La rilevanza della sicurezza cibernetica assume un ruolo sempre più pregnante, soprattutto in ottica di sicurezza nazionale. Lo scorso 1° marzo è stata pubblicata la Relazione sulla politica dell’informazione per la sicurezza per l’anno 2020, contenente l’allegato documento di sicurezza nazionale, relativo alla cybersecurity, anche alla luce degli eventi conseguenti alla pandemia da Covid-19 attualmente in corso e al massiccio incremento delle attività online e cibernetiche. L’analisi, dopo essersi soffermata sul dato qualitativo e quantitativo degli attacchi cyber nel 2020, offre uno sguardo sulle policy di sicurezza e sulle politiche di mitigazione e contrasto messe in campo dal cd. comparto sicurezza.
Il 1° marzo 2021 è stata pubblicata sul sito del Sistema di informazione per la sicurezza la Relazione sulla politica dell’informazione per la sicurezza 2020. Come previsto dalla legge n. 124 del 2007, ai sensi della quale il Governo riferisce ogni anno al Parlamento con una Relazione non classificata sulla politica dell’informazione per la sicurezza, anche quest’anno il cd. Comparto intelligence (DIS, AISE e AISI) ha redatto l’apposito documento, comprensivo del Documento di sicurezza nazionale, finalizzato all’analisi del contrasto e della minaccia cibernetica in Italia nel corso del 2020.
La rilevanza della materia è testimoniata dal peso assunto dalla minaccia cyber alla sicurezza del nostro paese. Come indicato nel corpo della Relazione annuale, infatti, gli attacchi hanno ricevuto un ulteriore incremento nel nostro paese nel corso del 2020, con il settore sanitario in forte pressione anche sotto tale aspetto (come osservato anche qui). Questo anche a causa delle vulnerabilità del lavoro agile e dell’utilizzo delle VPN da parte sia del settore pubblico, che delle aziende di profilo strategico e delle infrastrutture critiche. Con riferimento agli attacchi al settore sanitario, questi risultano promossi sia da attori statuali (principalmente a scopo di esfiltrazione di informazioni su terapie e ricerca), che hacktivisti (con ricerca di vulnerabilità e tentativi di violazione di portali web) o cybercriminali (con domini malevoli e portali fittizi a scopi di fishing, ma anche sfruttamento di vulnerabilità note).
In linea con il trend degli scorsi anni, inoltre, si assiste ad un incremento della minaccia cibernetica. Nello specifico, rispetto al 2019, si osserva un +20% delle aggressioni, con una prevalenza di obiettivi IT di soggetti pubblici (83% sul totale degli attacchi), soprattutto di enti locali (+30%) e di Ministeri titolari di funzioni critiche (+ 2%).
Con riferimento, invece, alla paternità degli attacchi si evidenzia una sempre maggiore difficoltà dell’individuazione degli autori, anche alla luce della complessità delle tecniche utilizzate. È possibile sottolineare, comunque, come attacchi di stampo hacktivista (i quali ricevono pubblica rivendicazione) si mantengano la matrice più ricorrente (71% del totale), senza significativi scostamenti rispetto agli anni precedenti, ma con una forte pressione su operatori del sistema energetico (operazioni OpLucania e OpSarno ad opera del collettivo Anonymous Italia). Riguardo, invece, agli attacchi di origine statuale, si assiste ad una significativa riduzione (-7%) a fronte, però, di un incremento degli episodi con matrice non identificabile (+6%), che potrebbe ben nascondere anche attori statali avversi, ma con capacità di occultamento in crescita.
Riguardo, invece, all’aspetto informativo si è assistito nel corso del 2020 ad un sostanziale azzeramento degli attacchi direttamente ricollegati a fini propagandistici, contro un sostenuto aumento della minaccia ibrida, attraverso una elevatissima produzione di fake news, narrazioni allarmistiche e disinformazione, soprattutto in relazione alla pandemia ed anche a causa degli algoritmi dei social network, in grado di alimentare una “camera dell’eco” favorevole ad informazioni autoreferenziali, con la produzione di effetti di “infodemia” (tema affrontato anche qui, qui e qui).
