Italia incompetente in cybersecurity: ecco il problema che tutti trascurano | Agenda Digitale

l'analisi

Italia incompetente in cybersecurity: ecco il problema che tutti trascurano

Esclusi alcuni settori d’eccellenza, la cultura informatica trova molte difficoltà a far breccia nella lista di priorità delle nostre classi dirigenti, spesso reticenti al cambiamento. Eppure, la cyber security è un ambito strategico che necessita di competenze. E anche il Gdpr può essere un’arma a doppio taglio. Il punto

26 Nov 2020
Danilo Bruschi

Professore ordinario, Dipartimento di Informatica Giovanni degli Antoni

In un futuro non molto lontano dovremo incominciare a occuparci anche di pandemie cibernetiche, nel vero senso del termine. Eppure, anche se nella cyber security il gioco si sta facendo sempre più duro, non si scorgono ancora persone in grado di affrontare il problema al fine di contenerne i danni. Non che queste persone non ci siano in assoluto, semplicemente non si trovano nei posti chiave.

Nel seguito, quindi, riporto alcune considerazioni che considero rilevanti per lo sviluppo della disciplina della cyber security, soffermandomi anche sui recenti sviluppi nazionali.

La cyber security nella società post-privacy

La cybersecurity ha bisogno di commitment della governance e di “tecnici” estremamente competenti. Storicamente il primo punto è sempre stato il tallone d’Achille di questa disciplina, a fronte di una comunità tecnico-scientifica che allertava continuamente sugli “effetti indesiderati” che l’adozione indiscriminata delle tecnologie digitali avrebbe comportato. Governanti (ad eccezione di alcune nazioni), amministratori delegati, responsabili dei sistemi informativi, tutti coloro che avevano e hanno un qualche potere decisionale in merito alla disciplina hanno fatto finta di non vedere, o forse non vedevano proprio.

WHITEPAPER
Quali sono stati i casi di cybercrime più aggressivi degli ultimi anni? Scoprilo nel white paper
Cybersecurity

Siamo così arrivati alla società della sorveglianza, l’effetto più evidente e macroscopico dell’insicurezza dei sistemi informatici, in particolare della loro incapacità di proteggere adeguatamente le informazioni acquisite/trattate. Se procediamo di questo passo, non è difficile prevedere il futuro: già in alcuni contesti si parla di società post-privacy.

Restando all’oggi, il tema della cybersecurity anche grazie all’eco suscitato da alcuni attacchi particolarmente significativi (Stuxnet, WannaCry, NotPetya, Mirai per citarne alcuni) ha attirato l’attenzione dei media anche non specialistici e si è creato un certo rumore di fondo: sono apparsi un po’ ovunque specialisti o meglio “guru” della materia che nessuno aveva mai sentito sino al giorno prima, ma poco è cambiato nella sostanza.

Si continuano ad immettere sul mercato dispositivi e applicazioni “bacate” spinti dal “rush to market”, si ignora l’applicazione delle più elementari norme di sicurezza informatica (fa eccezione il discorso della security by law che affronteremo tra poco), i governi e gli enti sovranazionali per ora stanno a guardare.

Eppure stiamo parlando di un fenomeno che il World Economic Forum nel suo rapporto annuale “The Global Risks Report 2020” annovera tra i dieci rischi più pericolosi per il pianeta, alla stregua dei disastri naturali e della perdita di biodiversità. Va inoltre osservato che se sino a qualche anno fa potevamo consolarci con il fatto che comunque un attacco informatico non avrebbe messo a repentaglio vite umane, ma solo dati e servizi, oggi non è più così. L’adozione di IoT in campo medicale spesso controllati remotamente, ha aperto da diversi anni la strada ad attacchi che possono mettere a repentaglio vite umane, e com’era prevedibile anche il ransomware incomincia a fare la sua parte. Quindi.

Cyber security, le tendenze in atto

Di fronte a questo clima da chiamata alle armi i dati sono sconfortanti. In particolare, vorrei soffermarmi ad analizzare le seguenti tendenze che chiunque può estrapolare dai principali report che ogni anno istituzioni di varia natura e società del settore ci sottopongono:

  • I “dati negativi” sono inesorabilmente in crescita: il numero di compromissioni, il numero di vulnerabilità, il numero di nuovi malware, il numero di data breach, il costo medio di un recovery ecc. ecc. Tutto questo nonostante siano oramai reperibili sul mercato antidoti di varia natura (tecnica e organizzativa) per contenere il fenomeno. Questi “antidoti” per essere efficaci richiedono però personale competente per poter essere gestiti e soprattutto vanno acquistati e opportunamente contestualizzati.
  • Tecnicamente parlando la maggior parte degli attacchi rilevati non richiedono skill particolari: nella stragrande maggioranza sono attacchi di ingegneria sociale informatizzata, mirati ad estorcere agli utenti qualche informazione confidenziale (password, n.ro carta di credito, dati personali, ecc.) da utilizzare poi in attacchi di impersonificazione oppure attacchi generati automaticamente.
  • Una percentuale significativa degli attacchi (su questo valore le diverse fonti sono molto discordi, ma direi che tutte concordano su un valore superiore al 50%) è generata da comportamenti non corretti di utenti finali.

