L’attacco ransomware di cui siamo stati testimoni negli ultimi giorni ha messo in luce due dati incontrovertibili.
In Italia abbiamo un sistema rivolto alla gestione della cybersecurity che ha retto, in grado di disinnescare numerose e significative offensive, in particolare là dove sono coinvolti i gangli vitali del sistema-Paese.
Allo stesso tempo tutti noi dobbiamo essere consapevoli del fatto che non possiamo permetterci nemmeno un piccolo passo indietro o una disattenzione, dal momento che i tentativi di infiltrazione nei sistemi delle imprese che gestiscono infrastrutture sensibili, e non solo, sono all’ordine del giorno.
Questa volta, ed è bene sottolinearlo con forza visto il clamore mediatico suscitato dagli eventi recenti, non è successo nulla di particolarmente significativo: nessun sistema di nessuna azienda, pubblica o privata, è stato irrimediabilmente compromesso.
I fatti
Proviamo a ricapitolare i fatti.Venerdì sera il Computer Security Incident Response Team (CSIRT) francese segnala il propagarsi di una serie di operazioni malevole che tentano di sfruttare le vulnerabilità dei server VMware ESXi riscontrate e segnalate anche in Italia nel febbraio 2021, quindi ormai due anni fa.
Ventiquattro ore più tardi l’Agenzia per la Cybersecurity Nazionale, attraverso lo CSIRT Italia, rilancia il medesimo alert alle aziende italiane che, nella quasi totalità dei casi, sono già al riparo da questo tipo di attività criminali, avendo applicato per tempo l’aggiornamento di sicurezza e tamponato la falla in questione.
Ma quali sono state le conseguenze nel concreto? L’operazione di hacking ha determinato la contaminazione di 22 server “scoperti” in Italia, sui quali si poggiano circa 400 aziende. In nessun caso noto, tuttavia, i software malevoli si sono attivati, bloccando i file e chiedendo il riscatto di 42mila euro per la loro “liberazione”. Se si considera che ogni giorno in Italia assistiamo a circa 3 milioni di tentativi di infrazione, quella di questi giorni può essere derubricata come ordinaria amministrazione se la si legge dal punto di vista di chi si occupa quotidianamente di proteggere i processi e i dati in mano alle grandi aziende, pubbliche o private che siano, che gestiscono le infrastrutture e i servizi strategici del Paese: dall’energia, alla sanità, dalle infrastrutture alle telecomunicazioni.
Il cortocircuito mediatico intorno all’attacco
Eppure questa volta è scattato un meccanismo di rincorsa alla notizia che ha fatto deflagrare una bomba comunicativa volta a presentare il nostro come un Paese sotto attacco cibernetico. Da più parti si è persino ipotizzato il coinvolgimento di Stati esteri, ma questa, come molte altre fughe in avanti sono state ridimensionate prima dagli esperti, compresi noi di Aipsa, sia in seconda battuta dal governo.
Da questo cortocircuito mediatico e comunicativo, tuttavia, qualcosa di buono è scaturito. In primo luogo i media generalisti sono stati costretti ad approfondire la tematica della cybersecurity, offrendo ai cittadini comuni uno spaccato del mondo che noi viviamo quotidianamente.
Dall’altro ha costretto la politica ad analizzare il sistema attuale della difesa cibernetica del Paese e, si spera, a comprendere la necessità di un suo rafforzamento.
L’intervento tempestivo dell’ACN
Quotidianamente, infatti, i gruppi di cyber criminali sparsi in tutto il mondo si adoperano per scandagliare il web a caccia di sistemi informativi fallaci o comunque non perfettamente aggiornati. Altrettanto, ma con ben altri scopi, fa l’Agenzia per la Cybersecurity Nazionale che provvede a segnalare tempestivamente alle aziende le eventuali fragilità, indicando i rimedi.
