Questo articolo affronta il tema della fuga di dati dai palazzi statali senza prendere in considerazione gli aspetti politici e partitici. Ciò che interessa è che, dal punto di vista della cyber security, lo Stato italiano si sta dimostrando un colabrodo, così come lo sono parte delle istituzioni e degli istituti a questo collegati.
Possiamo citare, a supporto di questa affermazione, il caso Carmelo Miano e il ministero di Giustizia oppure l’attacco hacker alla Regione Lazio nel 2021, due fulgidi esempi del medioevo in cui versa la Res publica. Un medioevo che, come vedremo, non è tanto legato alle tecnologie in sé ma agli abusi compiuti da chi occupa posizioni capitali.
I diversi episodi di attacchi contro lo Stato o contro le sue emanazioni non possono essere considerati dei casi isolati perché, nel contesto nazionale, l’Italia è una delle mete preferite degli hacker. Questo amplia la gravità della situazione, considerando che la possibilità di trovare persone compiacenti all’interno delle istituzioni favorisce le attività del cyber crimine.
Inoltre, una narrazione mediatica corrente, solleva con serietà i rischi a cui sono esposte le democrazie vittime di ingerenze da parte di Paesi più autarchici e autoritari. I fatti di questi giorni dimostrano invece che a mettere a rischio le democrazie sono anche le democrazie stesse.
La risposta a tutto ciò non può essere soltanto tecnico-tecnologica, e anche di questo pariamo con l’ingegnere Pierluigi Paganini, Ceo di Cybhorus e Membro ENISA Ad-Hoc Working Group on Cyber Threat Landscapes.
Indice degli argomenti
La cyber cultura dello Stato italiano
Riprendiamo in breve e per sommi capi cosa è emerso negli ultimi giorni. La Procura della Repubblica di Milano ha svelato una sequenza di accessi non autorizzati a diverse banche dati dello Stato perpetrati da hacker in collaborazione con alcuni pubblici ufficiali, comprati per una manciata di euro. Non facciamo nomi e non parliamo di cifre perché, è opportuno ribadirlo, dalle pagine di questo media ci concentriamo soltanto sulla cyber security.
Gli hacker hanno avuto accesso a diversi database, tra i quali spiccano:
- Database SDI, sistema interforze
- Dati del fisco
- Database Serpico (usato dall’Agenzia delle entrate)
- Anagrafe nazionale
- Anagrafe dei conti correnti
- Database Inps.
Osservando i fatti verrebbe da pensare che non esista un sistema di alert capace di segnalare gli accessi non autorizzati alle banche dati, così come verrebbe da immaginare l’assenza di di storici degli accessi e la mancanza di controlli (siano questi incrociati oppure più semplicemente a campione). Come vedremo, però, il problema è persino più grave.
Volendo essere più pungenti, sembra che la cultura cyber dello Stato sia del tutto avulsa dall’uso di codici di accesso OTP e dalla doppia autenticazione. Non di meno, le responsabilità in materia di controlli e cyber security, sembrano essere definite in modo lasco fino al punto da non prevedere delle rotazioni che, da sole, sono già un passo deciso in direzione di una per lo meno più stringente garanzia di efficacia.
Le cose, però, non stanno esattamente così. Anche se il quadro nel suo insieme è tutt’altro che roseo.
Essendo questi i presupposti, è per lo meno ottimistico credere che le conseguenze non possano essere nefaste.
Va ripetuto che, al di là dei ruoli politici e istituzionali, ciò che sta succedendo in questi giorni è un vero e proprio terremoto. Toccherà alle autorità preposte fare luce tra le oltre 1.100 pagine raccolte durante le indagini.
Va anche detto – e anche su questo ci soffermeremo con l’ingegner Paganini – che il Garante per la privacy ha redatto un comunicato stampa garantendo di volersi impegnare per comprendere quali correttivi apportare affinché casi simili non si ripetano in futuro.
Il cuore del problema
Abbiamo formulato alcune domande all’ingegner Pierluigi Paganini con l’obiettivo di mettere ordine e comprendere il reale stato delle cose.
È davvero possibile che le infrastrutture cyber dello Stato non prevedano sistemi di alert, di tracciamento degli accessi e di controlli incrociati?
