Da giorni la notizia di cui dibattono tutti gli esperti di cybersecurity (e anche i non) è quella dell’attacco al CED (Centro Elaborazione Dati) della Regione Lazio, in cui sono stati criptati i dati mettendolo così fuori uso. Non è la prima volta che un attacco cyber colpisce un’istituzione, eppure abbiamo assistito ad un eccesso di informazioni confuse e talvolta deliranti, che hanno creato audience ma che non hanno certo fornito chiarezza sulla questione.
A distanza di tre giorni, rimane il fatto che l’approccio a tali situazioni resta inadeguato. A quanto si apprende da una recente dichiarazione dell’assessore regionale alla Sanità, risulta essere criptato anche il backup dei dati.
Gli errori ignorati
Una domanda nasce spontanea: non si è appreso nulla dagli errori del passato? Che poi non sono nemmeno così lontani nel tempo. Era settembre 2020 quando un ransomware travolse l’Università di Roma Tor Vergata criptando tutti i dati, rallentando ricerche preziose e l’amministrazione dell’ateneo. Era novembre 2018 quando un’intrusione informatica nel data center Telecom di Pomezia aveva provocato il blackout della rete telematica giudiziaria.
E gli esempi potrebbero continuare.
Il punto però non è, come ormai è noto nel mondo della security, che l’attacco è dietro l’angolo per chiunque, la differenza sta nel cercare di contrastarlo al meglio e di predisporre le misure di recupero, perché nessuno è inviolabile.
Nel caso dell’ateneo romano, l’attacco aveva criptato anche i dischi del backup, costringendo l’amministrazione ad un lungo e faticoso lavoro di recupero per ricostruire la situazione digitale a partire dal cartaceo (laddove c’era). Certamente, ogni responsabile della sicurezza informatica di ogni istituzione sarà stato a conoscenza di tale incidente. Dopo aver tirato un sospiro di sollievo, come fa un soldato quando il fuoco nemico lo risparmia, avrà di sicuro fatto un controllo approfondito della sua situazione, assicurandosi che, qualora un attacco ransomware fosse capitato in futuro alla sua organizzazione, i suoi dischi di backup sarebbero stati fisicamente isolati dal resto del sistema. Avrebbe così minimizzato i danni evitando le settimane di ritardo alla piena normalità che hanno funestato nell’autunno scorso la quotidiana attività del personale di Tor Vergata.
Infatti…
Ora, non me ne vogliano i tanti amici informatici e ingegneri, questo non è un problema di preparazione tecnica del personale. Questo è un problema di carente cultura della sicurezza informatica. Non serve conoscere il più recente protocollo quantistico per la distribuzione di chiavi o lo stato dell’arte per la fattorizzazione di interi o la crittografia a curve ellittiche (io personalmente non ne so molto: ho solo citato tre esempi di temi tecnici di attualità che mi ha suggerito un amico fidato).
Un nuovo mindset
Il punto chiave è che deve cambiare l’approccio, o meglio il mindset con cui si affronta il tema della cybersecurity. Perché prima di tutto, qualunque strada si decida di intraprendere, bisogna essere disposti a fare i conti con il passato e trarre il dovuto insegnamento (lesson learned, in inglese). È chiaro che questo non sta avvenendo, dal momento che ci stiamo abituando ad uno schema perdente: si subisce un attacco, spesso peraltro per un’inadeguata gestione della sicurezza all’interno dell’Istituzione o dell’organizzazione; puntualmente arrivano le interviste a politici ed esperti su quanto avvenuto; si rilancia la possibile soluzione del momento; si prosegue indisturbati in attesa del prossimo evento, mentre i responsabili pensano “a noi questo non succederà mai”.
Questo schema, si sa, è infruttuoso, ma si ripete inalterato ormai da anni.
Non ci sono pallottole d’argento
Certamente l’istituzione di un’Agenzia la cybersicurezza nazionale è un’iniziativa importante per il nostro Paese, ma non può essere vista come la panacea. Quando si guarda a ciò che accade in altri paesi, infatti, ci si accorge che pur avendo da tempo centri e strutture di alto livello per la sicurezza informatica, i problemi ci sono comunque. L’attacco ransomware a Colonial Pipeline, uno dei più grandi oleodotti degli Stati Uniti, con conseguente pagamento del riscatto, è il classico esempio di come sia inutile armarsi di muscoli e pensare di andare in guerra, tipo guerrieri della notte, quando poi basta il furto di una singola password per creare un problema enorme.
No culture, no cybersecurity!
Come ho ampiamente sottolineato in un mio libro, molto apprezzato all’estero (forse perché in inglese e probabilmente anche per una diversa sensibilità sul tema culturale) se non si lavora sulla costruzione di una vera cybersecurity culture non ci saranno strutture stellari e super-eroi a contrastare la situazione.
Cominciamo a lavorare sulle competenze che servono per costruirla, quelle accertate e sperimentate sul campo e non solo dichiarate con titoli altisonanti.
Altrimenti non rimane che commentare con Nanni Moretti: “Continuiamo così. Facciamoci del male”