Non solo Pegasus. Così difendiamo l’Italia dai cyberattacchi. Parla Ciardi

Più ancora delle parole possono i numeri. L’Italia è al centro di una tempesta di attacchi cyber. Da quando è iniziata la pandemia non è più una guerra, è quotidianità. Un dato: dal 2019 al 2020, le aggressioni nel dominio cibernetico alle infrastrutture critiche nazionali sono aumentate del 246%. Quelle ai privati hanno seguito un trend simile. È il prezzo da pagare per un ampiamento senza precedenti della platea digitale dovuto alle restrizioni, allo smart working. Pc, tablet, smartphone sono comparsi dove non esistevano. Un trionfo dell’innovazione, che però ha già presentato il conto. Attacchi ransomware, spionaggio, furto di dati sono all’ordine del giorno per i naviganti nel mare del web. Lo sa bene chi quotidianamente è impegnato a difendere il Paese dalle aggressioni cyber e si è trovato costretto ad alzare l’asticella. Come Nunzia Ciardi, direttore del Servizio Postale e delle Comunicazioni, da una vita impegnata contro il lato oscuro di internet. La incontriamo nel suo ufficio per una lunga conversazione con Formiche.net sulle sfide della cybersecurity italiana, pronta a entrare in una nuova fase con l’Agenzia per la cyberiscurezza nazionale disegnata dal governo Draghi.

La pandemia ha fatto conoscere da vicino al grande pubblico le virtù e i pericoli della vita online. Come si spiega l’impennata di attacchi?

La pandemia è stata un cigno nero. Ha costretto per ragioni sanitarie gran parte della popolazione del globo in casa. La tecnologia è stato l’unico, prezioso strumento per fare online ciò che non potevamo più fare fisicamente. Ma ha anche esteso in modo rilevante la superficie d’attacco. Spesso lo smart working si è diffuso in condizioni di sicurezza precarie, non tutti erano pronti a questo salto.

C’entra solo la pandemia? 

No, siamo di fronte a un’accelerazione storico-evolutiva. Cresce la necessità di digitalizzazione delle società moderne: un Paese che voglia essere all’avanguardia non può che insistere sulla digitalizzazione di tutti i servizi. Non a caso una buona parte dei finanziamenti europei per la ripresa insiste su questo fronte. Ovviamente la crescita del digitale comporta problemi di cybersicurezza. E l’impennata dei reati cibernetici è il lato oscuro dell’innovazione.

Le cronache quotidiane riferiscono ogni giorno di un attacco cyber, alcuni di portata globale. L’ultima scoperta, quella dello spyware israeliano Pegasus con cui decine di governi autoritari hanno spiato e controllato per anni dissidenti e giornalisti, si è trasformata in un caso politico internazionale. Ci spiega di cosa si tratta?

È un software che viene inoculato nel dispositivo delle vittime ed è in grado di monitorarne alcune azioni. Nello specifico Pegasus è uno spyware molto performante e sofisticato. È in grado di prendere il controllo assoluto del dispositivo preso di mira. Può azionarne il microfono, scattare foto, leggere chat criptate, cancellare o modificare il registro delle chiamate.

Come si inocula uno spyware?

Ci sono modalità diverse. Alcuni richiedono un click da parte della vittima su un link che inietta il virus, altri entrano in azione con l’aggiornamento di un software. Altri ancora, i più sofisticati, si attivano da soli.

Quanto sono diffusi spyware come Pegasus?

Pegasus è uno spyware efficace e molto costoso, il prezzo proibitivo ne limita la diffusione. Ma di questi strumenti esiste un vero e proprio mercato. Sono un’arma a doppio taglio: se non sono utilizzati per ragioni investigative possono rivelarsi deflagranti sotto il profilo della privacy.

C’è un modo per evitare che finiscano in mani sbagliate?

Ci sono le leggi. Pegasus è un software prodotto da un’azienda israeliana, Nso, che come tutte è soggetta ad alcune regole. Fra queste, il divieto di vendita a Paesi che utilizzano gli spyware per violare i diritti umani. Una clausola che, così riporta la stampa internazionale, potrebbe non essere stata rispettata.

Come ci si può mettere al sicuro?

Nessuno è davvero invulnerabile, non esiste il punto zero della sicurezza. La sicurezza informatica, in particolare, è un orizzonte che si allontana e bisogna continuamente cercare di raggiungere. C’è ovviamente un livello accettabile di sicurezza da garantire per ridurre al minimo gli aspetti patologici del web.

L’Italia a che punto si trova?

C’è molto da lavoro da fare, soprattutto per le infrastrutture critiche pubbliche. Non a caso il ministro Colao ha parlato di un alto numero di server della PA a rischio sicurezza.

Quali sono gli attacchi più frequenti?

Durante la pandemia c’è stato l’imbarazzo della scelta. Tra i più insidiosi ci sono gli attacchi insediati attraverso il ransomware, un malware che viene installato e cripta istantaneamente tutti i dati della vittima. Non solo sono aumentati quantitativamente, sono anche diventati più sofisticati. Inizialmente prendevano la forma di una pesca intensiva: le organizzazioni criminali diffondevano il malware sperando di ottenere il riscatto dei dati.

E adesso?

Oggi c’è una più accurata targettizzazione delle vittime, soprattutto aziende. I criminali scelgono i soggetti in grado di pagare, quelli che hanno più da perdere, e sono quindi più disposti a rischiare. Si tratta di attacchi mirati. Il ransomware viene installato non solo per sequestrare i dati, ma anche per copiarli.

Si può provare a fare un backup. O no?

