Agenzia per la cyber security, accelerare su tecnologia, investimenti e conoscenze: ecco perché - Cyber Security 360

LA RIFLESSIONE

Agenzia per la cyber security, accelerare su tecnologia, investimenti e conoscenze: ecco perché

Economia e benessere viaggeranno presto su canali digitali: per garantire resilienza e disponibilità di questi sistemi abbiamo bisogno dell’Agenzia per la cyber security, di una volontà politica e di una presa di coscienza che superi la visione settecentesca della guerra in campo aperto

05 Lug 2021
G
Nicola Grandis

CEO @ ASC27 S.r.l.

L’attacco ransomware ancora in corso a Kaseya si presta bene a un’analisi per il futuro lavoro della costituenda Agenzia per la cyber security, la cui architettura normativa e operativa viene tracciata dal disegno di legge C. 3161, di conversione del decreto-legge 14 giugno 2021 n. 82 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.

Il disegno di legge in questione, come sappiamo, stabilisce poteri, budget, criteri di funzionamento e priorità dell’Agenzia. Nel disegno di legge vengono anche affrontati i temi organizzativi, sia interni all’Agenzia stessa che nei suoi rapporti con le istituzioni e verso gli altri organi dello Stato.

Con il prosieguo dell’esame parlamentare del disegno di legge, al quale ho avuto l’opportunità di partecipare con una mia recente memoria scritta, prende così forma una costruzione di apparati e comitati che sovraintenderà al raggiungimento degli obiettivi che il Legislatore ha voluto definire per l’Agenzia stessa.

È dunque utile fare alcune considerazioni sia di carattere generale/funzionale sui temi che saranno propri dell’Agenzia, sia su specifici aspetti tecnici di cyber security.

Mega attacco ransomware mondiale, via Kaseya: perché è allarme rosso

Struttura, compiti e ruolo dell’Agenzia

Innanzitutto, per comprendere bene il percorso parlamentare che sta portando alla costituzione dell’Agenzia per la cybersicurezza nazionale è utile ricordare che viviamo in una Repubblica Costituzionale: questa è una grande fortuna, esistono forme di governo molto peggiori.

Ciò significa anche che ogni singolo atto del Governo debba rispettare una serie di vincoli e parametri dettati da altre leggi e codici scritti in precedenza, un certo numero di condizioni che vadano a verificare l’aderenza di un nuovo Atto rispetto alla pletora di condizioni stabilite da altri Atti preesistenti.

Dunque, il lettore che vorrà prendere visione del disegno di legge in discussione e relativo dossier di accompagnamento troverà che il 75% del testo riguarda la formalizzazione tecnico-giuridica della nascitura Agenzia, un 5% del testo riguarda cose come le disquisizioni dell’Accademia della Crusca sull’opportunità di usare il termine cybersicurezza, piuttosto che sicurezza cibernetica, o la versione italianizzata cibersicurezza; un 20% del testo afferisce, invece, ai reali compiti e responsabilità che l’Agenzia avrà, una volta costituita.

L’approccio è del tutto sensato e corretto, viviamo appunto in una Repubblica Costituzionale, guai noi se non fosse così, ma per me che sono solo un cyber-engineer non è stato facile distillare il contenuto fattivo da quello formale nella lettura del documento.

Realizzata questa operazione di separazione, che mi ha richiesto non poco tempo, sono giunto al dunque:

