Il recente attacco informatico al CED della Regione Lazio sollecita molte considerazioni di sistema e di dettaglio. Vediamone alcune.
Il fenomeno globale: norme e comportamenti
Da molti anni la crescita esponenziale degli attacchi cyber, dall’avvio globale di Internet negli anni ’90, è all’attenzione dei tecnici e degli esperti.
Nella sola Europa, almeno dal 2010, le strategie e i piani nazionali di difesa si sono attestati per far fronte anche congiuntamente all’attacco crescente alla confidenza e sicurezza degli utenti nell’utilizzo dei diversi servizi telematici. Il moltiplicarsi delle piattaforme social, dell’e-business, dell’e-banking, dell’e-commerce, delle piattaforme cloud, della IoT, ecc. hanno sollecitato le norme in materia di sicurezza cyber nell’on line: la direttiva NIS del 2016, operativa dal 2018 ad esempio, e il controllo del cosiddetto perimetro di sicurezza nazionale per l’Italia, dal 2019.
Per la NIS, è prevista la compliance di risk assessment e risk evaluation, con riferimento a norme (di fatto minime) come le ISO e ad ‘adeguate’ misure di difesa.
Per il perimetro di sicurezza nazionale, la certificazione di reti, prodotti, servizi e processi digitali interni ed esterni al sistema. La considerazione globale è che all’accrescersi dello spazio e dei servizi telematici è corrisposta nel tempo, in maniera esponenziale la quantità e la qualità degli attacchi, in particolare ma non solo nei settori delle infrastrutture critiche: il settore finanziario, la sanità, l’energia, i trasporti, l’ambiente, ecc.
Scopi, impatti, cybercriminalità
Per comprendere i rischi, vanno approfonditi gli scopi, gli impatti, gli autori degli attacchi.
Partiamo da questi ultimi. Trattare l’attacco come hackeraggio generico, oscura le tipologie dei cybercriminali: anzitutto la filiera delle aziende cybercriminali che vendono attacchi incaricati da entità diverse; i piccoli criminali cyber che studiano la tematica degli attacchi mediante veri e propri corsi online; e anche, le entità del cyberterrorismo di stati nemici come rilevato dal Dipartimento della sicurezza nazionale statunitense (il Department of homeland security e il NIST).
Gli scopi sono molteplici e si possono riassumere in due obiettivi: ricavi economici di varia natura: ad esempio la vendita di account vati, bancari e telefonici, ad esempio, disponibili a pacchetti nel dark web o richieste di riscatto come negli attacchi cyber di tipo ransom che criptano i dati rendendone impossibile l’uso; e, anche finalità conoscitive di sistema: politica, affari, militari, ecc.
E, veniamo agli impatti: non solo la criptazione ma anche il rallentamento o il blocco dei servizi nei DOS, l’esfiltrazione dei dati, la corruzione o la distruzione dei dati e o dei servizi, come il caso noto della distruzione del sistema energetico ucraino, o il nucleare, e, caso poco discusso ma di piena preoccupazione da anni all’estero, lo spionaggio industriale, politico, istituzionale, militare che in molti casi si avvale di malware spesso non individuato per anni.
Le modalità degli attacchi
Alla preparazione informatico-cibernetica dei cybercriminali non corrisponde la possibilità concreta di difesa nei sistemi paese.
Prima di venire a ciò, chiediamoci come avviene un attacco: le cause sono dovute a vulnerabilità di duplice natura.
Le vulnerabilità comportamentali sono dovute a fragilità da parte degli utenti nelle istituzioni, nelle aziende nei sistemi associativi (si vedano attacchi al settore degli ordini professionali: ingegneri, notai, commercialisti, ecc.).
Il fenomeno del phishing si è raffinato: non solo allegati malevoli, dirottamento a siti ammalorati, risposte a mail nocive, ecc.
Ma i difetti comportamentali riguardano ovviamente anche le malconfigurazioni del sistema tecnologico.
Vulnerabilità diverse invece risiedono nei bug, nei prodotti informatici: sistemi operativi e app, e nelle infrastrutture digitali, cloud e piattaforme varie. Queste sono in parte censite ex post dal NIST americano e dai vendor che propongono aggiornamenti e patch rimediali.
Gli attaccanti non si limitano a inoculare il malware: l’attacco si snoda attraverso una ricerca nei social, negli OSINT, per conoscere il target dell’attacco. Poi, provvedono ad armare l’attacco con una sequenza di azioni talora ricorsive, utili entrare nei sistemi, analizzarli e inoculare malware funzionale agli scopi ovvero ai danni logici immaginati.
Le difese
Come difendersi. A parte il back-up corretto e il mirroring, ad oggi due sono i principali set di strumenti: software di monitoraggio che dovrebbero segnalare comportamenti anomali del sistema ovvero degli asset, indicatori di compromissione e/o di attacco, IoC e IoA, e le soluzioni tecnologiche di difesa, IDS, IPS, antimalware, antivirus, antispam, honeypot.
Questi sistemi, tuttavia, riconoscono solo fenomeni noti le cui firme siano registrate nei software di difesa.I cosiddetti zero day includono non solo soluzioni tecnologiche d’attacco del tutto innovative ma anche soluzioni tecnologiche malefiche in tipologie di malware e attacchi già largamente riscontrati come nel caso dei ransomware.
Un secondo limite generale sta nell’assenza di correlazione e integrazione delle tipologie dei dati relativi a quanto rilevato dai sistemi di monitoraggio e difesa.
Ho più volte ricordato che l’analisi, l’interpretazione e la rappresentazione/knowledge di dati correlati è in grado di offrire informazioni di sistema pregiate, necessarie e utili in chiave preventiva e, in futuro, predittiva.
Senza questa conoscenza condivisa, sarà impossibile fronteggiare in maniera solida il gravissimo crescendo degli attacchi e dei danni.
Il prezzo e gli investimenti
Ultima considerazione. La cybersecurity costa ma in genere, anche in Italia, non si valuta correttamente il rischio operativo economico ma ci si limita alla compliance superficiale pure utilmente richiesta dalla norma.
Le conclusioni da trarre sono le seguenti: occorre innalzare l’alfabetizzazione digitale della sicurezza a livelli crescenti negli utenti in genere, negli impiegati, nei dirigenti, negli addetti. Occorre rivedere concretamente le policy della sicurezza by design, sviluppare concretamente con ricerca e sviluppo potenziati la competenza in cybersecurity, investire consapevolmente nella sicurezza in tutti i processi di digitalizzazione.
Troppe applicazioni o soluzioni estemporanee nell’uso di servizi e transazioni digitali vengono adottate, presi dal fascino dell’innovazione digitale: app su app, piattaforme su piattaforme, competizioni tra giganti high tech che non possono garantire da soli sicurezza e il business economico imponente che regge la trasformazione digitale in corso. Il cybercrime è conscio delle fragilità di sistema e si specializza sistematicamente nelle tipologie e tecnologie innovative degli attacchi.
Non esistono, ad oggi, soluzioni di sicurezza efficaci. Le misure da adottare sono multiple, come detto: awareness, competenze tecnologiche infrastrutturali di sistema non improvvisate, acquisizione, condivisione e analisi dei dati relativi a threat intelligence, infosharing e reportistica degli eventi e degli incidenti. Servono modellistiche architetturali dei dati, tassonomie e ontologie non di facciata: i temi dell’analitica dei dati sono complessi e la reportistica internazionale lo conferma. Il cammino è lungo e impervio e gli strumenti non sono solo le norme e le istituzioni di strutture vecchie e nuove.
Che fare: dobbiamo investire, subito, in nuove competenze e tecnologie.