La guerra informatica ha assunto dimensioni mai viste nella storia passata dell’Italia e costituisce una minaccia così grave da richiedere un impegno massiccio per preparare tutto il Paese a contenere e rispondere agli attacchi, pena danni ingenti al funzionamento della società oltre che dell’economia e delle istituzioni. L’analisi di Salvatore Zecchini
I recenti attacchi di hacker russi ai siti di diversi ministeri italiani, del Senato, di infrastrutture strategiche, aziende ed altri enti italiani sono segnali di molte vulnerabilità nel sistema Italia e dell’urgenza di approntare soluzioni efficaci tanto per la loro prevenzione quanto per la neutralizzazione. L’ampio spettro di siti colpiti dimostra che non esistono zone franche, come nel caso del cybercrime a scopo di lucro, che non mira ad attaccare quanto non genera guadagni significativi, perché attualmente per contrastare i nemici, ovvero i paesi sostenitori dell’Ucraina, tutto può essere assunto dai russi come obiettivo per generare difficoltà. Così, nei giorni scorsi, anche un innocuo Club dell’Economia, cenacolo a porte chiuse di economisti, commentatori e giornalisti, si è ritrovato tra le vittime di questi attacchi di matrice russa.
La guerra informatica ha assunto dimensioni mai viste nella storia passata dell’Italia e costituisce una minaccia così grave da richiedere un impegno massiccio per preparare tutto il Paese a contenere e rispondere agli attacchi, pena danni ingenti al funzionamento della società oltre che dell’economia e delle istituzioni. Purtroppo, l’Italia accusa un ritardo notevole rispetto ai maggiori partner europei nel prepararsi a questa nuova realtà. La Germania 30 anni fa ha costituito un’agenzia dedicata a questo compito, la Francia 15 anni fa e Israele 20 anni or sono, mentre la nostra Agenzia per la cybersicurezza nazionale (ACN) è operativa soltanto dal novembre scorso e una strategia a cura della stessa vedrà la luce finalmente questo mese.
Gli attacchi che rispondono a esigenze di cyberwarfare possono assumere anche la forma di campagne di disinformazione, di divulgazione di notizie riservate o false, di interferenze nelle campagne elettorali, come nel caso delle presidenziali americane per favorire l’elezione di D. Trump, di pubblicazione di dati personali e di altre modalità, con una tale varietà da costituire insieme al crimine cibernetico per altri scopi una minaccia considerevole e in rapida ascesa. Secondo l’ultimo Rapporto Clusit 2022, gli attacchi nel mondo durante lo scorso anno sono aumentati del 10% e si sono dimostrati sempre più complessi in termini di impatto, raggiungendo per ben il 79% un livello di gravità considerata particolarmente alta. Piuttosto che colpire in maniera indifferenziata, si tende a concentrarsi su bersagli puntuali, con i siti governativi e militari al primo posto per frequenza e per ampiezza dell’incremento (+36,4%), seguiti da quelli al settore informatico, i sistemi sanitari e quelli d’istruzione.
In Italia, nel 2021 i tentativi di violazione della sicurezza ha superato (+16%) la media del mondo, con punte del 58% nel numero di server infettati con malware e botnet. Si assiste anche a un’estensione delle infezioni ai dispositivi mobili mediante malware specifici. Circa la metà degli attacchi ha preso di mira siti finanziari e assicurativi oltre a quelli dell’amministrazione pubblica, con il probabile effetto di rendere i loro clienti e i cittadini meno preparati, soprattutto gli anziani, sempre meno propensi a ricorrere a strumenti digitali per la loro interazione con le istituzioni. Tra le grandi imprese il 31% ha registrato un incremento dei tentativi di intrusione nei siti digitali, con un ulteriore crescendo negli scorsi mesi.
