Spie, criminali e hacktivisti: la minaccia cibernetica nella relazione dei servizi segreti italiani - Cyber Security 360

IL RAPPORTO

Spie, criminali e hacktivisti: la minaccia cibernetica nella relazione dei servizi segreti italiani

Lo CSIRT italiano in 8 mesi ha gestito 3.500 incidenti informatici gravi. Gli attaccanti hanno approfittato della pandemia e della congiunzione economica per bersagliare banche, Tlc, industrie e centri sanitari. Ma l’Italia è più preparata di quanto non si pensi. Verso la nascita del Centro nazionale per la sicurezza cibernetica

02 Mar 2021
D
Arturo Di Corinto

Senior Associate, Center for Cyber Security and International Relations studies, Università di Firenze

Gli hacker hanno colpito più forte durante la pandemia. E lo hanno fatto soprattutto ai danni della PA, delle banche e delle telecomunicazioni. Questo è il primo dato che salta agli occhi a leggere la relazione dei nostri servizi segreti sulle minacce cibernetiche che incombono sull’Italia.

Il rapporto, realizzato dal DIS, AISE e AISI per il Parlamento italiano, ovviamente non parla solo di questo, ma fornisce una disamina abbastanza dettagliata dei pericoli rappresentati da criminalità organizzata, terrorismo jihadista, immigrazione clandestina, estremisti ed eversori di destra e di sinistra, con tutto il quadro delle minacce all’economia nazionale, comprese le crisi regionali.

La minaccia cibernetica

Ma focalizziamoci sulla minaccia cibernetica alla quale è dedicato un intero allegato al rapporto: il Documento di Sicurezza Nazionale 2020.

Qui si legge che in otto mesi lo CSIRT italiano (Computer Security Incident Response Team) ha ricevuto 25.845 segnalazioni, gestito 3.558 incidenti informatici, 117 critici, e 273 vulnerabilità gravi. Una media di 15 incidenti al giorno. Per capire l’entità del problema dobbiamo pensare che ogni giorno diciassette aziende, organizzazioni, entità pubbliche “rilevanti” che hanno volontariamente notificato la notizia dell’attacco, sono state preparate e aiutate a contenere e minimizzare l’incidente.

WHITEPAPER
Protezione dei sistemi OT: una guida per difendersi dalle minacce
Fashion
Retail

Non è chiarito nel rapporto, ma da fonti qualificate si apprende che alcune decine di queste sarebbero finite all’attenzione del Nucleo per la Sicurezza Cibernetica risalendo la catena gerarchica fino al Presidente del Consiglio.

Si tratta di realtà che forniscono servizi essenziali e strategici al paese, che interessano un gran numero di utenti, e che stanno alla base delle normali attività quotidiane di tanti italiani: trasporti, comunicazione, salute, lavoro, affari.

Numericamente possono sembrare pochi – se confrontati ai numeri della pandemia cibernetica a cui ci hanno abituato i rapporti delle aziende di cybersecurity – ma sono numeri che nessuno aveva ufficialmente fornito prima in una relazione dei Servizi. E chissà cosa accadrà quando le segnalazioni diventeranno obbligatorie in forza della legge sul Perimetro di sicurezza nazionale cibernetica.

Spie, criminali e hacktivisti: i numeri della minaccia cibernetica

Il rapporto evidenzia come una serie di attori “abbiano sfruttato, nel periodo pandemico, il massiccio ricorso al lavoro agile e la conseguente accessibilità da Internet di risorse digitali di Ministeri, aziende di ruolo strategico e infrastrutture critiche”, facendole bersaglio di campagne di matrice statuale, criminale o hacktivista.

Tra i target privilegiati ci sono stati diversi “Dicasteri ed altre Amministrazioni dello Stato, nei cui confronti si è registrata una intensa campagna di diffusione di malware”.

L’analisi di questi attacchi cibernetici rilevanti per la sicurezza nazionale raccolti dall’Intelligence ha fatto emergere un generale incremento delle aggressioni (+20%), che hanno riguardato per lo più, i sistemi IT di soggetti pubblici (83%, un incremento di 10 punti percentuali rispetto al 2019) in particolare le Amministrazioni locali (48%, valore in aumento di oltre 30 punti percentuali rispetto all’anno precedente), unitamente ai Ministeri titolari di funzioni critiche (+ 2% nel confronto anno su anno).

Invece, le azioni digitali ostili perpetrate nei confronti dei soggetti privati hanno interessato prevalentemente il settore bancario (11%, in aumento di 4 punti percentuali rispetto al 2019), quello farmaceutico/sanitario (7%, in più rispetto allo scorso anno) e dei servizi IT (11%, dato pressoché stabile).

Viceversa, è stata registrata una riduzione (-7%) nel numero delle “proiezioni digitali di matrice statuale” leggi “hacker di stato”, a fronte di un simile incremento di episodi dalla matrice non identificabile (+ 6% rispetto al 2019), che potrebbe essere il risultato di un maggior impegno degli stessi attaccanti a dissimulare queste azioni clandestine.

