Fronte digitale
Cybersecurity dimezzata, l'Italia nel mirino dei criminali informatici
Cybersecurity dimezzata, l'Italia nel mirino dei criminali informatici
Il nostro Paese è entrato per la prima volta nella top ten degli Stati più minacciati, ma investe meno degli altri per proteggersi. Roberto Baldoni è il docente che è stato appena arruolato per arginare gli attacchi sul web. E ha già due ostacoli ?interni: la burocrazia e i servizi
La finestra di palazzo Verospi a Roma, per lungo tempo dimora del poeta inglese Shelley, è illuminata fino a sera. È l’ufficio di Roberto Baldoni, il nuovo vice direttore del Dipartimento delle Informazioni per la Sicurezza con delega alla cybersecurity. Lui, primo professore a entrare ai vertici dei servizi segreti, è stato chiamato per arginare gli attacchi informatici al nostro Paese.
«Siamo immersi nello spazio digitale, ognuno deve fare la propria parte. Dobbiamo ragionare come squadra, finora tutti si sono isolati». È la ricetta che Baldoni ha elaborato sin dai tempi dell’università. Poco prima di nominarlo hanno però approvato un ordinamento interno: stabilisce che il professore non sia inserito nel circuito delle acquisizioni dell’intelligence. E così non è venuto a conoscenza delle informazioni, di natura classificata, sull’incursione dello scorso dicembre all’ambasciata di Berlino e su quella più recente di Parigi. Non è ancora chiaro di cosa si siano impossessati i criminali informatici, ma il professore non ha avuto alcun elemento per lavorarci. «C’è una certa ritrosia a condividere i dati con lui, soprattutto da parte di quelli che concorrevano al suo posto», commentano alcuni 007. Anche i pochi soldi messi a disposizione, 150 milioni di euro a fronte del miliardo della Germania, non sono tutti nella sua disponibilità: 15 sono andati alla Polizia Postale, altri 15 alla Difesa, i restanti al Sistema di informazione per la sicurezza.
Alla sua prima uscita pubblica dopo il nuovo incarico, durante ItaSec, la conferenza nazionale sulla sicurezza informatica, Roberto Baldoni ha chiarito che la sua nuova attività si articolerà principalmente «nella gestione del Nucleo per la sicurezza cibernetica (Nsc), che andrà dalla prevenzione alla risposta in caso di crisi». Si confronterà con i ministeri per aggiornare il governo e sarà un punto di contatto in Europa. Il suo incarico in realtà è solo quello di curarne il funzionamento, a differenza di quel che accade in altri Paesi come il Regno Unito dove il nucleo racchiude i rappresentanti di tutta l’intelligence.
A questo si aggiunge il circolo vizioso dell’ordinaria burocrazia che in Italia continua a paralizzare ogni iniziativa. Negli ultimi mesi il sistema di videoconferenze di uno dei quattro maggiori fornitori di telecomunicazioni è stato utilizzato come cavallo di Troia per infilarsi nel server principale. Da lì, una volta entrati, hanno avuto il controllo totale della rete aziendale, tanto da potersi impossessare di tutte le credenziali di accesso alle mail. Se ne sono accorti e sono riusciti anche a porre rimedio, ma non hanno potuto avvertire l’autorità competente per condividere l’esperienza e lanciare l’allarme. Le aziende di telecomunicazioni sono in realtà obbligate a comunicare ogni incidente informatico. Lo stabilisce una norma del 2012, peccato che da allora non sia mai stata identificata la struttura a cui fare la segnalazione. Per le altre infrastrutture critiche, dall’energia ai trasporti, dagli ospedali alle banche, il Consiglio dei ministri deve ancora approvare un decreto che recepisca la direttiva europea Network and Information Security (Nis) sulla sicurezza delle reti e dei sistemi informativi nell’Unione.
È lento il cammino iniziato dall’Italia verso il rafforzamento della propria sicurezza cibernetica, nonostante le minacce siano in continua evoluzione. Il costo del crimine informatico è lievitato a circa 450 miliardi di dollari, 13 volte la spesa globale per le missioni spaziali. Lo scorso anno, nel mondo, si sono registrate oltre mille incursioni con conseguenze “gravi”, e l’Italia, per la prima volta, è entrata nella top ten per numero di vittime. E poi c’è lo spionaggio cibernetico: attacchi sofisticati prodotti da realtà aziendali o statuali interessate a brevetti, know-how, informazioni geopolitiche e militari. È in corso una cyber war che non ha confini, ma il Bel Paese per ora non ha pensato a un’agenzia unica per fronteggiarla.
A differenza delle missioni di soldati all’estero, non esiste poi una normativa generale che «definisca i singoli passaggi attraverso i quali prendere parte a un’operazione militare che utilizzi i sistemi cibernetici», osserva nella sua ultima relazione la Commissione Difesa. Gli attacchi informatici possono del resto sostituirsi alle guerre tradizionali o integrarle attraverso lo strumento della minaccia ibrida con campagne di influenza che mirano a condizionare l’orientamento delle persone.
