Italia sicura se fa sistema: le priorità Paese sul tavolo CantieriPA

Questa settimana si è tenuto a Roma, presso l’Università La Sapienza, il primo tavolo di lavoro del Cantiere della PA Digitale con oggetto la Sicurezza Digitale avviato da Forum PA che ha visto la partecipazione, oltre che del docente Roberto Baldoni e dell’autore di questo articolo in qualità di Presidente del Clusit (Associazione Italiana per la Sicurezza Informatica), molti rappresentanti di importantissime pubbliche amministrazioni.

Durante il tavolo di lavoro, che ha avuto il compito di aprire il Cantiere e di delineare le attività e i risultati attesi dal gruppo di lavoro, sono cominciati a emergere i temi fondamentali che dovranno essere oggetto di approfondimento: dall’opportunità di adottare un framework nazionale unico e specifico per il nostro paese, alla esigenza di formazione di tutti i cittadini in materia di sicurezza informatica e di rischi connessi e anche dalla necessità di scambiare informazioni ed esperienze a tutti i livelli alla difficoltà che le pubbliche amministrazioni devono affrontare stante i budget risicati a disposizione. Inoltre, la frammentazione dei sistemi informativi locali sicuramente non aiuta e considerando l’aumento continuo delle minacce e degli attacchi il quadro non appare rassicurante.

Molti dei temi trattati nel tavolo di lavoro sulla Sicurezza Digitale di Forum PA trovano conferma nei numeri che il Clusit ha da poco pubblicato nel Rapporto riferito all’anno 2015 che, come ogni danno da molti anni, analizza la tematica della sicurezza informatica in relazione all’anno precedente.

Alcune degli elementi che emergono dall’ultimo rapporto appaiono di particolare interesse e meritano un minimo di analisi.

In primo luogo appare evidente dalle informazioni raccolte e che hanno portato alla stesura del rapporto che è incrementata in modo iperbolico la superficie di attacco esposta in modo rilevante in termini di sicurezza e ciò per motivi soprattutto di iper-connessione dovuta soprattutto alla adozione ormai di massa di tecnologie a basso costo facilmente accessibili. In particolare i social media (come previsto l’anno precedente), i servizi di cloud computing, la diffusione capillare dei device mobili e lo sviluppo dell’internet of things, con la modifica degli stili di vita e delle abitudini dei cittadini e dei lavoratori, stanno aprendo a rischi sconosciuti e a conseguenze potenziali ancora appena percepibili.

L’ultimo rapporto Clusit, e in particolare la parte inerente l’analisi dei dati raccolti, si fonda su oltre 4500 attacchi noti di particolare gravità o che hanno avuto un impatto significativo per le vittime in termini di reputazione, o di perdita di dati o di perdite economiche. Di questi oltre 4500 attacchi circa 1000 sono riferiti al 2015 in tutto il mondo.

Fra questi, di particolare interesse la più grande cyber-rapina del 2015 compiuta ai danni di oltre cento istituti bancari appartenenti a oltre 30 paesi del mondo fra cui il nostro paese con un danno stimato di oltre 1 miliardo di dollari. Si tratta della cosiddetta operazione “Carbanak” (o da qualcuno “Anunak”) i cui responsabili hanno infiltrato con tecniche di phishing diverse organizzazioni finanziarie infettandole con malware realizzato specificatamente. I criminali hanno quindi sottratto ingenti somme tramite operazioni apparentemente autorizzate e lecite.

Rispetto alla distribuzione degli attacchi dal rapporto del Clusit emerge che il cybercrime è cresciuto nel 2015, rispetto al 2014, del 30,04% mentre, al contrario, l’hacktivism è sceso nel medesimo periodo di oltre l’11%. Ancora, a fronte dello spionaggio che risulta cresciuto di quasi il 40% (dato estremamente preoccupante in paesi dove il segreto industriale o intellettuale è di particolare rilevanza), risulta invece quasi dimezzato l’information warfare (meno 45% circa).

In valore assoluto, tuttavia, il cybercrime rappresenta oltre i due terzi degli attacchi a fronte dell’hacktivism che si attesa su circa il 21%. Di contro, lo spionaggio rappresenta circa il 10% degli attacchi quando invece il cyber warfare si limita al 2% del campione analizzato.

Il dato del cybercrime non deve soprendere in termini quantitativi stante la incredibile diffusione del phishing e soprattutto del ransomware nel corso del 2015.

Molto interessanti, e preoccupanti, sono i dati degli attacchi se li si osserva dal punto di vista dei soggetti attaccati.

Rispetto al 2014, in particolare, la crescita maggiore degli attacchi gravi si osserva verso le cosiddette infrastrutture critiche (circa + 150%, dato estremamente preoccupante per le potenziali conseguenze sui cittadini e le imprese in caso di buon fine dell’attacco), il mondo delle news e dell’entertainment (+80% circa) e automotive (+65% circa).

A fronte di tali aumenti, invece, scendono gli attacchi contro il settore chemical/medical (-60%) e verso gli enti di natura religiosa (-28% circa).

Rispetto alle percentuali sono però interessanti i dati che, in valore assoluto, indicano i settori maggiormente colpiti dagli attacchi: al primo posto si attesa il settore governativo, al secondo posto il settore dei servizi online/cloud, al terzo il settore delle news e entertainment.

Di interesse è anche l’accorpamento delle vittime su base continentale: al primo posto, con quasi il 50% del campione, le americhe. Al 21% si posiziona l’Europa con invece l’Asia al 18%. Marginale, per evidenti motivi, l’Africa al 2%. Qualche altro numero riferito alla distribuzione delle tecniche di attacco per tipologia: l’SQL injection è cresciuto del 67% circa, il phishing del 50%, le tecniche multiple/APT del 73% circa. Di contro, è sceso l’0-day del 62% e il phone hacking del 66% circa.

Nel rinviare al rapporto per una analisi dettagliata dei dati succintamente qui riportati non possiamo che concludere che è stata confermata la tesi già da diversi anni sostenuta per la quale non è un problema di se saremo attaccati ma di quando. Pubblico, privato, cittadini: tutti sono a rischio e sotto potenziale attacco.

La sicurezza è quindi elemento mandatorio sul quale la pubbica amministrazione e il mondo privato devono muoversi rapidamente e in modo efficace, senza sprecare risorse e a fronte di appropriate analisi dei rischi.

La leva normativa può essere un aiuto ma la sensibilità sul tema dovrà necessariamente prescindere dall’obbligo legale anche solo perché ogni singolo settore della pubblica amministrazione e del mondo privato ha esigenze, rischi, necessità e budget molto diversi.