Le recenti vicende di cyberspionaggio, riprese a gran voce da tutti i media italiani, sembrano aver scosso molto l’opinione pubblica. Forse è la prima volte che trasmissioni come Porta a Porta dedicano una buona parte della puntata al cyber crime ed alla sicurezza informatica. Da un punto di vista tecnico e delle modalità utilizzate, cosa ha questo attacco di così diverso e clamoroso rispetto a tanti altri? La risposta è nulla!
In realtà un elemento differenziante nella vicenda dei fratelli Occhionero c’è ed è la nazionalità di chi controllava la botnet: italiana. Le botnet, ovvero l’insieme di reti costituite da migliaia e miglia di sistemi compromessi e controllati da entità terze, continuano a crescere e moltiplicarsi. L’FBI stima che ogni secondo 18 nuovi computer in tutto il mondo vengono violati per entrare a far parte di una botnet, con oltre 500 milioni di sistemi compromessi in media ogni anno.
E in Italia? Il cyberspace italiano è costantemente in cima alla classifica dei paesi più violati in assoluto, per una serie di ragioni diverse: appetibilità intrinseca delle informazioni legata alla capacità, tutta nostra, di innovare in svariati settori del made in Italy e quindi connessa allo spionaggio industriale; tessuto produttivo fatto da migliaia di piccole imprese, che hanno tipicamente scarsi mezzi e cultura per proteggersi e finiscono per essere un facile bersaglio del cyber crime. Sono proprio le piccole e medie imprese, in qualità di fornitori abituali delle grandi organizzazioni, che spesso costituiscono una facile via di ingresso verso le infrastrutture digitali delle aziende più grandi e della Pubblica Amministrazione. Tale scenario, fatto di migliaia e miglia di computer compromessi all’interno di aziende piccole e grandi, di Enti ed Istituzioni, mi portano a dire che il problema è ben più ampio di un episodio di spionaggio, sebbene avvenuto a danno di personalità illustri e conosciute dal grande pubblico. Parliamo di una infrastruttura digitale sistematicamente e largamente compromessa, sulla quale fa affidamento il tessuto produttivo del nostro paese, ma soprattutto gli essere umani per viaggiare, comunicare, riscaldarsi, divertirsi, insomma per vivere nella società moderna!
Sarà forse arrivato il momento di pensare al cyberspace come un luogo collettivo, che deve essere protetto e salvaguardato nel suo complesso, indipendentemente dalle conoscenze e dalle capacità di ogni singola entità che lo alimenta? In questo il ruolo dei governi è sicuramente importante, ma non sufficiente. A loro spetta creare le condizioni per facilitare l’adozione e l’attuazione delle misure di sicurezza, controllandone l’effettiva applicazione e monitorandone nel tempo l’efficacia. A tutti gli altri spetta il dovere di pensare alla cyber security come un elemento essenziale per la sopravvivenza e lo sviluppo della società moderna, come hanno da tempo capito i Paesi più sviluppati del nostro.
Da dove partire allora? Oltre a modificare le nostre abitudini, ricordandoci che dietro una semplice mail può nascondersi un’organizzazione criminale che intende danneggiare noi o la nostra azienda, dobbiamo cambiare il nostro apparato di protezione. Come ho avuto modo di ribadire in altre circostanze, la prevenzione non è sufficiente. Se lo fosse non sarebbe necessario attendere, nei casi più fortunati, 24 o 36 mesi per accorgersi di avere i propri sistemi compromessi.
Dobbiamo sviluppare quello che gli addetti ai lavori chiamano capacità di “hunting”; letteralmente bisogna diventare “cacciatori”, ovvero andare alla ricerca di evidenze ed elementi sospetti che vanno ben oltre il semplice monitoraggio. Quello che ha fatto il Responsabile della Sicurezza di ENAV nel caso di Eye Pyramid, dovrebbe essere la normalità non l’eccezione. Ciascuna funzione di sicurezza dovrebbe intercettare ed analizzare i segnali che arrivano dagli utenti della propria organizzazione. Ed i segnali non arriveranno se non ricorrendo ad interventi strutturati di formazione e di esercitazioni volte a misure e migliorare la capacità di reazione agli attacchi cyber; l’elemento differenziare sarà inoltre sempre più legato alla capacità di scambiarsi le informazioni (infosharing) tra le diverse community di sicurezza, come ad esempio tra CERT (Computer Emergency Response Team) e investendo in specialisti che abbiamo la concreta capacità di analizzare e comprendere gli attacchi. Non mi riferisco solo agli operatori che osservano qualche allarme sulla console di turno, ma di un’attività costante e sistematica di analisi e comprensione degli eventi, prima che sia troppo tardi. Analisti di sicurezza e “data scientist” che, analizzando ogni giorno il traffico di rete generato dagli utenti e dai sistemi, oltre agli eventi registrati dai sistemi di sicurezza, siano in grado di intercettare quegli indicatori di compromissione che fanno la differenza tra il vedere e l’essere ciechi. Fantascienza? Forse per alcuni potrebbero smembrarla, ma il realtà si tratta solo di comprendere maggiormente il problema e di non credere che investire in prevenzione, in maniera isolata e non coordinata con tutti gli altri, possa metterci al riparo da qualsiasi minaccia cyber.
Nella speranza che prima o poi possiamo considerare, almeno in parte, superata la celebre affermazione fatta qualche anno fa dall’allora direttore dell’FBI Robert Mueller… “Quando parliamo di cyber crime noi dividiamo le organizzazioni in due categorie: quelle che sono state compromesse e quelle che non sanno ancora di esserlo”.
