Dopo la recente ondata di attacchi alle reti critiche c’è da aspettarsi un reazione degli Stati? Negli Usa la Casa Bianca frena sulle sanzioni a chi paga il riscatto e coinvolge Big Tech per limitare i danni in caso di ransomware
Per fronteggiare la massiccia ondata di rapimenti a inizio anno Novanta l’Italia impose l’obbligo di sequestro del beni appartenenti alla persona sequestrata, al coniuge, e ai parenti e affini conviventi. Anche nel caso degli attacchi ransomware come quello che ha paralizzato i sistemi informatici della Regione Lazio c’è da aspettarsi una reazione dello Stato?
“Nel momento in cui si accetta di versare il riscatto si entra in una ‘lista di pagatori’”, spiegava Stefano Mele, partner dello studio legale Gianni & Origoni, nei giorni scorsi a Formiche.net. “Da quel momento le organizzazioni criminali, o chi per esse, puntano ovviamente a colpire di nuovo questi sistemi informatici in modo da ottenere nuovi riscatti”.
Gli esperti sembrano d’accordo su questa linea. Ma gli Stati? I governi occidentali sconsigliano il pagamento dei riscatti ma nessuno prevede sanzioni in caso contrario. Il tema però è in cima all’agenda di molti.
Un esempio? Gli Stati Uniti, il Paese più duramente colpito negli ultimi mesi e probabilmente anche quello più avanti a livello di dibattito pubblico.
Mentre l’Fbi preme sul Congresso affinché approvi una legge per punire chi paga i riscatti in caso di attacchi ransomware, la Casa Bianca appare di altro avviso.
“Inizialmente pensavo che l’approccio giusto”, ha dichiarato Anne Neuberger, vice consigliere per la sicurezza nazionale con responsabilità su cyber e tecnologie emergenti, nel corso di un evento dell’Aspen Security Forum. “Sappiamo che il pagamento del riscatto sta trainando questo ecosistema”, ha aggiunto con riferimento all’aumento di attacchi di questo tipo. Basti pensare che i versamenti legati alle offensive contro l’oleodotto Colonial Pipeline e il produttore di carni Jbs hanno fruttato oltre 15 milioni di dollari. Tanti soldi, certo, ma probabilmente è soltanto una piccola frazione di tutti i riscatti versati in questi mesi e anni ai cyber-criminali.
“Abbiamo sentito forte e chiaro da molti che lo stato di resilienza è inadeguato, e per questo vietando il pagamento del riscatto essenzialmente porteremmo ancora di più questa attività nella clandestinità e perderemo la comprensione che ci permetterà di arginarla”, ha detto Neuberger. E la trasparenza delle criptovalute è il primo passo chiesto dall’amministrazione di Joe Biden.
A inizio giugno le autorità federali avevano rintracciato e recuperato 2,3 milioni di dollari in criptovalute, la metà del riscatto pagato da Colonial Pipeline a un gruppo di hacker russi, DarkSide. L’amministratore delegato di Colonial Pipeline, Joseph Blount, aveva ammesso di aver pagato un riscatto di 4,4 milioni di dollari. “So che è una decisione molto controversa, ma era la cosa giusta da fare per il Paese”, aveva spiegato l’uomo a capo della rete lunga circa circa 8.851 chilometri, che trasporta il 45% delle forniture di carburante della East Cost.
Pare sia stato proprio il confronto con le aziende, oltre che con le esperti del settore, a consigliare all’amministrazione Biden di non perseguire la via delle sanzioni per chi paga i riscatti. Almeno non adesso. Prima c’è da rafforzare la resilienza delle infrastrutture critiche.
Per questo, nelle scorse settimane il presidente Joe Biden, dando seguito a una direttiva di maggio che istituiva una sorta di versione statunitense dell’italiano Perimetro per la sicurezza cibernetica, ha firmato un nuovo memorandum sulla sicurezza cibernetica dei sistemi di controllo delle infrastrutture critiche come l’energia, il cibo, l’acqua e l’elettricità. La direttiva, spiegavamo su Formiche.net, è volta a fissare standard volontari di prestazioni per la tecnologia e i sistemi utilizzati da aziende private in questi settori.
Lavorare con il settore privato è fondamentalmente per il governo statunitense. Basti penare che quasi il 90% delle infrastrutture critiche del Paese è di proprietà del settore privato e gestito da esso e che, come ha rivelato il Wall Street Journal, la Cybersecurity and Infrastructure Security Agency guiderà una task force sui ransomware a cui collaboreranno Amazon, Microsoft, Google e altre aziende tecnologiche.
