L’intelligence non può più prescindere dalla minaccia cyber, che impatta ormai su tutte le dimensioni della sicurezza nazionale: da quella legata al rischio di attentati terroristici a quella economico-finanziaria, bersaglio del sempre più massiccio spionaggio digitale. È quanto spiega la Relazione annuale al Parlamento sulla politica dell’informazione per la sicurezza (qui il documento completo), diffusa questa mattina dal Dis, il Dipartimento che coordina le attività dei servizi segreti italiani.
LO SPIONAGGIO A FINI ECONOMICI
Lo spazio cibernetico, si legge nel documento, è ormai “un terreno di conflittualità diffusa”, dove si incrociano pericoli trasversali. A preoccupare è soprattutto “l’incremento qualitativo e quantitativo delle azioni contro alcune Istituzioni e l’industria ad alto contenuto tecnologico ed innovativo, con l’obiettivo di esfiltrare informazioni sensibili e know how pregiato, nonché di accedere ai rispettivi sistemi in vista di successive azioni di disruption”.
In questo campo, si evince, anche Paesi considerati vicini possono rivelarsi dei nemici. Esiste, infatti, un “consolidamento di attività legate all’effettuazione di due diligence occulte attraverso la sottrazione di dati di natura finanziaria – o relativi a piani di investimento e di politica industriale – nell’ottica di acquisizioni di pacchetti azionari di società italiane da parte di competitor stranieri ed alla veicolazione di minacce da parte di soggetti ed aziende operanti nel settore informatico e della sicurezza cibernetica”. E a testimoniarlo c’è il fatto che, nel corso del 2015, rilevano gli analisti dei servizi, la “matrice statuale ha continuato a caratterizzare le più significative attività di cyberspionaggio in danno di obiettivi nazionali di rilevanza strategica”.
Tra gli obiettivi preferiti vi sono di norma, dice la relazione annuale, “target pubblici e privati operanti nei settori diplomatico, della difesa” (è recente la notizia di un attacco condotto, forse da hacker al soldo di Mosca, ai danni del ministero della Difesa italiano e di altri Paesi e organizzazioni, compresa la Nato), “dell’aerospazio, delle telecomunicazioni ed energetico”.
IL CYBER CRIME
I pericoli che giungono invece da cyber criminali singoli o organizzati attivi in Rete sono perlopiù “acquisizioni fraudolente di credenziali bancarie, dati di pagamento e di identità utili a ottenere un rapido profitto da riciclare in ulteriori attività illegali o nei contesti criminali”.
IL MODUS OPERANDI
Le modalità di attacco impiegate sono connotate, in certe occasioni, da una “relativa semplicità attuativa, sebbene di estrema pervasività e persistenza, ed in altri, da sofisticate tecniche elusive e crittografiche e da una puntuale selezione dei target, nei cui confronti si è agito con intrusioni molto mirate”.
In altre, invece, “sono emerse forme di aggressione particolarmente sofisticate e non rilevabili da parte dei software di sicurezza. In alcuni tipi di attacchi, il sistema target, una volta compromesso, rischia di rimanere infettato anche dopo gli interventi di ripristino, continuando quindi a patire la contaminazione”.
Il modus operandi, si sottolinea, ha continuato ad ogni modo “a tradursi in una minaccia persistente e avanzata – Advanced Persistent Threat – APT – con l’impiego di software malevolo (cosiddetti malware) nelle reti informatiche dei soggetti selezionati, al fine di infettarne i relativi computer”. Tra questi ci sono i “ransomware, particolari malware che, una volta attivati sul target, cifrano i dati presenti nella postazione di lavoro e impongono il pagamento di una somma di danaro sotto forma di moneta elettronica di tipo bitcoin, anonima e non tracciabile”.
LA RISPOSTA AL GOVERNO
Non manca, nella relazione, una risposta indiretta al governo e ai suoi progetti di riforma della sicurezza cibernetica nazionale che dovrebbero passare dalla nomina (ora apparentemente congelata) a super consulente sui temi cyber dell’amico e manager di Matteo Renzi, Marco Carrai.
Ascoltato il 27 gennaio dal Copasir, il Comitato parlamentare per la sicurezza della Repubblica, il direttore del Dis, Giampiero Massolo (nella foto), nella sostanza ha spiegato che serve un decreto non solo per nominare un “cyber zar” di Palazzo Chigi ma anche per affidargli il settore in questione, ora appannaggio del consigliere militare della presidenza del Consiglio. Inoltre la persona o la struttura che si occupa di sicurezza cibernetica (versante intelligence) al momento deve far parte dei Servizi.
Un concetto ribadito nella relazione, dove si esalta l’autonomia del Comparto e si pone in evidenza come il modello attuale – difeso anche in un documento con cui la Commissione Difesa della Camera ha dato a gennaio l’avvio a un’indagine conoscitiva sulla sicurezza e la difesa dello spazio cibernetico – abbia finora funzionato.