I punti uno e tre letti insieme ci dicono una cosa ben precisa, molti degli attacchi rilevati in rete potrebbero già oggi essere evitati. Il punto due ci dice invece che il livello medio degli antagonisti non è particolarmente elevato. Sono disponibili oggi diverse piattaforme che automaticamente confezionano attacchi e quindi consentono anche a persone non particolarmente skillate di “poter fare l’hacker”, di fatto la stragrande maggioranza delle persone che oggi si professano tali.

L’importanza delle competenze giuste ai posti giusti

In questo contesto, se nei gangli decisionali avessimo i cosiddetti “duri”, che capiscono il problema ed avviano i processi di cambiamento necessari all’introduzione delle adeguate contromisure tecnico-organizzative di sicurezza informatica oggi il problema cybersecurity probabilmente non sarebbe nella lista del WEF. Che buona parte della responsabilità della situazione sia da ricercare in una governance del fenomeno poco adeguata alla situazione lo testimoniano anche le risultanze del recente rapporto “Secrets of successful change implementation” da cui emerge che il commitment del management di un’organizzazione pesa al 67% sul successo dell’introduzione di “cambiamenti” all’interno dell’organizzazione stessa.

Nonostante svariati programmi di aggiornamento e certificazione sul tema della cybersecurity sono ancora troppe le persone che occupano posizioni decisionali di prestigio che ignorano o sottovalutano il rischio informatico e in fase di stesura del budget, quando necessario, non ci pensano due volte a decurtare gli investimenti in cybersecurity. A loro discolpa, possiamo dire che il fenomeno non è di immediata comprensione, e non basta leggere qualche articolo o qualche libro per farsene un’idea.

L’approccio “Cybersecurity by Law” del Gdpr

La situazione appena descritta doveva essere ben nota agli estensori del GDPR che per evitare che la loro direttiva rimanesse solo un’elencazione di sani principi hanno optato per l’approccio “Cybersecurity by Law” obbligando, pena multe da capogiro, le organizzazioni (non solo europee) a prendere un po’ più in seria considerazione il problema della protezione delle loro infrastrutture informatiche anche se principalmente in relazione alla protezione dei dati.

Il meccanismo ha funzionato. Il rumore di fondo a cui accennavo sopra è in gran parte provocato dalla rincorsa alla compliance da parte di tutte le realtà produttive, che stanno cercando di adottare con il minimo sforzo quelle “misure di sicurezza adeguate” che gli consentano di evitare sanzioni da parte dell’autorità Garante. Ma questo non è fare sicurezza. L’approccio “security by law” di fatto è un’arma a doppio taglio. Se da una parte contribuisce a “far parlare” e promuovere la disciplina e indubbiamente smuovere il mercato, dall’altra contribuisce a diffondere un falso senso di sicurezza. Il rischio è che terminato il processo di compliance i diversi enti coinvolti siano convinti di avere risolto una volta per tutte il problema della cybersecurity: c’è, insomma, ancora molta confusione sul rapporto security – compliance.

La compliance è solo l’inizio del cammino

È però necessario che qualcuno prima o poi abbia il coraggio di dire a chi ha appena terminato un percorso di compliance, spesso abbastanza faticoso ed oneroso, che questo è solo l’inizio del cammino, che il sistema che gli è appena “stato certificato” potrebbe essere “bucato” di lì a qualche minuto, che leggi, regolamenti, policy, linee guida, sono tutti documenti utili a prevenire, ma quando il nemico bussa alla porta il suo patrimonio informativo e di conoscenza può essere protetto solo da miliardi di bit opportunamente configurati da persone competenti, e non è sempre detto che questo basti. Quando riusciremo a far passare anche questo messaggio allora potremo dire che la compliance è propedeutica alla security e forse il rumore di fondo si trasformerà in qualcosa di più concreto.

Cyber security, lo stato dell’arte in Italia

Vorrei dedicare le ultime considerazioni al nostro paese. All’incirca una quindicina di anni fa, in qualità di Presidente del CLUSIT, scrissi una lettera aperta all’allora Presidente del Consiglio Silvio Berlusconi per sottolineargli, tra le altre cose, l’urgenza di inserire nell’agenda di governo il tema della Sicurezza Informatica (la notizia non aveva avuto particolare enfasi, allora la Cybersecurity non interessava quasi a nessuno). La risposta non fu negativa, anzi, venne costituito il Comitato Tecnico Nazionale per la Sicurezza Informatica per la Pubblica Amministrazione, con lo scopo di fare una ricognizione sul tema nell’ambito della PA centrale, era la prima volta che una simile esperienza veniva intrapresa. Terminata quell’esperienza di governo il tema ha incominciato a vagare tra i meandri di alcuni ministeri e dei dipartimenti della presidenza del consiglio, per approdare poi all’AGID e riaffiorare con questo governo alla Presidenza del Consiglio.

