È urgente legittimare e dare copertura a nuove metodologie investigative per le quali gli stessi operatori debbano avere ed acquisire skill propri e tipici dei vari settori della sicurezza cibernetica, ha spiegato Ivano Gabrielli, direttore della Polizia Postale, all’evento Cybertech Europe 2023. Ecco il suo intervento
Polizia Postale è la struttura specialistica della Polizia di Stato italiana che dal 1998 si occupa di prevenire e contrastare il Cyber Crime. Dal 1998, infatti, l’obiettivo più importante di questa struttura specialistica su tutto il territorio nazionale non è più quello di tutelare solo il servizio postale, da cui il nome della Specialità, ma quella di prevenire e contrastare le forme più importanti di Cyber Crime a partire quindi dalla pedopornografia (il primo settore nel quale la Specialità ha iniziato ad intervenire), ai cosiddetti cyber-attack, alla protezione delle Infrastrutture critiche, la prevenzione e il contrasto del cyber terrorismo, come alle forme nuove di attacco ai sistemi finanziari commessi attraverso la rete che in qualche modo vedono approcciare le nuove forme di criminalità organizzata ben strutturata. La sicurezza cibernetica declinata in tutte le dimensioni, manifestazioni possibili: dalla tutela delle persone quindi, a partire dai più piccoli, fino a quella delle infrastrutture critiche informatizzate.
Dunque, quando parliamo di cybercrime a cosa facciamo riferimento e soprattutto qual è la dimensione attuale del fenomeno cybercrime? Nel corso della novantesima Assemblea Generale dell’Interpol che si è tenuta lo scorso anno a Nuova Delhi, è stato condiviso da tutti i Capi delle Polizie intervenuti da tutto il mondo, come la prima minaccia criminale deve essere individuata nel cyber crime a partire dalla dimensione del financial cybercrime.
Stiamo parlando di una criminalità per la quale si stimano per il futuro, da qui al 2025, profitti illeciti per 10.5 trilioni di dollari. Di fatto ci troviamo alla vigilia di un salto epocale per quella che è la previsione dei tecnici del settore. All’interno di una dimensione come quella cibernetica fino ad oggi appannaggio di forme peculiari ad alto valore aggiunto tecnologico di criminalità, insomma potremmo aspettarci una rivoluzione come quella avvenuta intorno agli anni 70-80 con l’ingresso significativo della criminalità organizzata nella produzione e nei traffici di sostanze stupefacenti.
Il senso di questa rivoluzione criminale può essere dato dalla attribuzione che viene fatta in generale, a quelli che vengono considerati attacchi informatici a livello globale.
Sono di matrice criminale l’82% degli attacchi informatici nel mondo, il 93% in Italia. Sostanzialmente, quindi, le attività sono riconducibili a reti criminali, a gruppi criminali che in qualche modo cominciano a produrre illeciti e quindi profitti, marginalizzando altre forme ovvero altre origini degli attacchi criminali che fino a qualche anno fa vedevano l’importante presenza dell’hacktivismo piuttosto che del cyberspionaggio e del sabotaggio industriale. Oggi la matrice che punta a produrre semplicemente profitti criminale è di gran lunga la matrice più significativa per quel che riguarda gli attacchi informatici.
Quindi benché quindi la matrice criminale debba essere ritenuta assolutamente prevalente, è pur tuttavia necessario approcciare, a margine di un attacco informatico, con competenze multilivello, perché non è detto che un attacco informatico possa essere nell’immediato interpretato o avere valenza, per la Difesa piuttosto che per l’Intelligence, piuttosto che in termini di Resilienza del sistema Paese.
C’è quindi bisogno quindi di una lettura e di un approccio multilivello, multitask, che riguardi per l’appunto tutti gli ambiti rispetto ai quali può produrre effetti un attacco informatico. In caso di evento informatico le competenze che vengono interessate sono quindi basate su diversi skill, connessi alle specifiche competenze richiamate e quindi con il coinvolgimento dei comparti che li hanno in carico, che li hanno tra le proprie missioni istituzionali.
Queste componenti reggono, supportano l’Architettura Nazionale di Sicurezza Cibernetica Italiana che vede la Cyber Investigation affidata in via principale alla Polizia di Stato attraverso la Polizia Postale delle Comunicazioni, la Difesa con il proprio COR Comando Operazioni in Rete, l’Intelligence affidata ad AISI AISE e DIS, fino ad arrivare alla cyber resilienza ed ai compiti di vero e proprio presidio tecnico, sia per quanto riguarda le policy che la effettiva protezione delle Infrastrutture del Paese, affidato all’Agenzia per la cybersicurezza nazionale.
