Si è conclusa, presso la sede dell’Agenzia per la Cybersicurezza Nazionale (ACN), l’esercitazione ACN-CyEX24, la prima su scala nazionale a coinvolgere le amministrazioni rappresentate nel Nucleo per la Cybersicurezza. L’evento, svoltosi il 5 e 6 dicembre, ha visto la partecipazione di oltre 50 rappresentanti di Ministeri e Dipartimenti, impegnati in un’attività mirata a testare e perfezionare le capacità di prevenzione e risposta agli incidenti cibernetici del sistema pubblico italiano.
L’esercitazione ha simulato uno scenario di attacco cibernetico a intensità crescente, che ha preso avvio dall’identificazione di una vulnerabilità critica fino alla gestione di un incidente complesso. Il ciclo completo di risposta è stato testato, includendo gli alert trasmessi dal CSIRT Italia, unità operativa dell’ACN, e l’adozione di misure di contenimento e ripristino.
Inserita nel percorso di attuazione della Strategia nazionale di cybersicurezza 2022-2026, l’esercitazione ha rappresentato anche un’opportunità per consolidare la conoscenza delle normative di settore. Tra queste, la Legge 28 giugno 2024, n. 90, che rafforza il quadro legislativo nazionale, e il Decreto Legislativo n. 138 del 4 settembre 2024, che recepisce la Direttiva europea NIS2.
L’esercitazione ha confermato il valore dello scambio informativo e della collaborazione tecnico-operativa per una gestione tempestiva ed efficace degli eventi cibernetici. “L’ACN-CyEX24 rappresenta un passaggio importante nel percorso di crescita della resilienza cibernetica nazionale,” ha dichiarato il Prefetto Bruno Frattasi, Direttore Generale dell’ACN.
Unificazione e sovranità digitale
Oltre a rafforzare le capacità operative, esperienze come ACN-CyEX24 mettono in luce la necessità di ottimizzare i sistemi digitali della Pubblica Amministrazione. Unificando piattaforme e servizi digitali, sarebbe possibile ridurre i costi, evitare duplicazioni e costruire una sovranità digitale centralizzata e monitorata.
Un esempio concreto dell’importanza di una gestione centralizzata è emerso recentemente, quando decine di comuni italiani sono stati eliminati dall’indice di Google a causa di un aggiornamento algoritmico. Questa situazione sottolinea la frammentazione attuale, con migliaia di piattaforme gestite da società diverse per la pubblicazione e l’erogazione di servizi pubblici.
Unificare tali piattaforme consentirebbe di migliorare l’efficienza e offrire ai cittadini servizi digitali più accessibili e sicuri. Inoltre, potrebbe rappresentare un passo strategico verso la costruzione di un sistema pubblico più resiliente e autonomo, riducendo la dipendenza da terze parti e assicurando una migliore protezione delle infrastrutture critiche.
L’ACN-CyEX24 non è stata solo un’esercitazione tecnica, ma un chiaro esempio di come le istituzioni possano collaborare per affrontare le sfide della cybersicurezza. Iniziative come questa, estese anche a livello locale, potrebbero coinvolgere l’intera Pubblica Amministrazione e gettare le basi per un sistema digitale pubblico coeso e sostenibile, capace di rispondere alle minacce cibernetiche con efficacia e tempestività.
“Un attacco cibernetico a intensità crescente rappresenta una simulazione o un evento reale in cui un attacco informatico si sviluppa progressivamente, aumentando in complessità, gravità e impatto nel tempo. Questo tipo di scenario è concepito per mettere alla prova la capacità di un'organizzazione o di un sistema di affrontare le diverse fasi di un incidente cibernetico, adattandosi a nuove sfide man mano che queste si presentano.
Un attacco di questo genere si caratterizza per alcune peculiarità. In primo luogo, c'è un incremento progressivo della gravità: l'attacco può iniziare con un problema relativamente semplice, come la scoperta di una vulnerabilità in un software, per poi evolversi in situazioni sempre più complesse e dannose, come il blocco di servizi essenziali o la compromissione di dati critici. Inoltre, si osserva una diversificazione degli strumenti e delle tecniche impiegate. Nel corso dell’attacco, possono essere utilizzate metodologie diverse, come phishing, malware, ransomware o attacchi DDoS, aumentando la pressione sugli obiettivi.
Con il progredire dell’attacco, l’impatto sulle operazioni diventa sempre più significativo. Le conseguenze non riguardano solo i sistemi tecnici, ma possono estendersi ai processi aziendali, alle infrastrutture critiche e alla reputazione dell’organizzazione. Per gestire queste situazioni, è necessaria una risposta complessa e articolata, che richiede contromisure avanzate come il monitoraggio approfondito, l’isolamento di segmenti della rete e, in alcuni casi, il coordinamento con altre organizzazioni.
Un esempio pratico di un attacco a intensità crescente può iniziare con un attore malevolo che sfrutta una vulnerabilità nota per ottenere accesso a una rete aziendale (fase iniziale). Successivamente, l’attaccante potrebbe muoversi lateralmente all'interno del sistema, compromettendo più macchine e raccogliendo dati sensibili (fase intermedia). Infine, l’attacco potrebbe culminare in un ransomware che blocca tutti i dati aziendali, con la minaccia di renderli pubblici se non viene pagato un riscatto (fase avanzata).
Simulazioni di questo tipo hanno obiettivi precisi: permettono di testare l’intero ciclo di risposta a un incidente, dalla scoperta iniziale fino alla risoluzione; valutano la capacità di coordinamento tra team e organizzazioni; e aiutano a identificare i punti deboli nei protocolli di sicurezza, migliorando così la resilienza complessiva.