“Contrariamente a quanto si possa pensare, per molte delle istituzioni coinvolte nel caso dossieraggio sono in essere sistemi per monitoraggio degli accessi e degli abusi. La realtà è che ci si confronta con un fenomeno corruttivo preoccupante. Nella maggior parte dei casi gli accessi sono stati ottenuti da personale autorizzato.
È mancata tuttavia la vigilanza sulle operazioni condotte da personale autorizzato, che indisturbati ammassavano informazioni sui soggetti spiati”.
Il Garante per la privacy ha rilasciato un comunicato stampa nel quale sostiene di avere creato una task force per esaminare a fondo il problema e capire quali attività intraprendere. Non sembra essere troppo tardi?
“Buoni gli intenti come sempre. Peccato che spesso le task force sono l’occasione per dare agli amici l’ennesimo incarico. Perché non chiamare esperti realmente indipendenti, incorruttibili e che professionalmente si sono distinti per un operato senza ombre? Francamente ritengo che sia mancata la vigilanza e lo Stato ha gravissime responsabilità. I propositi che leggo sulla stampa sono l’ennesima dimostrazione della volontà di giustificare le proprie inefficienze, così come l’utilizzo della narrativa dei super hacker. Peggio ancora, poi, è la strumentalizzazione dei casi di cronaca da parte della politica, pronta a invocare complotti da parte di logge ramificate nelle istituzioni”.
Quale tipo di cultura cyber manca nelle istituzioni?
“Manca completamente una cultura cyber sana ed efficace. Quando ero al G7 nel 2017, nonostante l’eccellente lavoro non retribuito culminato con la dichiarazione di Lucca sulle norme di comportamento degli stati nel cyberspazio, l’unica preoccupazione fu quella di smantellare il gruppo al 31 dicembre senza la preoccupazione di dare continuità ad un operato eccellente.
Ad aggravare la situazione un quadro desolante di consulenze milionarie all’apparato governativo che non sortiscono evidentemente alcun risultato.
Inutile mentire, le informazioni trafugare sono già nelle mani sbagliate, dalle organizzazioni criminali alle agenzie di intelligence straniere, e gli eventi politici ed imprenditoriali dei prossimi anni ne saranno sicuramente influenzati.
Cosa si può fare? Bastano davvero maggiori partnership tra pubblico e privato?
La collaborazione serve, ma non quella che abbiamo oggi solo sulla carta. Oggi foraggiamo esclusivamente grandi imprese nazionali perché non siamo in grado di selezionare progettualità e realtà meritevoli di sostegno in ambito privato.
Cominciamo a coinvolgere a livello nazionale esperti che conoscono il settore, la materia e le progettualità che meritano investimenti.
Episodi simili, tenendo conto che sono avvenuti anche grazie a talpe interne alle istituzioni, mettono in crisi le democrazie? Allora non è solo colpa degli Stati canaglia e degli hacker …
“Ovviamente in gioco vi è la sicurezza nazionale. La disponibilità delle informazioni rubate da parte di agenzie di intelligence straniere rappresenta una minaccia concreta”, conclude Paganini.
Una considerazione di fondo
Tornando al già citato attacco alla Regione Lazio, a bocce ferme si è riaperto il sempiterno dibattito che ruota attorno alla necessità di formare l’operatore umano alle best practice della cyber security. Un tema importante mai affrontato con la dovuta serietà, ancorché incompleto se non supportato da infrastrutture di difesa realmente efficaci e in grado di impedire alle talpe interne di seminare il panico.
E se, a mancare, fosse soprattutto la cultura del lavoro in quanto tale e il senso di appartenenza alle aziende per le quali si lavora? Un dipendente contento e fidelizzato si prodiga per difendere l’impresa, altrettanto dovrebbe fare un dipendente non troppo contento ma comunque professionale e professionista.
Più che le tecnologie, alla sbarra dovrebbero finire individui prezzolati che non hanno alcun senso dello Stato e delle istituzioni. Una pagina buia per il Paese, una possibilità enorme in più per gli hacker che possono fare meno fatica individuando le persone corruttibili all’interno di un’organizzazione target.