«Negli Stati Uniti, agenzie governative incaricate dello sviluppo di nuove tecnologie come Darpa e Iarpa investono annualmente centinaia di milioni di dollari per supportare la ricerca nell’ambito della manipolazione», spiega Emilio Ferrara professore della University of Southern California. Nel suo “Social bots distort the 2016 U.S. Presidential election”, realizzato con Alessandro Bessi, ha analizzato 20 milioni di messaggi legati alle elezioni presidenziali scoprendo che quasi un quinto è stato inviato da bot, programmi per generare testi che somigliano sempre più a quelli prodotti dagli umani. «Sono convinto che la maggior parte dei meccanismi che abbiamo scoperto si possano applicare in qualsiasi elezione», sottolinea Ferrara. E rimarca come alcuni dei temi ricorrenti «possano essere ritrovati nel contesto della politica italiana, per esempio l’immigrazione, lo ius soli. Sono tipici argomenti di discussione polarizzati e i bot possono essere utilizzati con successo per dividere l’opinione pubblica».
Il fattore umano, anello debole di ogni catena di sicurezza. Punto centrale è sviluppare una cultura che non sia solo tecnologia, diffondere le competenze e formare talenti. Quest’anno la competizione Cyberchallenge.IT, un programma di addestramento per giovani delle scuole superiori e delle università giunto alla seconda edizione, è stato esteso su scala nazionale e conta quasi duemila iscritti. Gli esperti sono convinti che quel che più serve siano abitudini di condotta che, a un costo molto basso, possano vanificare i più comuni tentativi di attacco. L’obiettivo è costruire un modello italiano di cybersecurity, ma il rischio è che si affrontino solo le emergenze. Le mosse da compiere sono ancora tante.
Il professor Baldoni ha indicato alcune soluzioni nel “Libro Bianco” realizzato dal Laboratorio nazionale di cybersecurity del Consorzio interuniversitario nazionale per l’Informatica. Un lavoro che ha portato a termine in collaborazione con i professori Paolo Prinetto del Politecnico di Torino e Rocco De Nicola dell’Imt di Lucca. All’interno si disegna un vero e proprio cambio di passo per gestire efficacemente i rischi in un mondo digitalizzato. Si va dalla creazione del Centro di valutazione e certificazione nazionale presso il ministero dello Sviluppo economico cui affidare la verifica dell’affidabilità delle componenti informatiche, al rafforzamento del Comando interforze per le operazioni cibernetiche, fino all’unificazione dei Computer emergency response team a cui dovranno segnalare gli incidenti le infrastrutture critiche secondo la nuova direttiva. Occorrerà aspettare un decreto attuativo. A esclusione delle telecomunicazioni, che ancora non sanno a chi rivolgersi.
«Siamo immersi nello spazio digitale, ognuno deve fare la propria parte. Dobbiamo ragionare come squadra, finora tutti si sono isolati». È la ricetta che Baldoni ha elaborato sin dai tempi dell’università. Poco prima di nominarlo hanno però approvato un ordinamento interno: stabilisce che il professore non sia inserito nel circuito delle acquisizioni dell’intelligence. E così non è venuto a conoscenza delle informazioni, di natura classificata, sull’incursione dello scorso dicembre all’ambasciata di Berlino e su quella più recente di Parigi. Non è ancora chiaro di cosa si siano impossessati i criminali informatici, ma il professore non ha avuto alcun elemento per lavorarci. «C’è una certa ritrosia a condividere i dati con lui, soprattutto da parte di quelli che concorrevano al suo posto», commentano alcuni 007. Anche i pochi soldi messi a disposizione, 150 milioni di euro a fronte del miliardo della Germania, non sono tutti nella sua disponibilità: 15 sono andati alla Polizia Postale, altri 15 alla Difesa, i restanti al Sistema di informazione per la sicurezza.
Alla sua prima uscita pubblica dopo il nuovo incarico, durante ItaSec, la conferenza nazionale sulla sicurezza informatica, Roberto Baldoni ha chiarito che la sua nuova attività si articolerà principalmente «nella gestione del Nucleo per la sicurezza cibernetica (Nsc), che andrà dalla prevenzione alla risposta in caso di crisi». Si confronterà con i ministeri per aggiornare il governo e sarà un punto di contatto in Europa. Il suo incarico in realtà è solo quello di curarne il funzionamento, a differenza di quel che accade in altri Paesi come il Regno Unito dove il nucleo racchiude i rappresentanti di tutta l’intelligence.
