15 Gennaio 2020
di Corrado Giustozzi
da www.agendadigitale.eu
Il 2019 è già di per sé annoverabile come un importante anno di svolta per la sicurezza cibernetica, sia per quanto riguarda l’evoluzione della minaccia che per quanto riguarda lo sviluppo della difesa in ambito sia europeo che nazionale. Vediamo quindi brevemente cosa è successo e cosa possiamo aspettarci per il prossimo futuro in questo specifico ma importantissimo ambito.
Partendo da una piccola premessa: sì, lo sappiamo che secondo i cronologisti con questo 2020 non è iniziato anche un nuovo decennio, che a rigore inizierà solo il primo gennaio 2021. Tuttavia, la suggestione del “2” in terza posizione è irresistibile, e offre il destro non solo alla tentazione di tirare un bilancio sull’ultimo degli anni di questo secolo ad avere le decine in “uno”, ma anche a quella di tentare un’anticipazione di cosa potremmo aspettarci dopo questo simbolico giro di boa. Perché, anche se tecnicamente non ci siamo ancora dentro, nel nostro immaginario collettivo i prossimi Anni Venti non possono che essere “ruggenti” come quelli del secolo scorso: certo non grazie a charleston e proibizionismo, o “pupe” in boa di struzzo e gangster in gessato col fucile mitragliatore nascosto in una custodia di violino; ma per via di tutte le eredità che, nel bene e nel male, gli Anni Dieci ci hanno lasciato in termini di tecnologie promettenti da un lato, e di instabilità geopolitiche dall’altro.
Cosa è andato bene
Iniziamo con le purtroppo poche, anche se significative, situazioni confortanti. A fronte infatti di un generalizzato sviluppo della minaccia, che cresce sia in termini quantitativi che qualitativi, vanno comunque registrati anche casi in cui ciò che si temeva non si è verificato, grazie alla corretta e coordinata azione di prevenzione e contrasto svolta da tutte le parti interessate.
In particolare, il 2019 si è aperto con un importantissimo banco di prova per la sicurezza “a tutto tondo” costituito dalle elezioni politiche europee. Si tratta evidentemente di un evento di straordinaria rilevanza, sia in termini diretti che in termini di immagine: e per questo era da tempo nelle preoccupazioni di tutti i Governi per il timore di possibili, se non addirittura probabili, tentativi di disturbo, inquinamento o strumentalizzazione che più di qualcuno avrebbe potuto mettere in atto per motivi politici, ideologici o anche soltanto dimostrativi. Considerando infatti l’attuale complesso scenario sociopolitico internazionale, complicato peraltro da una Brexit in corso, è evidente che vi siano molteplici soggetti, anche di natura statuale, che abbiano tutto l’interesse a provocare caos e suscitare discordia nell’Unione: e quale migliore occasione delle elezioni politiche generali per creare scompiglio fra i cittadini e gettare sfiducia sulle istituzioni?
La paura degli addetti ai lavori non era tanto quella di un vero e proprio attacco cibernetico diretto verso il processo di voto: questa evenienza infatti è realisticamente poco applicabile, dato che allo stato attuale delle cose le elezioni in Europa non sono generalmente gestite mediante un vero e proprio sistema di voto elettronico. Ciò che soprattutto si temeva erano invece attacchi, non solo tecnici ma anche di altra natura, benché sempre veicolati o favoriti dalle tecnologie dell’informazione e della comunicazione, diretti alle fasi collaterali ma non meno importanti della consultazione, quali quelle iniziali di presentazione o scelta dei candidati, oppure quelle finali di scrutinio, conteggio e trasmissione a Bruxelles dei risultati nazionali. Altrettanto temute erano le possibili azioni sistematiche di disinformazione, controinformazione e propaganda dirette verso l’elettorato e veicolate mediante campagne coordinate tramite social network, sfruttando la potenza dei bot e le macchine delle fake news.
Le Autorità europee hanno preso molto sul serio l’esigenza di far svolgere senza intoppi o perturbazioni il complesso processo elettorale, ed hanno così messo in campo tutta una serie di attività che hanno spaziato dall’istituzione presso la Commissione di un’apposita task force di esperti per contrastare la diffusione delle fake news, fino all’emissione da parte di Enisa e del NIS Cooperation Group di specifiche raccomandazioni tecniche e di processo rivolte alle autorità nazionali responsabili della corretta gestione dei sistemi e servizi ICT operanti a supporto delle attività pre- e post-elettorali.
