Gli attori che minacciano la sicurezza stanno diventando sempre più sofisticati in termini di tipologia di attacco e di strumenti. Già oggi le minacce si rivolgono sempre più ai dispositivi mobili, mentre la battaglia del prossimo futuro avverrà anche nel campo dei big data e dell’Internet of Things (IoT). Queste alcune delle considerazioni riportate dai coordinatori nel corso del dibattito e provenienti da Enisa, l’ente europeo che ha come obiettivo aumentare la capacità di prevenzione, indirizzo e risposta nel campo della sicurezza degli Stati dell’Unione e delle aziende. Dalle analisi emerge che gli attacchi non hanno confini geografici predefiniti, impattano su tutti i tipi di organizzazione, gli autori vanno dai semplici hacker ai terroristi, dai cyber mercenari a governi e concorrenti, fino ai più pericolosi, quelli di chi opera dall’interno dell’organizzazione. Gli attacchi e le violazioni più gravi si riconoscono quasi sempre molto dopo l’evento iniziale: nella media, poco meno di un anno.
I chairmen del workshop, da sinistra: Marco Forneris, Presidente del Comitato di Programma degli Incontri ICT Finaki 2003 ed Emilio Frezza, Direttore Ufficio per il Coordinamento Informatico Dipartimentale (Ucid), Ministero dell’Economia e delle Finanze – Dipartimento del Tesoro
E lo scenario futuro presenta minacce sempre più preoccupanti. Come ha evidenziato Gartner, gli attuali trend tecnologici facilitano l’aumento delle minacce: le priorità strategiche in campo Ict (analytics, mobility, cloud, Social collaboration) comportano l’apertura del perimetro aziendale e, di conseguenza, la crescita del rischio. In particolare, l’avvento del digital business e dell’IoT prevedono l’uso sempre più esteso del digitale negli impianti industriali e la crescita esponenziale di applicazioni e connessioni. Le conseguenze di attacchi al mobile, alle infrastrutture critiche e all’IoT colpirebbero non solo la sfera virtuale, ma anche quella reale. Nel caso del mobile, le nuove applicazioni mobili sono connesse, ad esempio, al monitoraggio sanitario, ai sistemi di infomobilità e assistenza automatica alla guida, alle reti di trasporto, al monitoraggio e controllo energetico, a sistemi Scada per la produzione industriale, ad applicazioni militari. L’attacco a queste applicazioni comporterebbe conseguenze che vanno ben oltre la sfera della sottrazione di informazioni, se pur critiche, ma potrebbe causare gravi incidenti alle persone e ai beni. Stesso ragionamento vale per l’IoT: si tratta generalmente di piccoli apparati interconnessi su canali e protocolli insicuri e dunque facilmente attaccabili dai cyber criminali che li considerano un obiettivo semplice e promettente. Un esempio per tutti è l’impatto sulla rete di controllo delle Smart Cities, che gestisce semafori, metropolitane, impianti di illuminazione, uffici e case private.
Un’indicazione di strategia di difesa viene dagli Usa dove il Presidente Barak Obama ha di recente emesso l’Executive Order, “Improving Critical Infrastructure Cybersecurity”, che invita allo sviluppo di un risk-based Cybersecurity Framework, un insieme di regole, standard e best practice per gestire questo tipo di rischi. Il Framework, creato attraverso la collaborazione fra il governo e il settore privato, utilizza un linguaggio comune per indirizzare la cybersecurity e suggerisce un modello comune di gestione del rischio.
Le azioni per la sicurezza a livello Paese
In Italia sono stati definiti due strumenti: il “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” e il “Piano nazionale per la protezione cibernetica e la sicurezza informatica”. Si è infatti preso atto che la sofisticazione degli attacchi informatici, il loro numero crescente e la connessione in rete delle nostre infrastrutture critiche sono elementi da porre alla massima attenzione per garantire stabilità e la sicurezza del Paese. È stato, di conseguenza, adottato un nuovo concetto di difesa non più limitato al perimetro della Pubblica Amministrazione, ma esteso e integrato con il mondo del privato e con quello accademico e della ricerca scientifica per proteggere gli assetti critici nazionali. Dalla definizione di cosa si intenda per spazio cibernetico e da chi sia minacciato (distingiendo fra cybercrime, cyber expionage, cyber terrorism, cyber warfare), seguono 6 indirizzi strategici che prevedono:
1. il miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali;
2. il potenziamento delle capacità di difesa delle infrastrutture critiche e degli attori di rilevanza strategica per il paese;
3. l’incentivazione della cooperazione fra istituzioni e imprese nazionali;
4. la promozione della cultura della sicurezza cibernetica;
5. il rafforzamento della capacità di contrasto alla diffusione di attività e contenuti illegali on line;
6. il rafforzamento della cooperazione internazionale.
I principali attori in campo sono i Cert (Computer Emergency Response Team), nelle diverse articolazioni (nazionale, Pa, Difesa ecc.), il Cisr – Comitato interministeriale per la sicurezza della Repubblica, la Presidenza del Consiglio dei Ministri che agisce attraverso l’Agenzia informazioni e sicurezza interna ed esterna (Aisi e Aise) e altre agenzie dello Stato.
