Di estrema attualità è la Relazione Annuale al Parlamento redatta dal comparto di Intelligence italiano (Sistema di Informazione per la Sicurezza della Repubblica). Allegato al suddetto, riveste particolare importanza in ambito cyber il Documento di Sicurezza Nazionale, il cui scopo è, da una parte, un’analisi retrospettiva dei principali progressi compiuti e delle persistenti minacce con riferimento all’anno 2016, dall’altra una prospettiva di sviluppo nei prossimi anni di fronte alle nuove minacce. Secondo il rapporto, il 2016 ha costituito un significativo punto di svolta in ambito cyber per il nostro paese, grazie all’attività di due tavoli tecnici, il primo, il TAVOLO TECNICO CYBER-TTC, per il raccordo inter istituzionale, il secondo, il TAVOLO TECNICO IMPRESE-TTI, per la partnership pubblico-privata. Questi due tavoli sono stati capaci di recepire l’orientamento espresso nei principali aggiornamenti internazionali in materia cyber, tra cui:
- La DIRETTIVA EUROPEA NIS (Network and Information Systems), il cui obiettivo è stato rendere più efficace la definizione degli strumenti per l’attuazione degli indirizzi strategici europei e la valutazione degli esiti delle azioni.
- Le CMBs (Confidence Building Measures) prodotte dall’OSCE per ridurre i rischi di un conflitto eventuale che faccia uso di tecniche legate all’ICT.
- Il nuovo orientamento sancito al SUMMIT di VARSAVIA della NATO (luglio 2016) per cui si rimanda al report settimanale precedente.
- Lo sviluppo dei lavori nell’ambito dei CYBER EXPERT GROUP MEETING del G7 Finanza ed Energia.
- Le interlocuzioni tra il Comparto e la BANCA D’ITALIA per la costituzione di un CERT (Computer Emergency Response Team).
- Una serie di eventi internazionali tra cui: 17° NATO Cyber Defence Workshop, l’incontro sulla “contractual Partnership Private-Public” (cPPP), la terza edizione dell’ICT4INTEL 2020.
Gli attacchi cyber verificatisi in Italia nel 2016 hanno segnato un ulteriore cambio di passo sotto molteplici profili: dal rango dei target colpiti, alla sensibilità rivestita dagli stessi nei rispettivi contesti di riferimento; dal forte impatto conseguito, alle gravi vulnerabilità sfruttate sino alla sempre più elevata sofisticazione delle capacità degli attaccanti.
ATTORI OSTILI: i gruppi hacktivisti (52% delle minacce cyber) continuano a costituire la minaccia più rilevante, in termini percentuali, benché la valenza del loro impatto sia inversamente proporzionale. I gruppi di cyber-espionage invece risultano più pericolosi anche se percentualmente meno rappresentativi (19%). Ai gruppi islamisti è imputato il 6% degli attacchi cyber perpetrati in Italia nel corso del 2016. Da evidenziare come per le tre categorie si sia registrato, rispetto al 2015, un incremento degli attacchi pari al 5% per i gruppi hacktivisti e quelli islamisti e del 2% per quelli di cyber-espionage. A tale aumento ha corrisposto un decremento, pari al 12%, dei cd. “attori non meglio identificati” che si attestano nel complesso al 23% delle incursioni cyber.
TARGET: le minacce contro i soggetti pubblici costituiscono la maggioranza con il 71% degli attacchi, e quelle in direzione di soggetti privati si attestano attorno al 27%. Questa divaricazione è riconducibile verosimilmente alle difficoltà di notifica degli attacchi subiti in ragione del c.d rischio reputazionale. In merito ai soggetti pubblici si attesta che pur permanendo una netta predominanza delle Amministrazioni centrali (87% degli attacchi cyber verso soggetti pubblici) rispetto agli Enti locali (13%), nel 2016 si è assistito ad una inversione di tale trend, per cui gli attacchi contro le Pubbliche Amministrazioni Centrali (PAC) risultano in lieve diminuzione (-2%) mentre quelli avverso le Pubbliche Amministrazioni Locali (PAL) sono in aumento (+5%). Per quanto riguarda i soggetti privati si nota che se nel 2015 target principali degli attacchi cyber risultavano quelli operanti nei settori della difesa, delle telecomunicazioni, dell’aerospazio e dell’energia, nel 2016 figurano ai primi posti il settore bancario con il 17% delle minacce a soggetti privati (+14% rispetto al 2015), le Agenzie di stampa e le testate giornalistiche che, insieme alle associazioni industriali, si attestano sull’11%.
