Punti chiave
”Per un Paese come l’Italia, che fa dell’innovazione la pietra angolare della sua crescita e della sua competitività, il danno potenziale dei cyber-attacchi è incalcolabile”. Lo hanno spiegato gli uomini della intelligence italiana, quando hanno presentato nel febbraio scorso un piano strategico, che avverte chiaramente quanto la nostra nazione, forse più di altre, sia a rischio di attacchi cibernetici, e che ha elaborato una strategia per rispondere.
L’Italia punta su due cose. Il miglioramento: delle strutture informatiche, del personale, della consapevolezza, e la collaborazione, specie quella fra il settore pubblico e privato. Una sinergia di intenti e di dati, l’unica che ci permette di rimanere al passo e di difenderci da pericoli “mostruosi” come quella fucina di virus e attacchi che sono paesi come la Russia o la Cina.
I pericoli in quattro categorie
Nei due documenti PDF (Il Piano Nazionale e la Strategia Nazionale) che sono stati rilasciati dal DIS (Dipartimento delle informazioni per la sicurezza) si fa subito menzione di quanto qualsiasi cyber – attacco, nei confronti di qualsiasi altro paese, parta da una situazione di sostanziale vantaggio.
Innanzitutto la posizione, che può essere ovunque nel mondo e a qualsiasi distanza, alla quale si aggiunge il fatto che i più complessi e sicuri sistemi informatici possano essere bucati utilizzando anche una sola vulnerabilità, mentre la rapidità con cui le azioni criminose possono essere compiute limita fortemente la possibilità di capire cosa stia succedendo. Dall’altro lato, se parliamo di una ipotetica risposta all’attacco, è palese che il web aumenti il livello di anonimato, così come la sostanziale impunibilità in corrispondenza di diverse nazioni aggiunge un ulteriore elemento di sicurezza per gli aggressori.
Quattro sono le tipologie base in cui i pericoli sono stati divisi dai nostri 007: al primo posto la piaga del Cyber-crime, le azioni che partono dallo spam, fino alla truffa, passando per il furto di identità o l’attacco a dati e conti correnti. Rappresenta il tipo più comune di problema, che coinvolge trasversalmente lo studente, l’impiegato, l’imprenditore e il pensionato e che genera un fatturato immane, un’industria straordinariamente ricca e che globalmente affligge pesantemente le nazioni del mondo.
A seguire il Cyber-Spionaggio, che lo scandalo Datagate ha portato alla ribalta: si tratta di azioni volte a conoscere e impossessarsi di dati riservati, che possono riguardare l’intera nazione, l’attività del Governo e dei suoi rappresentanti, o le strategie che si utilizzano per la protezione dal crimine o per il rilancio industriale, se vogliamo intenderlo a livello nazionale, ma che all’occasione può prendere una piega di tipo più commerciale, come l’attacco ai brevetti, ai progetti riservati o ai piani operativi di importanti aziende. E’ forse il pericolo più elevato e preoccupante per l’Italia, che basa la sua capacità produttiva e di resistenza alla crisi proprio sulla sua impareggiabile inventiva.
Terzo posto per il Cyber-terrorismo, un ulteriore versante di problemi foraggiato da ideologie nazionali o simil-religiose, di cui un esempio è il Syrian Electronic Army, capace di far tremare aziende come Microsoft, di fare scherzetti a Facebook o di defacciare siti come la CNN. E’ un pericolo in evoluzione e strettamente legato agli andamenti politici delle nazioni, ma è chiaro che il medioriente e l’est, sono forse i paesi più caldi sotto questo punto di vista.
Conclude il Warfare, la vera e propria guerra cibernetica. Sebbene sia una ipotesi fortunatamente lontana, paesi come Israele hanno già annunciato di essere in grado di annichilire i sistemi informatici, i cellulari e ogni forma di comunicazione digitale in poche ore, e al pari di un esercito che deve garantire una forma di difesa, anche sul profilo virtuale, è necessario essere preparati.
Cosa deve fare lo Stato
La chiarezza e la precisione con cui è stato identificato l’ambiente e le varie declinazioni di pericoli che possono interessarci, fa capire come l’Italia debba avere necessariamente un piano strategico di risposta, che vede al primo posto uno Stato meglio organizzato e più dinamico.
