Mercoledì 16 giugno 2021 a Ginevra i presidenti Putin e Biden parleranno della possibilità di collaborazione per ridurre gli attacchi di cybercriminali ai settori chiave dei rispettivi paesi. Non è un caso che proprio oggi riprenda a circolare la notizia di un attacco hacker ai danni di Sol Oriens, contractor di armamenti nucleari, avvenuto a maggio e sferrato dal gruppo REvil che si presume operi dalla Russia.
Durante il G7 appena concluso, la cybersicurezza è stata in primo piano insieme all’agenda sui cambiamenti climatici. In Italia, l’annuncio dell’Agenzia per la Cybersicurezza Nazionale ha già elevato la nascente struttura al ruolo di garante della messa in opera e della salvaguardia del PNRR (Piano Nazionale di Ripresa e Resilienza).
Se da un lato queste notizie testimoniano l’importanza che i governi dedicano alla sicurezza informatica, gli attacchi più recenti e le avvisaglie non ascoltate da più di vent’anni a questa parte non fanno presagire niente di buono.
Il problema non è soltanto italiano. Anche gli Stati Uniti, percepiti come esempio in termini di strutture, organizzazione ed efficienza operativa, hanno i loro problemi di coordinamento, duplicazione di sforzi e spreco di risorse.
Un articolo su thenationalnews.com del gruppo Bloomberg analizza i motivi alla base della crescente vulnerabilità delle aziende per la distribuzione di acqua ed energia elettrica, il ritardo accumulato per provvedimenti mai messi in atto e l’importanza di proteggere infrastrutture strategiche.
Sono decenni che anche ai massimi livelli il governo americano valuta di primaria importanza la sicurezza delle reti informatiche. Nel 1998 l’amministrazione Clinton classificò 14 settori privati come “infrastrutture critiche”, fra cui le industrie chimiche, i fornitori per la difesa, energia e servizi finanziari. Ma vari fattori hanno frenato il cambiamento, primo fra tutti i costi di ammodernamento o addirittura sostituzione della tecnologia per permettere all’hardware di far funzionare strumenti sofisticati di cybersecurity. Il secondo è semplicemente il divario fra il dire e il fare: alle dichiarazioni programmatiche non è seguito un supporto operativo per far fronte alle minacce, lasciando i privati a fare da sé, anche quelli che forniscono servizi di pubblica utilità.
Un esempio eclatante è quello della One Gas di Tulsa, Oklahoma, che a gennaio 2020 è riuscita ad affrontare con successo un attacco di hacker. Richard Robinson della società Cynalytica (che si occupa di sistemi di prevenzione e protezione per gli attacchi informatici) ha raccolto i dati sui file corrotti e sulle “impronte digitali” trovate nel codice degli hacker e li ha presentati all’FBI, al Department of Homeland Security (nato dopo gli attacchi dell’11 settembre per proteggere gli americani dal terrorismo), ai Dipartimenti dell’Energia e della Difesa chiedendo una verifica sui sospetti che dietro gli attacchi si celasse un operatore di uno stato nazionale per mettere a repentaglio l’approvigionamento di gas naturale. Ad oggi non ha ricevuto risposta.
Nel 2018 un gruppo di hacker “buoni” pagati dalla città per entrare nel sistema idrico ed elettrico di Los Angeles trovarono 10 nuove vulnerabilità ed evidenziarono 23 problemi già identificati nel 2008. Il team di sicurezza del municipio chiese loro di minimizzare il tutto e di dichiarare risolti i contrattempi. Il sindaco licenziò i consulenti hacker e la cosa fu insabbiata.
Esperti di sicurezza digitale americani non risparmiano “j’accuse” senza mezzi termini e denunciano l’inadeguatezza della sicurezza digitale dei network di computer che controllano la produzione e la distribuzione di acqua e di elettricità. Il basso livello di priorità che ad oggi il governo americano ha dato alla sicurezza informatica delle infrastrutture costituisce una minaccia nazionale e una vulnerabilità crescente.