Una collaborazione tanto più efficace quanto rapide e puntuali sono le comunicazioni tra il “centro”, l’ACN, e la periferia, le imprese. Nel caso di cui si parla in questi giorni, questa comunicazione è stata tempestiva: l’avviso di sabato sera ha permesso anche a chi non aveva applicato la patch ai server VMware ESXi di intervenire e fare in modo che i software malevoli non si attivassero e che nessun servizio o sistema risultasse gravemente compromesso.
Questo modus operandi da parte del mondo istituzionale e produttivo del Paese lo abbiamo sviluppato negli ultimi due anni, da quando è nata l’Agenzia Nazionale e lo stiamo migliorando giorno dopo giorno. Un mese fa, ad esempio, è entrata in vigore la nuova tassonomia che classifica gli incidenti ai danni dei sistemi informativi delle imprese private e pubbliche, inserite nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), imponendo a queste ultime di comunicarli alla stessa ACN entro 72 ore dall’evento. Tutti tasselli che vanno a rafforzare la nostra rete di protezione.
Una rete di protezione che va ampliata
Che però deve essere ampliata.
Il sistema produttivo italiano è composto da lunghe filiere integrate che spesso operano in veri e propri distretti. Filiere che comprendono grandi aziende, a volte persino quotate, ma anche piccole e medie imprese fornitrici di componenti o servizi. Realtà, queste ultime, che oggi non sono tutte adeguatamente attrezzate per rispondere a questo tipo di minacce e finiscono pertanto per rappresentare una criticità nel sistema.
I numeri sono tutt’altro che trascurabili. Secondo l’ultimo rapporto curato da Confindustria Unicredit, sul nostro territorio operano circa 160mila PMI, aziende italiane, che impiegano tra i 10 e i 249 dipendenti e generano un valore aggiunto pari a 204 miliardi di euro l’anno.
A queste si aggiungono circa 90mila micro imprese che operano in settori strategici dell’economia nazionale o si trovano all’interno di una filiera complessa nei comparti dell’energia, della logistica, della cooperazione internazionale. Tutte realtà che oggi sono sprovviste per la quasi totalità di figure preposte alla predisposizione di piani di sicurezza contro le minacce cyber.
Eppure, se consideriamo il modo con cui i gruppi criminali operano, monitorando il web palmo a palmo in cerca di spiragli nei quali infiltrarsi, comprendiamo come sia necessario alzare anche lì il livello di guardia.
Certo, dotarsi di un security manager per una piccola impresa diventa un costo, ma è un costo che si auto compensa. Perché nel momento in cui un server viene “sequestrato” da un gruppo di cyber criminali, la spesa per “liberarlo” supera esponenzialmente l’impegno economico in prevenzione.
Conclusioni
Una soluzione potrebbe arrivare, in questo senso, dai 623 milioni di euro previsti dal Pnrr per finanziare il rafforzamento delle difese cyber. Anche se, di questi fondi, 301 milioni sono già destinati alla Pubblica amministrazione, mentre 150 milioni alle Istituzioni nazionali (Ministero degli Interni, Consiglio di Stato, ecc). Prevedere, però, una linea di credito che consenta anche alle imprese private, a cominciare da quelle inserite nelle filiere strategiche, di consolidare le proprie difese cibernetiche, sarebbe un’operazione lungimirante. Così come rendere obbligatoria, progressivamente, la presenza di un responsabile della security in azienda. Proprio come accade oggi per l’Rspp, il Responsabile del Servizio di Prevenzione e Protezione, il Dpo, Data Protecion Officer o il Dirigente preposto alla certificazione dei bilanci.
Tutto questo nella consapevolezza che il rischio zero non esiste, è un’utopia. Ma, come diceva Eduardo Galeano: “L’utopia è là nell’orizzonte. Mi avvicino di due passi e lei si distanzia di due passi. Cammino 10 passi e l’orizzonte corre 10 passi. Per tanto che cammini non la raggiungerò mai. A che serve l’utopia? Serve per questo: perché io non smetta mai di camminare”.