Il settore pubblico, il documento lo dice chiaramente, ha la maggiore responsabilità, e non solo perché rappresentante dei cittadini, ma anche perché struttura che più di ogni altra è in grado di attuare una strategia su larga scala e continuativa. Lo Stato deve per prima cosa avere un personale informato e consapevole, perché nessun antivirus o sistema di protezione può sostituire l’eventuale impreparazione degli utenti: la realizzazione di corsi e seminari di formazione o di aggiornamento, sono la via principale, volta ad insegnare quelle che nel piano sono definite come “Best Practices” e che consentono di ridurre al minimo le vulnerabilità e gli errori che possono costituire dei varchi nella difesa.
Dall’altro lato i sistemi informativi devono conoscere un sensibile miglioramento. Non solo funzionalità e corretta gestione delle informazioni, ma anche una struttura meno esposta, che possa essere controllabile e con una gestione intelligente dei permessi: fondamentale in questo caso è la vita dei dati, che rappresentano forse il vero tesoro della cyber sicurezza, i quali dovranno avere tre caratteristiche fondamentali.
La prima, quella di essere integri ma allo stesso tempo protetti, cosa che apre le porte alla tecnologia della cifratura, la seconda quella della loro disponibilità, immaginando che i sistemi debbano permettere un accesso condiviso e comune cavalcando l’onda del cloud computing, e riservati, il che significa fra le altre cose gestire intelligentemente la sicurezza e rafforzare i meccanismi che permettono di verificare la propria identità.
Due le caratteristiche che le infrastrutture statali dovranno sviluppare nel lungo periodo: innanzitutto quella di accorgersi e mettersi in allerta con grande tempestività di fronte a possibili attacchi, e organizzare delle mobilitazioni immediate del personale pubblico senza perdere tempo prezioso. In seguito quella di prevedere le vulnerabilità che derivano dalle innovazioni tecnologiche, in modo da approntare sistemi di sicurezza che siano pronti per tempo, evitando di intervenire solo quando si verificano i primi casi concreti, con particolare attenzione al mondo dei social network e del cloud.
Alleati con il mondo
La rete di collaborazioni che lo Stato dovrà mettere in piedi partirà con le altre nazioni del mondo. Il primo passo è considerato quello di identificare un ente che si occupi di interagire all’estero e per quanto riguarda il profilo internazionale il principale e più utile interlocutore sarà la NATO, con la quale è prevista la costituzione di una serie di regole comunitarie per scambiarsi informazioni e avvertimenti, ma anche una serie di esercitazioni che permettano di migliorare con la pratica i sistemi e il modo di reagire agli eventi. La collaborazione internazionale permetterà inoltre di copiare i metodi più efficaci, riprendendoli ed adattandoli alle caratteristiche del nostro paese.
Sul fronte europeo sarà invece necessario sviluppare una più ampia strategia di difesa e sviluppare insieme agli altri membri dell’eurozona le infrastrutture necessarie: in questo senso sono state lanciate diverse ipotesi, da quella della Vicepresidente della Commissione Europea Neelie Kroes, che ha pensato ad uno spazio cloud riservato, ai primi veri e propri accordi in questo senso, come quelli iniziati fra la cancelliera tedesca Angela Merkel e il Presidente francese Francois Hollande.
Le Università
A collaborare alla difesa nazionale, verrà chiamato in causa anche il mondo accademico: l’Italia ha infatti nelle università l’unico vero centro di ricerca del paese che dovrà entrare in contatto con lo Stato al fine di apportare dei benefici piuttosto rilevanti. Innanzitutto potranno essere i docenti e luminari del settore a farsi carico della realizzazione di quei corsi di formazione di cui il personale pubblico ha bisogno. In secondo luogo sono i centri di ricerca i luoghi più adatti per eseguire delle simulazioni di attacco, per la creazione di tecnologie capaci di rispondere ai pericoli e sviluppare software adeguati. Le Università potranno addirittura aiutare a definire gli standard tecnici e di comportamento che la pubblica amministrazione dovrà adottare, diventando uno degli innumerevoli “cuori” attorno cui pulsa la sicurezza italiana.
