Il commento di Gerardo Costabile, amministratore delegato di DeepCyber (Gruppo Maggioli) e presidente di IISFA (Associazione italiana digital forensics), sull’attacco ransomware ai software DMWare: chi non è in linea con gli aggiornamenti andrebbe sanzionato, mentre servono incentivi per chi investe in cybersicurezza
Vorrei ridimensionare la portata effettiva degli attacchi informatici che stanno interessando in queste ore non solo il nostro Paese ma il mondo intero. Al di là dell’eco mediatica, si tratta di incursioni finalizzate alla richiesta di un riscatto, in questo caso sfruttando un ransomware che cifra i dati su alcuni server in rete per poi chiedere 42mila euro (ovvero due bitcoin). Ma la vulnerabilità, si badi bene, risale al 2021, quindi, parlando in termini informatici a un’era geologica fa ed è un problema, tra l’altro, già risolto dallo stesso produttore del software attraverso il rilascio di un’apposita patch di sicurezza. Secondo le nostre analisi, ad oggi ci sono solo circa 19 server in Italia vulnerabili a questa minaccia – dato che fisiologicamente calerà – , motivo per cui a mio giudizio andrebbe ridimensionata la valutazione dell’effettiva portata dell’attacco.
A rischio sicurezza Pmi e Università
A differenza dell’attacco con il ransomware WannaCry, che nel 2017 interessò i sistemi Microsoft, quelli che utilizziamo un po’ tutti, in questo caso si tratta di sistemi di virtualizzazione aziendale, impiegati dalle aziende e, nel caso specifico analizzato in queste ore, dalle Università e dalle piccole e medie imprese. Sono loro che dovranno migliorare il livello di sicurezza informatica interno e verso l’esterno della rete. Il tessuto produttivo italiano, lo ricordo, è infatti al 90 per cento composto da Pmi, è evidente quindi la necessità di sviluppare un apparato di sicurezza cibernetica maggiore che le metta al riparo da simili attacchi hacker.
Dalla riunione che si è tenuta a Palazzo Chigi alla presenza del Sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, è emerso che “in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita” dall’attacco hacker verificatosi ieri su scala mondiale. Si sottolinea, inoltre, che “non sono emerse evidenze che riconducano ad aggressione da parte di uno Stato ostile”, mentre “è probabile che sia azione di criminali informatici, che richiedono il pagamento di un ‘riscatto’”.
Sanzioni a chi non integra patch
Il fatto è, purtroppo, che i sistemi sono sempre vulnerabili, e per questo caso mi sembra che il clamore suscitato sia davvero troppo, proprio perché si tratta di una vulnerabilità vecchia e anche molto semplice da risolvere. La vera domanda da porsi, in ottica costruttiva e sistemica, non è quella di quale paese ostile ci stia attaccando (con il rischio, come in questo caso, di essere smentiti), ma perché dopo 2 anni alcune aziende non abbiano ancora attuato le misure minime di sicurezza previste da qualunque standard nazionale e internazionale.
Spero sia arrivato il momento di passare dalla teoria alla pratica.
Mi auguro che il Governo avvii azioni mirate per migliorare la sicurezza informatica in tutto il Paese e preveda sanzioni per chi non si adegua alle disposizioni e non proceda all’integrazione delle patch di sicurezza rilasciate. Un aiuto concreto potrebbe arrivare anche da interventi ad hoc sul campo della defiscalizzazione e magari sfruttando le risorse del Piano nazionale di ripresa e resilienza, che prevede risorse a sostegno dello sviluppo delle attività di cybersicurezza e delle infrastrutture digitali.
I dati del Cnaipic
Un’esigenza ormai ineludibile, considerato l’aumento delle incursioni cibernetiche in Italia ai danni di istituzioni e aziende pubbliche e private. Nel 2022, infatti, il Cnaipic (Centro nazionale anticrimine per la protezione delle infrastrutture critiche) ha rilevato 12.947 attacchi, un dato più che raddoppiato rispetto alle 5.434 segnalazioni del 2021. Gli alert per situazioni a rischio sono stati 113.226 e 332 le persone indagate, a fronte delle 187 finite sotto inchiesta l’anno precedente.
