Le cronache degli ultimi mesi e i recenti episodi di cyber spionaggio hanno riportato alla ribalta le tematiche legate alla sicurezza nazionale e alla protezione delle reti. Le polemiche sui presunti tentativi russi di influenzare l’elezione presidenziale Usa nel 2016 e le inchieste come Eye Pyramid sono solo gli ultimi casi, i più eclatanti, di continue offensive che evidenziano ancora una volta la stringente necessità di incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici.

Non basta mettere in campo sempre nuove metodologie, tecniche e strumenti per proteggere dagli attacchi informatici le infrastrutture critiche nazionali e le aziende del Paese. Occorre intervenire in primo luogo su conoscenza e competenza, per evitare che alla base di danni spesso irreparabili ci siano imperdonabili leggerezze.

Abbiamo chiesto a Matteo Flora, Fondatore di The Fool ed esperto di sicurezza informatica, di fare il punto sull’attuale evoluzione delle minacce informatiche.

In che modo stanno evolvendo le minacce, sia da un punto di vista qualitativo che quantitativo?

Occorre innanzitutto distinguere fra scenari molto diversi a cui riferirsi e possiamo delineare due tipologie principali: in una prima categoria possiamo inserire quegli attacchi a bassissimo livello tecnologico che sono però in grado di scatenare forti impatti o in termini di danni subiti o di dati trafugati (in questo perimetro vanno inseriti i vari Cryptolocker, ovvero quella famiglia di virus che crittografa i file presenti in un computer rendendoli illeggibili. L’obiettivo è quello di chiedere un riscatto per ottenere un decrittatore in grado di recuperare i file danneggiati.). Non si tratta di APT (Advanced Persistent Threat, una tipologia di attacchi mirati e persistenti, una delle forme più sofisticate di minaccia che si configura in una vera e propria strategia di attacco multilivello e multicanale), né di sistemi evoluti in grado di sfruttare falle di sistemi operativi, e/o di vari applicativi. Gli attacchi che appartengono a questa categoria non fanno altro che sfruttare l’analfabetismo digitale e la mancanza di misure minime di sicurezza. In buona sostanza si limitano a sfruttare la mancanza di competenza e di educazione tecnologica di base.

Diverso è il caso degli State Sponsored Attacks, a cui afferiscono ad esempio gli attacchi alla Fondazione Clinton, in cui invece il livello tecnologico è altissimo. Spesso attacchi di questo tipo rimangono sottotraccia per anni  (si pensi ad esempio al caso di Equation Group, un gruppo vicino al Nsa – National Security Agency – l’organismo governativo degli Stati Uniti che, insieme a CIA e FBI, si occupa della sicurezza nazionale interna) e difendersi da attacchi di questo tipo è estremamente complicato.

I due scenari possono ovviamente coesistere.

A che punto siamo? Non siamo agli albori, ma siamo ancora ben lontani da un livello accettabile di sicurezza. Siamo a metà fra il paleolitico e il neolitico, nell’età del rame ma ancora ad ere geologiche distanti dall’acciaio. Parlando di standard medio del mercato, e accantonando gli esempi virtuosi che ovviamente non mancano, possiamo dire che solo un terzo del settore della sicurezza può essere considerato accettabile. Manca il senso del pericolo, quello che nelle mie conferenze chiamo “percezione del baratro”. Aspetto che, se pensiamo anche alla tematica del Byod, bring your own device, ovvero al fatto che gli utenti utilizzano i propri dispositivi sia per la sfera lavorativa che per quella privata, assume una valenza ancora più significativa.

In che modo funzionano le attività di contrasto?

Spesso non è possibile bloccare l’attacco in corso ma è assolutamente possibile invece fare in modo che questo attacco venga individuato mentre sta funzionando. Un po’ come succede con i vari cryptolocker. Esiste una vasta categoria di prodotti per contrastare i cryptolocker che si sono rivelati molto utili per contrastare determinati tipi di fenomeni.

I reati contestati nell’inchiesta Eye Pyramid sono quelli di ‘accesso abusivo a sistema informatico’, ‘intercettazione illecita di comunicazioni informatiche’ e ‘procacciamento di notizie concernenti la sicurezza di Stato’ oltre alla mancata adozione delle misure minime di sicurezza da parte dei provider di servizi.

L’attuale impianto regolatorio è adeguato per affrontare situazioni come questa?

La normativa non manca, a parte alcuni casi dubbi, (le applicazioni del 615 ter e tutta la parte del codice degli accessi abusivi). A parte qualche situazione un po’ dubbia che può essere oggetto di discussione, nella realtà non mancano gli strumenti, manca forse un po’ la velocità.

E dal punto di vista delle risorse?

Le risorse che il security manager mette in campo per la security sono purtroppo ancora minime. Nonostante ci sia un livello di competenza estremamente elevato su quelle che sono le dinamiche della security, nonostante possiamo vantare una storia di hacker estremamente radiosa e siano presenti italiani illustri in posizioni di vertice in aziende di sicurezza in grandi organizzazioni in giro per il mondo, manca ancora un livello di percezione adeguato.

Senza considerare che l’insicurezza di una realtà – per effetto domino – può inficiarne decine di altre. Ne è un esempio proprio la vicenda Eye Pyramid dal momento che la mancanza endemica di sicurezza degli studi professionali ha fatto sì che diventassero il ponte ideale per infettare tante altre realtà.

Di fatto non vengono investite risorse sufficienti e soprattutto mai prima di aver subito un danno.

In una recente intervista rilasciata a Crescita Digitale, l’On. Palmieri ha nuovamente sottolineato l’importanza degli investimenti in cyber security ricordando la sua interrogazione parlamentare sull’utilizzo dei 150 milioni stanziati (15 sono destinati al rafforzamento del Servizio della Polizia postale e delle comunicazioni, e 135 milioni coperti da segreto).

Sono sufficienti le risorse destinate agli investimenti in cybersecurity e compliance privacy?

Mancano persone e mancano strumenti. Gli strumenti per eseguire velocemente lavori di acquisizione e contrasto sono estremamente costosi. Il nostro laboratorio interno, per fare un esempio, utilizza computer da 300 euro per fare acquisizioni in 36 ore mentre se occorre fare acquisizioni in un’ora usiamo strumentazioni da migliaia di euro.

Accanto a questo aspetto c’è un problema di profili e della loro corretta valorizzazione.

Clicca qui per saperne di più su Eye Pyramid

Chi è Matteo Flora

Esperto in Digital Reputation e Computer Forensics, con un forte background in Sicurezza Informativa, è CEO di The Fool, la Digital Reputation Company italiana. Ha partecipato all’IVLP2012, che seleziona personaggi nel mondo che possono portare maggiore consapevolezza e cooperazione tra gli Stati Uniti e l’Italia, co-fondatore del Centro Hermes e Professore a Contratto in “Open Source Intelligence”.