Il recente attacco “hacker” alle pec ha riproposto l’importanza e l’urgenza di proteggere in maniera adeguata le informazioni del cyberspazio e ha messo in luce alcune criticità del sistema su cui è opportuno riflettere. Se, infatti, il sistema nazionale coordinato da NSC ha saputo rispondere prontamente e in modo adeguato, tuttavia emerge la necessità di sollecitare ogni organizzazione del Paese a mettere in atto le misure adeguate ad aumentare il grado di sicurezza sia in termini tecnologici ma soprattutto in termini di procedure e condivisione delle informazioni nelle sedi opportune.
Vittime e reazioni
Ricordiamo che sono state 500 mila caselle Pec, di cui circa 98000 della PA centrale. Le vittime dell’attacco sono state principalmente organizzazioni facenti capo al Comitato Interministeriale per la Sicurezza della Repubblica (CISR), ovvero: Presidenza del Consiglio, Ministero degli Esteri, Difesa, Interno, Economia e Finanze, Sviluppo Economico, Giustizia. In particolare, quest’ultima ha subito gravi disservizi.
Il Dipartimento delle informazioni per la sicurezza (DIS) ha agito egregiamente intervenendo appena è stato informato e coordinando gli interventi degli attori istituzionali come previsto dalla normativa vigente.
La Polizia Postale ha dimostrato capacità di intervento rapido ed è stata così neutralizzata la minaccia.
Il conto dei danni e l’analisi a posteriori dell’accaduto sono in corso, mentre è stato il DIS a scegliere di diffondere il minimo di informazioni sull’accaduto. Credo che la scelta della nostra intelligence vada rispettata, non siamo in grado di conoscerne le motivazioni ma è corretto che siano le strutture di coordinamento preposte a rispondere alle minacce a decidere cosa è meglio fare sulla base delle informazioni e considerazioni in loro possesso.
Non è stato diffuso ufficialmente il nome dell’operatore PEC che ha subito l’attacco, per quanto fonti di stampa e perfino un comunicato di un operatore (TrustTechnologies, gruppo TIM) ci hanno informato essere TIM – Telecom Italia nel suo datacenter di Pomezia.
Dunque, al di là del caso specifico che ci aiuta a comprendere il processo (ancorché sulla base di informazioni frammentarie), possiamo fare solo considerazioni generali soggette a possibili errori e omissioni in ragione della frammentarietà delle informazioni trapelate.
Una ricostruzione dell’attacco
Ricostruendo l’episodio si evince che il 10 novembre l’attaccante, uno Stato estero presumibilmente stando alle informazioni diramate dall’autorità, ha cominciato le operazioni di ricognizione sull’operatore PEC. Due giorni dopo – il 12 novembre alle 17 circa – Telecom è stata attaccata e, dopo aver fatto i primi interventi ed analisi, il giorno dopo, il 13, ha inviato l’informazione al CNAIPIC – Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche della Polizia Postale. A questo punto il CNAIPIC ha valutato che l’incidente poteva avere rilevanza dal punto di vista della sicurezza nazionale e ha segnalato il fatto al Nucleo per la Sicurezza Cibernetica (NSC), presieduto dal vicedirettore del DIS Roberto Baldoni con delega sulla cyber, al quale fanno capo anche AISE, AISI, i ministeri CISR, Protezione Civile, AgID e il consigliere militare del presidente del Consiglio.
A seguito della segnalazione della Polizia Postale (CNAIPIC) al NSC, quest’ultimo ha emanato l’allerta e messo in atto le prime contromisure sistemiche a protezione dei soggetti coinvolti fino ad arrivare il giorno 14 al blocco dei tribunali. Sempre il 14 novembre alle 16.00, il Presidente del Consiglio veniva informato dal NSC e venivano attuate le contromisure volte a contenere il danno, disinnescare le minacce, effettuare una ricognizione sui danni provocati sino a quel momento.
Nei giorni immediatamente seguenti fino a tutto il 19 novembre, NSC procedeva a valutare in maggior dettaglio le dinamiche e le possibili informazioni trafugate: da quanto è stato riportato pare che si sia trattato perlopiù di furto di identità PEC.
I rischi dei ritardi nella segnalazione
Ricostruiti per quanto possibile i fatti, sulla base delle fonti giornalistiche disponibili è possibile notare che l’operatore PEC ha impiegato diverse ore prima di comunicare al CNAIPIC l’attacco. È anche da rilevare come anche un operatore tra i più importanti in Italia non ha saputo riconoscere la ricognizione dell’attaccante per tempo (il 10) e ha subito l’attacco impreparato. Non è affatto facile riconoscere una ricognizione da parte di un attaccante, tuttavia si può presupporre che prima di un attacco di questa portata alcuni segnali ci siano e l’aver individuato le tracce ci porta a dire che in questo case ce ne potevano essere.
Le ore trascorse dalla scoperta dell’attacco alla segnalazione al CNAIPIC evidenziano come la pericolosa abitudine (parlo in generale non potendo giudicare l’operato specifico di Telecom) di evitare di diffondere le informazioni sugli attacchi di sicurezza per tempo, molto diffusa, provochi danni anche molto gravi. In particolare, negli attacchi informatici è noto come sia la condivisione degli incidenti che la tempestività siano lo strumento più utile per permettere agli altri di difendere e proteggere il perimetro nazionale. Una diffusione tempestiva delle informazioni non solo avrebbe potuto velocizzare l’intervento del NSC ma avrebbe reso un beneficio anche ad altri operatori PEC magari oggetto anch’essi di un attacco a loro insaputa o di una ricognizione.
Le possibili cause dell’attacco
Non si può poi non ipotizzare che l’attacco sia potuto accadere utilizzando un deficit di misure di sicurezza, questo perché nella stragrande maggioranza dei casi è così, come ad esempio sistemi non aggiornati o procedure che non rispettano gli standard di settore.
Gli operatori PEC per operare devono conformarsi al regolamento AgID attestando che tali misure vengono effettuate, ma va detto che a fronte della verifica formale da parte di AgID non esiste una valida e periodica verifica che il rispetto di tali requisiti siano garantiti. L’AgID si affida alle certificazioni che gli operatori ottengono sulle norme ISO, tuttavia questo potrebbe dare garanzie sufficienti nello specifico dei servizi PEC, data la delicatezza e la rilevanza ai fini nazionali. Se da una parte sono note le carenze di organico dell’Agenzia su questi aspetti, dall’altra non si può non notare come questa carenza possa dar luogo a buchi di sicurezza su una infrastruttura come la PEC che rappresenta la principale, insieme alla firma digitale e a SPID, infrastruttura di Identità Digitale del Paese.
Una revisione del processo di monitoraggio da parte di AgID sarebbe quantomeno auspicabile, come sarebbe urgente far sì che tutte le infrastrutture di Identità Digitale siano almeno protette da verifica di sicurezza in due fasi, così da renderle meno vulnerabili all’individuazione della password affiancando così un meccanismo di rilascio delle credenziali ad un monitoraggio rafforzato degli operatori, almeno di quelli rilevanti.
Migliorare il processo di monitoraggio dei servizi
A seguito di questo incidente è auspicabile che si colga l’occasione per migliorare il processo di monitoraggio dei servizi forniti dagli operatori accreditati anche con visite ispettive periodiche, evidenze delle attività effettuate attraverso log, ecc. Una ipotesi potrebbe essere quella di costituire un registro di società abilitate alla verifica degli operatori che periodicamente provvedano alle ispezioni non solo formali e si assumano la responsabilità di attestare la sicurezza e qualità del servizio reso. Spero che AgID emani quanto prima un aggiornamento degli obblighi agli operatori in tal senso.
Il NSC ha già preso alcune misure di sicurezza da applicare a tutti i soggetti coinvolti, come ad esempio la certificazione di sicurezza dei dispositivi, a queste solo la corretta applicazione di procedure può consentire di evitare che la principale vulnerabilità attuale (l’uomo) possa tramutarsi in incidente.
Questo incidente, di proporzioni rilevanti, ci porta anche a riflettere maggiormente sulla necessità o meno di esternalizzare servizi così delicati come la Pec per la PA. Alcuni commentatori autorevoli, hanno correttamente posto in essere il dubbio che servizi così critici siano più convenienti se esternalizzati, anche perché nel caso di incidenti la cui concausa è dovuta ad inefficienze delle misure di sicurezza, il codice penale (DPR 547/93) prevede che “i reati informatici non vedono completare ogni loro fattispecie se i sistemi aggrediti o danneggiati non sono “protetti da misure di sicurezza””[1]. Nei fatti riducendo il reato per l’aggressore (anche se in questo caso pare sia uno Stato estero). L’impiego di soggetti pubblici di per sé non rende sicuri, tuttavia la natura stessa di questi operatori li porta a mettere in atto tutte le misure necessarie di carattere tecnologico e procedurale non dovendo confrontarsi oltre misura con i costi e i margini di profitto a beneficio degli azionisti. La presenza di operatori in-house che dimostrano capacità progettuali e di gestione dell’operatività di eccellenza consente di aver fiducia che nelle infrastrutture critiche questo possa essere un beneficio. D’altra parte i 20 operatori accreditati dall’AgID presentano caratteristiche molto diverse tra loro, forse gli operatori che accreditano centinaia di migliaia di utenti, o gli utenti di infrastrutture critiche, dovrebbero avere meccanismi più stringenti di chi “accredita” solo gli utenti del proprio “dominio” di competenza. Anche questa è una riflessione che mi permetto di suggerire ad AgID.
Il sistema nazionale coordinato dal NSC ha saputo rispondere prontamente all’attacco e in modo adeguato, tuttavia questo incidente deve sollecitare ogni organizzazione del Paese a mettere in atto quanto possibile per aumentare il grado di sicurezza sia in termini tecnologici ma soprattutto in termini di procedure e condivisione delle informazioni nelle sedi opportune. Solo così possiamo pensare di proteggere le informazioni rilevanti dalle minacce sempre più pericolose e ben organizzate che arrivano dal “cyberspazio”. È necessario aprire una riflessione più ampia del singolo incidente su come ci attrezziamo a fronteggiare questi eventi. Confido nella capacità sin qui dimostrata dagli organismi di intervento e coordinamento su questi temi per analizzare le vulnerabilità messe in evidenza da questo incidente e applicare le contromisure necessarie.
________________________________________________________________
[1] https://www.startmag.it/innovazione/furto-identita-ministeri-gdf/
