Cybersecurity: Come mettere in sicurezza la tua casa sempre più smart
27 febbraio 2018
Come rimuovere gratuitamente Ransomware GANDCRAB e decifrare i file .GDCB
28 febbraio 2018
Mostra tutti

Stato della minaccia cibernetica in Italia e possibile evoluzioni

Stato della minaccia cibernetica in Italia e possibile evoluzioni

In linea con un mondo che continua ad essere sempre più interconnesso e dipendente dall’efficace funzionamento e dalla resilienza di reti, sistemi e dispositivi informatici – che conferiscono natura ubiquitaria ai contenuti da essi trasportati, elaborati e conservati – l’architettura nazionale cyber ha conosciuto, nel 2017, interventi di modifica miranti a razionalizzare e potenziare ulteriormente le capacità di difesa cibernetica del Paese. Il 17 febbraio è stato adottato il nuovo Decreto del Presidente del Consiglio dei Ministri “Direttiva recante gli indirizzi per la protezione cibernetica e la sicurezza informatica nazionali” (cd. “Decreto Gentiloni”) che, nel sostituire quello del 24 gennaio 2013, ha posto il Dipartimento Informazioni per la Sicurezza-DIS al centro della governance nazionale in materia di cyber security. Il DIS ha, così, assunto la direzione del Nucleo per la Sicurezza Cibernetica-NSC, deputato all’adozione di misure di coordinamento per la gestione di incidenti cyber di particolare rilevanza e per la dichiarazione della crisi cibernetica nazionale, rispetto alla quale è chiamato a tenere costantemente informato il Presidente del Consiglio dei Ministri. Nella sua nuova veste, il Nucleo si è riunito per valutare eventi cibernetici con potenziale impatto sistemico – ransomware WannaCry e software malevolo NotPetya – sia per definirne l’effettiva portata, sia per individuare le necessarie contromisure. In tale ambito, gli esiti degli approfondimenti svolti hanno consentito di rilevare, a dispetto del rilievo mediatico che hanno ricevuto i richiamati incidenti, contenute ripercussioni in ambito nazionale.

Tra le ulteriori misure tese ad elevare gli standard di sicurezza dei sistemi e delle reti italiane, vanno annoverate quelle che prevedono – anche in vista del recepimento della Direttiva UE 1148/2016 “Misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione” – l’unificazione operativa del CERT Nazionale (CERT-N) e del CERT della Pubblica Amministrazione (CERT-PA), al fine di acquisire maggiore capacità di rilevazione, allarme e prima analisi degli incidenti cibernetici, e l’istituzione, presso il Ministero dello Sviluppo Economico, di un Centro di Valutazione e Certificazione Nazionale- CVCN cui sarà affidata la verifica dell’affidabilità delle componenti ICT destinate ad essere impiegate nei sistemi di soggetti sia pubblici che privati nazionali, titolari di funzioni critiche o strategiche.

Tale riorganizzazione è stata formalmente declinata, a marzo, nel nuovo “Piano nazionale per la protezione cibernetica e la sicurezza informatica”, che ha individuato, nell’annesso Piano d’Azione, le misure ritenute più urgenti per rafforzare gli assetti cibernetici del nostro Paese. L’aggiornamento del documento, frutto di una sinergia che ha coinvolto tutte le componenti dell’architettura nazionale, è stato agevolato da un articolato processo di revisione delle attività svolte a partire dal 2013 e di identificazione delle principali lesson learned. Sul piano generale, la razionalizzazione operata attraverso i richiamati interventi potrà meglio contribuire ad elevare la sicurezza dei nostri sistemi se le molteplici iniziative cyber – assunte a livello verticale (nazionale, regionale e locale) e orizzontale (pubblico e privato).

UNO SGUARDO AL CONTESTO INTERNAZIONALE

La disamina degli eventi cyber occorsi a livello internazionale nel 2017 ha portato all’attenzione due principali filoni di minaccia: il primo, riconducibile al ransomware che, mediante WannaCry, ha interessato, nel maggio, centinaia di migliaia di computer a livello globale, bloccando l’operatività di ospedali, banche e aziende; il secondo, da ascrivere alle campagne di influenza che, prendendo avvio con la diffusione online di informazioni trafugate mediante attacchi cyber, hanno mirato a condizionare l’orientamento ed il sentiment delle opinioni pubbliche, specie allorquando queste ultime sono state chiamate alle urne.

