Domenica pomeriggio. La notifica di Whatsapp mi arriva mentre sto facendo quattro chiacchiere davanti a un caffè con amici. Nel messaggio c’è un’agenzia ANSA e una semplice domanda da parte di un collega della radio: “che cavolo vuol dire?”.
Butto un occhio. Nell’agenzia si parla di “un massiccio attacco ransomware”, di “molte decine di sistemi nazionali verosimilmente compromessi e di numerosi soggetti i cui sistemi sono esposti, ma non ancora compromessi”. Fonte: Agenzia per la Cybersicurezza Nazionale. Effettivamente, per un non addetto ai lavori, il comunicato può risultare abbastanza criptico. Per me, significa semplicemente “le cose vanno male, ma rischiano di andare molto peggio”.
Arriva una seconda agenzia. Leggo solo “VMware ESXi”. Chiedo alla mia ospite se ha un portatile da prestarmi, per poi capire che il resto della domenica lo passerò davanti al PC.
La sicurezza informatica viene presa sul serio?
Della vicenda degli attacchi basati su CVE-2021–21974 probabilmente sapete già tutto. Per quanto mi riguarda, è bastata una ricerca su Twitter per trovare tutte le informazioni necessarie a disegnare il quadro. Niente di insolito: una vulnerabilità vecchia di due anni, qualche centinaio di sistemi vulnerabili all’exploit e un gruppo di pirati informatici che ha deciso di avviare il classico “attacco a tappeto”.
In quel fine settimana di inizio febbraio, però, abbiamo assistito a un fatto inedito. Tutti i media generalisti, infatti, sono andati immediatamente in fibrillazione per una notizia che, fino a qualche mese fa, avrebbe trovato cittadinanza al massimo in qualche sito specializzato. Che è successo?
A voler vedere il bicchiere mezzo vuoto, si è semplicemente trattato di una “tempesta perfetta” di quelle che, a livello mediatico, capitano abbastanza di frequente. L’attacco del ransomware ESXiArgs è arrivato in un periodo già segnato dal prolungato down di Libero Mail e, nella stessa giornata, da alcuni problemi di connettività su TIM.
In realtà non c’era nessun collegamento tra le tre vicende. Quello di Libero era stato un semplice incidente di percorso, dovuto a un bug nel sistema operativo di gestione del nuovo storage dell’azienda. Il down di TIM sì può invece attribuire a uno di quei problemi che, nella nuova “splinternet”, si presentano sempre più di frequente.
Se a questo aggiungiamo il conflitto in Ucraina (prima domanda del collega: “sono stati i Russi?”), si capisce come il frastuono provocato dall’attacco possa essere semplicemente dovuto al contesto già “caldo” in cui è arrivata la notizia. Di solito, però, preferisco guardare al bicchiere mezzo pieno.
Un’attenzione che arriva da lontano
La mia interpretazione ottimistica affonda le sue radici in una serie di considerazioni legate a ciò che è successo negli ultimi anni. Prima di tutto la nascita di una “Agenzia per la Cybersicurezza Nazionale” che, per lo meno a livello di immagine, contribuisce a dare maggiore dignità al tema. Mentre cercavo informazioni sull’attacco in corso a inizio febbraio, infatti, con mia somma sorpresa, ho intercettato articoli di siti news sudamericani che citavano l’ACN italiana. Mai successo prima.
Ma non sono solo le istituzioni a prendere sul serio la cyber security. Lo fanno, per esempio, anche quei cittadini che negli ultimi tempi hanno dovuto (sì, a causa del Covid) affidarsi ai servizi digitali per accedere a servizi che erano abituati a fruire in presenza. Insomma: la sbornia da web dovuta alla pandemia ha lasciato i suoi segni. Adesso la maggior parte delle persone ha interiorizzato l’importanza di avere a disposizione portali e strumenti digitali in grado di “resistere” agli attacchi informatici.
Lo stesso si può dire per quanto riguarda le aziende: gli addetti alla sicurezza informatica non sono più considerati come dei “fastidiosi gufi”, ma come un argine alla possibilità di subire un attacco che ha, inevitabilmente, un impatto sia sulla continuità operativa, sia sulla reputazione aziendale. Inutile dirlo, questo si è anche riversato sui budget, cresciuti notevolmente.
Cosa manca per la fase tre
Tutto bene? No. Perché l’attuale fase non è quella che ci permetterà di vivere tranquilli. Quello che manca, al momento, è quel livello di maturità necessario per affrontare il tema della cyber security in maniera “equilibrata”.
Partiamo dalla situazione che l’attacco del 2-4 febbraio ha messo perfettamente in luce. Nonostante l’aumento di consapevolezza (e di investimenti), la postura di security in molte organizzazioni è ancora scarsa. Chi ha subito un attacco in quei giorni può biasimare solo sé stesso.
Vero che l’implementazione di un aggiornamento in ambito aziendale richiede maggiore cautela rispetto a quanto accada in ambito consumer (e questo bisognerebbe spiegarlo ai tanti colleghi che sono sempre pronti a mettere alla gogna, senza troppi problemi, le varie organizzazioni vittime di attacco) ma, per lo meno in questo caso, non ci sono scusanti. Un periodo di 24 mesi è più che sufficiente per valutare l’impatto dell’aggiornamento e, in definitiva, si può dire che il mancato update grida vendetta al dio della cyber security.
Insomma: una maggiore consapevolezza c’è, ma le ricadute a livello pratico sono ancora lontane da quanto ci si aspetta (e si auspica) a livello di capacità di risposta. È un percorso necessariamente lento, che oggi forse è arrivato a un significativo upgrade.
Appello per un vero “quarto potere”
L’ultima nota riguarda il ruolo di noi che, per lavoro, raccontiamo ciò che succede. Qui mi sento solo di evidenziare un paio di ovvietà.
La prima è che “attenzione” è diverso da “allarmismo”. Gridare all’apocalisse cyber porterà anche un mucchio di click sulle pagine, ma sotto il profilo etico (e deontologico) non è una bellissima idea.
La seconda è che, per parlare di determinati temi senza trasformarsi in (involontarie?) fonti di fake news, c’è bisogno di studiare. Accorgermi che in quelle ore i post su Twitter fossero decisamente più affidabili di molti organi di stampa, mi ha francamente irritato.
Studiare (o contattare chi ne sa di più) costa fatica? Sì.
Porta a dei risultati? Maledizione, sì!
Do your math…
