Dai primi giorni in cui è stato chiaro che la Russia avrebbe invaso l’Ucraina, l’amministrazione Biden ha svolto una continua attività di informazione e sollecitazione presso le aziende US per convincerle ad aumentare il livello di sicurezza e robustezza delle loro infrastrutture informatiche e fornendo le corrispondenti indicazioni operative.
Dobbiamo invece rilevare una minore attività delle agenzie europee: un ritardo che non può che darci l’occasione di auspicare un’accelerazione dell’attivazione di tutti i processi necessari per ottenere la sovranità digitale nazionale ed europea.
Un percorso lungo, ma quanto mai necessario soprattutto alla luce delle implicazioni del conflitto russo-ucraino e della prontezza che – come vedremo – ha caratterizzato l’attività dell’amministrazione americana.
Da Sun Tzu all’intelligenza artificiale: come cambia la guerra con gli algoritmi al potere
La call to action dell’amministrazione Usa alle aziende
Questa attività è stata svolta a vari livelli a partire dal presidente Biden, da Ann Neuberger, consigliera per cyber ed emerging technology, e le agenzie federali quali CISA e FBI. Se Biden e Neuberger hanno interagito con CEO e presidenti di circa 100 aziende, le varie agenzie federali hanno contattato complessivamente più di 13.000 aziende nell’ecosistema che ruota intorno alle infrastrutture critiche statunitensi. Come detto da Anne Neuberger, si tratta di una call to action per le aziende in assenza di specifiche informazioni di intelligence su attacchi imminenti perché il governo russo sta solo considerando la possibilità di questi attacchi.
Secondo chi ha partecipato agli incontri ai massimi livelli, l’amministrazione Biden ritiene che Putin sia sempre più frustrato e che possa lanciare cyber attacchi per ristabilire la sua immagine. In particolare, attacchi ad infrastrutture critiche realizzati mediante supply chain attack a fornitori di software per queste infrastrutture.
Questo spiega l’insistenza dell’amministrazione nel richiedere un software bill of materials cioè la richiesta che ogni fornitore conosca tutti i propri subfornitori ed anche i moduli utilizzati da uno strumento software che produce. A conferma della preoccupazione dell’amministrazione, c’è anche la condivisione molto elevata con le varie aziende di informazioni di intelligence sui potenziali attacchi. Secondo le aziende è la prima volta che si ha una condivisione così dettagliata di informazioni di intelligence. Coerentemente con questo contesto, l’amministrazione chiede alle aziende di condividere a loro volta la massima quantità di informazioni su eventuali attacchi che le possano coinvolgere e di ridurre il livello di soglia utilizzato per classificare alcune azioni come un attacco informatico.
L’incriminazione di quattro membri del FSB
Per capire quali siano le giuste preoccupazioni dell’amministrazione Biden ed in particolare il focus su supply chain attacks e software bill of materials è utile analizzare quanto fatto quasi contemporaneamente dal Department of Justice che ha reso pubblica l’incriminazione di quattro membri del FSB, il servizio federale di sicurezza russo, per attacchi ad infrastrutture critiche del settore dell’energia. Aver reso pubblica ora l’incriminazione è significativo visto essa risale a circa 9 mesi fa ed accusa tre membri di aver pianificato ed eseguito dal 2012 al 2018 attacchi in circa 135 paesi.
Alcuni di questi attacchi avrebbero avuto come bersaglio il sistema di sicurezza di impianti in produzione per inserire malware o backdoor ed avrebbero provocato la chiusura d’emergenza di due di questi impianti. Successivamente, le stesse persone avrebbero ripetuto questi attacchi contro impianti negli USA ma non avrebbero avuto successo. Secondo l’incriminazione del Department of Justice, il successo degli attacchi tentati contro gli USA avrebbe permesso al governo russo di distruggere e danneggiare gli impianti a suo piacere. Punto interessante della incriminazione è che essa cita two phases attacks ovvero attacchi di tipo supply chain in cui nel periodo dal 2012 al 2014 sarebbero stati attaccati i fornitori ed utilizzati gli aggiornamenti software per accedere ad alcune infrastrutture critiche. Dal 2014 al 2017 gli attaccanti hanno utilizzato gli accessi ottenuti in precedenza ed altri ottenuti mediante phishing per muoversi nelle varie infrastrutture, anche in quelle per controllo di impianti. Le pene richieste per i quattro incriminati possono arrivare fino a 20 anni.