In particolare, tali campagne hanno dimostrato di saper sfruttare, con l’impiego di tecniche sofisticate e di ingenti risorse finanziarie, sia gli attributi fondanti delle democrazie liberali (dalle libertà civili agli strumenti tecnologici più avanzati), sia le divisioni politiche, economiche e sociali dei contesti d’interesse, con l’obiettivo di introdurre, all’interno degli stessi, elementi di destabilizzazione e di minarne la coesione.

AMBITI E ATTORI DELLA MINACCIA

Nel 2017, il dominio cibernetico ha continuato a costituire spazio privilegiato per attività ostili, di diversa matrice, condotte in danno di target nazionali – tanto pubblici che privati, con differente livello di strutturazione, a partire dal singolo individuo fino ad arrivare alla più complessa organizzazione istituzionale o aziendale – la cui esposizione alla minaccia è riconducibile alla crescente pervasività degli strumenti di comunicazione elettronica e di digitalizzazione delle informazioni e dei processi. La continua evoluzione del dominio cibernetico, quindi, nell’ampliare la superficie di attacco, ha parallelamente comportato una pronunciata diversificazione ed un affinamento dei vettori della minaccia. Tattiche, tecniche e procedure si sono caratterizzate, infatti, per diversi livelli di capacità offensiva: dalla negazione di servizio alla violazione di sistemi ICT, attraverso operazioni, spesso silenti, finalizzate a compromettere risorse di cui assumere il controllo, così da acquisire i dati in esse contenute.

A fronte di ciò, il Comparto ha continuato ad assicurare, mediante dedicate manovre informative, la tutela delle infrastrutture critiche e degli asset strategici, specie in occasione di eventi di rilevanza internazionale, tenutisi in territorio nazionale (incluso il G7), rispetto ai quali l’attività intelligence ha permesso di prevenire azioni ostili di matrice sia statuale che hacktivista. Nell’alveo, poi, della tutela del sistema Paese, sono state poste in essere iniziative tese ad individuare possibili criticità nelle infrastrutture di attori produttivi nazionali a protezione del loro know-how tecnologico. L’azione svolta ha consentito di rilevare la presenza di vulnerabilità nei sistemi informativi di rilevanti imprese italiane, suscettibili di esporle ad azioni sia di spionaggio digitale, sia miranti a bloccarne i sistemi e, di conseguenza, l’attività.

Il ricorso al cyber spionaggio ha continuato ad essere appannaggio quasi esclusivo di attori strutturati globali. Questi ultimi, quando hanno colpito target pubblici titolari di funzioni critiche, hanno impiegato armi digitali sempre più silenti e persistenti, articolate infrastrutture di comando e controllo, nonché tecniche di offuscamento volte a celare il codice malevolo e le sue funzionalità. Per la realizzazione delle infrastrutture d’attacco (registrazione di domini e servizi di hosting) gli attori ostili hanno privilegiato, in linea di continuità con il passato, servizi commerciali che offrono garanzie di anonimato nei pagamenti, accettando transazioni in criptovalute come i Bitcoin.

Tra le tattiche che hanno conosciuto significativa evoluzione, vanno annoverate le email di spear-phishing (v. Glossario), confermatesi quale principale vettore d’attacco. Qui, il dato emergente è costituito dal fatto che – mentre in passato, l’inoculazione del malware prevedeva l’interazione con il titolare dell’account di posta elettronica (che veniva spinto a cliccare su un link o ad accedere ad un allegato infetto) – oggi, la sola apertura dell’email è in grado di infettare la postazione colpita in modalità completamente stealth. Di particolare interesse, inoltre, sono risultate le tecniche di impersonation, che hanno consentito all’attaccante di acquisire credenziali di accesso a caselle di posta elettronica (sia istituzionali che private), riferibili spesso a figure apicali di aziende e Amministrazioni di rilevanza strategica. Tale tattica – altro tratto caratterizzante del cyber-espionage – è stata funzionale sia all’acquisizione di informazioni sensibili, anche per attività controindicate che si svolgono nel mondo reale, sia all’ulteriore propagazione del malware tra i diversi target. L’attaccante, infatti, ha fatto leva sul trust generato nel destinatario dalla ricezione di messaggistica proveniente da mittente noto o, ancorché non noto, di rango istituzionale. Sempre al fine di rendere le email credibili, sono stati usati indirizzi di posta elettronica e domini simili a quelli legittimi (cd. bitsquatting o typosquatting,), correlati al contesto professionale della vittima, ovvero analoghi a quelli impiegati da media, email provider o società, specie dei settori IT e finanziario. Al furto di credenziali ha fatto seguito, talvolta, la loro pubblicazione on-line, spesso sul dark web ovvero su siti impiegati per la condivisione di leak con il pubblico. Tali modalità, proprie dell’ecosistema hacktivista, sono state adottate sia da cyber-criminali in qualità di proxy di entità statuali, sia direttamente da quest’ultime, al fine di rendere maggiormente difficoltosa l’attribution dell’attività ostile nell’ambito di operazioni cd. “false flag” .

SERIE STATISTICHE

A completamento dello scenario descrittivo, anche per questa edizione sono state elaborate statistiche relative agli attacchi condotti contro target nazionali di rilevanza strategica sotto il profilo della sicurezza nazionale, ancorché non insistenti sul suolo italiano. Come di consueto, per maggiore completezza e adesione del dato rappresentato rispetto alla realtà fenomenica, l’analisi è stata condotta sulla base degli elementi informativi forniti da AISE ed AISI, dai Servizi Collegati Esteri, dagli organismi internazionali dedicati alla materia cibernetica, nonché dagli altri soggetti che compongono l’architettura. Imprescindibili esigenze di riservatezza circa l’entità numerica delle minacce rilevate impongono una trasposizione esclusivamente in termini percentuali del volume degli attacchi registrati.

La serie è corredata dai seguenti elementi grafici indicativi dei trend, desunti comparando i dati dell’anno di riferimento con quelli del 2016. Per quel che concerne la tipologia di attori ostili, anche nel 2017 ha trovato conferma il trend che vede nei gruppi hacktivisti la minaccia più rilevante in termini percentuali, con il 50% degli attacchi a fronte del 14% riferibili a gruppi di cyber-espionage. Entrambe le categorie hanno fatto registrare una flessione (rispettivamente, pari al -2% ed al -5%), a fronte di un aumento dei cd. “attori non meglio identificati”, che si sono attestati al 36% delle incursioni cyber. Elevato si è mantenuto, infatti, il numero complessivo di eventi per i quali non è stato possibile disporre di elementi univoci in termini di attribuzione e che, pertanto, sono stati inseriti sotto tale categoria. In merito, poi, ai gruppi islamisti, il 2017, a differenza degli anni precedenti, non ha fatto registrate in direzione di target italiani azioni così significative da essere prese in considerazione in questa analisi.

DOCUMENTO DI SICUREZZA NAZIONALE

Quanto ai dati in base ai target è diminuito in maniera rilevante – per la prima volta dal 2015, anno a partire dal quale sono state redatte serie statistiche sulle minacce cyber – il divario tra le azioni perpetrate nei confronti di soggetti pubblici, che hanno continuato a costituire la maggioranza con il 56%, e quelle in direzione di soggetti privati, che hanno raggiunto il 44%, registrando un aumento di 17 punti percentuali. Sintomo, questo, di una sempre maggiore consapevolezza dei rischi cyber e del conseguente aumento delle capacità di rilevazione e di un maggiore information-sharing. Nell’anno di riferimento, inoltre, è venuto meno il dato relativo ai target non meglio identificati o diffusi, a dimostrazione del fatto che le campagne cyber sono state condotte contro obiettivi specifici, anziché in direzione di numeri generalizzati e indistinti di obiettivi. Esplodendo, poi, i dati relativi ai soggetti pubblici, si coglie un elemento di novità rispetto agli anni pregressi. Infatti, pur continuando a rilevarsi una netta predominanza delle Amministrazioni centrali (70% degli attacchi cyber verso soggetti pubblici) rispetto agli Enti locali (30%), questi ultimi hanno fatto registrare un aumento di 17 punti percentuali rispetto al 2016. È rimasta invece immutata la differente tipologia di azioni di cui le richiamate categorie sono state vittime, anche in ragione del diverso grado di sensibilità delle informazioni da esse detenute; per tale motivo, le Pubbliche Amministrazioni Centrali-PAC, hanno continuato ad essere target privilegiato di attacchi di cyber-spionaggio, mentre le Pubbliche Amministrazioni Locali-PAL sono state perlopiù interessate da campagne di attivismo digitale. Quanto ai soggetti privati, il grafico mostra un chiaro incremento degli incidenti registrati da quasi tutti i principali settori, ad eccezione di quello bancario (-11%). È stato rilevato un notevole incremento di eventi che hanno interessato l’industria farmaceutica (+10% rispetto al 2016), obiettivo della campagna “OpSafePharma”, di matrice hacktivista. Seguono gli operatori energetici (+4%) e della difesa (+1%).