Sì, ma così si risolve solo una parte del problema. Solitamente il pericolo è duplice: gli aggressori minacciano di rendere pubbliche le informazioni sensibili. Bilanci, corrispondenze, dati personali, segreti industriali raccolti durante le intrusioni nei sistemi operativi, a volte protratte per mesi. Alcune aziende non vogliono correre un rischio così grande per la propria immagine.

Quindi pagano il riscatto.

Capita, certo. Difficile fare una stima precisa dei riscatti pagati. C’è un sommerso che i nostri radar faticano a intravedere. Molti imprenditori, spaventati, decidono di non denunciare e pagano la somma richiesta, quasi sempre in criptovalute. Un danno nel danno.

Perché?

Dietro queste operazioni non c’è un hacker adolescente seduto nella sua camera da letto, ma forme molto evolute di criminalità organizzata.

Ad esempio?

L’anno scorso abbiamo seguito il caso di un’azienda che ha pagato un riscatto di 18 milioni di euro, una cifra altissima. Per gestire e riciclare una simile somma di denaro serve un’organizzazione strutturata. Per lo più sono collettivi transnazionali. Quando hanno bisogno di professionalità esperte nel campo cyber, le acquistano dal dark web pagando in criptovalute.

Ci sono altre forme di aggressioni?

Sì. L’estorsione diventa tripla quando entra in gioco la minaccia di un attacco DoS (Denial of Service, ndr) per saturare la banda e renderla inservibile. Un’altra tipologia che inizia lentamente ad emergere, anche in Italia, consiste nell’affossare il profilo azionario di una società quotata in Borsa facendo filtrare notizie sensibili sottratte e consentendo una speculazione sul crollo delle azioni. Parliamo di attacchi che colpiscono il tessuto produttivo nazionale.

Negli Stati Uniti due attacchi ransomware attribuiti ai Servizi segreti russi hanno bucato le difese cyber colpendo le aziende produttrici di software SolarWinds e Kaseya. Cosa insegnano all’Italia?

Che ormai queste aggressioni rappresentano una minaccia assimilabile al terrorismo, che va combattuta con ogni sforzo perché mette in pericolo il sistema Paese. Il caso Kaseya è particolarmente preoccupante. Insieme all’azienda è stata colpita l’intera catena di approvvigionamento, tanto da mandare in tilt una linea di supermercati in Svezia. Ce ne sono altri meno noti, ma altrettanto inquietanti.

Quali?

Un anno fa la più grande società americana di fecondazione assistita è stata colpita da un attacco ransomware. Fortunatamente era stato effettuato il backup dei dati, le attività si sono fermate nel giro di una settimana. Ma i proprietari si sono accorti che gli attaccanti erano dentro al sistema da oltre un mese e avevano rubato tutti i dati sensibili relativi a 130.000 nascite: nomi, cognomi, numeri di telefono, numeri di previdenza sociali. Dati delicati, che vengono riciclati per altre forme di criminalità. Nulla viene sprecato. C’è un mercato enorme dei dati esfiltrati.

Ue e Stati Uniti hanno accusato il governo cinese per l’attacco cyber contro i sistemi di Microsoft. Ci sono anche attori statali dietro queste aggressioni e come li si può riconoscere?

Premesso che questa missione non rientra nella nostra competenza e spetta, in particolare, agli apparati di intelligence, sicuramente dietro alcuni attacchi ci sono attori statali o para-statali. L’attribuzione però è sempre una fase delicata e complessa.

C’è chi propone di stilare una white list di tecnologia sicura per la Pubblica amministrazione italiana. Lei sarebbe d’accordo?

È certamente una soluzione. Bisogna avviare una riflessione sull’opportunità di tener conto di un solo criterio, quello del minor prezzo, quando si tratta di approvvigionare la Pa con tecnologie sensibili. Se si dovesse operare al cuore, si affiderebbe al medico più competente o al più economico? Affidarsi a un’azienda di cui non si conosca appieno la struttura societaria è un rischio.

La Polizia Postale si occupa da anni di contrasto al terrorismo online. L’Italia può dirsi al sicuro da questo fenomeno?

Le nostre indagini ancora oggi riguardano spesso individui radicalizzati che, una volta rintracciati, sono espulsi dal Paese. Il fenomeno della radicalizzazione online esiste eccome, spesso si tratta di persone che compiono un percorso solitario. Su questo fronte un ruolo cruciale è svolto dalla Polizia di Prevenzione.

Chiudiamo con la riforma della governance cyber italiana con la regia del premier e del sottosegretario con delega all’Intelligence Franco Gabrielli. La nascita dell’Agenzia serve anche a rimettere ordine nelle competenze fra gli apparati della sicurezza. Era necessario?

Sicuramente. Come ha sottolineato il sottosegretario Gabrielli, in questi anni l’intelligence ha svolto un ottimo lavoro ma forse in un campo un po’ lontano dal suo dna. L’Agenzia, a quanto si apprende, dovrebbe rispondere a un criterio di reductio ad unum sul tema della resilienza dagli attacchi cyber. Le diverse declinazioni della cybersicurezza, il cybercrime e la cyberdefence, resteranno nel loro alveo naturale, rispettivamente quello delle forze di Polizia, e in particolare la Polizia Postale, e della Difesa italiana.

Ce n’è un altro: aiutare le grandi aziende ma soprattutto le tante start-up italiane nel mondo della cybersecurity a crescere e a unire le forze, anche grazie ai fondi europei per la ripresa.

Una missione giusta e necessaria. Ci sono altri Paesi che supportano da tempo le loro start-up perché siano funzionali alla crescita della sicurezza nazionale. Come ho detto, la digitalizzazione è fondamentale, ma la cybersicurezza deve accompagnarla. Altrimenti rischiamo di uscirne perdenti.