C’è oggi, si rileva nella relazione, “una naturale osmosi fra l’attività svolta dall’intelligence e quella che spetta alle diverse componenti dell’architettura nazionale cyber”. E, si aggiunge, “la cornice giuridica – definita dalle leggi di riforma” (in primis la Legge 124 del 2007, ndr) “e dal DPCM del 24 gennaio 2013 – di un processo di modernizzazione del Sistema Paese nel quale l’intelligence assume un ruolo fondamentale sul versante della cyber security, si è dimostrata valida e lungimirante, poiché ha prefigurato, nella sua ratio e nel suo impianto, gli spazi per ulteriori, innovativi margini di intervento che consentissero di adeguare la risposta all’ininterrotto sofisticarsi della minaccia”.
LA RICETTA DEL DIS
Attraverso il Quadro Strategico Nazionale ed il Piano Nazionale adottati nel Dpcm del 2013, rimarca la relazione, si sono compiuti “passi avanti” per “il complessivo livello di crescita degli assetti cyber nazionali”.
Tuttavia c’è ancora da lavorare. “Dagli opportuni moduli di verifica a suo tempo previsti”, rilevano gli analisti dei Servizi, è emersa anche “l’esigenza di irrobustire e fluidificare i meccanismi nodali del sistema”, attraverso “linee d’azione” fissate a loro volta in una Direttiva del presidente Consiglio risalente al 1° agosto 2015.
Purtroppo, però, si rileva, non si è pronti a fronteggiare questa evoluzione, perché c’è ancora un “divario difficilmente colmabile tra il rapido, costante ampliamento della superficie di attacco e la non altrettanto veloce capacità di garantirne una difesa efficace”.
Tre gli obiettivi a cui adempiere: “potenziamento del sistema di reazione ad eventi cyber; implementazione, da parte di tutti gli attori pubblici e privati dell’architettura nazionale, dei requisiti minimi di sicurezza cibernetica” (a questo, di aggiunge, può contribuire il Framework Nazionale per la Cybersecurity presentato da Laboratorio Nazionale Cyber e CINI – Consorzio Interuniversitario Nazionale per l’Informatica, raccontato qui da Formiche.net); “adozione di coordinate iniziative interistituzionali rispetto a segmenti che, in quanto game changer, necessitano della massima integrazione degli sforzi, ossia il partenariato pubblico-privato, l’attività di ricerca e sviluppo e la cooperazione internazionale”. Oltre all’ampliamento “del coordinamento assicurato dal Dis nell’ambito dell’attività degli Organismi informativi, preordinato alla ricerca informativa di Aise ed Aisi”, i due Servizi esterno ed interno.
LA CYBER JIHAD
Un accento particolare viene poi posto infine sui rischi e i possibili effetti della cyber jihad e, più in generale dell’uso che il terrorismo islamico può fare della Rete in un’ottica globale: dal reclutamento ad attacchi mirati a infrastrutture critiche. Da quest’ultimo punto di vista, rilevano gli analisti dei Servizi, “non si ha evidenza, a tutt’oggi, di azioni terroristiche finalizzate a distruggere o sabotare infrastrutture ICT di rilevanza strategica, ma è ragionevole ipotizzare che, nel futuro, tali obiettivi possano effettivamente rientrare negli indirizzi strategici del jihad globale, aggiungendo, quindi, una nuova dimensione alla minaccia terroristica”.
Un allarme che fa il paio con la notizia che il Pentagono, guidato ha Ashton Carter, ha da poco lanciato una cyber campagna offensiva contro lo Stato Islamico, con l’obiettivo di arginare la propaganda del gruppo, che attraverso i social network chiama a sé continuamente proseliti, e interferire nel settore delle comunicazioni militari e dell’economia del sedicente Califfato.
Un problema affrontato nella relazione anche dai nostri 007, che evidenziano come esistano una “campagna di ricerca e reclutamento online di hacker mercenari o ideologicamente motivati, per sostenere le operazioni di Daesh” (altro nome dell’Isis, ndr) e una “crescente casistica di attacchi informatici (sinora a basso impatto) realizzati ai danni di sistemi informativi di soggetti pubblici e privati occidentali, non particolarmente sensibili, da crew, che, per la denominazione o il contenuto delle loro rivendicazioni, fanno chiaro riferimento al jihad e a Daesh”.
Anche in questo caso, però, i Servizi invitano a non cedere all’allarmismo: nessun collegamento effettivo è stato finora riscontrato, almeno in Italia, tra questi pirati informatici e lo Stato Islamico. Potrebbe piuttosto trattarsi “di una mera trasposizione emulativa nel dominio cibernetico delle iniziative propagandistiche di matrice jihadista”; un fenomeno ugualmente pericoloso ma senza dubbio meno strutturato, almeno per il momento.