Sicurezza informatica: ecco come mitigare l’errore umano attraverso la tecnologia

Partiamo da una data: il 13 novembre 2018, giorno in cui si registra uno dei più significativi attacchi informatici che abbiano coinvolto la pubblica amministrazione italiana. L’attacco, subìto da un fornitore di servizi di posta elettronica certificata (PEC), ha colpito circa 3.500 domini per un totale di 524mila utenze (tra pubbliche e private) e, in particolare, ha causato l’interruzione temporanea dei servizi informatici degli uffici giudiziari dei distretti di Corte di Appello. Furono coinvolti gli account di numerosi ministeri (Giustizia, Interni, Difesa, Esteri, Economia e Sviluppo Economico, la stessa Presidenza del consiglio dei ministri), con gravi disservizi a migliaia di uffici pubblici e tribunali. Un esempio, attualmente il più emblematico, di come il mondo della Pubblica amministrazione si debba considerare in pericolo al pari del settore privato. Interruzione dei servizi, problemi con l’integrità dei dati e perdita degli stessi, danni economici e di immagine. Queste alcune delle conseguenze degli attacchi informatici che, stando ai dati disponibili, diventano sempre più sofisticati e appaiono in aumento.

Cyber attacchi in aumento nella PA

Dall’edizione 2018 della Relazione annuale al Parlamento sulla politica dell’informazione per la sicurezza, curata dal Comparto dell’Intelligence e presentata il 28 febbraio scorso, e in particolare dall’Allegato “Documento di sicurezza nazionale” emerge come i cyber attacchi nel 2018 siano più che quintuplicati rispetto all’anno precedente, prevalentemente a danno dei sistemi informatici di pubbliche amministrazioni centrali e locali (72% contro il 56% del 2017). È stato rilevato, in particolare, un aumento degli attacchi verso enti locali (regionali, provinciali e comunali): 39% del totale nel periodo in esame, contro il 18% del 2017.

Anche il CLUSIT nel Rapporto 2019 sulla Sicurezza ICT in Italia registra tra il 2017 e il 2018 un incremento percentuale anomalo degli attacchi gravi rilevati a livello globale (Italia compresa) nel settore privato e pubblico, pari a +35% circa. Tra i settori maggiormente colpiti, in aumento soprattutto il settore governativo, quello sanitario, quello finanziario e il settore delle infrastrutture critiche. Su un totale di 8.417 Incidenti gravi analizzati dal gennaio 2011 al dicembre 2018, la sequenza è questa: 1.012 nel 2015, 1.050 nel 2016, 1.127 nel 2017, 1.552 incidenti nel 2018 (una media di 3 incidenti al giorno). Gli incidenti del solo 2018 sono il 18% di tutti gli incidenti analizzati da Clusit dal 2011.

È ragionevole pensare che queste percentuali di incremento siano dovute non solo a un maggior numero di attacchi, ma anche a una maggiore quantità e qualità delle rilevazioni, che ha permesso di ricavare una più granulare mappatura dello scenario della minaccia cyber in Italia. Tuttavia, è un fatto che le PA italiane siano vulnerabili, a causa tra l’altro di comportamenti errati, di una persistente scarsa consapevolezza da parte delle vittime, oltre che da software non aggiornati.

La Relazione annuale al Parlamento rileva, inoltre, un “innalzamento nella qualità e nella complessità di alcune tipologie di attacco, con l’impiego sinergico di tutti i più avanzati strumenti tecnologici di ricerca informativa”. La minaccia più consistente sembra provenire da azioni di stampo hacktivista (66% degli attori ostili rilevati) con operazioni che vedono la pubblicazione on line di dati esfiltrati da sistemi di istituzioni operanti nei settori dell’Istruzione, del Lavoro, della Sanità, dei Sindacati, delle Forze dell’ordine, dei Comuni e delle Regioni.

Una PA poco consapevole è una PA a rischio

Risale al 2014 uno studio in cui Agenzia per l’Italia Digitale e Università La Sapienza di Roma evidenziavano come la Pubblica amministrazione italiana fosse poco consapevole dei rischi connessi alle minacce cyber (Rapporto “Italian Cyber Security Report 2014”). Scarsa consapevolezza che, unita a carenze organizzative quali l’assenza di strutture locali in grado di operare efficacemente un’attività di preparazione e risposta agli incidenti, costituiva uno scenario davvero poco rassicurante per un settore che rappresenta la più importante infrastruttura critica del Paese, detenendo tutti i dati dei cittadini.

Oggi qualcosa è cambiato? Certamente sì, a partire dalle misure adottate in ambito PA. Ecco qualche step a cominciare proprio dal 2014, quando nasce il CERT-PA (Computer Emergency Response Team Pubblica Amministrazione) che opera all’interno di AgID e ha il compito di supportare le amministrazioni nella prevenzione e nella risposta agli incidenti di sicurezza informatica. Qui sono disponibili tutti i dati delle segnalazioni pervenute al CERT-PA dal 1 gennaio 2014 ad oggi (3.136 in tutto).

Il tema della cybersecurity è stato inserito da AgID sia nel Piano Triennale per l’Informatica nella Pubblica Amministrazione 2016-2019 che in quello da poco approvato per il 2019-2021, il cui capitolo 8 è dedicato proprio alla Sicurezza informatica. Nel 2017, inoltre, sono state emanate le  Misure Minime di sicurezza ICT per la PA, uno strumento pratico per valutare e migliorare il livello di sicurezza informatica delle amministrazioni, specialmente quelle più piccole e meno preparate. Il documento fornisce indicazioni puntuali su come raggiungere livelli di sicurezza prefissati a partire da quello minimo, obbligatorio per tutti. A supporto e complemento delle Misure minime di sicurezza ICT, entro dicembre 2019 AgID dovrebbe emanare le Linee guida di sicurezza cibernetica per le PA, documenti di indirizzo sui temi strategici, organizzativi ed operativi necessari alle PA per innalzare il proprio livello di sensibilità, conoscenza, preparazione e capacità di risposta relativamente alla crescente minaccia cibernetica.