  1. si costituirà un’Agenzia dedicata alla CyberSec nazionale;
  2. nell’Agenzia ricadranno tutti i poteri di controllo e risposta per i cyber-eventi di portata nazionale;
  3. non rientreranno nei poteri dell’Agenzia, quantomeno non direttamente sotto il suo controllo, le attività di cyber intelligence e cyber defence;
  4. l’Agenzia sarà anche responsabile per la Formazione sulla cultura cyber nel nostro Paese;
  5. l’Agenzia conterà di alcune centinaia di dipendenti ed avrà la facoltà di avvalersi anche di qualche decina di esperti esterni alla PA;
  6. l’Agenzia avrà una propria struttura di C&C interna abbastanza articolata, divisa tra Direttori, Dirigenti e Nuclei dedicati;
  7. le strutture di C&C interne all’Agenzia dovranno confrontarsi con tutti gli altri apparati dello Stato, nonché riportare direttamente alla Presidenza del Consiglio;
  8. l’Agenzia dovrà proteggere e garantire la resilienza di tutto lo spazio cyber italiano, nonché anche i cyber-interessi italiani all’estero;
  9. l’Agenzia dovrà coordinarsi con gli omologhi europei e atlantici;
  10. l’Agenzia non avrà un grandissimo budget a disposizione. Poiché tutti sappiamo che la Sicurezza costa, avrei sperato si potesse far di più sulle dotazioni.

Alcune considerazioni tecniche da cyber-engineer

In questo contesto, per me che non sono un costituzionalista o una persona con particolari soft-skills giuridiche, non è stato difficile scrivere una memoria da cyber-engineer.

D’altronde, le memorie che vengono richieste in queste fasi di discussione hanno proprio lo scopo di portare all’attenzione delle Commissioni parlamentari aspetti verticali e specifici che potrebbero non essere ricompresi nelle competenze professionali dei membri partecipanti; dal momento che la formazione di un qualunque Deputato supera di gran lunga le mie personali competenze tecnico-giuridiche sulla scrittura delle leggi, mi è bastato concentrarmi su ciò che invece conosco molto bene e da vicino, la CyberSec.

Ciò detto, non sono nella posizione di discutere nel merito l’impianto del disegno di legge in valutazione, non ne ho titolo o competenze specifiche, ma in questo articolo posso illustrare con termini più semplici cosa ho voluto condividere con la Commissione riguarda al suo impianto in discussione.

Nella mia memoria il lettore troverà un’introduzione che tocca alcuni aspetti, secondo me fondanti, della nascitura Agenzia. Aspetti che, se non considerati, rischiano di comprometterne le capacità operative. Di seguito una breve illustrazione delle mie considerazioni riportate in premessa all’interno della memoria indirizzata alla Commissione.

Nella CyberSec il “perimetro” non esiste

In molti contesti di discussione ed anche in alcune leggi che abbiamo già varato si parla di “perimetro cyber” o di “difesa del cyber-perimetro” dello Stato.

Ecco, in matematica, un perimetro è una linea spezzata chiusa (o una sottovarietà lineare affine di ordine 2 con bordo) che contiene una regione di spazio. Nel gergo militare il “perimetro” indica il confine di qualcosa come un castello, un forte, una città, un palazzo. Nella CyberSec, il perimetro invece non esiste.

In un mondo super-connesso dove i device più disparati sono collegati tra loro, spesso anche in modo indiretto/triangolato, la cui logica di funzionamento dipende da fattori ambientali esterni incorporati in un firmware chiuso e inaccessibile, parlare di “perimetro cyber” è quantomeno forviante, se non del tutto errato.

Si pensi ad un Paese che voglia attaccare/influenzare un’altra Nazione, semplicemente inserendo in un software sviluppato in otto nazioni diverse (es: SolarWinds) una backdoor da utilizzare all’occorrenza.

Oppure, si pensi ad uno scenario in cui l’attacco giunga da un Paese che decida di sbilanciare artificiosamente il valore di una criptovaluta (es: andiamo a sentire ad El Salvador come è andata con l’ultima picchiata BTC ed il loro -30% in una settimana).

In questi e in molti altri casi, l’attaccante non interagisce minimamente con un “perimetro”, men che meno con quello dei confini nazionali. Ho inserito questa riflessione nella mia memoria scritta, augurandomi che sia di supporto ai legislatori e che possa aiutare anche nel superare l’idea bidimensionale di battaglia-napoleonica applicata ad una battaglia cyber.

