Se volessimo separare il cyberspace nei due grandi domini, quello civile e quello militare, negli ultimi due anni si è raggiunto il massimo dell’attenzione su entrambi: le ormai comprovate influenze che i commando cibernetici russi hanno avuto nelle elezioni Usa testimoniano una cyberwar in atto, combattuta su più fronti. I leak sofferti dalle agenzie di intelligence, testimoniano come la lotta al terrorismo e la cyberwar finiscono sempre per avere dei risvolti negativi nell’ambito civile, con centinaia di vulnerabilità, ed exploit per usarle, trovate e create dalle agenzie governative, che in un modo o nell’altro finiscono per danneggiare cittadini e imprese.
Sono tali exploit che hanno permesso gli attacchi massivi dei recenti ransomware e chissà in quali altri modi meno “visibili” sono stati utilizzati da criminali.
Già, perché una volta che la vulnerabilità è stata trovata e l’exploit è stato creato e reso (involontariamente) disponibile, fare un ransomware è la cosa più “rilevabile” possibile: la vittima se ne accorge subito. Creare qualcosa che, invece di criptare, i dati sensibili li invia a terzi è molto più semplice e molto più difficilmente rilevabile. Basti pensare che vulnerabilità ed exploit nei recenti casi sono diventati famosi proprio perché veicolo di ransomware, ma è da tempo che esistevano e venivano sfruttati (e da chi?) non certo per criptare dati.
Gli exploit sono armi utilizzate nella cyberwar, che però con facilità finiscono nel dominio civile e sono utilizzate da persone senza la preparazione necessaria per farlo. Se i criminali sono armati con strumenti complessi i civili devono difendersi.
Wannacry ci ha dato un esempio della potenza di tiro e capacità di permeazione che un worm può avere in un mondo in cui gli aggiornamenti di sistema sono percepiti come un fastidio ai più. Il “worm” si installa senza che gli utenti facciano nulla, a volte il numero di computer infetti cresce esponenzialmente nel tempo. I cybercriminali sono in possesso di armi di distruzione (di device) di massa. Siamo al punto di non ritorno.
Bisogna agire subito per salvaguardare la privacy dei nostri dati, la continuità del servizio delle nostre aziende e le loro proprietà intellettuali, i nostri interessi nazionali.
Il biennio 2017/2018 sarà realmente quello della svolta. Una svolta inevitabile che avrà sicuramente degli effetti, trainata da diversi fattori: l’Italia si è mossa con il nuovo DPCM e la nuova strategia, estremamente diversa da quella precedente, già pronta alla nuova NIS; le misure minime AgID vanno implementate entro l’anno; il nuovo piano triennale per l’informatica (2017-2019; il nuovo codice della privacy europeo, noto come GDPR, maggio 2018, proprio come la nuova NIS.
Nel giro di un paio d’anni infatti questi fattori contribuiranno a spingere consapevolezza, tecnica, sicurezza dei dispositivi, nonché cooperazione a livello nazionale e internazionale. Vediamo perché.
La nuova strategia nazionale e il nuovo DPCM riconoscono il DIS come figura centrale a livello nazionale sia per quanto riguarda la gestione degli incidenti che per quanto riguarda l’interazione con le altre nazioni. Sposta il Nucleo per la Sicurezza Cibernetica dall’Ufficio del Consigliere Militare al DIS e definisce una nuova figura per il suo coordinamento, un vice-direttore del DIS appositamente definito, ad oggi in attesa di nomina. Il fatto che si sia pensato a un vice-direttore specifico mette in chiara luce l’intensione di far cambiare marcia al paese.
Alleggerisce e rende di conseguenza più reattiva l’intera architettura ed agisce sulla sicurezza dei prodotti istituendo un nuovo “centro di valutazione e certificazione nazionale”. Cosa farà questo centro non è ancora noto, ma immaginiamo che, se si seguirà l’esempio di Francia e Germania, si creerà una certificazione light per i prodotti connessi, in modo che un minimo di pratiche di sicurezza siano necessarie per essere dispiegati in ambienti sensibili e, probabilmente, nelle reti delle pubbliche amministrazioni. Tutto questo spinto anche dalla nuova strategia nazionale che stavolta ha un “Piano d’Azione” che, tra le altre cose, istituisce un Centro nazionale di ricerca e sviluppo in cybersecurity, un Centro nazionale di crittografia, un Fondo di venture capital.
Le misure minime AgID hanno avuto una gestazione non facile, ma oramai sono state pubblicate in gazzetta ufficiale. Coprono praticamente tutti i principali temi, già al livello base sono abbastanza impegnative e offrono il mapping con il Framework Nazionale per la Cybersecurity, strumento pubblicato dal Laboratorio Nazionale del CINI, e con il COBIT, per agevolare l’adozione da parte delle PA. Entro dicembre ogni pubblica amministrazione dovrà intanto adottarle, poi documentare come le ha adottate tramite un apposito modulo. Il modulo, da firmare digitalmente, applicando una marca temporale, descrive in dettaglio cosa quel dipartimento/sede/amministrazione sta facendo almeno per quanto riguarda il livello base (dei tre). Le grandi pubbliche amministrazioni ne dovranno fare diversi di questi documenti, con la granularità che si riterrà più opportuna. Tale documento (e questa è la funzione principale) servirà a ricevere supporto da parte del CERT-PA nel contenimento e la mitigazione di incidenti di una certa gravità. Non ci sono sanzioni previste per i non virtuosi, AgID non è un organo sanzionatorio, ma siamo certi che l’intero processo darà una bella spinta alla preparazione nazionale, soprattutto se si pensano le misure affiancate alle azioni previste dal punto 8, dedito alla sicurezza, del nuovo Piano triennale per l’informatica nella PA.
