I cyber attacchi a istituzioni e aziende italiane nel 2018 “sono più che quintuplicati” rispetto all’anno precedente. E, nello stesso periodo, lo sforzo più significativo posto in essere dall’intelligence nazionale ha riguardato il contrasto di campagne di spionaggio digitale, gran parte delle quali “verosimilmente riconducibili a gruppi ostili strutturati, contigui ad apparati governativi o che da questi ultimi hanno ricevuto linee di indirizzo strategico e supporto finanziario”.
Sono questi alcuni dei dati contenuti nella nuova Relazione annuale al Parlamento sulla politica dell’informazione per la sicurezza, presentata oggi dai vertici del Comparto – il capo del Dis Gennaro Vecchione e i direttori di Aisi e Aise, Mario Parente e Luciano Carta – e dal presidente del Consiglio Giuseppe Conte (che ha, tra l’altro, la delega ai Servizi segreti). Folta la rappresentanza istituzionale, sia governativa (i ministri della Difesa Elisabetta Trenta e della Giustizia Alfonso Bonafede, e il sottosegretario Vincenzo Spadafora) sia parlamentare (con in testa il presidente del Copasir Lorenzo Guerini).
IL RUOLO DEGLI STATI
Particolare riguardo è stato indirizzato al ruolo degli Stati nelle dinamiche di moderno conflitto informatico (definite nell’ultimo rapporto Clusit una “cyber guerriglia permanente”). In particolare, in un panorama internazionale “in cui il confronto tra attori e schieramenti geopolitici ha assunto toni sempre più aspri”, secondo il documento del Dis il cyber – con le sue caratteristiche di disponibilità diffusa, accessibilità, elevata “convenienza economica” e ridotti rischi di rilevazione – si è confermato “per alcuni Stati uno degli strumenti cui fare ricorso per perseguire obiettivi strategici”.
Nel 2018, prosegue la relazione, “sono state oggetto di attribuzione tanto operazioni con finalità di spionaggio, quanto campagne di influenza/ingerenza volte a fomentare tensioni sociali o ad accrescere l’instabilità politica di alcuni Paesi dell’area euro-atlantica”. Ma questi fenomeni sono stati contraddistinti anche da un mutamento, tanto che “è stato rilevato un innalzamento nella qualità e nella complessità di alcune tipologie di attacco, con l’impiego sinergico di tutti i più avanzati strumenti tecnologici di ricerca informativa”.
GLI OBIETTIVI DEGLI ATTACCHI
Se si analizzano nello specifico i campi d’azione dell’intelligence in relazione alla minaccia cyber, lo sforzo più significativo posto in essere, evidenzia il Comparto, “ha riguardato il contrasto di campagne di spionaggio digitale, gran parte delle quali verosimilmente riconducibili a gruppi ostili strutturati, contigui ad apparati governativi o che da questi ultimi hanno ricevuto linee di indirizzo strategico e supporto finanziario”.
Gli attacchi, spiega ancora il documento “hanno mirato, da un lato, a sottrarre informazioni relative ai principali dossier di sicurezza internazionale, e, dall’altro, a danneggiare i sistemi informatici di operatori, anche nazionali, attivi nello Oil&Gas, nonché quelli di esponenti del mondo accademico italiano, nell’ambito di una campagna globale mirante a profilare settori d’eccellenza di università e centri di ricerca”. E “benché marginali in termini numerici (12%), le finalità di spionaggio hanno fatto registrare un considerevole aumento, specie in danno di assetti istituzionali ed industriali”.
Dall’analisi realizzata si è evinto che “il significativo incremento di attacchi registrato nel 2018 va ascritto”, secondo l’intelligence, “principalmente alle maggiori capacità di rilevamento e ad una loro più accurata classificazione e sistematizzazione, che ha permesso di ricavare una più granulare mappatura dello scenario della minaccia cyber in Italia”. Dai dati del periodo in esame, come detto, emergerebbe “un numero complessivo di azioni ostili più che quintuplicato rispetto al 2017, prevalentemente in danno dei sistemi informatici di pubbliche amministrazioni centrali e locali (72%)”. In questo scenario si sarebbero mantenuti “pressoché invariati gli attacchi di matrice statuale (20%), nonché i residuali tentativi di intrusione informatica riferibili a gruppi terroristici (5%), finalizzati, questi ultimi, principalmente al defacement di siti web afflitti da vulnerabilità facilmente sfruttabili, sintomo del possesso di un know-how limitato da parte di quelle formazioni”.
LE AZIONI HACKTIVISTE
Sarebbe stata poi confermata, aggiunge la relazione “una netta prevalenza delle esfiltrazioni di informazioni sensibili da assetti informatici compromessi, ovvero – specie nel caso di azioni hacktiviste – la violazione di risorse IT dei target, con l’obiettivo di pubblicare manifesti e comunicati inerenti le singole campagne (il cosiddetto defacement)”.