Tenuto conto della numerosità e maggior complessità di quelli di provenienza dai russi, il Computer Security Incident Response Team – Italia (CISRT), che fa parte dell’Agenzia per la Cybersicurezza Nazionale (ACN) nell’ultima segnalazione ha attirato l’attenzione su 71 vulnerabilità dei sistemi, che richiedono interventi urgenti e a carattere prioritario. Ciò non ha impedito che in questi giorni i russi abbiano attaccato il sito della Polizia e di altre importanti istituzioni pubbliche, bloccandone temporaneamente l’attività e dimostrando che è in corso una vera guerra informatica, di cui peraltro non vi avverte la dovuta eco nel Parlamento, né nel Paese. La reazione da attendersi sarebbe una corsa delle imprese a prepararsi a respingere attacchi ed incursioni, mentre da parte delle forze politiche occorrerebbe una strategia di risposta forte e durevole, che non può limitarsi meramente nella precipitosa corsa a difendersi quando le vulnerabilità sono così estese.
La maggiore debolezza sta nei ritardi nella costruzione di una diffusa cultura della cybersicurezza, che coinvolga lavoratori, cittadini, imprenditori e i rappresentanti in parlamento e nei partiti. I maggiori partner europei hanno iniziato quest’opera un paio di decenni fa e sono a buon punto. L’Italia spende in cyber sicurezza lo 0,08% del suo Pil, collocandosi in coda tra i paesi del G7. L’importanza di investirvi, tuttavia, è avvertita da un numero sempre più esteso di imprese ed altri soggetti privati e pubblici, come testimonia il mercato specifico. Nello scorso anno la spesa complessiva si è espansa del 13%, raggiungendo secondo alcune valutazioni 1,55 miliardi. Poco più della metà è andata all’acquisizione di soluzioni per rafforzare la sicurezza informatica, con il resto destinato a servizi professionali e gestionali.
Il mercato nel settore appare in grande espansione, come risulta dall’indagine dell’Osservatorio Cyber Security del Polimi. Una parte consistente (46%) delle imprese del campione si è dotata di un responsabile della sicurezza informatica, che si avvale di una squadra di esperti e risponde alla direzione Information Technologies. Resta ad ogni modo una visione per comparti della funzione cybersecurity, piuttosto che un approccio organico che investa tutte le attività dell’azienda e si estenda alla maggioranza dei lavoratori. A questa carenza di strategia integrata può solo in parte supplire un programma di formazione specifica di tutti i dipendenti per la cybersecurity e protezione dei dati, programma che è stato adottato dal 58% delle imprese oggetto dell’indagine. Per altre aziende la formazione è stata limitata alle attività più esposte a rischio informatico.
Il panorama delle imprese in termini di cybersecurity è frastagliato, come emerge da un rapporto dell’Istat pubblicato nel 2020 sulla base di rilevazioni censuarie. Le maggiori sono le più strutturate per la gestione dei rischi informatici, sebbene solo il 20,4% impieghi la crittografia e il 4,5% la biometria per identificare ed autenticare gli utenti. Poco meno dei tre quarti compie valutazioni del rischio e test di sicurezza, e conserva file di registro per analizzare il post-incidente. La maggioranza delle PMI, che sono quelle più esposte, non sembra ritenere necessario dotarsi di strumenti e personale adeguati ad assicurare la protezione dei loro dati e siti. Tra il 68% e 87% adottano soltanto le tre misure minime di sicurezza. Ma la metà circa dei furti di dati l’anno scorso ha interessato le PMI e poco meno di un quarto dopo una simile intrusione ha dovuto dichiarare fallimento.
Quali fattori possono spiegare questa carenza di impegno a difendere il loro patrimonio di dati ed assets aziendali? Il consueto riferimento alla limitata disponibilità di finanziamenti non sembra tenere in questo ambito, perché si tratta di aspetti vitali per la sopravvivenza dell’impresa e per la sua capacità di competere. Più importante è la disponibilità di competenze digitali adeguate e di capacità di formazione del personale. Alcune imprese preferiscono ricorrere a servizi esterni, con il risultato che la difesa della sicurezza non permea le attività di tutto il personale come requisito di base. Nondimeno, il fattore che è giudicato come il più rilevante dalle aziende censite dall’Istat (77%) è la capacità del proprio personale di proteggere i dati e i dispositivi digitali, capacità che solo una minoranza di imprese (10-12%) giudica inadeguate. Forse un eccesso di ottimismo, oppure carenza di consapevolezza delle proprie vulnerabilità. Più probabile la seconda ipotesi, considerato che nel 2020 tre quarti degli attacchi hanno sfruttato vulnerabilità segnalate almeno due anni prima se non più indietro negli anni e che, ad esempio, 26% delle aziende è ancora vulnerabile al ransomware WannaCry.