Nella cyber non ci sono cavalli che si spostano sul campo, non ci sono fanti che devono superare una trincea e non ci sono navi che traslano sull’acqua. Nella cyber non ci sono perimetri e la messa in sicurezza non passa dalla costruzione di muri e bastioni.

Malleabilità e POV dell’attaccante

Nella cyber, un attore ostile attaccherà semplicemente “da dove potrà”. In funzione della regione che selezionerà e delle tecniche a sua disposizione, la prospettiva farà sì che la sortita potrà avere, una vasta superficie d’attacco o un piccolissimo spiraglio, davanti a sé.

Le azioni più devastanti degli ultimi mesi hanno tratto origine e capacità da aree molto nuove, aree da cui non si erano mai lanciati attacchi di portata rilevante.

L’osservatore poco attento sarà tentato di ridurre tutta questa classe di attacchi a rischi collegati al “fattore umano”.

In definitiva, si potrebbe essere tentati di pensare che dietro molti attacchi vi sia l’errore o la responsabilità di un singolo o di un gruppo di persone che, magari, sono state semplici vittime di un’operazione di phishing, la quale ha poi subito un effetto domino tale da far collassare una pipeline di approvvigionamento Bio-Gas.

Questa lettura delle azioni è semplicistica e non aderente a ciò che davvero la storia dovrebbe raccontare.

Quando un’operazione cyber utilizza degli esseri umani come elementi dell’attacco, non è quasi mai una casualità; quasi mai si tratta di un evento che accidentalmente ha scalato la sua capacità offensiva partendo da un errore casuale di un singolo.

Nella maggior parte delle azioni di questo tipo, l’attaccante ha studiato gli attori umani potenzialmente coinvolti nella catena di trasposto delle informazioni, ne ha carpito i difetti procedurali o le aree in cui la loro preparazione era più scarsa, e ha utilizzato queste informazioni per confezionare un attacco mirato che facesse leva proprio su queste. In definitiva, la persona coinvolta è accidentale, il disegno ed il progetto di attacco non ne conoscevano il cognome, ma miravano esattamente ad un profilo come il suo.

Formazione su tutta la catena della sicurezza

La nascitura Agenzia, soprattutto riguardo i suoi compiti legati alla formazione, deve tenere conto di questi fattori. La formazione necessaria a prevenire crisi CyberSec è anche quella da fare ai singoli dipendenti sulle email di phishing, ma in realtà essa deve estendersi ad ogni settore coinvolto nella catena della sicurezza.

Possiamo certamente addestrare un dipendente a non inserire nel proprio PC in ufficio una pendrive utilizzata a casa, ma serve una formazione che gli spieghi esattamente quali conseguenze potrebbe ingenerare il suo gesto, preveda degli schemi di contenimento sistemistici che mitighino il rischio anche quando il dipendente non rispetti le prescrizioni, riesca a creare la mentalità corretta anche nei dirigenti che potranno utilizzare leve legate a premialità economiche o di altro genere per incentivare o disincentivare specifici comportamenti e, a salire così verso ogni elemento della catena.

Dunque, anche il tema della formazione, quando si parla di CyberSec nazionale assume una connotazione poco bidimensionale e molto sfumata se paragonata al concetto educativo-scolastico che il termine riferisce nel suo senso comune.

In termini di malleabilità degli attacchi, il lettore è invitato a riflettere anche su prossime classi di attacco che potrebbero far leva su intelligenza artificiale. Conosceremo presto gli effetti dell’AI, quando questa venga utilizzata nel modo sbagliato e dalle persone sbagliate.

Non sarà soltanto determinante per la conduzione automatica degli attacchi stessi, ma diventerà sempre di più un parametro dell’equazione offensiva, seguendo il passo delle capacità che noi gli delegheremo.