A questo si aggiunge il circolo vizioso dell’ordinaria burocrazia che in Italia continua a paralizzare ogni iniziativa. Negli ultimi mesi il sistema di videoconferenze di uno dei quattro maggiori fornitori di telecomunicazioni è stato utilizzato come cavallo di Troia per infilarsi nel server principale. Da lì, una volta entrati, hanno avuto il controllo totale della rete aziendale, tanto da potersi impossessare di tutte le credenziali di accesso alle mail. Se ne sono accorti e sono riusciti anche a porre rimedio, ma non hanno potuto avvertire l’autorità competente per condividere l’esperienza e lanciare l’allarme. Le aziende di telecomunicazioni sono in realtà obbligate a comunicare ogni incidente informatico. Lo stabilisce una norma del 2012, peccato che da allora non sia mai stata identificata la struttura a cui fare la segnalazione. Per le altre infrastrutture critiche, dall’energia ai trasporti, dagli ospedali alle banche, il Consiglio dei ministri deve ancora approvare un decreto che recepisca la direttiva europea Network and Information Security (Nis) sulla sicurezza delle reti e dei sistemi informativi nell’Unione.
È lento il cammino iniziato dall’Italia verso il rafforzamento della propria sicurezza cibernetica, nonostante le minacce siano in continua evoluzione. Il costo del crimine informatico è lievitato a circa 450 miliardi di dollari, 13 volte la spesa globale per le missioni spaziali. Lo scorso anno, nel mondo, si sono registrate oltre mille incursioni con conseguenze “gravi”, e l’Italia, per la prima volta, è entrata nella top ten per numero di vittime. E poi c’è lo spionaggio cibernetico: attacchi sofisticati prodotti da realtà aziendali o statuali interessate a brevetti, know-how, informazioni geopolitiche e militari. È in corso una cyber war che non ha confini, ma il Bel Paese per ora non ha pensato a un’agenzia unica per fronteggiarla.
A differenza delle missioni di soldati all’estero, non esiste poi una normativa generale che «definisca i singoli passaggi attraverso i quali prendere parte a un’operazione militare che utilizzi i sistemi cibernetici», osserva nella sua ultima relazione la Commissione Difesa. Gli attacchi informatici possono del resto sostituirsi alle guerre tradizionali o integrarle attraverso lo strumento della minaccia ibrida con campagne di influenza che mirano a condizionare l’orientamento delle persone.
«Negli Stati Uniti, agenzie governative incaricate dello sviluppo di nuove tecnologie come Darpa e Iarpa investono annualmente centinaia di milioni di dollari per supportare la ricerca nell’ambito della manipolazione», spiega Emilio Ferrara professore della University of Southern California. Nel suo “Social bots distort the 2016 U.S. Presidential election”, realizzato con Alessandro Bessi, ha analizzato 20 milioni di messaggi legati alle elezioni presidenziali scoprendo che quasi un quinto è stato inviato da bot, programmi per generare testi che somigliano sempre più a quelli prodotti dagli umani. «Sono convinto che la maggior parte dei meccanismi che abbiamo scoperto si possano applicare in qualsiasi elezione», sottolinea Ferrara. E rimarca come alcuni dei temi ricorrenti «possano essere ritrovati nel contesto della politica italiana, per esempio l’immigrazione, lo ius soli. Sono tipici argomenti di discussione polarizzati e i bot possono essere utilizzati con successo per dividere l’opinione pubblica».
Il fattore umano, anello debole di ogni catena di sicurezza. Punto centrale è sviluppare una cultura che non sia solo tecnologia, diffondere le competenze e formare talenti. Quest’anno la competizione Cyberchallenge.IT, un programma di addestramento per giovani delle scuole superiori e delle università giunto alla seconda edizione, è stato esteso su scala nazionale e conta quasi duemila iscritti. Gli esperti sono convinti che quel che più serve siano abitudini di condotta che, a un costo molto basso, possano vanificare i più comuni tentativi di attacco. L’obiettivo è costruire un modello italiano di cybersecurity, ma il rischio è che si affrontino solo le emergenze. Le mosse da compiere sono ancora tante.
Il professor Baldoni ha indicato alcune soluzioni nel “Libro Bianco” realizzato dal Laboratorio nazionale di cybersecurity del Consorzio interuniversitario nazionale per l’Informatica. Un lavoro che ha portato a termine in collaborazione con i professori Paolo Prinetto del Politecnico di Torino e Rocco De Nicola dell’Imt di Lucca. All’interno si disegna un vero e proprio cambio di passo per gestire efficacemente i rischi in un mondo digitalizzato. Si va dalla creazione del Centro di valutazione e certificazione nazionale presso il ministero dello Sviluppo economico cui affidare la verifica dell’affidabilità delle componenti informatiche, al rafforzamento del Comando interforze per le operazioni cibernetiche, fino all’unificazione dei Computer emergency response team a cui dovranno segnalare gli incidenti le infrastrutture critiche secondo la nuova direttiva. Occorrerà aspettare un decreto attuativo. A esclusione delle telecomunicazioni, che ancora non sanno a chi rivolgersi.
