Ogni anno il Governo presenta al Parlamento la Relazione sulla politica dell’informazione per la sicurezza di cui è parte integrante il Documento di sicurezza nazionale. Nei due anni precedenti questo documento si limitava a descrivere l’architettura nazionale cyber, la novità di quest’anno è la comparsa di una sezione dedicata alla trattazione specifica della minaccia cibernetica, con un contributo informativo ad ampio spettro.
DOMINIO CYBERSPAZIO
La sicurezza della nazione non si articola solo nei domini terra, mare e cielo, ma sempre più nel cyberspazio ed esso va protetto per salvaguardare la nostra democrazia ed economia. L’evoluzione cyber è stata molto rapida anche all’interno del comparto intelligence e questo dato si evince anche solo osservando i cambiamenti all’interno del vocabolario della Relazione per il Parlamento, che quest’anno incorpora (per la prima volta) anche un breve glossario di termini propri del cyberspazio.
COMPRENDERE I CAMBIAMENTI
Il livello di analisi della Relazione è sempre più nitido ed una lettura attenta permette di cogliere importanti elementi che riguardano il profilo della minaccia. È inoltre evidente l’impegno del Comparto verso un’attività informativa rivolta al medio-lungo termine e non solo alla gestione della quotidianità, nel Documento si legge “lo sforzo dell’intelligence per incrementare, in un modello “a tendere”, le proprie capacità operative e per essere all’altezza del compito: un’intelligence visionaria, che sappia cogliere dalla contingenza segnali e tendenze per il futuro”.
POTENZIAMENTO CAPACITÀ NAZIONALI
Per quanto riguarda l’architettura cyber italiana, il governo ha operato attraverso il Tavolo Tecnico Cyber per l’attività di raccordo tra istituzioni ed il Tavolo Tecnico Imprese per lo sviluppo del partenariato tra pubblico e privato. L’agenda del primo Tavolo ha riguardato principalmente la verifica di attuazione del Piano Nazionale (per il biennio 2014-2015) e la realizzazione di una connettività nazionale per la Rete Gestione Crisi Cyber (con il ministero della Difesa anche per lo scambio di informazioni classificate). Si apprende inoltre che si è provveduto ad ampliare il novero dei soggetti che, in aggiunta a quelli critici e strategici, sono i naturali destinatari di mirate attività di sensibilizzazione, in quanto potenzialmente esposti al rischio di attacchi informatici.
PARTENARIATO CON LE AZIENDE
Nel Documento si evidenza che il Tavolo con le imprese ha fatto perno sul processo di condivisione delle informazioni che da un lato alimenta il patrimonio informativo dell’intelligence e dall’altro arricchisce la base di conoscenza dell’azienda. Seguendo la stessa logica di partenariato, il 26 Novembre scorso è stato presentato il nuovo Polo Tecnologico quale incubatore di idee e soluzioni, nel cui ambito opera un Laboratorio Malware primo esperimento di livello nazionale tra Intelligence (per l’individuazione delle esigenze operative), Accademia (per la capacità di ricerca avanzata) ed industria (per la sperimentazione e la produzione di nuovi modelli tecnologici di difesa) mirante a sviluppare una capacità in materia di malware reverse engineering, allo scopo di individuare metodologie di rilevazione, analisi e rimozione di codici malevoli.
FRAMEWORK NAZIONALE DI CYBER SECURITY
Nel Documento viene dato ampio risalto all’opera dell’Accademia italiana che, su mandato del governo, ha predisposto (ad opera di CIS Sapienza e Consorzio Interuniversitario Nazionale per l’Informatica) uno strumento specifico con un duplice obiettivo: da una lato consentire agli operatori pubblici e privati di valutare le proprie capacità cibernetiche e dall’altro superare la dimensione puramente tecnica e portarla sino al livello di rischio aziendale per consentirne la trattazione nei Consigli di amministrazione delle aziende e nei Comitati direttivi degli organismi pubblici. Nel Documento si legge che “una progressiva adozione del Framework da parte del tessuto imprenditoriale nazionale permetterà di aumentare la consapevolezza del rischio”.
STATO DELLA MINACCIA
Nel 2015 lo spazio cibernetico si è dimostrato sempre più un’arena virtuale che trascende la dimensione statuale ed amplifica il divario tra superficie di attacco e capacità di difesa. L’aumento di possibilità di accesso alla vita sociale accresce inevitabilmente anche la quantità di strumenti a disposizione degli attori ostili. Il Documento mette in evidenza in particolare alcune minacce rilevate nel corso dell’anno appena trascorso: il cyber spionaggio, l’utilizzo dei social media da parte dei gruppi terroristici, la criminalità informatica.
SPIONAGGIO DIGITALE
È stato rilevato un sempre maggiore ricorso agli strumenti di spionaggio cibernetico finalizzati ad accrescere la capacità conoscitiva di aziende bersaglio. In particolare, questa metodologia di intrusione appare concepita per svolgere attività di analisi occulta di aziende nazionali per le quali viene ipotizzata un’attività di acquisizione. Questa ingerenza consente ai potenziali acquirenti stranieri di conseguire un vantaggio informativo su cui far leva nel corso delle successive negoziazioni. Nel Documento si legge che “il trend registrato è stato quello di un incremento qualitativo e quantitativo delle azioni contro alcune Istituzioni e l’industria ad alto contenuto tecnologico ed innovativo, con l’obiettivo di esfiltrare informazioni sensibili e know-how pregiato”. Queste attività sono svolte non più solo da attori statuale ma da gruppi di cyber criminali che si propongono sul mercato con servizi di spionaggio al soldo del miglior offerente.
I BERSAGLI E GLI ATTACCHI
I Documento presenta inoltre una serie di dati statistici frutto di attività di analisi di AISE ed AISI ed altri attori che compongono l’architettura nazionale. Sul fronte dei bersagli gli obiettivi privilegiati per attacchi di spionaggio digitale sono le piccole e medie imprese (34%), le aziende operanti nei settori della difesa (18%), delle telecomunicazioni (15%), dell’aerospazio (12%), dei trasporti (9%), dell’energia (3%) e bancario (3%). Le tipologie di attacco sono basate principalmente su malware (53%) che includono strumenti di spionaggio, sistemi per le estorsioni di denaro ed altre attività illecite di natura predatoria; seguono poi gli attacchi SQL-injection (20%) che raggruppano tutta una serie di tecniche volte a saccheggiare database con informazioni rivendibili sul mercato nero; risultano in crescita i de facement (14%) ovvero quelle tecniche attraverso le quali l’attaccante modifica i contenuti di un sito; infine risultano in calo gli attacchi DDos (5%) il cui scopo è rendere temporaneamente inaccessibile una risorsa presente sulla rete.
