Quando si parla di sicurezza cibernetica solo in rari casi si fa riferimento al settore della ricerca scientifica. Eppure, anche in questo settore, i casi di data breaches non mancano. Ad esempio, un annuncio postato un mese fa su Raid Forums rivendicava l’esfiltrazione di ben 800GB di dati appartenenti alla società pubblica responsabile del decommissioning degli impianti nucleari italiani e della gestione dei rifiuti radioattivi, la Sogin (Società di gestione degli impianti nucleari).
Si tratterebbe di una delle più importanti violazioni di dati a danno di una società controllata dallo Stato, una delle infrastrutture critiche nazionali. Ne abbiamo parlato con Enrico Frumento, ricercatore del Cefriel, Politecnico di Milano. Questa intervista costituisce la quarta di una serie dedicata al tema della sicurezza informatica e alla tutela dell’interesse nazionale nel cyberspazio. Qui la prima intervista, qui la seconda e qui la terza.
La ricerca è sicuramente una parte significativa dell’attuale ecosistema dell’informazione digitale, con la sua incommensurabile e radicata offerta di conoscenza scientifica la quale è sia un asset prezioso per lo sviluppo economico e sociale, sia un terreno di caccia privilegiato per gli attori malevoli, perlopiù nation-state. Le minacce cibernetiche, in questo settore, sono davvero sottostimate?
In parte è vero, il settore della ricerca è meno colpito, ma non certo per una sua intrinseca proprietà di resilienza al cybercrime o per la scarsa attenzione degli attaccanti. Se si guarda alla ricerca che genera proprietà intellettuale o brevetti (IP) si nota che gli attacchi, di recente, sono aumentati moltissimo, ad esempio per le aziende farmaceutiche. Ma anche prima del Covid, il furto di IP era uno dei più frequenti, come metto in luce in un recente whitepaper a cui ho collaborato.
Qual è la principale differenza rispetto agli attacchi “normali”?
In questi casi la possibile minaccia è solo una: rivelare la IP perché è difficilmente rivendibile in quanto eventuali concorrenti non possono lanciare sul mercato prodotti basati su una IP trafugata. Potrei citare il caso di Tardigrade, un malware sofisticato con un alto grado di autonomia e capacità tecnologiche nuove che ha colpito il settore delle biotecnologie. Si diffonde tramite e-mail di phishing o unità USB infette e funziona autonomamente anche quando viene tagliato fuori dal suo server di comando e controllo (da qui il nome, perché sopravvive in condizioni estreme). Il suo grado di metamorfismo include non solo il codice ma anche il protocollo usato per comunicare.
Quali sono le caratteristiche precipue di Tardigrade?
La prima: si diffonde principalmente tramite e-mail o supporti USB infetti (come secondo livello può infettare altri dispositivi in rete come fanno i cosiddetti worm). Aziende, quindi, con un elevatissimo protocollo di sicurezza hanno problemi relativi allo sfruttamento dell’errore umano e alla sanitizzazione delle USB. La seconda è che non si tratta di un semplice ransomware perché è in grado di fare spionaggio, data analysis per determinare cosa guardare o cifrare, movimento laterale (cioè spostarsi fra macchine in rete) e infine estorsione classica, se serve. In pratica appartiene a molte categorie classiche: ransomware, wipeware, malware, worm e virus. Sottolineo, inoltre, che incidenti di questo tipo coinvolgono la IP e spesso non sono pubblici, perché in questo caso non c’è l’obbligo legale di denuncia.
Quanto incide, nella sottovalutazione dei rischi cibernetici, la visione tradizionale del lavoro accademico la quale enfatizza la ricerca di base come aperta e collaborativa, a livello internazionale?
Spesso la cybersecurity non è così vitale per la ricerca accademica come lo è per l’industria (in particolare quella IP intensive). Tuttavia, questo atteggiamento è destinato a cambiare sotto la pressione delle recenti evoluzioni degli attacchi perché questi sono, oggigiorno, fortemente automatizzati: sia la fase di infezione che quella di adescamento iniziale (la cosiddetta ingegneria sociale). La cosa che più è evoluta, infatti, è l’uso massivo, professionale e sistemico dello sfruttamento dell’errore umano. E questo colpisce qualsiasi settore indistintamente. Già qualche mese fa i ricercatori della Stanford University riportavano che circa l’88% di tutte le violazioni dei dati era causata da errori umani (per esempio, un click su un link malevolo). Questo deve far preoccupare perché prima un attacco ben studiato che facesse anche uso dell’ingegneria sociale era di difficile attuazione e quindi era riservato a target di valore. Ora un attacco di questo tipo è enormemente più facile (il costo medio sul mercato nero di una campagna di spear phishing, ovvero phishing altamente contestualizzato, è intorno ai 500 dollari).
La Commissione europea ha di recente pubblicato delle linee guida rivolte alle Università e agli Enti di ricerca per metterli in guardia sulle crescenti interferenze dei Paesi extra-Ue, nel campo della ricerca e dell’innovazione. Quanto possono essere incisive tali iniziative?