L’unione Pubblico – Privato
Ma la regina delle collaborazioni, quella che davvero costituisce l’asse portante di tutta la strategia nazionale e che può decretare il successo o il fallimento dell’intero disegno, è quella con il settore privato, una realtà chiaramente molto più rapida e dinamica di quanto non possa essere lo Stato, ma anche maggiormente colpita. Nel documento si evince chiaramente che l’integrazione partirà con quelle aziende private che tuttavia gestiscono infrastruttura di portata pubblica, come la Telecom o l’ENI.
Fra le misure quella di rendere obbligatoria la segnalazione di un pericolo alle autorità competenti, punto di riferimento sarà per questo il Nucleo per la sicurezza cibernetica NCS, e la definizione di regole chiare e di procedure il più semplici possibili per eseguire queste notifiche e comunicare quanti più dettagli possibili sulla dinamiche di un qualsiasi tipo di problema. Fra gli obblighi che avranno le aziende di questo settore, anche quello di permettere un rapido accesso al proprio database per motivi di sicurezza nazionale, e l’attuazione di procedure più che efficienti per riportare la situazione alla normalità.
Ma se questa serie di misure si applicano a grandi aziende che trattano con lo Stato in logiche industriali di grande respiro, uguale e allo stesso tempo diverso sarà invece l’approccio utilizzato con le piccole e medie imprese. “La principale cosa che devono comprendere le piccole aziende – spiega ad Alground una fonte interna dei servizi segreti italiani – è che i problemi che possono avere nella cyber sicurezza non riguardano solo loro.
Sul nostro sito si fa l’esempio di un dipendente che viene licenziato, e che subisce un attacco hacker sul proprio dispositivo, che porta al furto di un importante brevetto. In questo caso il suo problema sta diventando di interesse nazionale e non deve pensare e agire come se fosse solo un suo pericolo. Lo Stato – precisa la fonte – sarà vicino alle PMI tramite la consulenza, e una serie di strumenti e iniziative con cui spiegheremo ai piccoli imprenditori come devono comportarsi”.
Il piano prevede infine lo sviluppo di due elementi: il primo sono i CERT, gli organismi pubblici o privati che devono raccogliere le segnalazioni di incidenti digitali e approntare una risposta, i quali dovranno espandersi ed entrare in comunicazione sia con gli altri stati che all’interno della pubblica amministrazione, coinvolgendo di nuovo quelli eventualmente instaurati dai centri di ricerca e da organismi privati. A questo si aggiunge la consapevolezza sul tema, che verrà invece affidata ad intense campagne di sensibilizzazione e di formazione, che partiranno dallo Stato per coinvolgere anche le imprese ma soprattutto i cittadini e soprattutto gli alunni delle scuole: sono i principali fruitori della tecnologia, e in realtà la parte più importante del progetto, quella che va più rapidamente preparata.
Mostrare i muscoli, da subito
La strategia per la sicurezza cibernetica nazionale, è pensata per dare alla nazione una struttura potente e basata sulla condivisione delle informazioni: qualcosa che tuttavia dovrà coinvolgere anche vere e proprie campagne di marketing internazionale. Nel documento, il DIS spiega chiaramente come la corretta comunicazione delle capacità e delle potenzialità del nostro paese possa rappresentare un deterrente per gli attacchi informatici, ragione per cui dovrà essere ben chiaro quale sia la nostra immediata evoluzione nel settore e quali siano le armi a nostra disposizione, fra cui anche il Centro Operativo Cibernetico Interforze (COCI), che dovrà essere in grado di condurre vere e proprie azioni militari nel mondo virtuale.
“La situazione odierna del nostro paese – conclude la fonte dell’intelligence italiana – è quella di un paese che rispetto agli altri è forse arrivato in ritardo su questo fronte, ma paradossalmente questo può essere un vantaggio, perché con l’esempio altrui ha avuto la possibilità di comprendere quali tecniche e strategie funzionino meglio di altre”. E se si dovesse dare un voto alla nostra attuale capacità di difesa? “Fossimo all’Università, ci prenderemmo un bel 27”. E infine: “Il piano strategico che abbiamo elaborato è un piano possibile. Le risorse sono poche, come sempre avviene strutturalmente in tutti i settori, ma noi le ottimizziamo bene. Le basi per attuare la nostra strategia ci sono, così come le conoscenze che posso tranquillamente definire avanzate. Insomma, si può fare”. Anzi, si deve.