Passando, invece, al vero e proprio Documento di sicurezza nazionale relativo alle politiche di implementazione della sicurezza cibernetica, si evidenzia un rilevante rafforzamento delle strutture di tutela in capo al Sistema di informazione per la sicurezza. Infatti, dopo l’analisi della policy cyber fortemente promossa dal Comparto e concernente il Perimetro di sicurezza nazionale cibernetica e la nascita del Computer security incident response team – CSIRT (di cui si è già parlato qui), ci si sofferma sulle politiche di sicurezza nello sviluppo delle reti di nuova generazione 5G (spesso al centro di dibattiti, con opinioni non sempre concordi, circa la loro sicurezza e il pericolo di interventi stranieri nell’adozione di tali sistemi). Tra queste rientrano, in primis, l’affidamento al CVCN delle verifiche tecniche circa fattori di vulnerabilità delle reti, nonché l’utilizzo del golden power in via prescrittiva, allo scopo di ottenere da parte degli operatori l’elaborazione di piani di diversificazione dei fornitori della componente “core”.
Con riferimento, invece, alla gestione delle situazioni di crisi cibernetica, si evidenzia come il Nucleo per la Sicurezza Cibernetica (NCS), incardinato presso il DIS, ha visto la propria attivazione nella valutazione dei possibili impatti degli attacchi, soprattutto a danno dei soggetti impegnati nel contrasto epidemico, principalmente allo scopo di innalzare le difese di tali infrastrutture. Il NCS, inoltre, in ossequio ai propri compiti ha raccolto, analizzato e disseminato dati su incidenti e compromissioni, nonché studiato le misure di coordinamento interministeriale e predisposto attività di formazione in materia, anche per i vertici apicali delle amministrazioni. Di particolare rilievo, inoltre, emerge la promozione e il coordinamento alla partecipazione ad esercitazioni sia UE, che NATO.
Un indubbio successo del lavoro svolto dal DIS è il lancio ufficiale della rete Cyber Crisis Liaison Organisation Network (CyCLONe). Questa ha lo scopo di garantire la protezione, la conoscenza situazionale e il coordinamento nella gestione delle crisi, in relazione agli incidenti su larga scala. Tali obiettivi prevedono il coordinamento di tre livelli: politico, operativo e tecnico. Proprio in seno alla rete si prevede l’organizzazione annuale dell’evento Blue OLEx con la partecipazione dei principali vertici delle autorità cyber nazionali, al fine di migliorare il coordinamento tra Stati membri e con le istituzioni UE.
Nel documento si osserva poi il funzionamento dell’architettura nazionale di sicurezza cibernetica, con valorizzazione del ruolo assunto dal DIS nell’ambito del supporto politico e di coordinamento delle situazioni di crisi, anche grazie al raccordo con i diversi soggetti competenti.
Con riferimento, invece, alle già citate attività del CSIRT, entrato in funzione nel maggio 2020, si evidenzia la ricezione di oltre 25.000 segnalazioni provenienti sia da soggetti nazionali (nettamente preponderanti), che da omologhi stranieri. Con riguardo alle varie funzioni svolte dallo CSIRT, inoltre, si evidenziano le numerose analisi tecniche (sotto forma monografica gratuitamente scaricabile dal portale) realizzate su specifici pericoli (Agent Tesla, Emotet, Netwalker, ModiLoader, Sunburst).
Invece, nell’ambito della formazione e dello sviluppo della consapevolezza dei pericoli cyber, il DIS ha patrocinato competizioni volte alla formazione di giovani professionisti della sicurezza informatica (con partecipazione di oltre 4.000 studenti), nonché ha predisposto dei vademecum operativi volti a sensibilizzare gli operatori sui rischi legati al telelavoro e alla necessità di seguire delle buone pratiche di sicurezza.
Il documento, infine, conclude la propria analisi con delle prospettive de iure condendo, soprattutto con riferimento all’accrescimento della resilienza delle infrastrutture e dei servizi critici, anche in relazione all’allocazione delle risorse del programma “Next Generation EU”. Particolare attenzione è posta sulla creazione di un centro nazionale di sviluppo e ricerca in cybersecurity che, in linea con quanto previsto dal Piano Nazionale per la protezione cibernetica e la sicurezza informatica, assuma anche il coordinamento con l’equivalente centro europeo in via di predisposizione.
Lo scopo di tale nuova struttura sarebbe quello di favorire “lo sviluppo e il potenziamento di una industria italiana ed europea competitiva” in relazione a tecnologie ad alto grado di sicurezza, così da incrementare anche le capacità di prevenzione e di maturità digitale delle aziende.
Per una comparazione con il documento dello scorso anno, infine, si rinvia qui.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale