È recente la notizia della pubblicazione su Wikileaks di una notevole quantità di dati esfiltrati dalla CIA.
Si parla già di proliferazione di armi cibernetiche e di strumenti per azioni che potremmo definire quanto meno “aggressive” rispetto alla privacy di cittadini, istituzioni, industrie…
In Italia il Dipartimento per le informazioni e la sicurezza della Repubblica ha emanato la relazione annuale al Parlamento da meno di una settimana: la relazione ha un capitolo dedicato al tema del rischio cibernetico che solleva alcuni punti di riflessione.
I dati riportati evidenziano che in Italia sono più colpiti enti pubblici che privati da attacchi “significativi”. La realtà non appare diversa in altri Stati: la pubblicazione di dati esfiltrati alla CIA verrà ricordata come un evento “molto” significativo, anche se ancora non è affatto chiaro se i dati siano stati esfiltrati con una azione cibernetica o esclusivamente cinetica (cioè fisica). Aldilà del contenuto dei dati pubblicati, fa rabbrividire la possibilità di “giocare” una mossa tanto audace e tanto dirompente a un ente che della sicurezza e della riservatezza dovrebbe essere il detentore.
Viene facile commentare che l’ampia percentuale rilevata di attacchi a enti pubblici sia dovuta alla ancora scarsa abitudine del settore privato a denunciare gli attacchi subiti per motivi di protezione della reputazione e della competitività: in ogni caso i ripetuti attacchi, anche solo presunti e non ancora attribuiti con certezza, a sistemi pubblici di immagazzinamento dati dovrebbe farci riflettere profondamente sull’urgenza di contromisure sistemiche che evidentemente non sono ancora state perfezionate neanche dai “giganti” occidentali. La partita è ancora aperta. Le evidenze mostrano comunque che la maggiore vulnerabilità è legata al fattore umano, sia esso attore consapevole o meno, il che non è una novità, ma resta un problema talvolta neppure affrontato.
Tra i settori con un livello di attacchi in crescita nel nostro territorio si ritrova il farmaceutico e, come già da parecchi anni, l’energetico. Sono in aumento gli eventi di blackout e più in generale gli eventi di “spegnimento” di servizi pubblici riconducibili ad attacchi cibernetici e questo è vero a livello globale, anche se ancora sono eventi a impatto limitato soprattutto per le percentuali di popolazione colpite. Ciononostante dovremmo cogliere l'”avvertimento” implicitamente contenuto e iniziare (o continuare, nel migliore dei casi) a progettare contromisure sistemiche. La protezione e la sicurezza sono attributi collettivi e non singoli: l’eccellenza nella sicurezza si raggiunge a livello di territorio e non solo di individuo (anche societario).
Nella relazione del DIS si legge inoltre che le tecnologie malevole innovative sono sempre più spostate verso sistemi che permettano “l’ingresso” non autorizzato in reti e sistemi altrui: di contro i malware sono sempre più aggressivi, persistenti e sofisticati. Un po’ come dire che un ipotetico avversario malevolo stia studiando batteri ad alto tasso di letalità e resistenti alla maggior parte dei ceppi antibiotici, corredati da un ampio ventaglio di sistemi, anche semplici e “massivi”, per la riduzione delle difese immunitarie… Gli investimenti “avversari” contemplano anche l’affinamento della conoscenza degli idiomi (in particolare è citato l’italiano) per la costruzione di sequenze di ricerca atte a esfiltrare “determinati” dati, quindi un miglioramento delle tecniche di “scelta” dei dati da rubare nonché un miglioramento delle tecniche di ingegneria sociale (phishing, spear phishing, e tutte le altre tipologie di “adescamento” delle vittime per far rilasciare involontariamente credenziali di accesso, dati personali, dati finanziari e così via): in altre parole le mail false che tentano di indurci a rivelare dati personali diventeranno sempre più credibili, laddove fino ad oggi un indizio estremamente utile a riconoscerle velocemente era proprio dato dalla palese presenza di grossolani errori di linguaggio.