Le linee guida in generale possono essere utili solo fino al punto in cui vengono manutenute e adottate. Ben venga una maggiore sensibilizzazione del mondo accademico, specialmente in un momento storico in cui l’accademia si sta aprendo sempre più al mondo dell’industria. Penso, ad esempio, alla nascente rete europea degli European Digital Innovation Hubs (EDIH). Lo scopo dell’Unione europea è quello di creare una rete europea di hub che possano cortocircuitare la ricerca con le esigenze di innovazione delle micro, piccole e medie imprese e della Pubblica amministrazione. In Cefriel, l’area di cybersecurity offre proprio assistenza di questo tipo, coniugando ricerca, innovazione e cybersecurity.
Alcuni enti governativi, quali l’IRS statunitense stanno per bandire le credenziali di accesso ai loro siti in favore di metodi di accessi di verifica dell’identità on-line. Diverrà questa modalità il new normal?
L’Irs ha deciso di usare il sistema ID.me che ha ricevuto qualche critica di usabilità. In confronto, lo Spid italiano è un sistema a mio avviso più maturo e meno invasivo (per esempio, non richiede dati biometrici). Dopo qualche tentennamento iniziale e la naturale resistenza degli utenti, mi pare però che ora lo Spid stia diventando qualcosa di realmente sostitutivo delle normali credenziali. Tecnicamente parlando siamo ben al di sopra, in termini di sicurezza generale, del classico sistema login+password.
Lei parla spesso degli attori malevoli come di veri e propri stakeholder dei sistemi informativi aziendali.
Il termine cybersecurity è diventato di uso comune anche fra i non addetti ai lavori. Il motivo è, comprensibilmente, la ridotta separazione fra ambiente di lavoro e ambiente extra-lavorativo, che ha permesso di moltiplicare le opportunità di un attacco alla sicurezza informatica. In un’epoca di lavoro smart, la pervasività degli attacchi è tale da colpire qualsiasi dispositivo, a prescindere dal settore lavorativo e dalla dimensione dell’azienda. Spesso ricordo che gli attaccanti sono di fatto degli stakeholder dei sistemi informatici aziendali altrui, perché fanno “business” al pari dei legittimi proprietari, con i dati di una azienda, anche se con piani di sfruttamento illeciti. In questo contesto la cybersecurity deve giocoforza stare al passo.
In cosa consiste la sostenibilità della cybersecurity?
Proprio la necessità di stare al passo ha fatto sì che si sia arrivati a un punto in cui la cybersecurity, intesa come processo aziendale, sia diventata troppo complessa e difficile da mantenere. In altre parole, poco sostenibile. Con sostenibilità della cybersecurity, quindi, non intendo sostenibilità in termini energivori, ma piuttosto in termini tecnologici, economici, di processo, umani e di conoscenze necessarie per mantenersi sicuri. Per questo io promuovo sempre una visione olistica e interdisciplinare che includa il “fattore umano”, la governance, le tecnologie, e competenze non solamente tecniche, proprio perché quando il gioco si fa duro, occorre l’aiuto di tutti.
Quali saranno le sfide/minacce cibernetiche più rilevanti del 2022?
I recenti cambi tecnologici, sociali ed economici hanno creato un elemento di rottura con il passato. Le aziende hanno accelerato la loro agenda di trasformazione digitale, facendo un salto in avanti di vari anni, soprattutto in conseguenza di questa pandemia. Questo ha portato a esigenze differenti: 1) Comprendere le minacce in modo continuativo e i problemi legati alle tecnologie emergenti (continuous security); 2) Gestire i rischi cyber riducendo l’esposizione alla sicurezza informatica in modo sostenibile e includendo anche il “fattore umano” nell’equazione; 3) Promuovere la cultura cyber anche per i non specialisti, perché l’impatto di un attacco operato dal cybercrime è, a tutti gli effetti, un impatto all’operatività e al business aziendale nel suo complesso; 4) Promuovere un approccio alla cybersecurity genuinamente interdisciplinare.
Il 2 agosto 2021 il presidente Draghi ha istituito l’Agenzia per la cybersicurezza nazionale (ACN) nominando Roberto Baldoni quale direttore. Quali saranno le principali sfide che l’ACN dovrà affrontare quest’anno?
Rispetto alle già difficili sfide tecniche poste dal cybercrime, il Paese deve affrontare un relativo ritardo. Oggigiorno in Italia, come nel resto dell’Europa, mancano competenze, tecnologie, cultura della cybersecurity e investimenti. Il punto è che non si può più fare a meno di un cambio di marcia e il Governo fortunatamente se ne è reso conto. Direi che la principale sfida, tralasciando quelle tecniche, sarà quella di creare una vera collaborazione fra il mondo accademico, dell’industria, dell’innovazione e delle istituzioni.
(Achille Pierre Paliotta)
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
SOSTIENICI. DONA ORA CLICCANDO QUI