La GDPR (General Data Protection Regulation- Regolamento UE 2016/679) ultimamente desta molto interesse. Nell’ultimo anno non c’è stato convegno che non ne abbia parlato. Il motivo è semplice, è un regolamento non una direttiva, cioè ha portata generale, è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri. Uno di questi elementi prevede aspre sanzioni, e questo causa interesse. Spingerà il settore pubblico e quello privato aggiornando le pratiche di sicurezza di chi tratta dati personali. Ma chi non li tratta ad oggi? Noi eravamo fermi a più di una decade fa con il nostro codice della privacy. Con questo le persone che forniscono i propri dati saranno meglio informate su come saranno trattati (anche se questo richiedere leggere le informative, pratica assai rara, ma questa volta ci saranno anche “icone” di facile comprensione uguali per tutta l’UE), avranno il diritto all’oblio e alla portabilità e, più importante per quanto concerne la cybersecurity, il diritto di notifica in caso di data leak. Si dovrà nominare un Data Protection Officer, che sarà responsabile della protezione dei dati e che per le organizzazioni con più di 250 dipendenti sarà in carico di informare i dipendenti sugli obblighi, di far effettuare adeguata formazione, di monitorare i processi di compliance al regolamento. Ma soprattutto, si passerà da vecchi approcci basati su checklist a processi di sicurezza basati sul rischio. “Privacy by design” è l’espressione che meglio calza la GDPR.
La NIS gioca un ruolo in termini di consapevolezza e preparazione per gli “operatori di servizi essenziali”, di fatto le infrastrutture critiche, e spinge la cooperazione nazionale e internazionale mediante la rete di CSIRT, qualcosa di molto simile ai CERT, in via di definizione. Chiamerà probabilmente in gioco i nostri CERT (i quali sono già in “progressiva unificazione” in accordo al Piano Nazionale) a fungere da accentratori delle informazioni di sicurezza e ad agevolare l’information sharing internazionale, ma soprattutto impone che uno di questi sia un punto di contatto unico a livello nazionale, incaricato di trasmettere notifiche di incidenti agli altri stati. Ancora non è chiaro se il CERT Nazionale presso il Ministero dello Sviluppo Economico sarà eletto a questo ruolo, non è escluso che, data la nuova potenza data al DIS, il CSIRT nazionale possa essere installato in seno all’intelligence. Gli operatori e i fornitori di servizi digitali saranno obbligati a notificare incidenti di sicurezza: la NIS di fatto forza i paesi membri dell’UE sia alla cooperazione che a mettere in atto misure interne. Ovvio che essendo una directive e non una regulation come nel caso della GDPR, bisogna aspettare di vedere come il nostro Paese la recepirà tramite apposite norme, ma è certo che l’obbligo di notifica degli incidenti darà una bella spinta all’intero sistema.
Università e Ricerca sono in fase di mutazione anch’essi: il Laboratorio Nazionale di Cybersecurity del CINI, unico nel suo genere, mette a fattor comune competenze di cybersecurity cross-settoriali con una copertura totale del territorio nazionale. Sempre il CINI recentemente ha stipulato un accordo con il CNR fondando il Comitato Nazionale per la Ricerca in Cybersecurity. Di fatto si ha un referente unico in termini di ricerca e competenze ai massimi livelli. Si prevede l’aggiornamento del Libro Bianco sulla Cybersecurity che definirà una serie di linee d’azione sotto forma di proposte progettuali, poi implementabili, come già in atto su alcuni tavoli, da cordate composte da aziende e università. Si spinge inoltre sul talent scouting con iniziative come la cyberchallenge.it, l’avvio di corsi di laurea in cybersecurity, l’organizzazione di conferenze italiane come ITASEC, svoltasi a Venezia a gennaio nella sua prima edizione e in fase di organizzazione nella sua seconda prevista per il 6-8 febbraio 2018 a Milano.
Si ha quindi un panorama profondamente mutato e dinamico, proprio come la minaccia cyber, spinto da più motori in diverse direzioni, ma comunque verso il futuro. L’Italia sta, se pur con i suoi ritardi, premendo sull’acceleratore e si prevedono cambiamenti. Solo il tempo potrà dirci se queste azioni, avviate con persistente penuria di finanziamenti pubblici, saranno sufficienti. Di sicuro i tempi sono cambiati rispetto a qualche anno fa e l’inerzia, la stasi, è sicuramente quello che si deve evitare in questo contesto.
I fattori di accelerazione presentati sicuramente avranno un effetto su aziende pubbliche e private, ma queste rappresentano una porzione della torta: ben poco potranno per i comuni cittadini, utilizzatori di tecnologia domestica. Su quello solo un programma educativo efficiente potrà qualcosa per i giovanissimi in età scolastica. Per tutti gli altri cittadini è il momento che gli strumenti di comunicazione avviino campagne di sensibilizzazione. La formazione è dunque l’unico modo per proteggersi in ambito domestico e non è facile se fatta in autonomia.