Se ne prenderemo velocemente atto, capiremo ancora meglio la necessità e l’urgenza di rendere tutti gli individui consapevoli dei pericoli e delle misure preventive per l’uso della rete e degli strumenti informatici.
La migliore difesa dalle tecniche miste, psicologiche e informatiche, di ingegneria sociale è la propensione alla diffidenza dell’operatore, cioè del fattore umano. Propensione alla diffidenza che si deve instaurare come una reazione automatica anche di fronte a messaggi (mail con minacce di atti giudiziari, azioni verso pagamenti inevasi, ma anche inviti ad acquisti scontatissimi del tipo “ora o mai più” e qualsiasi altra situazione che abbassa le normali attenzioni umane sulle proprie azioni) tesi a forzare verso azioni “veloci”, e quindi non perfettamente controllate, la potenziale vittima.
La sicurezza sta diventando un fattore abilitante per il business: sempre più aziende richiedono alle proprie catene di fornitura la dimostrazione di adeguate misure di sicurezza cibernetica per evitare che diventino loro un tallone di Achille e comunque per avere garanzie ulteriori della continuità di erogazione della fornitura. Il concetto di “fattore abilitante” fa sì che la sicurezza diventi una voce di investimento, indipendentemente dal ritorno di investimento che può o non può generare: oltre a ridurre le perdite, ancorché potenziali, essa diventa condizione necessaria per poter operare in determinati contesti.
Si parla infatti sempre più spesso di una “territorialità” della sicurezza: Paesi sicuri dal punto di vista cibernetico potranno in futuro ospitare attività di business più facilmente di Paesi ritenuti non sicuri. Da questo punto di vista l’Italia si è appena dotata di una nuova architettura per la sicurezza informatica a livello di sistema Paese: il DPCM emanato il 17 febbraio traghetta il nostro Paese verso una organizzazione più snella e più consapevole per la gestione degli eventi di tipo cibernetico e per la definizione delle strategie, dei requisiti e delle attività in merito alla cyber security.
Le novità che attendiamo da questa nuova architettura riguardano anche i meccanismi di scambio informativo (information sharing) che consentono anche a chi lavora per la protezione di “giocare in squadra”: gli attaccanti giocano in squadra regolarmente, condividono tecniche, tecnologie e informazioni per migliorare le loro prestazioni di attacco, ridurre i costi, “riusare” codici e metodi, imparare dalle best practice. Effettuare la condivisione delle informazioni sulle tecniche di attacco e sulle contromisure permette di ottimizzare tempi, costi ed energie anche nel campo delle potenziali vittime.
Ciononostante ancora si discute e si discuterà sul dilemma della competitività o precompetitività della sicurezza. Alcuni aspetti sono e resteranno precompetitivi, per cui la spinta alla comunicazione obbligatoria degli attacchi da parte del settore privato oltre che pubblico, spinta attuata anche dalla direttiva europea cosiddetta NIS (network and information security) emanata l’anno scorso, è stata accolta da tutti i Paesi europei come una leva di collaborazione e di facilitazione per il raggiungimento di un obiettivo di sicurezza comune a livello europeo.
La cultura della sicurezza è un tassello imprescindibile nella strategia di sicurezza di un Paese, cultura diffusa a livello dei cittadini e delle imprese: per quanto sicuro possa essere un sistema o una rete aziendale, basta la disattenzione di un solo dipendente che apre l’allegato di una email di phishing per rendere vane, in tutto o in parte, le misure di sicurezza adottate.
Resta quindi fondamentale l’aspetto della diffusione della consapevolezza: rendere tutti i cittadini “consapevoli” nell’uso della rete e nella gestione dei propri dati personali è un fattore che può potenziare in modo esponenziale (o, se non perseguito, depotenziare in modo altrettanto esponenziale) gli innumerevoli sforzi effettuati da enti pubblici e privati e dallo Stato stesso per rendere il nostro Paese “sicuro”.