Gli ultimi anni, al di là della scontata disistima nostrana, hanno visto il Paese fare passi in avanti da gigante nel processo di digitalizzazione di imprese, servizi, processi sia in campo privato che pubblico. Un notevole boost è stato sicuramente provocato anche dalla pandemia e dai diversi lockdown. Questa accelerazione non è spesso sinonimo di qualità soprattutto in ottica di sicurezza.
Innanzitutto, la digitalizzazione interconnette sistemi di differente datazione e concentra grosse moli di dati, spesso molto sensibili. Se questi passaggi non sono progettati e realizzati con il costante filtro della “Security-by-design” si rischia di aumentare esponenzialmente la cosiddetta “superficie di attacco”. Non abbiamo più, ad esempio, solo il server centrale e i computer degli addetti allo sportello, ma tutti gli smartphone con l’app, i pc col sito e le macchine self-service.
Vi sono poi altri fattori fondamentali da tenere in conto. Il primo è che i sistemi devono continuamente e costantemente essere aggiornati in tutte le loro componenti (applicazione, sistema operativo, firmware, ecc.) nessuna esclusa.
Il livello di sicurezza garantito dall’anello debole della catena determina la Cyber Difesa dell’intero sistema. Per capire meglio: se un ladro deve entrare in una casa non sceglierà la porta blindata principale, ma il punto di accesso più debole (porta di servizio, una finestra, ecc.). Nello spazio Cyber si realizzano esattamente le stesse logiche.
Il secondo fattore riguarda la necessità di un cambio di mentalità da parte di tutti gli utilizzatori dei sistemi: dobbiamo essere estremamente accorti, perché le nostre credenziali sono come le chiavi di casa e spesso permettono di accedere con un po’ di lavoro all’intero condominio.
Il terzo e fondamentale fattore è la necessità di avere un monitoraggio costante fatto da un sinergico connubio di tecnologie e uomini sempre all’erta, pronti a identificare sul nascere un attacco e a neutralizzarlo nel più breve tempo possibile.
Il mondo della minaccia sta avendo anch’esso uno sviluppo esponenziale, guidato ormai non più da singoli hacker ma da vere e proprie organizzazioni criminali con capacità propria o in grado di sfruttare nel modo più appropriato vere e proprie forze mercenarie. Separato discorso sono le capacità Cyber offensive statuali (cioè degli Stati) che si stanno anch’esse sempre più ampliando.
La mancata piena attuazione di quanto su descritto mette in serio repentaglio non solo i sistemi stessi, ma tutta l’operatività a essa collegata. Questo è il drammatico impatto.
Ora dobbiamo però distinguere tra attacchi “ransomware” guidati da sistemi per lo più automatici e attacchi mirati a spiare, esfiltrare informazioni e creare danni permanenti o comunque di media durata.
I primi sono studiati per essere notati (criptazione e richiesta di riscatto), i secondi, molto più subdoli, sono progettati per ottenere presenza persistente all’interno del sistema vittima in maniera silente, senza far scattare nel tempo alcun tipo di allarme.
Gli attacchi di cui si è parlato di più negli scorsi mesi, da ultimo quello che ha colpito la Regione Lazio e in contemporanea due altre realtà imprenditoriali private italiane, sono del primo tipo. Questa tipologia di attacchi, se vengono implementate correttamente tutte le misure sopra indicate, hanno realmente poche possibilità di successo e, nel caso, con effetti estremamente limitati.
Quando accadono questi eventi bisogna ammettere di non aver fatto ancora abbastanza e mettersi subito al lavoro per intervenire con estrema serietà e competenza per bloccare l’attacco, scovare eventuali residue presenze estranee e ritornare nel più breve tempo possibile alla piena operatività. La comunicazione deve essere allo stesso livello e non puramente allarmistica, complici anche i media, e pronta a coprire mancanze dietro ad attacchi terroristici o addirittura statuali.
Il Rischio Cyber è finalmente da qualche anno all’ordine del giorno dei board aziendali, ma ancora troppo poco viene fatto nella pratica. Oltre a migliorare continuamente le difese tecnologiche, umane e di processo, si devono mettere in atto delle vere e proprie esercitazioni Cyber a livello di singola azienda, filiera, regione e nazione. Vanno simulati tutti i possibili scenari e le modalità di recovery per elevare al massimo la capacità reale di resilienza del Paese a potenziali attacchi.
L’importante recente decisione del Governo di creare l’Agenzia per la Cyber Sicurezza Nazionale (ACN), che sarà guidata dal Prof. Ing. Roberto Baldoni, è una grandissima e unica possibilità per l’Italia di fare un enorme salto di qualità nella creazione della Sovranità Digitale del Paese, non solo per quanto riguarda la Difesa della Pubblica Amministrazione e delle Infrastrutture Critiche, ma ergendosi a sprone e guida anche per tutta l’imprenditoria privata. Un’occasione unica di creare una stretta sinergia con i programmi di formazione Cyber delle Accademie (serviranno migliaia di “operatori e professionisti Cyber” nei prossimi anni), nonché valorizzare le diverse eccellenze private già presenti sul territorio sia in termini di servizi, sia in termini di Ricerca e Sviluppo di tecnologia italiana.
Ci sono tutti i presupposti perché il Paese possa sedersi in pochi anni nel “salotto buono” del Cyber Club se solo si avesse il coraggio di muoversi con determinazione e tenacia in tal senso. Le capacità creative e di iniziativa tipiche italiane, le competenze, un intelligente disegno strategico e di coordinamento a livello di Sistema Paese (prendiamo ad esempio il modello israeliano) unitamente – ora finalmente – alla disponibilità economica sono gli ingredienti per la riuscita.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
