L’Agenzia per Cyber Security Nazionale si trova improvvisamente a fronteggiare una prima emergenza inaspettata e quanto mai importante. La crisi russo-ucraina non è solo drammatica per tutti gli aspetti sociali e politici, ma anche per gli aspetti cibernetici relativi alla cyber warfare, nonché relativi agli impatti e agli strumenti di minaccia che da questa situazione stanno emergendo.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
La sfida per l’Agenzia cybersecurity nazionale
Tutto il mondo sta organizzando i propri domini cyber per fronteggiare la situazione nella quale attacchi deliberati o conseguenze scarsamente valutate di attacchi rivolti altrove potrebbero portare a importanti disagi cyber e cyber-fisici, cioè misti cyber e fisici, come si usa dire oggi.
I gruppi hacker attivisti di tutto il mondo stanno prendendo le parti di Ucraina e Russia, dividendosi nell’affiancamento alle due parti e con ciò estendendo gli aspetti cibernetici del conflitto a livello ultra regionale, con pesanti ripercussioni possibili anche su altri Paesi e sugli schieramenti politici e geopolitici che stanno tentando di comporre il conflitto e avviare negoziati significativi. Più di uno ha dichiarato che colpirà non solo il “nemico”, ma tutti gli Stati che lo appoggiano minando la funzionalità delle infrastrutture critiche.
Ucraina, hacker di tutto il mondo riuniti in soccorso: ecco le loro strategie
Russia-Ucraina, che sta facendo l’ACN
L’ACN affronta questa situazione con il massimo impegno, con una dedizione attenta e concentrata, nonostante sia un ente nato recentemente e non ancora completamente operativo, sia per il personale sia per le procedure e gli atti normativi attuativi. A tal proposito è bene che tutto il Paese, e le istituzioni per prime, appoggi e supporti l’ACN nell’incredibile prova che ci troviamo a fronteggiare.
- Lo CSIRT continua a emanare consigli e best practice per la situazione contingente. I bollettini di preparazione si susseguono e così le allerte emesse dalla ACN con grande attenzione.
- Gli operatori delle infrastrutture critiche e gli erogatori dei servizi inseriti nel Perimetro di Sicurezza Nazionale Cyber, a partire da quelli finanziari dei servizi digitali, chiedono all’ACN ulteriori misure di affiancamento, come per esempio l’istituzione di un tavolo di lavoro congiunto che possa vedere esperti dello CSIRT e delle varie aree della ACN a fianco dei CISO impegnati a proteggere le aziende private e pubbliche in questa situazione decisamente anomala.
È possibile che l’ACN, attraverso i vari comitati e organismi che ha al proprio interno, previsti nella legge istitutiva e dettagliatamente descritti nei regolamenti, possa realizzare questi “punti di incontro e scambio informativo”, nei modi e nei tempi che riterrà opportuni. Potrebbe essere un tavolo simile al comitato di protezione civile, con minori competenze e poteri, ma con capacità di diffusione dell’informazione e delle pratiche per le contromisure, atte a mitigare gli impatti che potrebbero colpire le nostra aziende di interesse strategico nazionale.
Facciamo un esempio: Hermetic wiper il primo malware identificato, è costruito per azzerare un computer e rendere i dati non recuperabili. Si tratta di una forma analoga, ma software e quindi meno drammatica, a un EMP, impulso elettromagnetico, che se usato brucerebbe tutti i microcircuiti presenti nel proprio raggio di azione rendendo inutilizzabili telefoni, pc, automobili e qualsiasi altro dispositivo elettronico, anche l’asciuga capelli. In ogni caso si tratta di un metodo per sabotare l’avversario e le sue infrastrutture.
HermeticWiper attacca l’Ucraina, allarme anche in Italia: come difendersi
Potremo trovarci davanti a metodi per realizzare un dual use delle infrastrutture, cioè non solo per spegnerle e quindi sabotarle, ma magari anche per appropriarsene e usarle come arma non convenzionale. Una situazione analoga agli aerei schiantati contro le torri gemelle…
Tutti devono essere pronti e concentrati, perché l’assenza di confini hardware e software del mondo digitale non consente di sottovalutare l’effetto domino degli attacchi. Chiunque potrebbe incappare nella maglia del malware, nuovo o vecchio che sia, perché come tutti i virus si lancia, ma non si controlla, neanche da parte dell’attaccante.
Citando il film “Deepwater Horizon” e l’omonima sceneggiatura possiamo dire che “la speranza non è una tattica”. Occorre farsi trovare preparati. Comunque. Qualsiasi cosa accada, preparati la affronteremo meglio. Tutti.
I rischi
D’altra parte leggiamo aspetti di questa situazione anche nella relazione del DIS al Parlamento per il 2021, recentemente pubblicata.
I settori maggiormente colpiti nel privato sono adesso energia e trasporti, come potevamo aspettarci alla ripresa post pandemica e agli esordi della guerra nella regione ucraina, mente nel pubblico sono state attaccate soprattutto le PA centrali.
Nel 2020 il malware scendeva al 2,4 % dei casi di utilizzo, mentre oggi torna all’11,5%. Nel 2020 regnava incontrastata la metodologia di attacco SQL, legata ai portali e ai database non sicuri con un 62% sempre in crescita, mentre nel 2021 è crollata al 23% ed è aumentata fortemente la registrazione di domini malevoli.
Rispetto al 2020 la minaccia si è definitivamente spostata dall’attivismo (sceso dal 71% al 23%) allo spionaggio e alla criminalità (rispettivamente passati dal 5% al 23% e dal 4% al 14%).
Relazione Dis 2021, i punti chiave: energia, geopolitica e ambiente priorità per l’intelligence
La minaccia cibernetica è ulteriormente cresciuta, sempre più sofisticata e mirata. Sofisticata perché ci dà maggiore filo da torcere nel rilevarla, nel combatterla e nel comprendere chi sia l’attaccante. Infatti, siamo passati da un 20% di attacchi di matrice non identificabile a un 40%: sono raddoppiate le situazioni nelle quali non siamo neanche in grado di fare una ipotesi di attribuzione.
Segno che ancora gli attaccanti stanno lavorando per rendere ancora più difficile l’attribuzione, anche solo ipotetica, neppure forense. Sofisticata poi anche perché nel 67% (di poco maggiore del valore del 2020) dei casi di cyber attacco, le finalità non sono note, neanche dopo la rilevazione e lo studio dell’azione. Il che significa che in molti casi non abbiamo ancora capito perché siamo stati attaccati e cosa ci hanno fatto.
Dal punto di vista di un attacco fisico la non comprensione delle finalità desterebbe infiniti sospetti, invece nel dominio cibernetico è usuale. Spesso non ci rendiamo conto che questo può significare che l’avversario sta “dispiegando le truppe” cioè si sta infiltrando, rilevato o meno, nei nostri sistemi, per esempio nelle infrastrutture critiche, in attesa di agire.