Le altre iniziative delle agenzie federali
L’azione a vari livelli dell’amministrazione Biden è stata accompagnata da altre iniziative di agenzie federali quali la Critical Infrastructure Security Agency, CISA, ed FBI. In particolare, la CISA ha pubblicato una lista di raccomandazioni che vanno dall’adozione di autenticazione a più fattori, alla adozione di politiche di patching più tempestive, alla segmentazione delle reti per meglio separare e difendere impianti di controllo industriale dalle reti ICT per amministrazione e management.
In taluni casi viene suggerito di utilizzare collegamenti a diodi per impedire traffico verso reti particolarmente critiche ottenendo quindi qualcosa che assomiglia molto ad un air gap. Altri suggerimenti, oltre a quelli sulla massimizzazione della condivisione di informazioni, riguardano la chiara definizione dei ruoli aziendali legati alla gestione di incidenti ed esercitazioni dei team di gestione degli incidenti. Altre importanti informazioni per semplificare la rilevazione di intrusioni riguardano le tattiche, le tecniche e le vulnerabilità più usate dagli attaccanti. Queste informazioni fanno riferimento a standard de facto quale la mitre att&ck matrix.
Il ritardo di Italia e Europa
Di fronte alla ricchezza di informazioni, suggerimenti sia a livello strategico che operativo messe a disposizione dalle varie agenzie USA dobbiamo invece rilevare una minore attività delle agenzie europee. Oltre al divario tecnologico per quanto riguarda prodotti e componenti informatici, si evidenzia anche un divario informativo. Anche se ovviamente è possibile che le aziende europee sfruttino quanto fatto dalle agenzie USA sarebbe preferibile integrare il flusso informativo dagli USA con informazioni più mirate per un contesto nazionale ed europeo. Ad esempio, vista la prevalenza di SME nel contesto europeo, disporre di indicazioni più operative potrebbe aiutare quelle aziende che non dispongono di risorse interne adeguate.
Se la Agenzia per la cybersecurity nazionale non ha ancora a disposizione tutte le risorse umane per una strategia simile a quelle USA, agenzie quali ENISA sono attive da più anni ma non hanno fornito informazioni in quantità e qualità paragonabili a quelle delle agenzie USA in tutto lo spettro che va dalle azioni strategiche a quelle operative. Colmare questo divario insieme alle azioni di diversificazione degli strumenti e non di semplice sostituzione richieste dall’articolo 28 del decreto n.68 del 18 marzo 2022 o decreto Ucraina costituirebbe un altro importante passo verso la sovranità digitale. Rispetto alle azioni di diversificazione quelle qui suggerite sono a medio lungo termine ma ritengo fondamentale cogliere l’occasione fornita dalla invasione dell’Ucraina per attivare tutti i processi necessari per ottenere la sovranità digitale nazionale ed europea. I tempi lunghi necessari per la sovranità possono solo spingerci ad attivare i processi il prima possibile.
Ben conscio del rischio di ripetermi, una ulteriore considerazione che scaturisce dalle indicazioni dell’amministrazione Biden è che il principale bersaglio di attacchi informatici, soprattutto quelli condotti da stati, sono le infrastrutture ICT ed OT civili e non solo quelle militari.
Conclusioni
Il successo degli attacchi contro queste infrastrutture dipende dalla loro robustezza e resilienza, attributi su cui è estremamente più efficace ed economico intervenire in maniera proattiva e non solo in risposta ad una call to action in un contesto di emergenza. L’appello di Biden sulla cybersecurity si conclude affermando che le aziende possiedono oggi la capacità di aumentare la robustezza e la resilienza delle infrastrutture su cui l’America conta e che il loro comportamento di oggi determinerà quanto sarà possibile prevenire e sconfiggere gli attacchi di domani.
