“L’attività del cyberspionaggio è particolarmente insidiosa perché portata avanti da attori che possiedono ingenti risorse finanziarie e professionali e sono spesso legati a Paesi come Russia e Cina”, spiega Pierluigi Paganini, amministratore delegato di Cybhorus, commentando la “Relazione sulla politica dell’informazione per la sicurezza”, curata dal Comparto Intelligence e relativa all’anno 2022 presentata martedì mattina.

Quali sono i trend che emergono da questo rapporto?

La prima cosa è l’incidenza della componente geopolitica, la quale ha impattato sulla quasi totalità delle attività di intelligence. La sicurezza geopolitica viene calata nel contesto attuale identificando tre filoni legati all’intelligence: cyberspionaggio, sabotaggio e disinformazione. Sostanzialmente questi sono i tre elementi fondamentali che caratterizzano l’attuale panorama delle minacce, con una forte componente politica.

Ulteriori dati interessanti del rapporto sono quelli relativi alle tipologie di obiettivi e alle motivazioni degli attacchi che abbiamo osservato nell’ultimo anno. Dunque informazioni che ci raccontano meglio chi sono gli attori malevoli. Poi c’è un riferimento alle principali tecniche utilizzate.

Balza subito all’occhio la tipologia degli obiettivi degli attacchi.

Sì, osserviamo che sempre più aziende private sono oggetto di attacchi, più di quanto lo siano gli enti pubblici. Questo si spiega col fatto che buona parte delle aziende private sono piccole o medie imprese che risultano sostanzialmente indifese di fronte ad attacchi di varia natura e complessità. L’incidenza degli attacchi contro questi target è proporzionalmente più grande rispetto a quelli contro il pubblico.

D’altra parte sono in crescita anche gli attacchi contro organizzazioni pubbliche.

Certo, qui si possono individuare due filoni. Da una parte si trovano le azioni anche dimostrative compiute contro organizzazioni governative, uffici, ministeri che hanno in qualche modo a che fare con l’attuale conflitto in Ucraina. Dall’altro c’è una componente legata al crimine informatico che, purtroppo, ha la meglio di fronte a pubbliche amministrazioni che molto spesso risultano sguarnite sotto il profilo cyber.

Quali sono i principali attori maligni?

Se si analizza la tipologia degli attaccanti si riscontrano trend a livello globale, dunque non solo italiani. Vi è un incidenza importante di attori legati alla criminalità informatica, che quindi operano per motivi di lucro e sono i principali attori dietro alle minacce. Vi è poi la componente di spionaggio, tendenzialmente legata a Paesi come Russia e Cina. Questa è una attività insidiosa perché portata avanti da attaccanti difficili da identificare, in gergo definiti Apt (advanced persistent threat). Di fatto sono attori che, operando per conto di Stati, possiedono risorse importanti sia finanziarie sia professionali e riescono a compiere attacchi di grande rilevanza.

Viene dato spazio ai cosiddetti hacktivisti.

Questo è un elemento che va sottolineato e ha una matrice geopolitica. Durante il 2022 abbiamo osservato un fenomeno relativamente nuovo: la predominanza nell’attuale conflitto in Ucraina di una serie di attori non statuali (o almeno non riconducibili a uno Stato), che offrono supporto a una delle parti. Questo si è visto, ad esempio, negli attacchi della scorsa settimana. Gruppi come KillNet o NoName sono attivisti filorussi e non sono ufficialmente collegati al governo russo.

C’è da dire che un attacco su cinque viene compiuto da attori non identificati che utilizzano un’ampia serie di metodi per confondere gli analisti. Questo ricorda che l’attribuzione è uno dei principali problemi del contesto di sicurezza informatica.

E per quanto riguarda le capacità di contrattacco?

Ci si muove in uno spazio privo di frontiere in cui l’elemento cardine è l’informazione. Quindi qualunque strumento consenta all’intelligence di raccogliere informazioni è strumento privilegiato per effettuare analisi e soprattutto azioni preventive. Dall’analisi di alcuni dati è possibile identificare dei pattern di attacco e quindi più info si riesce ad avere più si può mitigare una minaccia cibernetica. Poi ricordiamo la sovrapposizione sempre più forte tra il vissuto reale e quello digitale. Ad esempio l’osservazione di schermaglie digitali tra due Stati può essere indicativa del rischio di conflitto convenzionale tra i due attori.