Le attività di risposta, quindi, a margine di un attacco Cyber prevedono dal punto di vista operativo (lasciando quindi quelle che sono le competenze in termini di autorità giudiziaria che riguarda la conduzione ed il coordinamento delle indagini e quindi la ascrivibilità ad alcuni soggetti della responsabilità di fatti costituenti reato) un approccio multilivello che possa in qualche modo permettere a ciascuno dei pilastri che reggono l’Architettura Nazionale di Sicurezza Cibernetica di poter svolgere la propria attività istituzionale, che evidentemente va a vantaggio anche delle attività degli altri comparti. Forme di coordinamento strutturale, così come previsto dal nostro ordinamento, sono rappresentate nel Nucleo Cyber Sicurezza, momento nel quale le quattro componenti entrano in contatto e possono scambiarsi informazioni o decidere un intervento coordinato in caso di un attacco informatico grave.
Un approccio di questo tipo necessita non solo che i diversi soggetti coinvolti intervengano a margine di un attacco informatico, ma che riescano a dialogare tra loro. Il fatto che vi sia una sorta di sillabus comune per quel che riguarda gli effetti, la descrizione degli eventi piuttosto che delle tattiche utilizzate a margine di un attacco significa in qualche modo utilizzare strumenti comuni, parlare la stessa lingua. In caso di attacco informatico le tecniche operative sono sostanzialmente le stesse tutti i soggetti istituzionali che intervengono debbono poter utilizzare gli stessi strumenti o debbono comunque saperli utilizzare, in una sorta di contaminazione anche per quel che riguarda il framework normativo, che autorizza e disciplina l’intervento di ciascuna delle Agenzie competenti.
Dal punto di vista delle capacità operative, è necessario che in qualche modo gli operatori possano poter utilizzare strumenti comuni e quindi creare una condizione per la quale non vi siano più confini definiti tra quella che è l’attività investigativa, quella che è l’attività di incident response e quella che è l’attività di intelligence.
Tale approccio determina la necessità, in qualche modo, di attivare momenti di contaminazione o comunque sinergie che devono intervenire a margine di un attacco informatico. La Polizia di Stato e delle Comunicazioni ha scelto di mantenere le prerogative investigative e tecniche in un unico soggetto, quindi di costruire un cyber poliziotto che possa avere capacità investigative e capacità tecniche per potersi muovere all’interno di quella che è l’investigazione cibernetica. L’investigazione informatica, prevede capacità che, se andiamo a vedere bene, deve avere sia l’operatore dell’agenzia della Cyber Sicurezza Nazionale sia all’operatore di Cyber Intelligence, sia l’operatore di Cyber Defense che raccoglieranno le prove e le informazioni per le loro finalità istituzionali, per il proprio lavoro, a vantaggio delle proprie organizzazioni.
È un problema che può trasformarsi in un’opportunità! Ovvero l’opportunità di condividere reclutamento ed anche momenti di formazione tra le diverse strutture competenti. Deve essere infatti utile avere strumenti o saper condividere comuni tecniche operative, all’interno del mondo del law enforcement, così come nel mondo della Difesa. Può sicuramente essere utile che alcuni strumenti utilizzati propri della Difesa piuttosto che dell’intelligence vengano utilizzati dalle strutture di law enforcement, così come dalle strutture che si occupano di cyber resilience. È importante, infatti, la possibilità di condividere strumenti di attacco piuttosto che skills di attacco, capacità di attacco, piuttosto che capacità di difesa o di lettura di risposta ad un evento cibernetico.
In conclusione, nella definizione e risoluzione di un evento cibernetico, sia per quel che riguarda le motivazioni, le cause e gli effetti, non c’è una separazione netta di competenze e skills tra gli operatori. Ciò deve essere tenuto in debito conto dal legislatore, ad esempio quando vengono normate le Skills che possono essere utilizzate dagli investigatori cibernetici. È necessario infatti che, ad esempio, chi si occupa di investigazione cibernetica possa svolgere attività simili al mondo dell’intelligence, al mondo della protezione e quindi della resilienza e che gli strumenti normativi, gli strumenti tecnici debbano essere in qualche modo condivisi, almeno in parte, tra i vari assetti e comparti che si occupano di tutelare la sicurezza cibernetica del Paese. Infatti, alcuni strumenti dell’investigazione debbono essere portati nell’alveo dell’attività dell’intelligence così come è indubbio che alcuni strumenti tipici della resilienza soprattutto per quel che riguarda le capacità di ricostruire la scena del crimine o gli elementi di un fatto cibernetico debbano essere portati all’interno dell’alveo delle competenze di un investigatore.
Da qui la necessità che a livello normativo si approcci per legittimare e dare copertura a nuove metodologie investigative per le quali gli stessi operatori debbano avere ed acquisire skill propri e tipici dei vari settori della sicurezza cibernetica. Con questa piena consapevolezza e con la capacità di mettere in campo questo nuova tipologia di formazione potremmo in qualche modo costruire l’operatore per la cybersicurezza del futuro.