I dati sulle tipologie di attacco rilevate nel corso del 2020 hanno confermato il preponderante ricorso a tecniche di SQL Injection per violare le infrastrutture informatiche delle vittime (60% del totale), successive a una prima fase di osservazione delle vulnerabilità tecniche del target grazie ad attività di scansione di reti e sistemi. Numericamente ridotte, ma di grande risultato quando riescono, le campagne di spear phishing (0,3%), per veicolare software malevoli, come i Remote Access Trojan-RAT, impiegati per acquisire il controllo remoto delle risorse compromesse.

Inoltre, attacchi ransomware hanno coinvolto soggetti di rilievo nazionale, sia del settore sanitario che dell’industria del Made in Italy, sfruttando per l’infezione nuove modalità di collegamento attivate per lo smart working: un florilegio di ceppi e gang criminali come Agent Tesla, Emotet, Netwalker, Sunburst, che hanno paralizzato aziende come Geox, Luxottica, Campari Group, Enel e molte altre.

Spionaggio e paramilitari cibernetici

Il “Comparto”, cioè l’insieme dell’intelligence nostrana, ha anche rilevato importanti campagne con finalità di spionaggio. Poche (2,5%), ma caratterizzate dalla difficile individuazione, rappresentano le più insidiose per il Sistema Paese, in termini di informazioni esfiltrate, perdita di operatività e competitività, nonché dispendio di risorse economiche per la loro mitigazione.

Gli autori sono definiti Advancend Persistent Threat (APT) per la capacità di infiltrarsi nei sistemi produttivi e finanziari e dopo averne spremute le informazioni, tendono a sabotarli, bloccarli o scambiarle con altri attori finanziati da governi canaglia.

In quest’ambito, dice la relazione, “sono parse di assoluto rilievo le campagne indirizzate verso Ministeri e primari fornitori nazionali di servizi di comunicazione elettronica, condotte attraverso azioni digitali altamente strutturate e con l’impiego di tecniche e strumenti sofisticati”, ma anche verso operatori di servizi essenziali del settore energetico per cui le nostre cyber-guardie hanno impiegato molte risorse a contrasto come nel caso dell’attacco digitale alla catena di fornitura (supply chain) della società texana SolarWinds, per il potenziale impatto su reti e sistemi nazionali la cui portata non è ancora chiara per nessuno.

Fake news e disinformazione

Infine, per quanto riguarda la minaccia ibrida – che interessa i settori diplomatico, militare, economico/finanziario – si è assistito al tentativo di intossicare il dibattito pubblico attraverso attività di disinformazione e/o di influenza, nel contesto di più ampie campagne: “è stata registrata una elevatissima produzione di fake news e narrazioni allarmistiche, sfociate in un surplus informativo (cd. infodemia) di difficile discernimento per la collettività”.

Ce n’è anche per i social network: “Fattore di rischio intrinseco al fenomeno della disinformazione online ha continuato a risiedere nelle logiche e negli algoritmi alla base dello stesso funzionamento dei social media, tendenti a creare un ambiente autoreferenziale ed autoalimentante, fondato sulla condivisione dei contenuti e delle relazioni di interesse che, polarizzando l’informazione disponibile, ne alimenta quindi la percezione parziale e faziosa”.

Dietro le apparentemente innocue “bufale” quindi, spiega l’intelligence, ci sono degli attori statali che mescolano campagne disinformative e attacchi cibernetici, per trasformare la pandemia in un vantaggio strategico di lungo termine influenzando l’opinione pubblica ed i processi decisionali nazionali, nonché a danneggiare i nostri assetti economici.

Il centro nazionale per la sicurezza cibernetica

Largo spazio nel documento di Sicurezza Nazionale viene infine dato all’insieme del lavoro svolto dal Comparto, soprattutto per arrivare al “Perimetro di sicurezza nazionale cibernetica” che obbliga gli operatori di servizi vitali per il paese al rispetto di stringenti misure di sicurezza, la notifica di incidenti, l’acquisto regolato di beni e servizi ICT, per reti, sistemi informativi e servizi informatici utilizzati da soggetti inclusi nel Perimetro.

Ma nel rapporto si parla ampiamente di tutto il processo di rafforzamento dell’architettura nazionale di sicurezza cibernetica contigua al “Perimetro”, e cioè:

  • l’implementazione della Direttiva europea NIS;
  • la sicurezza delle reti 5G (con la disciplina nazionale sul Golden Power e le linee guida europee per il procurement di tecnologia 5G da fornitori extraeuropei);
  • le attività del Nucleo di Sicurezza Cibernetica e dello CSIRT.
  • A cui possiamo aggiungere le attività di awareness, comunicazione e formazione svolte dal comparto insieme ad aziende, media ed università.

Con una scheda finale (vedi box sopra) che dovrà essere vagliata dalle autorità competenti al più presto e che riguarda la realizzazione del Centro nazionale per la sicurezza cibernetica.

Boicottato da Italia Viva e Partito Democratico durante il precedente governo, dovrà essere pronto per la fine dell’anno.

Istituto Italiano di Cybersicurezza, un nuovo modello di protezione: lo avremo mai?

Whitepaper
[CALL FOR IDEAS] Martech Solutions: how innovative are yours?
Startup
Trade
@RIPRODUZIONE RISERVATA

Articolo 1 di 5