazionalistico “attacco informatico”.
Sistemi informatici e infrastrutture critiche
Come è ovvio, in nome della sacrosanta efficienza e dell’innovazione, i sistemi a supporto della gestione delle infrastrutture, fondamentali per il funzionamento ordinario e quotidiano di un paese industrializzato, sono informatizzati. Dal controllo del traffico ferroviario alle telecomunicazioni passando per i grandi impianti industriali, esistono interi macrosistemi ed infrastrutture il cui buon funzionamento è strettamente legato allo stato di “salute” dei sistemi informatici che li orchestrano e presidiano.
In questi contesti un Security Incident avrebbe un impatto ben diverso rispetto a ciò che tipicamente leggiamo sui quotidiani quando la cronaca ci racconta di data breach ai danni di una qualsiasi azienda privata, anche di spicco. Sul fronte delle infrastrutture critiche l’impatto è sulla cittadinanza che, nella migliore delle ipotesi, percepirebbe dei disagi, ma se le cose vanno male il rischio è di generare impatti di proporzioni nazionali con disservizi su infrastrutture strategiche da cui dipendiamo, compresi servizi base come la distribuzione elettrica o le comunicazioni con tutto ciò che vi è dietro.
I motivi dietro a un attacco a infrastrutture critiche
Per quale motivo vi dovrebbe essere interesse a colpire un’infrastruttura critica?
Tralasciando i temi complessi e controversi relativi alle nuove forme di conflitto (Cyber Warfare) che richiederebbero un pezzo dedicato per essere analizzati, possiamo affermare che esiste un interesse economico nel condurre un attacco a questo tipo di target. Se una piccola azienda è disposta a pagare migliaia di euro per tornare in possesso dei propri dati criptati, quanto pensate sia disposto a pagare il management di una struttura produttiva o di un ente nazionale per tornare in operatività, qualora si trovassero in un situazione critica? Lo scenario cambia completamente, non si fa più il conto di quanto sarà economicamente oneroso il danno subito ed arrecato in termini di indennizzi, revisioni, ristrutturazioni (comunque doverose) per mettere in sicurezza il sistema e risarcire i propri clienti, il tema assume caratteristiche di urgenza massima e l’attenzione si sposta sul far in modo che l’incidente rientri il più rapidamente possibile.
In questo contesto delicato la criminalità organizzata ha visto nel mondo digitale un’ottima opportunità di business: le revenue legate al mondo del Cyber Crime hanno superato i 1.500 miliardi di dollari nel 2018 e sono ovviamente in crescita. I rapporti che periodicamente vengono presentati e discussi dai vari Osservatori mettono in evidenza come il crimine informatico stia orientando le proprie attenzioni verso specifici obiettivi.
In queste stime emergono dati interessanti che danno un’idea di come il fenomeno si stia muovendo in direzione dei Targeted Attack, ovvero in quella tipologia di attacchi dove il target – la vittima – viene accuratamente scelto in virtù dell’obiettivo in termini di profitto. L’interesse si spinge quindi sempre di più verso target che, in caso di Security Incident, hanno molto da perdere e con elevata capacità di spesa al fine di colpire là dove c’è sensibilità e disponibilità economica.
Il business dello spionaggio delle informazioni sensibili
In particolare circa il 40% di questo “mercato” è legato al tema delle informazioni sensibili e/o riservate, ovvero esiste un interesse economico nel sottrarre informazioni ad enti ed aziende per poi proporle, dietro compenso, a soggetti interessati. Il tema è, in parte, quello dello spionaggio (cyber) e del sabotaggio con scopi estorsivi. All’atto pratico il mondo del crimine organizzato assolda criminali informatici al fine di rubare informazioni sensibili che posso essere utilizzate per perpetrare altri reati ai danni dell’ente vittima. Il fine ultimo non è, di per sé, danneggiare l’ente ma avviare una contrattazione in cui il criminale informatico (o i mandanti) si propone di “risolvere” il problema in cambio di un corrispettivo economico.
Le infrastrutture critiche di un paese industrializzato rientrano in questa categoria di target, è quindi indispensabile presidiarle opportunamente sia dal punto di vista tecnologico che dal punto di vista strategico. Prendersi cura dei sistemi informatici è il requisito minimo per strutturare una strategia di gestione dei rischi cyber, ma non è assolutamente sufficiente. Su questo fronte è necessario mettere in campo skills e risorse verticali su temi come la Cyber Intelligence, è necessario comprendere il contesto in cui si opera, ciò che mi piace definire il “campo di battaglia”, ed è necessario essere consapevoli delle armi a disposizione del “nemico”.
Osservare i meccanismi che regolano questo “mercato”
Il salto culturale deve permetterci di passare da un paradigma di protezione, dove tipicamente ergiamo barriere secondo la nostra sensibilità, ad un paradigma di difesa dove costruiamo una strategia che possa far fronte a situazioni di crisi e che muti in virtù dello specifico contesto e della specifica minaccia. Ovviamente è necessario disporre delle informazioni utili a definire ed attuare una strategia, qualunque essa sia, e si tratta di evidenze “estraibili” da molteplici contesti: i dati prelevabili dai sistemi informatici concorrono sicuramente ad arricchire l’analisi, ma devono essere correlati ad altre informazioni non necessariamente tecniche e che toccano le sfere umane e dei rapporti sociali.
Personalmente ritengo che molto si possa apprendere osservando il fenomeno del Cyber Crime dall’interno, ovvero prendendo in considerazione ed analizzando i meccanismi che regolano questo “mercato” per imparare a riconoscerli o addirittura prevenirli.
Un approccio a 360° alla sicurezza informatica
Non possiamo pensare di affrontare questa sfida semplicemente acquisendo nuova tecnologia: dobbiamo costruire una strategia e far maturare skills specifiche, la tecnologia diventerà lo strumento utile alla strategia di Difesa che si vorrà attuare. Gli anti-malware sono indispensabili ma il modello con cui vengono migliorati, per quanto efficiente, rincorre le nuove minacce. Gli strumenti di identificazione delle minacce sono oggetti superbi, ma si possono aggirare semplicemente prendendo di mira le persone invece dei sistemi.
Il fronte della sicurezza informatica, in generale, non è solo tecnologico, parimenti la strategia di Difesa di un ente strategico deve essere trasversale e a tutti i livelli: parte dallo Smartphone del CEO e arriva a considerare i nuovi inserimenti in stage presso gli uffici amministrativi, le procedure che compongono una strategia di Difesa devono coinvolgere tutto e tutti.
Un approccio a 360° alla sicurezza informatica è utile a prescindere dal contesto di riferimento, ma è evidente che più le dimensioni del target crescono più gli impatti di un Security Incident diventano importanti. Nelle grandi imprese si parla di salvaguardare il business, in contesto di infrastrutture critiche si parla di salvaguardare un Paese.
E’ complesso. E’ energivoro. E’ indispensabile.
