Italia nella top10 degli hacker ma investe poco in cybersecurity

Cert_Nazionale

Il CERT Nazionale è stato istituito nel 2014.

L’Espresso ha recentemente affrontato il tema della sicurezza online in Italia dal punto di vista organizzativo e burocratico. La nomina del professore Roberto Baldoni all’importante ruolo di vicedirettore del Dipartimento delle Informazioni per la Sicurezza (con delega alla cybersecurity), è stata l’occasione per delineare la delicata situazione del settore in Italia. Nel post di oggi riporteremo le parti più interessanti dell’articolo.

Il dato che emerge nella prima metà dell’articolo è la difficile situazione del reparto cybersecurity italiano. A fronte di un incremento dei costi dovuti agli attacchi informatici, per il 2017 si parla di almeno 1000 attacchi gravi e cifre fino a 13 volte la spesa globale delle missioni spaziali (450 mld), e dell’ingresso dell’Italia nella top10 dei Paesi più colpiti, permangono ancora diverse criticità e carenze organizzative, nello specifico:

budget insufficiente. I 150 milioni stanziati dal governo sono stati redistribuiti tra Polizia Postale, Difesa ed Informazioni per la sicurezza (120 mln). La Germania ha destinato ai corrispettivi dipartimenti una cifra prossima al miliardo di euro;

frammentazione. L’ordinamento interno, approvato poco prima della nomina di Baldoni, esclude quest’ultimo dagli “archivi” delle informazioni classificate, come ad esempio i dettagli (svolgimento ed obiettivi) circa gli attacchi indirizzati a dicembre 2017 contro le ambasciate francesi e tedesche. «C’è una certa ritrosia a condividere i dati con lui, soprattutto da parte di quelli che concorrevano al suo posto» afferma una fonte anonima citata dall’editorialista. La frammentazione è rimarcata anche dall’assenza di membri dell’intelligence all’interno del Nucleo per la Sicurezza Cibernetica (come avviene invece in altri Paesi come il Regno Unito), del quale si parlerà nella seconda parte del post.

 direttive europee inapplicate, disorganizzazione. L’Italia non ha ancora approvato un decreto che metta in atto quanto previsto dalla direttiva europea NIS (Network and Information Security), in sintesi l’individuazione degli operatori di servizi essenziali (da individuare nei settori “energia, trasporti, bancario, dei mercati finanziari, sanitario, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali”); il rispetto di specifici obblighi di sicurezza da parte degli operatori, inclusa la notifica immediata all’autorità competente a seguito di un attacco subito; l’applicazione di sanzioni ai trasgressori della direttiva. Nel settore delle telecomunicazioni, i cui membri sono obbligati da un’altra norma del 2012 a riferire in caso di incidenti informatici, manca una struttura di riferimento alla quale inoltrate le segnalazioni di sicurezza;

– normativa mancante per “operazione cyber militari”. Come dichiarato dalla Commissione Difesa, manca una definizione dei “singoli passaggi attraverso i quali prendere parte a un’operazione militare che utilizzi i sistemi cibernetici”. Al giorno d’oggi le guerre possono essere combattute anche da una semplice scrivania provocando ingenti danni (si pensi alle conseguenze derivanti dalla manomissione degli impianti di una centrale nucleare) o influendo in modo più indiretto sull‘opinione pubblica di un Paese mediante campagne di condizionamento mirate.

Idee e buoni propositi

Ed in merito a queste ultime, menzionate forse troppe volte negli ultimi anni (dal referendum sulla Brexit fino alle presidenziali statunitensi ed alle elezioni politiche italiane), aggiunge alcuni dettagli  il professore Emilio Ferrara, interpellato nella seconda parte dell’articolo ed autore del libro “Social bots distort the 2016 U.S. Presidential election”:

Sono convinto che la maggior parte dei meccanismi che abbiamo scoperto si possano applicare in qualsiasi elezione», sottolinea Ferrara. E rimarca come alcuni dei temi ricorrenti «possano essere ritrovati nel contesto della politica italiana, per esempio l’immigrazione, lo ius soli. Sono tipici argomenti di discussione polarizzati e i bot possono essere utilizzati con successo per dividere l’opinione pubblica».

Se “il fattore umano si rivela quindi l’anello debole di ogni catena di sicurezza”, prosegue l’editorialista, è anche vero che grazie ad apposite strategie è possibile invertire il trend ed affrontare meglio le minacce della Rete. La difficile situazione della cybersecurity italiana potrebbe essere affrontata ad esempio:

– costruendo un modello italiano di cybersecurity. Formazione di talenti e diffusione di una cultura prettamente tecnologica sono misure importanti ma non sufficienti. Il nodo cruciale sono invece le abitudini di condotta, delle buone norme che, a costo quasi zero, sono in grado di bloccare le tipologie di attacchi più comuni (es: phishing, campagne malware);

– sviluppando il Nucleo per la Sicurezza Cibernetica (Nsc). L’Nsc, il cui funzionamento è supervisionato dallo stesso Roberto Baldoni, ha sulla carta le potenzialità per migliorare la situazione dell’Italia: oltre alla prevenzione ed al pronto intervento, dovrà anche tenere aggiornato il governo e divenire punto di contatto tra il Paese e le istituzioni europee – obiettivi ambiziosi che dovranno superare la prova dei fatti;

– lavoro di squadra. “Siamo immersi nello spazio digitale, ognuno deve fare la propria parte. Dobbiamo ragionare come squadra, finora tutti si sono isolati” è quanto afferma Baldoni in un passaggio dell’articolo riassumendo perfettamente uno dei punti della lista;

– creazione del Centro di valutazione e certificazione nazionale (ministero dello Sviluppo economico) per controllare l’adeguatezza o meno degli standard di sicurezza delle componenti informatiche;

– rafforzamento del Comando interforza per le operazioni cibernetiche (CIOC). Il Comando è operativo dal 2017 (sarà a pieno regime dal 2019) ed è alle dipendenze del Capo di stato maggiore della Difesa. Le aree di competenza vanno dall’information security fino alla cyber warfare ed alla cyber security;

– unificazione dei CERT italiani. L’acronimo di Computer Emergency Response Team sta ad indicare generalmente organizzazioni che hanno il compito di “raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software che provengono dalla comunità degli utenti”. In Italia sono presenti numerosi CERT (CERT-NAZIONALE, DIFESA, RPC, PA etc.). In futuro gli operatori di servizi essenziali (da individuare in base alla direttiva europea NIS) dovranno inviare le segnalazioni ai CERT.

Fonti: 1, 2, 3, 4