TIPOLOGIE DI ATTACCO: rispetto al 2015, nel 2016 si è registrata un’inversione di tendenza. Se, infatti, nel 2015, poco più della metà delle minacce cyber era costituita dalla diffusione di software malevolo (malware), nel 2016 è stata registrata una maggiore presenza di altre tipologie di attività ostili, che ha comportato una contrazione (-42%) del dato relativo ai malware, attestatosi intorno all’11%. Tale dato non va letto come una riduzione della pericolosità della minaccia Advanced Persistent Threat (APT), bensì come il fatto che gli APT registrati si sono caratterizzati, più che per la consistenza numerica, per la loro estrema persistenza. Tra le minacce che hanno registrato un maggior numero di ricorrenze vanno annoverate: l’SQL Injection (28% del totale; +8% rispetto al 2015), i Distributed Denial of Service (19%; +14%), i Web-defacement (13%; -1%) ed il DNS poisoning (2%).
In prospettiva, si assiste ad una crescita della minaccia cibernetica ad opera di attori statuali e gruppo connessi alla criminalità organizzata, nonché di potenziali insider. Per questo si potrebbe assistere nei prossimi anni, ad una allocazione di risorse crescenti finalizzate alla costituzione/consolidamento di asset cibernetici a connotazione sia difensiva, sia offensiva, impiegabili nella prosecuzione di campagne di cyber-espionage, nonché in innovativi contesti di conflittualità ibrida e asimmetrica (cyberwarfare), anche attraverso attività di disruption di sistemi critici in combinazione con operazioni di guerra psicologica.
Un altro contributo importante prodotto durante le ultime settimane è il Cyber Strategy & Policy Brief (numero di gennaio e febbraio 2017) curato da Stefano Mele, avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza delle Informazioni e Intelligence, e Key Opinion Leader nel settore Cyber secondo la NATO. Gli ambiti di analisi di questo numero sono 3:
- Mele cita i recenti sviluppi in materia cyber in Brasile. Infatti l’orientamento strategico brasiliano si è tramutato in una decisione esecutiva del presidente Temer per la creazione di un Cyber Command centrale incardinato all’interno del Dipartimento Scienza e Tecnologia dell’Esercito e che avrà finalmente il compito di sovraintendere, coordinare e guidare sia sul piano tecnico che regolamentare l’intera difesa cibernetica della nazione.
- L’autore si sofferma inoltre sul quadro cyber italiano commentando la Relazione sulla politica dell’informazione per la sicurezza del Comparto Intelligence (analizzato nelle pagine precedenti). Pur apprezzando gli sforzi compiuti dai servizi di informazione italiani, Mele ha voluto aggiungere alcune chiose necessarie. Ciò che pare ancora mancare nel dibattito italiano è, da un lato, una riflessione strutturata – in ottica evolutiva – tesa alla nascita di una vera e propria politica di cybersecurity nazionale. Dall’altro lato, invece, emerge con forza la necessità che in questo settore il governo italiano muti nel più breve tempo possibile l’approccio strategico da meramente difensivo
- Punto più importante della riflessione di Mele è quello legato alla lotta al cyber-terrorismo. Partendo da un’analisi dell’approccio strategico seguito finora, l’autore sottolinea la necessità di passare ad una strategia olistica, capace di operare contemporaneamente su più livelli. In particolare questo nuovo approccio dovrebbe:
– comprendere la peculiarità della minaccia e degli obiettivi dell’ISIS nel cyber-spazio, nonché le caratteristiche dei soggetti coinvolti
– attivare le procedure atte a creare deterrenza nei militanti dell’ISIS, riferendosi alle tradizionali azioni di rimozione, infiltrazione e avvio immediato di azioni penali
– svolgere attività di contro-propaganda e promozione di messaggi positivi all’interno dei network jihadisti
– aumentare la sensibilità di ISP e utenti verso la minaccia
– svolgere maggiori e più mirate attività di cooperazione con gli alleati
– tagliare i fondi dell’ISIS, magari colpendo le strutture cibernetiche che ospitano la ricchezza dell’ISIS
Lorenzo Termine