Nel frattempo è subentrata la figura del Responsabile per la Transizione al Digitale, centrale per la diffusione all’interno delle amministrazioni di una cultura digitale che non può prescindere dai temi della sicurezza.

Soluzioni e tecnologie

Diversi studi, tra cui il citato Rapporto “Italian Cyber Security Report 2014”, evidenziano tra le principali cause di vulnerabilità agli attacchi informatici la scarsa consapevolezza degli utenti rispetto alle minacce e i comportamenti errati messi in atto (da soggetti privati o, nel caso della PA, da funzionari e dipendenti delle amministrazioni). Un altro esempio: uno studio del 2018 dell’Osservatorio Information Security & Privacy del Politecnico di Milano anno 2018, su un campione di 667 organizzazioni italiane, rileva tra le principali vulnerabilità interne proprio la distrazione e scarsa consapevolezza dei dipendenti (82%), poi un’architettura IT obsoleta (41%) e aggiornamenti e patch non effettuati regolarmente (39%).

Ci sono naturalmente delle strategie che possono essere attuate per intervenire su questi aspetti. La formazione e la diffusione di una cultura in materia di sicurezza informatica sono dei passi importanti, ma anche la scelta e l’approccio alle soluzioni tecnologiche è un fattore da non sottovalutare. Se è vero che nessuna tecnologia è invulnerabile e tutta può essere attaccata, è anche vero che l’adozione di strumenti corretti facilita molto la difesa. E quello che spesso si dimentica è che prevenire costa molto meno che intervenire quando gli incidenti informatici sono già avvenuti.

Caratteristiche dell’hardware, caratteristiche del sistema operativo e aggiornamento del software: ecco alcuni punti centrali da tenere presenti. E, di fondo, l’adozione di tecnologie evolute che permettono di mitigare il fattore umano. Processori che contengono meccanismi di cifratura, avvio protetto e archiviazione criptata dei dati; sistemi operativi in grado di bloccare alcuni processi, evitando cancellazioni o disabilitazioni sul sistema operativo (volontarie o malevole). E ancora, aggiornamenti software in tempo reale e analisi immediata dei download, anche dei file in apparenza più innocui.

Insomma, la sicurezza si basa su una somma di impostazioni e caratteristiche, e potremmo dire che in qualche modo deve essere nativa della tecnologia che si va ad utilizzare. È possibile? Sì, secondo la visione di Apple.

Sicuro. Fin dalle fondamenta

Ecco, quindi, la frase scelta per sintetizzare e descrivere le caratteristiche di sicurezza dell’hardware e del software Apple. I sistemi operativi Apple, macOS e iOS, sono secure by design, ovvero “progettati con un approccio integrato per quanto riguarda hardware, software e servizi, e forniscono sicurezza fin dalle fondamenta. Semplificando la configurazione, distribuzione e gestione dei dispositivi”.

Apple ha inoltre collaborato con gli enti di certificazione per garantire la conformità con le più recenti specifiche in materia di sicurezza. Ne nasce dunque un mix di tecnologie avanzate, come la creazione di un SoC dedicato alla sicurezza, il Secure Enclave, presente dall’iPhone 5s e nel processore T2 presente sui più recenti Mac. Esso si fa carico della cifratura hardware dei dati senza bisogno di installare software addizionali.

Inoltre, le funzionalità di avvio protetto garantiscono che il sistema operativo utilizzi solo software autorizzato mentre le protezioni runtime ostacolano l’esecuzione di malware che potrebbe manomettere la memoria e altre app.

Su Mac, Xprotect e GateKeeper sono dedicati all’identificazione ed alla rimozione di malware. Per tale motivo, numerosi Enti ed Istituzioni scelgono di non installare software antivirus addizionali.

Gli aggiornamenti costanti all’ultima versione del software sono disponibili su un’ampia gamma di dispositivi (iOS 12, rilasciato in settembre 2018 può essere installato su iPhone 5s e modelli successivi; macOS 10.14, rilasciato in autunno 2018, può sere installato su Mac disponibili dal 2012) garantendo medesime gestioni del parco installato e un approccio alla sicurezza omogeneo.

Crittografia e aggiornamenti software sono fondamentali per proteggere i dati dell’utente in caso di furto o smarrimento del dispositivo, casi in cui sono previsti sistemi di controllo che consentono la cancellazione a distanza dei dati. L’abilitazione di tutto ciò evita un data breach ed in caso di furto o smarrimento del dispositivo può anche essere omessa la comunicazione al Garante.

Inoltre, macOS e iOS offrono garanzie assolute e uniche nel loro genere sulla privacy: Apple non legge i dati degli utenti, i Messaggi, non rileva la posizione a scopi commerciali, oppure i contenuti su iCloud, perché prodotti e servizi sono pensati solo per progettare e fare strumenti migliori.

Ecco qualche link per approfondire la panoramica sui sistemi di sicurezza Apple:

• Sicuro. Fin dalle fondamenta
• Guida iOS Security
• Sicurezza di macOS. Panoramica per i reparti IT
• Sicurezza delle app su Mac
• La protezione della privacy nei prodotti Apple