Pansa: per l’Italia un progetto forte di cybersecurity

29 settembre 2016

Il pref. Alessandro Pansa, Direttore generale del DIS a Cybertech Europe 2016

L’Italia ha bisogno di un progetto nazionale di cybersecurity che – in una nuova accezione di sicurezza nazionale – possa confrontarsi con le nuove minacce.

Intervento del Direttore generale del DIS a Cyber Tech Europe – 29 settembre 2016

Quale contesto

La rivoluzione digitale che stiamo vivendo, in ogni campo della nostra vita (personale e professionale), come ogni cambiamento storico, porta con sé opportunità e minacce. Minacce per lo status quo e per i cittadini e le imprese, ed opportunità di sviluppo per fasce sempre più numerose di popolazione.

Tra le opportunità possiamo enumerare, a titolo di esempio, l’elevato livello di interoperabilità e flessibilità circa l’uso dei dispositivi elettronici, che stanno divenendo sempre più multi-funzione. Ciò consente agli utenti di trarre vantaggio da opportunità prima di allora inimmaginabili, che permette loro di:

  • essere costantemente informati e ad avere accesso ai propri dati sempre e ovunque;
  • essere in più posti contemporaneamente (la cd. ubiquità digitale);
  • muovere oggetti o agire da remoto, e così via.

per quanto concerne i punti di debolezza, l’incremento di dispositivi connessi a internet – tra cui l’internet delle cose (Internet of Things – IoT) ma anche sistemi di Supervisory Control and Data Acquisition (SCADA) – ha comportato un rilevante ampliamento della superficie d’attacco, incrementando le possibilità di escalation. Ciò si traduce, per le infrastrutture critiche, in un più elevato grado di interdipendenza tra le stesse, seguito da un “effetto domino” in caso di attacco cyber o system failure.

In questo senso la cyber security appare non diversa dalle altre rivoluzioni tecnologiche che abbiamo conosciuto nel recente passato.

A ben vedere invece una grande differenza c’è: in questa rivoluzione tecnologica, la sicurezza è una pre-condizione perché le opportunità si possano dispiegare pienamente. Già adesso stiamo entrando nel mondo dell’internet of things – IoT e dell’Industry 4.0 dove le macchine colloquiano tra di loro in un unico ambiente tecnologico. Qui non sono date mezze misure: se la sicurezza c’è, vi è sviluppo ed innovazione; se la sicurezza non c’è, non si entra nel nuovo mondo. Questo vale sia a livello di sistema industriale sia per l’intera economia nazionale: solo se saremo capaci di creare un ambiente nazionale sicuro, parteciperemo con la nostra economia allo sviluppo della rivoluzione digitale che abbiamo davanti.

Noi tutti – attori pubblici, imprenditori, responsabili politici, ricercatori – non sempre siamo pienamente consapevoli di questo vincolo.

Nel dicembre 2014, Nomisma ha pubblicato gli esiti di uno studio, commissionato dal DIS, volto a valutare il livello di percezione della minaccia cibernetica nelle piccole e medie imprese, le quali costituiscono il 99,9% della totalità delle aziende del Paese, al fine di accrescerne la sicurezza informatica. Benché tale ricerca sia stata pubblicata ormai quasi un paio di anni fa, i relativi risultati possono essere purtroppo ritenuti ancora oggi validi. I dati più rilevanti mostrano infatti che:

  • la minaccia principale è costituita da malware volto non solo all’interruzione del funzionamento di sistemi informatici, ma anche alla sottrazione di know how relativo a progetti industriali ed a strategie manageriali;
  • da un lato l’impatto economico è stato stimato come piuttosto contenuto (dell’ordine di circa 50.000 euro come danno massimo), ma dall’altro la maggior parte delle imprese ha ammesso la difficoltà nel valutare tale dato;
  • il top management ha mostrato una certa sensibilità verso la tematica della cyber security, benché sia risultato restio verso l’elaborazione di documenti di valutazione della minaccia cibernetica e l’adozione di strategie di prevenzione;
  • infine, anche se la maggior parte delle aziende intervistate ha dichiarato di aver adottato misure di prevenzione, gli investimenti nella sicurezza informatica sono risultati moderati, ammontando solamente all’1% del volume delle vendite.