Per quanto riguarda la Pubblica Amministrazione è stata definita una matrice degli impatti degli incidenti della Pa; a ciascun tipo di impatto (su persone, sull’economia, sui servizi della Pa, e sull’ immagine sociale) vengono indicati diversi livelli di emergenza, dal livello 0 (non rilevante, che comporta la semplice informazione) al livello 4 che impone a tutte le risorse di focalizzarsi sulla risposta al fine di realizzare il rientro ai livelli di normalità, sotto il coordinamento del Cert Nazionale che coordina le attività di tutti gli attori. Non è ancora chiaro il livello di operatività di questa organizzazione in caso di minaccia reale, ma almeno è stato fatto un primo passo verso l’attenzione al problema, con un approccio che punta a sistemi di protezione attivi, in grado di individuare una minaccia o un tentativo di hacking e limitarne i danni, individuando ruoli e responsabilità.
Le proposte
Il gruppo di lavoro Finaki dedicato alla security, a partire dalle proprie esperienze, ha formulato alcune indicazioni:
- andrebbe incentivata la cooperazione fra istituzioni e imprese nazionali, da perseguire anche attraverso la diffusione della conoscenza delle azioni previste dal Piano nazionale della protezione cibernetica. Gli stessi partecipanti al Gruppo rispondendo a un questionario sulla sicurezza (vedi riquadro) hanno evidenziato reazioni difformi soprattutto per quanto riguarda chi allertare, in caso di attacco;
- si evidenzia la necessità di potenziare le capacità di difesa delle infrastrutture critiche e degli attori di rilevanza strategica per il paese, favorendo la cooperazione degli operatori di Tlc e attraverso la diffusione di una reale identità digitale unica fra pubblico e privato;
- varare normative mirate alla defiscalizzazione e incentivazione degli investimenti nella sicurezza Ict per favorire il miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali;
- promuovere la cultura della sicurezza cibernetica attraverso un’adeguata informazione rivolta a imprese ed enti con la valutazione degli impatti del cyber crime, coinvolgendo in particolare i Cda delle imprese per renderli consapevoli dei rischi e potenziando nel contempo la formazione degli addetti ai lavori in ambito Ict.
- promuovere azioni per la diffusione della conoscenza dei rischi tra i cittadini; questa andrebbe sempre accompagnata da indicazioni di comportamenti virtuosi evitando dunque di fare allarmismo (con il rischio di rallentare la diffusione della digitalizzazione).
- rafforzare la capacità di contrasto alla diffusione di attività e contenuti illegali on line, potenziando le attività degli organi di controllo e della polizia postale.
- rafforzare la cooperazione internazionale attraverso le esperienze in ambito Enisa e Nato.
Nella discussione sono rimasti aperti alcuni punti come il ruolo che potrebbe avere l’evoluzione della tecnologia di accesso IP verso IPv6 che consente un maggior controllo dell’end user attraverso la creazione uno standard (Gsm like), considerata dai più interessate ma non risolutiva.
Altro punto aperto è l’utilità di certificazioni da promuovere nell’Ict security anche con il rafforzamento delle sanzioni verso gli inadempienti, sino a prevedere sanzioni di responsabilità penali. Le certificazioni per il software sono state definite spesso inadeguate per indicazioni di produzione superate e rischiano di risultare solo formali.
In sintesi si può riconosce che alcuni passi in avanti si stanno facendo, anche nella Pa, ma resta un dubbio irrisolto: quali potrebbero essere gli strumenti coercitivi per imporre l’adozione dei sistemi di sicurezza visto che le indicazioni e le stesse normative risultano spesso inapplicate?
| Hanno partecipato Giuseppe Maria Armenia, Direttore Generale, retItalia internazionale (in house ICE) – Giuseppe Adami, Senior Account Manager, Compuware – Stefano Bencetti, Cio, Istituto Italiano di Tecnologia – IIT – Elisabetta Bevilacqua, giornalista, ZeroUno – Massimo Boano, Cso, New Vision – Domenico Dominoni, Country Manager Italy, FireEye – Marco Forneris, Presidente del Comitato di Programma degli Incontri Ict Finaki 2003 – Yari Franzini, Storage and Networking Country Manager, Hewlett Packard Italiana – Enrico Frascari, Direttore Generale, Ecomouv’ – Emilio Frezza, Direttore Ufficio per il Coordinamento Informatico Dipartimentale, Ministero dell’Economia e delle Finanze – Dipartimento del Tesoro – Gianmatteo Manghi, Direttore Commerciale Enterprise & Pubblic Sector, Cisco Systems Italy – Antonio Marotta, Corporate Account Manager, Citrix Systems Italy – Giorgio Mosca, Vice President Smart Cities Sales & Marketing, Selex ES (Gruppo Finmeccanica) – Marco Policastro, Responsabile Ufficio Architetture, Consob – Mario Presta, Direttore Servizi Professionali Mercati Emergenti, Planview – Tiziana Spinetti, Responsabile Servizio IT, Cotral Antonio Maria Tambato, Dirigente Ufficio XI – Sistemi Informativi, Ministero dello Sviluppo Economico – Primo Trebbi, Cto del Consorzio Operativo, Gruppo Montepaschi |