Quanto più l’AI permeerà i nostri sistemi ed i nostri device, tanto più spesso essa entrerà negli obiettivi degli attaccanti che vorranno compromettere la nostra sicurezza cibernetica.

Attacchi futuri ad alto impatto

Strutture come l’NSA US non operano solo in modo reattivo. La CyberSec non si limita alla detection&response degli attacchi in corso, ma deve necessariamente confrontarsi anche con gli attacchi futuri, quelli che sfruttano tecniche e tecnologie innovative, quelli per cui non si è predisposta una simulazione, anche perché in CyberSec talvolta il futuro sono i prossimi cinque minuti, oppure si può essere colpiti da un attacco che non si conosceva senza esserne a conoscenza.

In questo senso, è molto importante che una parte del lavoro dell’Agenzia sia teso ad analizzare scenari futuri, tecnologie innovative che non siano ancora mainstream e tecniche d’attacco non convenzionali. Se così non sarà, l’Agenzia sarà trovata impreparata alle enormi sfide che l’attendono.

Un caso pratico: l’attacco ransomware a Kaseya

In queste ore, come dicevamo all’inizio, imperversa l’allarme e la preoccupazione sul caso Kaseya. L’attacco è particolarmente allarmante, non solo perché di tipologia supply-chain attack, ovvero tra i più difficile da identificare/mitigare in anticipo, ma per le modalità operative che porta con se.

Dunque, un gruppo di hacker ha deciso di giocare pesantemente nel business dei RaaS, Ransom as a Service. Questo gruppo, denominato REvil attivo su forum specializzati e fornisce chiavi in mano del codice 0-Day in C++ che gli altri utenti possono incorporare all’interno di DLL ed EXE con i quali abbiano accesso diretto in cambio di una percentuale sugli introiti.

Guida al ransomware: cos’è, come si prende e come rimuoverlo

L’attore ostile, nel caso di specie è certamente REvil, che però recluta sviluppatori che lavorino in aziende con software molto diffusi, al fine di propagare il proprio malware. Il risultato tecnico finale raggiunto dal sodalizio è un attacco ransomware.

La scelta di Kaseya è mirata, Kaseya non ha un enorme diffusione in termini di parco installato, ma produce software per gestione NOC, quindi software che viene usualmente installato nelle aree più sensibili delle aziende.

Per questo motivo e per quanto detto finora, l’attacco si presta bene ad un’analisi per il futuro lavoro dell’Agenzia per la cybersicurezza nazionale.

Il concetto di difesa su perimetro è subito saltato, il vettore d’attacco utilizzato è una DLL di un software Trusted compromesso in cambio di denaro da uno sviluppatore di Kaseya o da uno sviluppatore di un suo fornitore.

Sulla formazione, si sarebbe potuto fare poco, il malware è entrato in modo quasi-autonomo e solo una scansione euristica preventiva di alto livello avrebbe forse potuto identificare la minaccia. Le armi a disposizione della nascitura Agenzia si stanno assottigliando.

In Italia abbiamo una certa intensa e tragica esperienza con i sequestri. Dagli Anni 60 ai 2000 abbiamo mantenuto un certo tipo di primato mondiale su questo. Negli ultimi 20 anni, fortunatamente, non assistiamo più a questa tipologia di crimine violento, perché? Perché “il costo dell’attacco” ha superato i benefici del portarlo, grazie al lavoro ed alla maggiore preparazione delle FF.OO., e perché abbiamo istituito la prima regola in caso di sequestro di persona, ovvero il “congelamento dei beni”, non si poteva più pagare.

La costituenda Agenzia per la cybersicurezza nazionale potrebbe utilizzare le medesime tecniche di mitigazione. Il rapporto con le Istituzioni può favorire sia la maggiore preparazione di chi si trova chiamato a gestire sistemi sensibili, sia il Legislatore che potrebbe varare una legge che impedisca di finanziare i criminali provvedendo al riscatto richiesto.

