La cybersecurity italiana nel 2021: uno sguardo al documento di sicurezza nazionale

Si conferma l’assoluta rilevanza della sicurezza cibernetica anche nel 2021, soprattutto in ottica di sicurezza nazionale. Lo scorso febbraio è stata pubblicata la Relazione sulla politica dell’informazione per la sicurezza per l’anno 2021, contenente in allegato il documento di sicurezza nazionale relativo alla cybersecurity. L’analisi, dopo essersi soffermata sul dato qualitativo e quantitativo degli attacchi cyber nel 2021, mette in luce le policy di sicurezza e le politiche di mitigazione e contrasto introdotte dal cd. comparto sicurezza.

 

Il 28 febbraio 2022 è stata pubblicata sul sito del Sistema di informazione per la sicurezza della Repubblica la Relazione sulla politica dell’informazione per la sicurezza 2021. Come previsto dalla legge n. 124 del 2007, ai sensi della quale il Governo riferisce ogni anno al Parlamento con una Relazione non classificata sulla politica dell’informazione per la sicurezza, anche quest’anno il cd. Comparto intelligence (DIS, AISE e AISI) ha redatto l’apposito documento, comprensivo del Documento di sicurezza nazionale, finalizzato all’analisi del contrasto e della minaccia cibernetica in Italia nel corso del 2021. Questo Osservatorio, come negli scorsi anni, vuole analizzare il documento per comprendere quanto è stato fatto (e quanto occorre ancora fare) in materia di cybersicurezza (per gli anni precedenti, si veda qui e qui).

Prioritariamente, risulta importante evidenziare l’analisi quantitativa e qualitativa degli attacchi subiti dal Paese. Tra le principali novità emerse nel corso del 2021, un nuovo modello di offesa ha assunto rilevanza: il “Ransomware-as-a-Service (RaaS)”. Questo deriva dalle relazioni tra due soggetti – gli sviluppatori e i materiali estorsori – con condivisione dei fondi illeciti dai primi, verso i secondi. A ciò si aggiunge un secondo livello di minaccia, non solo attacchi ransomware, volti alla criptazione dei dati (fenomeno sempre più diffuso, si veda qui e qui), ma anche a minacciare la pubblicazione dei dati sul dark net. Il riscatto, dunque, appare volto ad ottenere sia la liberazione delle informazioni, che ad impedirne la pubblicazione (minaccia non eliminabile neppure con il recupero di backup).

A ciò deve aggiungersi come laddove tali attacchi siano riconducibili ad attori statuali, il loro utilizzo potrebbe essere volto anche all’occultamento di attività precedenti di cyber spionaggio. Rispetto all’anno precedente, però, il settore sanitario ha visto una riduzione degli eventi, a discapito di un’escalation di attacchi verso gli enti locali. Al seguito di casi di peculiare impatto (come Solar Wind) «particolare attenzione è stata riservata, poi, alle evoluzioni e agli effetti derivanti dagli attacchi cyber alla “supply-chain».

In via quantitativa si evidenzia come la pubblica amministrazione sia ancora il target privilegiato, pur con una diminuzione di 14 punti percentuali rispetto al 2020 (69%). Tra questi, il 56% hanno riguardato il comparto centrale dello Stato e per il 30% enti locali e strutture sanitarie. Per il settore privato, invece, gli ambiti più colpiti riguardano quello energetico (24%), dei trasporti (18%) e delle telecomunicazioni (12%), tutti in rilevante crescita rispetto all’anno precedente.

Con riferimento agli attori, si evidenzia nella relazione un sensibile calo dell’attività hacktivista, che fa da contraltare ad un incremento rilevante degli attacchi di matrice statuale. Tali dati, però, si rivelano meramente indicativi alla luce del costante incremento delle azioni non identificabili (40%), a riprova della peculiarità del settore e dell’elevata sofisticatezza degli attacchi.

 Resta alta, inoltre, l’attenzione per la minaccia ibrida, con la promozione delle «capacità nazionali per individuare, prevenire e contrastare» il fenomeno, con ampio raccordo tra tutte le amministrazioni coinvolte (principalmente Presidenza del Consiglio, Esteri, Interno e Difesa).