Mentre le finalità degli attacchi, “perpetrati principalmente per scopi di propaganda (pari all’incirca al 73%)”, sono apparse “coerenti con il richiamato, rinnovato vigore – tanto sul piano ideologico, quanto su quello operativo – del movimento hacktivista, che ha continuato a caratterizzarsi per la tendenza a selezionare i target esclusivamente in funzione della tipologia di vulnerabilità riscontrate, sfruttabili con capacità tecniche ridotte e con un basso dispendio di risorse”.
LA SALVAGUARDIA DEI PROCESSI DEMOCRATICI
Attenzione “è stata rivolta anche alla cosiddetta minaccia ibrida, considerata quale impiego combinato di strumenti convenzionali e non, le cui traduzioni operative sono risultate (e saranno sempre più) amplificate grazie alla digitalizzazione che ha interessato ogni aspetto della vita sociale, arrivando ad esplicitarsi anche in operazioni di influenza/ingerenza poste in essere per condizionare il corretto svolgimento di fondamentali dinamiche dei processi democratici”.
L’Italia, in linea con quanto fatto dalle comunità intelligence dei principali partner internazionali, “ha istituito agli inizi del 2018 un esercizio ad hoc teso a cogliere – all’interno del perimetro definito dal quadro normativo vigente – eventuali indizi di influenza, interferenza o condizionamento del processo elettorale del 4 marzo”. Questo esercizio “è stato riattivato nel mese di novembre in vista dell’appuntamento per il rinnovo del Parlamento europeo” del prossimo maggio.
IL CYBER JIHAD
Spazio anche al contrasto del fenomeno che vede il web dimensione di elezione dei gruppi jihadisti, ovvero come uno spazio “in cui condividere o delineare progettualità ostili e fare proselitismo, scambiare materiale apologetico che istiga alla lotta contro i ‘miscredenti’ e veicolare istanze radicali antioccidentali anche nel nostro Paese”. Particolarmente assiduo, si legge nella relazione del Dis, “si è rivelato l’uso dei social network e di canali di messaggistica protetti dalla crittografia end-to-end per postare locandine con frasi e immagini di minaccia verso l’Italia e il Vaticano. Emblematico del sottile confine che separa il cosiddetto jihadismo della tastiera da quello attivo”, rimarca il documento, “è l’arresto, a Milano, il 21 novembre, di un ventiduenne egiziano utente di forum jihadisti che si era dichiarato pronto a combattere per Daesh”.
BLOCKCHAIN E CRIPTOVALUTE
Inoltre, tra i rischi su cui si è concentrata l’azione dell’intelligence, la relazione pone in evidenza quello collegato alla “possibilità di sfruttare la tecnologia blockchain e le cosiddette criptovalute per finalità illecite, dal finanziamento del terrorismo al riciclaggio e all’evasione fiscale”.
ARCHITETTURA NAZIONALE E CULTURA DELLA SICUREZZA
Un ultimo capitolo è invece dedicato agli sforzi per potenziare l’ecosistema cyber nazionale (la cui architettura è stata ulteriormente ‘rinnovata’ nel 2017 con un decreto dell’allora presidente del Consiglio Paolo Gentiloni e con un seguente Piano nazionale) e alle iniziative volte a sviluppare una maggiore consapevolezza della minaccia nell’opinione pubblica e, in particolare, nei più giovani. Vengono a questi propositi menzionate in primo luogo le misure decise dal Governo al fine di dar vita ad un perimetro nazionale cyber – in cui includere e sottoporre a rafforzata difesa i gangli vitali del Paese – e di mettere in sicurezza il procurement Ict con un nuovo centro di certificazione istituito presso il Mise (azioni ritenute necessarie per “accrescere ulteriormente la resilienza delle infrastrutture digitali, così da tutelare la nostra competitività, la nostra sicurezza e, in definitiva, la nostra sovranità nazionale”).
Tra queste iniziative viene anche menzionato l’avvio operativo del Nucleo per la Sicurezza Cibernetica (Nsc) sotto la presidenza di un dedicato vice direttore generale del Dis, il professor Roberto Baldoni. “Riunitosi per la prima volta nel nuovo assetto il 21 febbraio”, si legge nella relazione “il Nsc è stato convocato, come da previsione normativa, con cadenza mensile, agendo in chiave di prevenzione, preparazione, risposta e ripristino rispetto ad eventuali situazioni di crisi cyber, con l’obiettivo di rafforzare le capacità di difesa cibernetica del Paese” (il Dis, viene ricordato, “ha partecipato attivamente anche alla redazione del Decreto Legislativo di recepimento della Direttiva europea Network and Information Security (dedicata al rafforzamento delle infrastrutture critiche e dei servizi essenziali, ndr), che ha assegnato allo stesso dipartimento il ruolo di Punto di Contatto unico Nis”
Per quanto riguarda invece le azioni mirate alla crescita della cultura della sicurezza cyber, dopo la prima campagna di formazione digitale nazionale Be Aware Be Digital (accompagnata da strumenti interattivi, anche per gli studenti, allo scopo di elevarne conoscenze e capacità in materia di utilizzo consapevole del web e delle nuove tecnologie), è stato annunciato il prossimo rilascio di Cybercity Chronicles, prima applicazione istituzionale italiana di “edutainment” ambientata nel cyber spazio.