A posteriori, tirando un sospiro di sollievo, possiamo dire che tutto ha funzionato a dovere: le elezioni si sono svolte regolarmente, e nessun inconveniente è giunto a perturbarne il complesso ed articolato svolgimento. Ma non è stato per caso: il risultato positivo si è ottenuto grazie ad un ampio, coordinato e per lo più invisibile lavoro portato avanti da tutti coloro che, ad ogni titolo, hanno fatto parte della filiera di questo processo così critico per la democrazia europea.
Cosa è andato male
Sul piano della minaccia cibernetica sono stati effettivamente confermati tutti i trend che erano stati evidenziati, sia nel 2018 che nel corso del 2019 stesso, da parte dei principali osservatori ed analisti mondiali: in particolare le tecniche di attacco si sono fatte sempre più sofisticate, mentre il dominio delle possibili vittime si è andato sempre più allargando. A farne le spese non sono stati solo i soggetti tradizionalmente più deboli, ossia PMI e pubbliche amministrazioni, ma anche organizzazioni più grandi e teoricamente più preparate.
In quest’ambito i ransomware la fanno sempre da padrone, ma tendono oramai a colpire meno “alla cieca” ed orientarsi invece sempre più verso quelle categorie di vittime maggiormente sensibili al ricatto, quali gli operatori sanitari. In particolare la cronaca ha registrato, proprio verso la fine dell’anno, il primo caso conclamato di un’azienda che ha dichiarato di essere costretta a chiudere la propria attività non essendo riuscita a recuperare l’operatività dopo un’infezione di ransomware: si tratta della statunitense Heritage Company, un’azienda di trecento persone attiva nel telemarketing da oltre sessant’anni, che a fine dicembre, non essendo ancora stata in grado di ripristinare i propri sistemi colpiti ad ottobre da un micidiale attacco di ransomware (per il quale aveva anche pagato inutilmente il riscatto), ha formalmente invitato i propri impiegati a cercarsi un altro lavoro per non rimanere coinvolti nella probabile chiusura forzosa delle attività.
Su un fronte diverso della minaccia, il 2019 ha visto un significativo aumento degli attacchi condotti verso i servizi ospitati in cloud, e finalizzati soprattutto alla sottrazione di dati da server secondari non particolarmente protetti. La matrice comune alla maggior parte dei casi è infatti quella di azioni relativamente poco sofisticate, rivolte non contro i Cloud Provider ma direttamente verso i servizi gestiti dalle vittime per i propri clienti, e condotte principalmente sfruttando la sciatteria di coloro che mettono i propri server in cloud adottando configurazioni di default e praticamente nessuna protezione, come se il solo fatto di avere i propri database ospitati presso un provider affidabile li renda automaticamente sicuri. Così il 2019 è diventato l’annus horribilis per i data leak grazie a casi quali, solo per citare i più eclatanti: gli oltre 380 milioni di record di clienti sottratti alla catena alberghiera Marriott, più altri 700 milioni di indirizzi mail scoperti in una raccolta di file ospitati su un servizio cloud come backup non protetto; i 540 milioni di record di utenti Facebook, comprensivi di ID e password, lasciati in chiaro su server non protetti; i 100 milioni di numeri di carte di credito, oltre a 140.000 numeri di previdenza sociale e 80.000 numeri di conto bancario, trafugati alla banca americana Capital One; gli oltre 160 milioni di record di clienti della società MoviePass, comprensivi di numeri di carta di credito, lasciati in chiaro in un database aziendale senza protezione e da qui estratti e divulgati; i 7,5 milioni di record di clienti Creative Cloud sottratti ad Adobe in quanto erano memorizzati in un database non sicuro.
Cosa stiamo facendo
Anche sul fronte opposto, ossia quello delle iniziative per la prevenzione degli attacchi e la difesa contro le minacce cibernetiche, il 2019 è stato un anno molto importante: esso ha infatti visto il consolidamento ed il completamento del quadro normativo europeo sulle iniziative di protezione, nonché l’introduzione nel nostro Paese di ulteriori misure normative atte a rafforzare la sicurezza cibernetica nazionale.
Per quanto riguarda l’ambito comunitario, va innanzitutto ricordato che nello scorso anno sono andate definitivamente a regime le due più importanti norme pan-europee sulla sicurezza riguardanti, rispettivamente, la protezione dei dati personali (GDPR) e quella dei servizi essenziali per la società (Direttiva NIS). Di entrambe si è molto parlato sin dal 2018, anno della loro entrata in vigore, e non è qui il caso di ripetere cose già note: occorre tuttavia sottolineare che entrambe prevedono l’obbligo, per i rispettivi soggetti interessati, di segnalare alle competenti Autorità nazionali ogni significativo incidente cibernetico o violazione di dati personali eventualmente subiti; a loro volta le Autorità nazionali devono provvedere a trasmettere annualmente all’Agenzia europea ENISA un rapporto sugli incidenti ricevuti dagli operatori.
Questo meccanismo è importantissimo perché consente finalmente, da quest’anno e per la prima volta, di iniziare a gettare luce sul reale stato della minaccia, mettendo a frutto la conoscenza diretta degli effettivi incidenti occorsi nell’intera Unione: una cosa che fino ad ora non era stata possibile mancando l’obbligo, per i soggetti interessati, di denunciare gli incidenti stessi. Ciò ovviamente consentirà di sviluppare delle analisi più puntuali sulla minaccia e quindi, auspicabilmente, di poter sviluppare misure comuni più efficaci sia in termini di prevenzione che di risposta alle tipologie di incidenti più significative.
Ma nel 2019 è anche entrata in vigore un’ulteriore ed altrettanto importante norma europea, il cosiddetto Cybersecurity Act, che ha istituito in via permanente l’Agenzia dell’Unione Europea per la cyber security (ENISA) e soprattutto ha introdotto un meccanismo comune europeo per la certificazione della sicurezza dei prodotti consumer. Quando tale sistema sarà a regime, cosa che avverrà fra la fine di quest’anno e l’inizio del prossimo, i consumatori che vorranno acquistare prodotti elettronici o informatici troveranno sugli scaffali dei negozi sia prodotti “non certificati” (perché il costruttore non ne avrà richiesto la certificazione) che prodotti “certificati”: questa sorta di “bollino blu” europeo consentirà così al potenziale acquirente di scegliere il prodotto che, oggettivamente, offre maggiori garanzie di sicurezza e privacy, in quanto ha superato una serie di rigorosi test svolti da enti accreditati e vigilati dai Governi. Fra ulteriori due anni tale certificazione, inizialmente facoltativa, sarà resa obbligatoria per alcune categorie di prodotti comuni, innalzando così la protezione globale dell’Unione nei confronti della potenziale invasione, peraltro già in atto, di prodotti consumer tanto economici quanto di dubbia sicurezza, provenienti soprattutto (ma non solo) da costruttori dell’estremo oriente.
Ma anche a livello nazionale il 2019 è stato un anno di svolta: il Governo italiano ha infatti emanato alcune importanti normative nazionali che hanno completato ed integrato la costruzione di quel piano di protezione cibernetica del Paese iniziato a valle del recepimento della Direttiva NIS avvenuto nel 2018.
In primo luogo, è stato finalmente istituito in modo formale presso il DIS lo CSIRT Italiano, struttura unica per la risposta agli incidenti di sicurezza cibernetica nel pubblico e nel privato; sino a quel momento infatti lo CSIRT aveva operato in regime provvisorio, mediante la collaborazione fra il CERT Nazionale (attivo presso il Ministero per lo sviluppo economico) e il CERT della Pubblica Amministrazione (attivo presso l’Agenzia per l’Italia Digitale). In secondo luogo, e soprattutto, è stato istituito il cosiddetto Perimetro di sicurezza cibernetica nazionale, entità formata da tutti quegli operatori che svolgono servizi critici per la sicurezza dello Stato e che quindi, quando tutta la macchina sarà messa a regime, dovranno essere assoggettati ad un regime di sicurezza equivalente o superiore a quello imposto dalla Direttiva NIS agli operatori di servizi essenziali per la società civile.
Del quadro complessivo fa parte anche la creazione, presso la Presidenza del Consiglio, del nuovo Dipartimento per l’innovazione. Questo infatti non solo è stato dotato di amplissime deleghe sulla cybersecurity, ma gli è stata anche trasferita la competenza sull’Agenzia per l’Italia Digitale che in precedenza era assegnata al Ministero della funzione pubblica. Con l’acquisizione dell’AgID, che sinora era l’unico ente preposto dalla normativa ad occuparsi della sicurezza cibernetica della Pubblica Amministrazione, il nuovo Dipartimento centralizza in sé tutte le competenze sul digitale nella sfera pubblica e sulle relative esigenze di sicurezza.
Cosa resta da fare
Non tutte le azioni poste in atto dall’Italia e dall’Europa nel 2019 sono tuttavia già a regime: per alcune di esse, anzi, rimangono ancora diverse attività da fare prima di raggiungere la piena operatività, ed i tempi previsti dai programmi di attuazione arriveranno a coprire quasi tutto il 2020. Vediamo quindi quali sono i passi ancora da ultimare per completare il quadro della protezione dello spazio cibernetico nazionale.
Per quanto riguarda la Direttiva NIS siamo già a buon punto: gli Operatori di servizi essenziali sono stati identificati (anche se il relativo elenco è stato secretato) già a fine 2018, e nel corso del 2019, sotto l’indirizzo delle diverse Autorità di settore, sono state impartite loro le indicazioni sulle misure di sicurezza da adottare nonché i criteri per valutare la rilevanza degli eventuali incidenti cui dovessero andare soggetti. Il 2020 è dunque semplicemente l’anno del rodaggio della macchina, almeno per quanto riguarda gli operatori.
Leggermente in ritardo sui piani iniziali, anche se oramai quasi conclusa, è invece la messa a regime dello CSIRT Italiano: infatti secondo la legge di recepimento della Direttiva NIS tale struttura doveva essere resa operativa entro il novembre 2018, ma il relativo decreto attuativo ha visto la luce solo nel novembre 2019; da questa data è scattato un ulteriore periodo di quattro mesi nel quale il DIS (cui è stata definitivamente assegnata la gestione dello CSIRT) e l’AgID dovranno regolare, mediante la stipula di un’apposita convenzione, sia le modalità di trasferimento dei servizi dal CERT-PA allo CSIRT che le modalità secondo le quali il DIS potrà eventualmente avvalersi di AgID per lo svolgimento di alcune funzioni dello CSIRT. Entro metà marzo dunque lo CSIRT Italiano potrà finalmente operare in regime definitivo come entità autonoma, abbandonando l’operatività in regime provvisorio che era stata garantita sinora, come da norma, mediante la stretta cooperazione tra CERT Nazionale e CERT-PA.
Il processo di consolidamento del cosiddetto Perimetro nazionale di sicurezza cibernetica sta invece muovendo adesso i suoi primi passi, dato che la relativa norma è stata approvata solo lo scorso novembre (peraltro con alcune date attuative spostate in avanti tramite l’oramai consueto decreto “milleproroghe” di fine anno). La complessa macchina del Perimetro, la cui gestione è stata assegnata al Ministero dello sviluppo economico ed alla Presidenza del Consiglio, è dunque in piena fase di avvio.
Le tappe del percorso, da effettuarsi lungo l’arco di questo 2020, sono analoghe a quelle già sperimentate per la Direttiva NIS e prevedono sostanzialmente: l’identificazione dei soggetti compresi nel perimetro; la comunicazione, da parte di questi alle Autorità competenti, delle informazioni riguardanti la propria architettura IT responsabile dell’erogazione dei servizi; la definizione, da parte delle Autorità, delle misure di sicurezza che i soggetti dovranno adottare; ed infine la relativa messa in esercizio da parte degli operatori. Parallelamente a questo percorso dovrà essere assicurata la piena operatività al Centro di Valutazione e Certificazione Nazionale, istituito presso il MiSE, ed agli altri Centri analoghi (quello del Ministero dell’Interno e quello della Difesa) che dovranno effettuare le verifiche tecniche sui prodotti e servizi critici per la sicurezza nazionale. Secondo il piano stabilito dalla legge, tutto il processo dovrebbe andare a regime giusto entro la fine del 2020: sembra un periodo lungo ma in realtà si tratta di un obbiettivo decisamente sfidante, in quanto le attività da fare sono tante e complesse; sarà importante quindi non abbassare l’attenzione e monitorare attentamente l’evoluzione di ogni fase del progetto, per scongiurare eventuali intoppi in corso d’opera che ritarderebbero il raggiungimento della piena operatività del sistema nei tempi previsti.
Va infine ricordato che nel 2020 vedrà probabilmente la luce, nell’ambito della Difesa, l’annunciato nuovo Comando operativo di vertice che prevede una riorganizzazione di ruoli e competenze in ambito cibernetico. Si tratta di un progetto nato oltre un anno fa con l’obiettivo di costituire una struttura interforze apicale per la gestione unitaria delle attività di interesse militare nel dominio cibernetico: sarà infatti collocata direttamente al vertice dello Stato Maggiore Difesa, ed in essa presumibilmente confluiranno le due preesistenti strutture già attive nel presidio del cyber, ossia il Comando Interforze per le Operazioni Cibernetiche (CIOC) ed il Comando C4 Difesa (C4D). I tempi di costituzione del nuovo Comando di vertice non sono ancora ufficializzati, ed è presumibile che il raggiungimento della piena operatività non avverrà prima del prossimo anno; ma il lavoro portato avanti dal gruppo di progetto C5ISR è oramai in fase avanzata, e verosimilmente porterà almeno ad un primo avvio già nel corso di quest’anno.
A cosa fare attenzione
Quali saranno, a questo punto, le nuove sfide globali e trasversali di cybersecurity che dovremo affrontare nel prossimo anno e magari nel prossimo decennio ruggente? Alcuni macro-temi di particolare sensibilità sono già all’attenzione degli esperti da qualche tempo, ma ci si aspetta che diventeranno a breve temi assai caldi. Vediamoli brevemente, in conclusione.
Il primo e forse più inquietante, in quanto concettualmente nuovo, è quello riguardante l’uso sempre più diffuso di tecniche di intelligenza artificiale applicate a questioni quotidiane o di largo impatto. Le IA sono e sempre più saranno applicate in campi disparatissimi, dalla refertazione automatica di esami finalizzata all’individuazione e diagnosi di situazioni patologiche sino alla guida di veicoli autonomi, dallo sviluppo di assistenti personali sempre più user-friendly alla profilazione predittiva di gusti, inclinazioni e tendenze dei singoli e della popolazione. Ciò solleva importanti questioni di natura etica e giuridica, ma anche e soprattutto timori di natura tecnica: ci si chiede ad esempio se e come qualche malintenzionato potrebbe “plagiare” deliberatamente una IA, ossia riuscire a modificarne dolosamente il comportamento in modo da farle prendere decisioni sbagliate ad arte; e nel caso come sia possibile impedire o almeno rilevare un attacco del genere verso una IA, che per definizione è “imprevedibile” nei suoi ragionamenti. Il dibattito è aperto, ed è tanto più importante quanto più il campo di applicazione delle IA si sposta verso ambiti critici nei quali un comportamento sbagliato potrebbe anche compromettere la vita di esseri umani: sanità, difesa, gestione di infrastrutture critiche e via dicendo.
A proposito di infrastrutture critiche, il tema non è certamente nuovo in sé ma rimarrà certamente cruciale anche nei prossimi anni per via del sempre maggiore ricorso a tecnologie ICT connesse anche laddove storicamente esse non venivano in precedenza applicate. Naturalmente l’ondata di dispositivi IoT, tanto economici quanto insicuri, che sta invadendo le nostre case, le nostre aziende, le nostre fabbriche e i nostri impianti industriali, non aiuta certo a sentirsi tranquilli per il futuro; per non parlare del 5G prossimo venturo, che porta in sé tanto uno straordinario potenziale applicativo quanto il rischio di abusi e violazioni senza precedenti. Non è tuttavia, come molti pensano, solo un problema di “tecnologia sovrana”: gli embarghi verso quel fornitore o quella nazione non sono efficaci in sé, e soprattutto costituiscono una risposta politica ad un problema tecnico; quello che andrebbe fatto, e che l’Europa in effetti sta iniziando a fare pur se con colpevole ritardo, è stabilire regole tecniche chiare e trasparenti per condizionare l’accettazione o il rigetto di un prodotto in base alle sue caratteristiche oggettive, indipendentemente dalla sua provenienza. Certo è difficile da fare, e il caso della Volkswagen che ingannava deliberatamente i controlli delle emissioni inquinanti lo insegna, ma è realmente l’unica strada da percorrere.
Ma il punto più dolente rimane ancorato al fattore umano: finché non produrremo utenti più avveduti, programmatori più attenti, sistemisti meno sciatti, avvocati più preparati e politici più informati, non usciremo dall’impasse. Le “nuove” tecnologie, pur non essendo più affatto nuove, sono ancora sconosciute e misteriose ai più: ciò dà adito ai malintenzionati di approfittarne, colpendo l’anello debole della catena che è l’uomo. Occorrerebbe portare la cultura del digitale (che non è “coding”!) a tutti i livelli, ed insegnare i semplici comportamenti di “igiene cibernetica” (che non è “informatica”!) sin dalle scuole elementari. Servono iniziative ampie e trasversali per far uscire dall’ignoranza non solo l’uomo della strada e la casalinga di Voghera, ma anche e soprattutto il manager, il CEO, il primario ospedaliero, il dirigente pubblico, il decisore politico. Questo sarà il vero cambio di passo che ci consentirà di traghettare la nostra società fuori del mare dell’insicurezza cibernetica. Ogni altra misura tecnica che adotteremo, nel prossimo anno e nel prossimo decennio, sarà altrimenti solo un palliativo, un intervento tattico che curerà il sintomo ma non guarirà la malattia.