“Se domani avessimo una nuova guerra mondiale e dovessimo preoccuparci di proteggere le infrastrutture da un attacco informatico dalla Russia o dalla Cina…non credo che saremmo dove vorremmo essere”, ha affermato Andrea Carcano, co- fondatore di Nozomi Networks, una società di sicurezza dei sistemi di controllo.
Né serve una dichiarazione formale di guerra per rendersi conto dei pericoli. Quando la guerra si combatteva con armamenti tradizionali e i punti critici delle infrastrutture di ogni paese erano geograficamente identificabili, si pensava a proteggere strutture come ponti, strade principali, stazioni televisive e di questo se ne occupavano principalmente i militari. Adesso lo scenario è completamente cambiato. Le infrastrutture vengono gestite anche da software e da remoto e rivestono meno importanza la localizzazione geografica sia del target che del mandante l’attacco. La guerra non si chiama più tale e si protrae nel tempo; viene meno la distinzione fra periodo/status di guerra e periodo/status di pace. Si accentua l’interdipendenza fra privato e pubblico in un sistema dove consulenti, contractor, aziende di servizi e singoli utenti fanno parte di una catena interconnessa e soggetta a violazione anche in tempo di pace. La guerra è nascosta fra le pieghe di un’apparente concorrenza commerciale fra aziende e fra paesi.
In questo contesto, gli hacker alzano la posta. Fino a poco tempo fa, gli hacker ransomware (quelli che chiedono un pagamento alle aziende colpite per sbloccare e rendere nuovamente fruibile il loro sistema informatico) si concentravano su università, banche e amministrazioni locali ma adesso hanno alzato il tiro e colpiscono società energetiche, impianti di confezionamento della carne, utenze.
Anche in un momento di calma apparente, gli hacker possono muoversi indisturbati all’interno dei sistemi informatici. Nel suo rapporto sulla sicurezza informatica del 2020, l’azienda di cybersecurity Dragos dichiara che il 90% dei suoi nuovi clienti “aveva visibilità estremamente limitata o nulla” all’interno dei propri sistemi di controllo industriale. Ciò significa che una volta all’interno, gli hacker hanno la libertà di raccogliere dati sensibili, indagare sulle configurazioni del sistema e scegliere il momento giusto per sferrare un attacco.
Ad oggi un attacco informatico alle utenze italiane sembra scongiurato, ma mentre attendiamo che diventi operativa l’Agenzia per la Cybersicurezza Nazionale, ci domandiamo se le dichiarazioni di intenti si tradurranno veramente con urgenza in strutture con metodologie e strumenti agili, efficienti, velocemente operativi e non in conflitto con strutture esistenti.
La previsione di organico in dotazione all’ACN non sembra andare nella direzione auspicabile. Numerosi esperti italiani di cybersecurity ritengono che non siano più di 100 i professionisti in Italia pronti ad assumere sin dall’inizio ruoli operativi e dirigenziali nell’ACN, mentre l’ipotesi istituzionale è di una struttura che partirà con 300 dipendenti per arrivare a 800. Se il mantra di chi lavora nel settore è “l’anello debole nella sicurezza è la persona”, la struttura elefantiaca dell’ACN diventa un rischio per la stessa agenzia che dovrebbe proteggere il paese.
Una struttura agile serve anche perché il successo si misurerà in termini di capacità di attacco e non solo di difesa. Dopo l’attacco di maggio alla Colonial Pipeline che ha dovuto chiudere 5500 miglia di condotte che trasportano il 45% del fabbisogno di benzina, diesel e kerosene della East Coast degli Stati Uniti, le principali aziende di energia americane si sono riunite per fare il punto sul supporto necessario da parte del governo. Tom Fanning, amministratore delegato di Southern (distributore di elettricità e gas), ha dichiarato “Se i cattivi ci danno la caccia, ci deve essere un occhio per occhio, o meglio… dobbiamo assicurarci che i cattivi capiscano che ci saranno conseguenze”.
L’attacco è la miglior difesa e in questo periodo il “modello Figliuolo” che tanto successo riscuote in ambito Covid potrebbe essere una soluzione efficace. Figliuoli cercansi.