Altro aspetto da evidenziare è il ritorno di attacchi contro i settori delle telecomunicazioni (20%) e dei trasporti (6%) e quelli contro una “new entry”, rappresentata dalla grande distribuzione organizzata-GDO (3%). Sotto la voce “altri settori” (35%) sono state ricomprese aziende diversificate che non assumono, singolarmente considerate, rilevanza sotto il profilo strategico.

Con riguardo, infine, alle tipologie di attacco, rispetto al 2016 la diffusione di software malevolo (malware, v. Glossario) ha conosciuto un incremento di 19 punti percentuali, attestandosi al 30% degli eventi registrati, benché vi sia stato un sostanziale allineamento con l’SQL Injection (28% del totale; stabile rispetto all’anno precedente). In aumento sono risultate anche le attività prodromiche ad un attacco (25% degli attacchi cyber, +2% se confrontato col dato 2016), mentre in diminuzione sono i Web-defacement (-8%, v. Glossario) ed i Distributed Denial of Service (-9%). Il ricorso al phishing (v. Glossario) per finalità di truffa (2%) ha interessato in particolare operatori privati di rilevanza strategica, target, questi ultimi, di campagne che, attraverso tecniche di social engineering (v. Glossario), hanno interessato account email di personale operante nel settore Finance. L’obiettivo è stato quello di ottenere il pagamento di fatture false e/o altri benefici di natura economica, ingannando il destinatario mediante spoofing (v. Glossario) del mittente. TREND EVOLUTIVI Il cyber spazio è divenuto, nel tempo, terreno di confronto, se non addirittura di scontro geo-politico tra gli Stati. La disciplina dell’ecosistema che ruota intorno al concetto di “digitale” continua ad essere oggetto di ampio dibattito nei principali consessi internazionali dai quali emerge, in maniera “corale”, la necessità di un richiamo al senso di responsabilità degli Stati nello spazio cibernetico, atto ad evitare l’adozione di condotte suscettibili di sfociare in tensioni e conflittualità.

Al fine di scongiurare tale eventualità, una vasta gamma di strumenti – da quelli diplomatici a quelli più prettamente economici – è a disposizione della comunità internazionale, che si è dotata di appositi toolbox, come quello relativo alla “cyber diplomacy” approvato dall’UE nel mese di ottobre. L’adozione di tali misure costituisce una significativa presa d’atto dell’esigenza di intervenire nei confronti degli attori statuali ostili – ferme restando le difficoltà della definizione univoca dell’attribuzione degli attacchi – anche laddove gli stessi agiscano mediante l’impiego di proxy o secondo modalità tipiche della criminalità informatica e dell’hacktivismo. In prospettiva, si ritiene possibile un aumento del ricorso, da parte di attori statuali, a modalità operative di offuscamento, anche per conseguire profitti volti a finanziare lo sviluppo di attività sanzionate dalla comunità internazionale. Al contempo, appare ragionevole ipotizzare la crescita del trend delle minacce ibride. L’impiego di tali strumenti, pur non essendo un fenomeno nuovo, costituisce una realtà sempre più perniciosa, sofisticata e di difficile rilevazione. Gli attacchi di natura ibrida hanno infatti reso più labile la linea di demarcazione tra situazioni caratterizzate da assenza di ostilità e forme di conflittualità diffusa tra gli Stati. In questo, lo strumento cibernetico è destinato a divenire sempre di più un agevolatore di attività di influenza, realizzate attraverso la manipolazione e la diffusione mirata di informazioni preventivamente acquisite attraverso manovre intrusive nel cyber-spazio, così da orientare le opinioni pubbliche, fomentare le tensioni socio-economiche, accrescere l’instabilità politica dei Paesi dell’area occidentale, all’atto dell’adozione di decisioni strategiche, ritenute dall’attore ostile sfavorevoli ai propri interessi.

Estratto della “RELAZIONE SULLA POLITICA DELL’INFORMAZIONE PER LA SICUREZZA”  – Presidenza del Consiglio dei Ministri

Valutazione Media
Last Reviewer
Reviewed Item
Stato della minaccia cibernetica in Italia e possibile evoluzioni
Rating
51star1star1star1star1star
Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer
Rocco Balzamà