In sintesi, c’è consapevolezza ma si fatica a costruire la reazione.

Nel frattempo però la minaccia si evolve con estrema velocità: la crescente mole di dati – raccolti in maniera massiva e riferiti a qualità personali, abitudini e stili di vita, preferenze di consumo – diviene sia un serio onere per l’impiego da parte di chi li detiene, ed allo stesso tempo rappresenta un obiettivo ambito ed altamente remunerativo per chi vuole impossessarsene illecitamente.

Il cyber si mostra sempre più uno strumento duttile e penetrante, tale da poter essere utilizzato anche in operazioni di influenza articolate.

Quante infrastrutture critiche strategiche sono oggi controllate da sistemi di controllo automatici, completamente interconnessi ed operanti sul web ? E quanti sistemi critici viaggiano allo stesso modo, ad esempio nel mondo della sanità ?

A quest’accelerazione esponenziale della minaccia si aggiunge ora anche il rischio terroristico. E qui assistiamo ad un’ulteriore evoluzione del contesto: sia per effetto della minaccia terroristica ma anche per altre forme di minaccia, l’impatto si ha non più solo per il danno patrimoniale (per lo Stato, per le aziende, per i cittadini), ma il danno emerge anche dall’uso che si fa di questo strumento. Basta pensare al re-engineering che i gruppi terroristici fanno dei maggiori social networks e/o delle applicazioni di messaggistica per operare il proselitismo, il reclutamento, l’addestramento, il coordinamento operativo, etc.

Anche in termini di effetti comunicativi, la capacità di incidere sul mondo reale grazie alla comunicazione digitale è un aspetto che deve essere sempre tenuto in considerazione quando si parla di sicurezza cyber. Si consideri il crescente gap tra sicurezza reale e quella percepita: come ben sappiamo, l’obiettivo della sofisticata opera di comunicazione di Daesh tende proprio ad ampliare a dismisura questo cuneo, che si insinua tra la cittadinanza ed i propri governanti. Il mondo virtuale può divenire un punto di riferimento anche culturale per coloro che si sentono rifiutati dal tessuto umano in cui vivono ovvero siano portatori di una cultura divergente rispetto a quella prevalente;

Alla luce di quanto precede è evidente che occorre acquisire piena consapevolezza degli interessi che entrano in gioco, quando ci confrontiamo con la minaccia cyber: l’integrità fisica dei nostri cittadini, l’integrità economica collettiva e delle nostre imprese, le funzioni fondamentali dello Stato, i diritti dei singoli, lo stesso diritto alla libertà.

Questi sono gli elementi che vanno considerati, quando si valuta quali difese vanno approntate per la realizzazione di un sistema valido di cyber security. Rispetto a questi valori ed a questi interessi occorre ponderare la modifica delle regole, l’eventuale parziale compressione delle libertà e/o dei diritti dei cittadini. In un delicato equilibrio, che peraltro va modificandosi continuamente proprio con l’evolvere della tecnologia e della minaccia.

Per la ricerca di questo giusto equilibrio occorre che tutti – pubblica amministrazione, aziende, ricerca – concorrano per la definizione di un sistema nazionale di cyber security coerente con il profilo della minaccia, che tenga conto delle aspettative e degli impegni che il nostro Paese ha preso nei consessi internazionali cui partecipa (Alleanza Atlantica, Unione Europea) e con il sostegno bilaterale dei propri partners più importanti.

Cosa è stato fatto

È in tale contesto che il DIS ha promosso e sta ancora oggipromuovendo iniziative mirate al consolidamento della partnership pubblico-privato – PPP, che si rifanno ad un modello multi-stakeholder. Non è un caso questo evento viene organizzato e supportato dal Gruppo Leonardo. Leonardo, infatti, è uno degli operatori privati di rilevanza strategica che hanno firmato una convenzione con il DIS per la condivisione di informazioni relative agli incidenti cyber e che attivamente supporta le diverse iniziative del Dipartimento.