Per ora sono solo ipotesi, il disegno di legge è ancora in discussione. Certo è un fatto, se gli attacchi ransomware contribuiranno a finanziare nel futuro organizzazione come REvil, le quali ne ricavano decine e centinaia di milioni di euro, questo fenomeno non si attenuerà, ma al contrario si farà sempre più allarmante e sofisticato.

Conclusioni personali

Mi è stato chiesto di contribuire, per quanto di mia competenza e per quanto mi fosse stato possibile, a indirizzare alcuni passaggi del disegno di legge in discussione. L’ho fatto da cyber-engineer, mi è costato del tempo, ma sono stato molto felice e onorato di farlo.

Viviamo in un Paese che si sta catapultando verso la digitalizzazione dopo anni in cui forse non si è fatto abbastanza. L’accelerazione verso la digitalizzazione, unita ai fondi di Recovery che giungeranno, ci proietterà verso un Italia più digitale e immateriale di quanto l’abbiamo mai vista.

In questo quadro, il disegno di legge in discussione rappresenta un enorme passo avanti e sancisce la nascita di un’Agenzia dedicata allo scopo che ormai appare immanente e necessario.

Tra qualche anno, il 90% della nostra economia e del nostro benessere viaggerà su canali digitali, reti a banda larga, dispositivi IoT, comunicazioni bidirezionali satellitari a bassa latenza, comunicazione quantistica.

Per garantire la resilienza e la disponibilità di questi sistemi, che diventeranno l’equivalente delle care vecchie Autostrade e Ferrovie come si bombardavano nella WWII, abbiamo bisogno di un’Agenzia, di una volontà politica e di una presa di coscienza che superi la visione settecentesca della guerra in campo aperto.

La cybersicurezza nazionale si può raggiungere soltanto con la tecnologia, gli investimenti e l’applicazione multi-vector (per mutuare un temine caro agli attaccanti) delle nostre conoscenze.

Servirà dotarsi di personale capace, dipartimenti efficienti e strumenti all’avanguardia che proiettino le capacità della nuova struttura dello Stato ad un livello almeno simile a quello degli attaccanti per conoscenza e competenza di dominio.

Un concetto dalla guerra convenzionale però lo si può mutuare. Gli equilibri difensivi e la capacità deterrente dipendono anche dalla propria capacità di attacco. Nessuno Stato e nessun gruppo ostile immagina di attaccare una Nazione con una capacità di risposta di gran lunga più elevata della propria.

Allo stesso modo, un Paese che abbia una notevole capacità di attacco, può impiegare le medesime conoscenze e tecnologie per la sua difesa.

Ecco, comprendo che in un disegno di legge non si possa scrivere, ma nelle mie considerazioni posso anche permettermi di dirlo: un’Agenzia che debba provvedere alla CyberSec di un Paese, per poterlo fare concretamente ed in modo efficiente dovrebbe possedere al proprio interno le capacità di attacco per compromettere i sistemi di un’altra Nazione.

Anche se non lo farà mai, anche se non servirà mai farlo, anche quando tutti penseremo che la miglior difesa non sia l’attacco, dal pugilato alla guerra cinetica, non si può imparare a difendersi se non si sa attaccare. La documentazione Snowden ci ha fornito già un bello spaccato di come ci si prepara oltreoceano.

Sono davvero ottimista riguardo agli sforzi che si stanno profondendo verso la cyber security, un tema che fino a dieci anni fa era ricercabile solo nei dizionari, sono certo che questo disegno di legge ci porterà verso la strada giusta, poi si tratterà di perseguirla e di dimostrare una capacità di adattamento agli scenari che sia più veloce dell’evoluzione tecnica, unita ad una determinazione che superi quella di chi ci vorrà attaccare.

Buon lavoro costituenda Agenzia per la cybersicurezza nazionale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5