Giustamente, gli esperti segnalano tra le altre cause l’arretratezza tecnologica di gran parte delle PMI, il ruolo dei fornitori che alimenta l’insicurezza attraverso la vendita di soluzione obsolete, l’insufficiente attenzione e preparazione del personale alla cybersecurity, ma va aggiunta l’assenza di campagne su scala nazionale di sensibilizzazione delle imprese e dei cittadini ai rischi e danni prodotti dall’inadeguatezza delle loro misure di difesa. Negli ultimi anni è anche sopraggiunto il rischio dovuto al lavoro a distanza, allorquando si usano dispositivi e reti non aziendali per accedere ed operare con dati aziendali.
Non basta, tuttavia, la sola consapevolezza, perché va accompagnata dalla specifica formazione del personale aziendale. L’ultima indagine dell’Istat, che si ferma al 2018, mostra che se più della metà delle imprese con 500 addetti e oltre investiva nella formare il proprio capitale umano alla cybersecurity, appena il 10% di quelle con 10-19 addetti lo faceva. Queste ultime, inoltre, non assegnavano importanza alla formazione nelle tecnologie Industria 4.0, pur a fronte della disponibilità di diversi sostegni pubblici diretti a stimolarla. Chiaramente, gli aiuti sono inefficaci in un contesto di arretratezza tecnologica di grandi fette del sistema produttivo, di piccole dimensioni aziendali e di assenza di capillari politiche “attive” di convincimento a compiere il necessario salto tecnologico.
Il deficit di sicurezza informatica si nota anche nella pubblica amministrazione, con l’eccezione delle infrastrutture strategiche e dei maggiori enti pubblici. Il problema è di dimensioni e complessità talmente rilevanti da sollecitare le autorità a intervenire con diverse misure. Dal 2013 il governo ha approntato una strategia, il Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico, che viene articolato in un Piano operativo con undici indirizzi operativi coerenti col Quadro. Nelle linee guida d’intervento è compresa la quasi totalità di quanto è essenziale realizzare per rafforzare la sicurezza cibernetica nazionale: potenziamento della conoscenza delle minacce e delle vulnerabilità, diffusione della cultura della cybersecurity, cooperazione pubblico-privato e a livello internazionale, osservanza di standard e protocolli di sicurezza, formazione ed addestramento, sostegno allo sviluppo tecnologico, costituzione del CERT nazionale (Computer emergency response team) previsto dalle direttive europee, programmazione delle risorse finanziarie ed umane, e altro. Mancano le politiche attive verso le piccole imprese, le misure in tempi di cyberwar, i modelli standardizzati di protezione, il rapporto tra cloud nazionale e i privati, ma si affrontano tutti gli interventi essenziali e si traccia l’itinerario per realizzarli.
Confrontando la situazione attuale con gli obiettivi del Piano del 2014 non sembra che la sua attuazione abbia prodotto quel salto nella cultura informatica e nella protezione dei dati che i governanti si attendevano negli ambiti e del pubblico e del privato. Ai buoni propositi non sono seguite azioni efficaci ad ampio spettro di destinatari, né verifiche rigorose delle cause delle manchevolezze, né decise azioni correttive per portare il Paese al passo dei maggiori partner. A cinque anni di distanza dal Piano altri governi sono intervenuti con nuove riforme, che hanno ristrutturato le attività fino all’assetto istituzionale attuale e alla costituzione dell’ACN. Nel Pnrr sono previsti stanziamenti per 623 milioni per la missione M1C1 e investimenti per cybersecurity nei sistemi di assistenza al volo (Missione M3C2). È una storia già vista nel recente passato con esiti deludenti. Cosa lascia sperare che questa volta si arriverà finalmente alle mete?