A partire dal 2013, il DIS ha consolidato un formato di condivisione informativa con i gestori di infrastrutture critiche ed altri operatori strategici: tali soggetti, se da un lato notificano al Dipartimento volontariamente gli attacchi ed altre anomalie registrate sulle proprie reti e sistemi, dall’altro, sono destinatari da parte del DIS di analisi e valutazioni della minaccia cyber, così da assicurare loro un adeguato livello di sicurezza informatica.

Occorre qui ricordare anche l’importante ruolo del CNAIPIC: costituito in seno al Servizio di Polizia Postale e delle Comunicazioni, ha il compito di garantire la prevenzione ed il contrasto degli attacchi informatici alle strutture di livello strategico per il Paese, la sicurezza e la regolarità dei servizi di telecomunicazione, il contrasto della pedopornografia online, il contrasto degli illeciti perpetrati per via informatica concernenti i mezzi di pagamento e il diritto d’autore. Per la difesa delle infrastrutture critiche, il Centro ha stipulato numerose convenzioni con enti pubblici e privati.

  1. Nel novembre 2015 è stato inoltre istituito il Polo Tecnologico di Comparto, quale centro di eccellenza in materia di cyber security. La missione del Polo consiste nell’implementare le capacità nazionali di cyber intelligence e nel convogliare la ricerca accademica e privata affinché i relativi esiti soddisfino le esigenze della comunità intelligence nazionale, consentendo una migliore e più approfondita conoscenza delle minacce cyber attuali e future, oltre ad un miglioramento dello stato dell’arte tecnologico.
  2. Il Comparto ha inoltre giocato un ruolo di primario rilievo nell’elaborazione della Strategia Nazionale di Sicurezza Cibernetica ed il DIS è costantemente impegnato nel coinvolgere attivamente nell’esercizio i principali stakeholder, sia pubblici che privati. Siamo infatti consapevoli che se sapremo assicurare un elevato livello di sicurezza informatica ai nostri “campioni nazionali”, saremo anche in grado di garantire un maggiore competitività al nostro Paese sullo scacchiere internazionale, attraendo così investimenti dall’estero.
    A questo riguardo, stiamo attualmente aggiornando il “Piano Nazionale per la protezione cibernetica e la sicurezza informatica”, allineando lo stesso sia alla Direttiva UE sulla Network and Information Security (NIS), adottata il 6 luglio di quest’anno dal Parlamento Europeo, sia alle nuove sfide poste dall’innovazione digitale.
  3. Il Comparto ha ispirato e sostenuto la creazione del Laboratorio Nazionale CINI, per il coordinamento nazionale della ricerca nella cyber security. Si è così potuto offrire alla ricerca italiana, universitaria e non, un punto di coordinamento e connessione con la PA e con le infrastrutture critiche nazionali, mettendo d’altro canto a disposizione il complesso dell’offerta e delle eccellenze che la ricerca nazionale esprime in questo campo. Il Laboratorio ha quindi naturalmente costituito una controparte qualificata per avviare la cooperazione internazionale di ricerca, che ha prodotto lo scorso anno il Framework nazionale per la Cyber security, elaborato secondo gli standards internazionali più avanzati.

La “way ahead”

Se oggigiorno le nostra attenzione e preoccupazione è principalmente focalizzata sul furto di dati personali e finanziari, inclusi i dati biometrici, così come di informazioni rilevanti sotto il profilo commerciale e strategico, dobbiamo tuttavia considerare anche l’impatto fisico derivante dalla manipolazione di software.

Abbiamo già al riguardo degli esempi concreti, come il recente test di hacking condotto da alcuni ricercatori su modelli di automobile Tesla, che hanno mostrato vulnerabilità che, se sfruttate, avrebbero consentito ad un potenziale attaccante di prendere il controllo, tra l’altro, dei freni del veicolo. Questo test mostra, in modo concreto, come un attacco cyber possa causare danni sul piano fisico, anche in termini di feriti e, nel caso peggiore, di vittime.