Per analizzare sommariamente la situazione nel nostro paese partiamo da un numero, il Digital Economy and Society Index (DESI) che per l’Italia è pari a 43,9 e che ci posiziona al 24° posto nella graduatoria dei Paesi UE, davanti solo a Polonia, Grecia, Romania e Bulgaria. Verrebbe quindi da dire che il nostro paese ha un problema più serio della sicurezza informatica: l’informatica, e le performance dei famigerati “click day” che ci sono sempre più frequentemente propinati dai nostri governanti, o lo stato della rete emerso nel corso della pandemia ci fanno capire che è proprio così.

Conclusioni

Fatta l’eccezione per alcuni settori strategici e d’eccellenza, siamo un paese proteso a terminare la propria rivoluzione digitale, la cultura informatica ha trovato e sta trovando molte difficoltà ad ibridarsi con la cultura umanistica che caratterizza da sempre le nostre classi dirigenti e che i dati ci dicono, sta dimostrando una certa resistenza a questo processo. Si tratta quindi di un processo complesso che richiede un salto culturale non banale, potrebbe essere accelerato dai vertici della piramide, ma credo che il problema di fondo stia proprio lì. Stante questa situazione non credo ci sia da stupirsi se, al di là dei proclami, la cybersecurity non trova ancora nel nostro paese un terreno particolarmente fertile.

Per contro, sul fronte politico in questi ultimi due anni abbiamo assistito ad uno scatto d’orgoglio e sono state approntate due iniziative particolarmente significative: il Perimetro di sicurezza nazionale cibernetica, un sistema di controllo delle infrastrutture critiche che dovrebbe essere operativo per la primavera del 2021 e il tentativo di fare l’Istituto Italiano di Cybersicurezza. Entrambe le iniziative vedono il pieno coinvolgimento dell’intelligence.

Per questioni di brevità introduco solo alcune riflessioni sull’istituto, che com’è noto è stato per ora stralciato dalla Legge di Bilancio 2021 ma potrebbe tornare in un maxi-emendamento o in una riforma più complessiva della legge sull’intelligence 124/2007.

Una prima osservazione, se trovo naturale il coinvolgimento dell’Intelligence nella definizione del Perimetro di sicurezza nazionale, trovo alquanto “strano” il coinvolgimento dell’intelligence in un istituto che avrà come scopo principale: “Promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica”.

Il perché è presto detto. Universalmente l’intelligence è sempre stata annoverata tra le forze che hanno cercato in tutti i modi di opporsi al diffondersi di strumenti di sicurezza dei sistemi informatici. Le ragioni credo siano più che ovvie. A tal proposito richiamo il caso del già citato EternalBlue un buffer overflow (in realtà molto di più) individuato dalla NSA nei sistemi Windows, tenuto nascosto e molto probabilmente utilizzato come zero-day per più di un anno all’insaputa di tutta la comunità. Una volta trafugato EternalBlue ha causato ingenti danni ad aziende pubbliche e private.

Vedo difficile che organizzazioni e/o istituzioni private soprattutto se partecipate da partner stranieri possano in qualche modo interagire liberamente con un istituto in cui l’intelligence gioca un ruolo preminente.

Dopodiché ribadisco l’Italia soffre di una carenza di competenze non trascurabile nel settore della cybersecurity, siccome un’istituzione come quelle delineata funziona solo se ci saranno le persone giuste al posto giusto e sappiamo bene come nel nostro paese ancora molto legato alle clientele e la nepotismo questi non sia un requisito da poco, vedo la strada in salita. Va inoltre detto che si tratta di competenze che sul mercato hanno una certa quotazione e che in questo contesto il pubblico difficilmente riesce a competere con il privato.

Personalmente avrei optato per un approccio più graduale e distribuito. Avrei favorito la nascita o il sostegno di centri di competenza nel paese, a partire dalle Università e le poche realtà che fanno ricerca nel settore, per poi eventualmente accentrare le menti migliori nell’istituto.

In conclusione, gli effetti deleteri della cybersecurity possono essere calmierati ed il fenomeno può essere tenuto sotto controllo ma per questo abbiamo bisogno di persone competenti e capaci che sappiano avviare e controllare i giusti processi. Le competenze seppur molto scarse non mancano ma non hanno la giusta visibilità. In questa fase storica la componente antagonista sembra in difficoltà, gli exploit più significativi degli ultimi dieci anni arrivano dal mondo dell’intelligence (Stuxnet e EternalBlue) e della ricerca (Row Hammer, Meltdown e Spectre).

Va quindi sfruttata questa fase per equilibrare in parte l’asimmetria che da sempre caratterizza il settore. La classe dirigente e non solo politica può e deve giocare un ruolo fondamentale in questo gioco, il problema è che l’incompetenza spesso parte da lì.

Riforma della legge sull’intelligence, il PD accelera: ecco le parti in campo

@RIPRODUZIONE RISERVATA

Articolo 1 di 3