La relazione sulla Politica dell’Informazione per la Sicurezza 2020, relazione annuale del DIS (Dipartimento delle informazioni per la sicurezza) al Parlamento, delinea la nuova situazione della minaccia cibernetica in Italia.
L’anno della pandemia ha generato un avanzamento tecnologico proiettandoci in avanti di circa quindici anni nella diffusione delle tecnologie di comunicazione remota a supporto del lavoro agile, ma questo salto in lungo è avvenuto senza le necessarie precauzioni in termini di sicurezza e di consapevole uso degli strumenti e della rete.
Attacchi cyber più sofisticati e mirati
“Nel complesso”, scrive il DIS, “si è evidenziato come gli attori ostili abbiano sfruttato, nel periodo pandemico, il massiccio ricorso al lavoro agile e la conseguente accessibilità da internet, tramite collegamenti VPN (Virtual Private Network), di risorse digitali di Ministeri, aziende di profilo strategico e infrastrutture critiche, divenuti ancor più bersaglio di campagne ostili di matrice statuale, criminale o hacktivista”.
La minaccia cibernetica è decisamente cresciuta, più sofisticata e molto mirata. Lo si evince anche dai dati della Relazione. Sofisticata perché ci da maggiore filo da torcere nel rilevarla, nel combatterla e nel comprendere chi sia l’attaccante. Infatti siamo passati da u n 14% di attacchi di matrice non identificabile a un 20%.
Segno che gli attaccanti sanno mistificare meglio e stanno lavorando per rendere ancora più difficile l’attribuzione, anche solo ipotetica, neppure forense. Sofisticata anche perché nel 62,7% dei casi di cyber attacco, le finalità non sono note, neanche dopo la rilevazione e lo studio dell’azione. Il che significa che in molti casi non abbiamo ancora capito perché siamo stati attaccati e cosa ci hanno fatto.
Dal punto di vista di un attacco fisico la non comprensione delle finalità desterebbe infiniti sospetti, invece nel dominio cibernetico è usuale. Spesso non ci rendiamo conto che questo significa anche che l’avversario sta “dispiegando le truppe” cioè semplicemente si sta infiltrando, rilevato o meno, nei nostri sistemi, per esempio nelle infrastrutture critiche, in attesa di agire. E nel 53% dei casi rilevati di attacco le attività erano prodromiche (ma non sapremo quasi mai prodromiche rispetto a cosa, cioè come sarebbero proseguiti).
PA locali bersagliate
Inoltre, gli attacchi alla Pubblica Amministrazione passano dal 73% all’83%, crescendo in modo notevole rispetto al passato. E in particolare gli attacchi alle PA locali passano dal 16% ad addirittura il 48% del totale nel settore pubblico, con ciò segnando una svolta nella attenzione che Agid e le Istituzioni preposte dovranno porre al problema.
La relazione prosegue sottolineando che “è emerso come attori statuali abbiano tentato di sfruttare le debolezze connesse all’ondata pandemica per porre in atto attacchi sofisticati miranti ad esfiltrare informazioni sensibili su terapie e stato della ricerca.”
Il settore farmaceutico passa dall’ultimo al terzo posto (dal 3% al 7%) della classifica dei più colpiti superando telecomunicazioni, energia e trasporti che fino all’anno scorso erano sempre in netto aumento e invece nel 2020 calano bruscamente tutti al 2% dei colpiti (l’energia passa addirittura dal 13% al 2%). Restano al primo posto “pari merito” il settore bancario e quello delle infrastrutture digitali e dei servizi IT, entrambi all’11%, con poco scostamento in crescita dall’anno scorso.
Sempre più spesso gli attaccanti sono criminali (passati dall’1% al 5% in un solo anno) che trovano molto “comodo” esfiltrare credenziali di pagamento a grandi numeri di utenti e che hanno trovato accesso facilitato nelle PA anche locali per questo intento. L’esfiltrazione di dati è infatti l’esito nel 38% degli attacchi.
Aziende farmaceutiche
Caso a parte le aziende farmaceutiche, con il tema del segreto industriale sui vaccini e sulle cure per la pandemia. A queste occorre rivolgere una attenzione specifica e profonda perché la motivazione a esfiltrare dati di questo genere è ben più alta della normale motivazione a colpire, e di sicuro sono maggiori gli investimenti dell’attaccante.
La Relazione del DIS spiega infatti “Le intrusioni hanno riguardato in particolare enti/operatori afferenti al settore della sanità e della ricerca, in direzione dei quali sono state effettuate compromissioni informatiche attraverso l’acquisizione di credenziali amministrative ovvero l’inoculazione di malware e Dicasteri ed altre Amministrazioni dello Stato, nei cui confronti si è registrata una intensa campagna di diffusione di malware.”
Tecniche innovative, intervenga il Governo
Peraltro, il malware scende al 2,4 % di casi di utilizzo, mentre regna incontrastata la metodologia di attacco SQL, legata ai portali e ai database non sicuri con un 62% sempre in crescita. Interessante, da questo punto di vista, l’aumento dell’uso di bug hunter nelle tecniche di attacco che arriva al 25%.
Sono tecniche innovative che richiedono un certo investimento nella preparazione dell’attacco e denunciano ancora una volta un avversario sofisticato e determinato, non più un generale improvvisatore spinto da fini dimostrativi.
Speriamo che il nuovo Governo sappia cogliere questo monito chiaro e secco, giunto con insperata tempestività proprio nel momento giusto per poter influenzare le decisioni del neonominato esecutivo in merito alla destinazione dei fondi del recovery plan e in merito alla applicazione del perimetro nazionale di cyber security.
Articolo pubblicato online su Agenda Digitale.