Ciò dimostra l’importanza dei cd. “programmi di bug bounty” come quello, ad esempio, denominato “Hack the Pentagon”, iniziativa promossa quest’anno dal Dipartimento della Difesa USA, volto a testare la sicurezza dei propri siti web con esclusione, tuttavia, dei sistemi informatici critici.

L’innovazione digitale richiede alle comunità intelligence, a livello mondiale, uno sforzo d’immaginazione senza precedenti, mentre entriamo in un futuro permeato di tecnologia. In questo nuovo mondo l’intelligence dovrà essere in grado di comprendere, prima ancora degli attori ostili, come – da un punto di vista squisitamente tecnico – una nuova tecnologia possa essere sfruttata per finalità che possono mettere a rischio la sicurezza nazionale.

Ieri Europol ha pubblicato il rapporto IOCTA sugli otto trend del cyber crime nel 2016 e li ha classificati in:

  • crime-as-a-service: il crimine diventa una commodity che si compra al “supermercato” (nero) criminale;
  • i ransomware, la nuove edizione dell’estorsione;
  • l’uso criminale dei dati nelle forme di truffe od estrorsioni più sofisticate;
  • le frodi nei pagamenti, che stanno velocemente sostituendo le “cartiere”;
  • la pedopornografia online e gli abusi;
  • l’abuso di darknet per attività illecite;
  • il social engineering, ora rivolto anche ai vertici aziendali per frodi articolate;
  • l’uso distorto delle valute virtuali, divenute lo strumento di pagamento degli illeciti.

Per tutti questi fenomeni, i trend sono in netto aumento.

Il Paese ha ora bisogno di un progetto nazionale di cyber security, che – in una nuova accezione di Sicurezza Nazionale – possa confrontarsi con le nuove minacce.

  • Ad esempio, l’affidabilità e la sicurezza di componenti hardware e software che supportano infrastrutture critiche nazionali ed altri attori strategicamente rilevanti, possono essere conseguite solo attraverso la “messa in sicurezza” di tutti i soggetti della “catena del valore”, inclusi i produttori di componenti hardware, gli sviluppatori di software ed i fornitori di servizi IT.
  • Una delle priorità della nuova edizione del Piano Nazionale potrebbe essere l’implementazione di un laboratorio governativo dove testare i sistemi informatici prima del loro impiego nell’ambito di infrastrutture critiche, sia governative che private. Tale obiettivo non può essere conseguito senza un approccio multi-stakeholder basato sulla cooperazione con il settore privato. Tale iniziativa, insieme alle analisi strategiche e tattiche realizzate dal Comparto, consentirà il perseguimento di una strategia di prevenzione onnicomprensiva.
  • Per affrontare la minaccia, appare cruciale, da un lato, acquisire e tenere aggiornata una vasta capacità di raccolta, analisi e conservazione dei dati, ormai in quantità immense (i c.d. big data), al fine di individuare e disarticolare in anticipo la minaccia e, dall’altro, poter contare su nuove sensibilità dei provider nel sostenere gli attori pubblici nel loro sforzo di garantire la sicurezza. L’approccio, pertanto, non può che vedere la sintesi tra l’interesse nazionale e quello privato, tra sfera collettiva e sfera privata.

Il Progetto Nazionale di Cybersecurity potrà utilmente beneficiare della dotazione messa a disposizione dalla legge di stabilità per il 2016. Perché il progetto determini, come risulta ormai essenziale, un effettivo cambio di passo per la capacità di reazione del nostro Paese sarà altrettanto indispensabile che la costruzione dello stesso avvenga con il contributo delle varie componenti (pubbliche, private e della ricerca) che costituiscono la struttura portante del tessuto cyber nazionale. E tutti gli attori chiamati a dare il loro contributo dovranno intervenire con spirito indipendente, con posizioni coerenti, con una visione naturalmente rivolta al futuro, tale da porre la sicurezza nazionale al di sopra degli interessi settoriali. 

Tag: ,

Categoria: Archivio notizie

Su