Passando, invece, al vero e proprio Documento di sicurezza nazionale, relativo alle politiche di implementazione della sicurezza cibernetica, si evidenzia la progressiva entrata in funzione del Perimetro di sicurezza nazionale cibernetica (PSNC) attraverso l’adozione dei diversi DPCM volti ad individuare i soggetti ed i beni inclusi nell’infrastruttura normativa. A ciò ha fatto seguito l’avvio delle attività del PSNC in via sperimentale, con l’inizio dei lavori del Tavolo interministeriale per l’attuazione del Perimetro.

Rispetto alle attività del Dipartimento quale punto unico di contatto NIS, nella relazione emerge il ruolo svolto nei negoziati inerenti alla proposta di Direttiva “relativa a misure per un livello comune elevato di cybersicurezza nell’Unione” (cd. NIS 2). Sempre in ambito europeo, inoltre, sono stati «seguiti i lavori per la creazione del Centro europeo di Competenza per la Cybersicurezza nell’ambito industriale, tecnologico e della ricerca, istituito con il Regolamento (UE) 2021/887 del 20 maggio 2021». Infine, è stato individuato in ambito OSCE il PoC, «punto di contatto “tecnico” nazionale in materia di cyber/ICT security», nella figura dello CSIRT italiano.

Con riferimento alle attività del Nucleo per la Sicurezza Cibernetica, oltre a quelle ordinarie a cadenza mensili e alle notifiche NIS, si sono svolte tre riunioni per «valutare i possibili impatti sistemici» di eventi ad elevato impatto, come il caso Solarwinds, e l’incidente Microsoft Exchange. In ottica di coordinamento e information sharing, il NSC ha partecipato alla pianificazione del NATO Crisis Management Exercise e alle esercitazioni a tutela del dominio spaziale. In materia di formazione e informazione, invece, il Nucleo ha condiviso con le p.a. un «decalogo per l’uso consapevole di strumenti e servizi digitali per i dipendenti della PA». Tali attività vanno ad aggiungersi a quelle svolte dal Computer Security Incident Response Team – Italia nell’ambito dello sviluppo della consapevolezza dei pericoli cyber. Inoltre, il DIS, tramite lo CSIRT, ha predisposto infografiche connesse alle buone pratiche in ambito di telelavoro e video conferenze, ma anche una puntuale attività di informazione a seguito dell’attacco ai server di Microsoft Exchange, con indicazioni, analisi e risultati sulle attività di mitigazione.

Sempre in ambito internazionale, inoltre, dopo il lancio ufficiale dello scorso anno della rete Cyber Crisis Liaison Organisation Network (CyCLONe), nel 2021 ha avuto luogo, con partecipazione italiana, la prima edizione di “Cyber SOPEx”, per verificare il funzionamento della rete.

Tra le attività di maggior impatto, inoltre, nel documento si evidenzia l’importanza di quanto fatto dallo Computer Security Incident Response Team – Italia (CSIRT). Entrato in funzione nel maggio 2020 (qui) e transitato dal 14 settembre 2021 all’Agenzia per la cybersicurezza nazionale, questo ha trattato 29.000 segnalazioni, «3.100 sono state classificate quali incidenti, di cui circa 30 catalogati come incidenti critici e 191 come vulnerabilità critiche». La maggioranza delle segnalazioni è emersa dall’analisi da fonti aperte, e in via secondaria dagli avvisi comunicati da omologhi internazionali o CERT nazionali.

Rispetto alle attività di disseminazione svolte dallo CSIRT, si evidenzia la disponibilità di una sezione dedicata del sito web dove sono resi disponibili approfondimenti, analisi e linee guida connessi a specifiche minacce, «nonché dettagliate misure finalizzate alla protezione dei sistemi, al backup e al ripristino dei dati e funzionalità, tese a incrementare la resilienza dell’organizzazione».

Pur essendosi trattato di un anno di transizione per il Dipartimento, a seguito dell’attivazione dell’apposita Agenzia, si evidenzia comunque l’alto numero e l’elevato livello di attività con lo scopo di mettere in sicurezza le infrastrutture, le organizzazioni e la cittadinanza italiana.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale