Che gli attacchi informatici e le minacce correlate siano in netto aumento, è ormai un fatto più che noto.
Un rapido sguardo al Rapporto CLUSIT 2016 per la sicurezza ICT è più che sufficiente per riscontrare uno sproporzionato aumento degli attacchi portati avanti nei confronti di industrie e multinazionali che facciano largo uso della digitalizzazione come strumento di sviluppo interno, e fornisce un quadro piuttosto preoccupante sullo stato dell’arte della sicurezza delle informazioni.
Questi attacchi sono dunque oltremodo numerosi, incontrollati e non necessariamente dotati di un preventivo coordinamento a monte. In un quadro più globale, essi rappresentano singoli tasselli di un puzzle dai contorni ben più ampi, ovvero una minaccia maggiormente focalizzata nei confronti di quelle che sono le infrastrutture critiche e sensibili presenti sul territorio nazionale ed operanti in ambito europeo, sia correlate alla circolazione dei flussi di informazione (quali ad esempio le telecomunicazioni) sia più strettamente di natura economica o finanziaria (banche, imprese energetiche, trasporti, sanità). Una loro disfunzione o malfunzionamento a seguito di attacco massivo potrebbe causare in tempi relativamente rapidi un sostanziale blocco dello sviluppo dell’intera nazione che li ospita.
Anche i settori della difesa e dell’ordine pubblico non fanno naturalmente eccezione: non occorre troppa immaginazione per configurare lo scenario che verrebbe a crearsi qualora vi fosse un danneggiamento alle infrastrutture informatiche difensive o una sottrazione di informazioni sensibili correlate alla sicurezza nazionale da parte di soggetti ostili, siano essi membri di organizzazioni terroristiche od operatori di paesi militarmente ostili al mondo occidentale.
Procedure specifiche di gestione del rischio, analisi strategica preventiva degli ambienti di minaccia, messa in sicurezza delle infrastrutture e risposta agli incidenti sono solo alcune delle operazioni da compiere per affrontare le così dette cyber treaths. Volendo fare una estrema sintesi, occorre chiedersi: quali sono i rimedi presenti e con quali modalità occorre siano posti in essere da un punto di vista organizzativo e normativo?
In ambito europeo la questione non è affatto nuova. Nel 2013, sulla scia di un percorso precedentemente avviato dodici anni prima, l’Unione adottava per la prima volta una cyber strategy comune, richiedendo ai paesi membri di procedere alla sua implementazione e sviluppo, prevedendo che essi elaborassero anche a livello nazionale delle strategie di risposta secondo i criteri e gli elementi di cyber security individuati a livello comunitario. Ad oggi tutti gli Stati membri hanno risposto positivamente completando la procedura di implementazione, ad eccezione di Svezia e Grecia che risultano in fase di elaborazione di una propria linea strategica cibernetica.
Un ulteriore punto di sviluppo è rappresentato dalla formulazione nel 2013 di una bozza di direttiva formulata dall’Unione in materia di Network and Information Security (NIS). La proposta di Direttiva contiene al suo interno svariate prescrizioni di natura procedurale ed organizzativa, volte ad attuare una strategia preventiva di cooperazione nei confronti delle cyber treaths. Tra queste rientrano la predisposizione di standard di sicurezza comuni, la notifica di incidenti ad un’Autorità specificamente preposta e l’obbligo di adozione di un Computer Emergency Response Team (CERT) su base nazionale che svolga attività di messa in sicurezza delle infrastrutture critiche. La proposta è attualmente al vaglio del Consiglio europeo per acquistare esecutività, dopo aver passato dal 2013 ad oggi il vaglio del Parlamento, Consiglio, Commissione Europea e Commissione Mercato Interno del Parlamento.
Uno dei punti prioritari individuati in entrambi questi documenti comunitari (che per ragioni di sintesi non possono essere affrontati all’interno di questo contributo) consiste nel generare un modello di cooperazione tra le istituzioni competenti e gli operatori privati del settore genericamente intesi (sicurezza informatica, difesa, fornitori di servizi legati al risk management, fornitori di servizi a tutela delle infrastrutture di comunicazione ecc.) al fine di costruire una struttura consolidata su più livelli e che coinvolga agenti di differente estrazione tematica ed organizzativa.
l’Italia dal canto suo ha risposto positivamente a questi stimoli, adottando un apposito Decreto del Presidente del Consiglio dei Ministri il nel gennaio 2013, denominato “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”. Esso costituisce un punto di partenza necessario, poiché indica la necessità di precise operazioni di collaborazione che gli operatori privati, gestori di infrastrutture critiche rilevanti, devono porre in essere (ad esempio comunicare ogni violazione di rilievo ai propri sistemi informatici al nucleo per la sicurezza cibernetica, adottare policy specifiche e misure strumentali adeguate a quanto previsto dal Ministero dello Sviluppo Economico, dall’Organismo Collegiale Permanente ed in generale fornire agli apparati di sicurezza e intelligence ed agli altri organi dedicati le informazioni necessarie per accedere alle banche dati di interesse). Tale provvedimento legislativo è stato seguito da ulteriori documenti di intelligence, liberati recentemente dal segreto istituzionale, il Quadro Strategico per la Sicurezza Nazionale ed il Piano nazionale per la protezione cibernetica e la sicurezza informatica. Entrambi contribuiscono a disegnare la prospettiva della sicurezza cibernetica sul lungo periodo e sviluppare specificamente delle linee operative inerenti il breve periodo, ovvero il biennio 2014- 2015.
Nonostante il progetto così delineato sia ben lungi dal ritenersi completo, va riscontrato che in tale periodo si è perlomeno intrapreso un percorso condiviso di consapevolezza in merito. Un esempio è l’istituzione di nuovi CERT ed il rinforzo di quelli precedentemente istituiti, anche a livello di Difesa, che svolgono il ruolo di interlocutori unici per le attività di security information sharing con le istituzioni; anche lo stanziamento di risorse a livello governativo da dedicare alla cyber security, benché di rilievo ancora non sufficientemente ampio, si colloca sulla scia di un potenziamento della linea strategica a difesa del cyber spazio descritta dalle indicazioni europee.
Un elemento innovativo a cui guardare con interesse nell’ottica di cooperazione descritta, è sicuramente quello rappresentato dal piano di cyber security intelligence predisposto da Accenture. A livello italiano ed europeo è stata elaborata una piattaforma che aiuti le organizzazioni a prevedere, individuare e combattere gli attacchi informatici attraverso la combinazione di fattori tecnologici (AI, Cloud, analytics etc.) ed organizzativi, di cui si attendono i primi sviluppi operativi.
Un simile servizio è per certi versi analogo a quanto da poco iniziato in via sperimentale negli Stati Uniti, dove una procedura similare di scambio informazioni tra il settore pubblico e quello privato è già pienamente attiva. Essa opera nel contesto dell’elaborazione di dati su larga scala, servendosi di una piattaforma dati a gestione condivisa tra pubblico e privato allo scopo di verificare se tale metodo risulti essere utilmente efficace per la previsione degli attacchi informatici.
(foto: U.S. Army)
