sicurezza nazionale

Attacco alla Pec, la lezione da trarre per proteggere meglio le nostre infrastrutture critiche

L’attacco recente a 500 mila caselle Pec evidenzia l’importanza della condivisione degli incidenti e della tempestività dell’azione per difendere il perimetro nazionale. Vediamo cosa ha funzionato e cosa no, e dove intervenire per fronteggiare al meglio gli incidenti. Ma Dis e PolPost hanno agito con efficacia

30 Nov 2018
Paolino Madotto

manager esperto di innovazione, blogger e autore del podcast Radio Innovazione

Il recente attacco “hacker” alle pec ha riproposto l’importanza e l’urgenza di proteggere in maniera adeguata le informazioni del cyberspazio e ha messo in luce alcune criticità del sistema su cui è opportuno riflettere. Se, infatti, il sistema nazionale coordinato da NSC ha saputo rispondere prontamente e in modo adeguato, tuttavia emerge la necessità di sollecitare ogni organizzazione del Paese a mettere in atto le misure adeguate ad aumentare il grado di sicurezza sia in termini tecnologici ma soprattutto in termini di procedure e condivisione delle informazioni nelle sedi opportune.

Vittime e reazioni

Ricordiamo che sono state 500 mila caselle Pec, di cui circa 98000 della PA centrale. Le vittime dell’attacco sono state principalmente organizzazioni facenti capo al Comitato Interministeriale per la Sicurezza della Repubblica (CISR), ovvero: Presidenza del Consiglio, Ministero degli Esteri, Difesa, Interno, Economia e Finanze, Sviluppo Economico, Giustizia. In particolare, quest’ultima ha subito gravi disservizi.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

Il Dipartimento delle informazioni per la sicurezza (DIS) ha agito egregiamente intervenendo appena è stato informato e coordinando gli interventi degli attori istituzionali come previsto dalla normativa vigente.

La Polizia Postale ha dimostrato capacità di intervento rapido ed è stata così neutralizzata la minaccia.

Il conto dei danni e l’analisi a posteriori dell’accaduto sono in corso, mentre è stato il DIS a scegliere di diffondere il minimo di informazioni sull’accaduto. Credo che la scelta della nostra intelligence vada rispettata, non siamo in grado di conoscerne le motivazioni ma è corretto che siano le strutture di coordinamento preposte a rispondere alle minacce a decidere cosa è meglio fare sulla base delle informazioni e considerazioni in loro possesso.

Non è stato diffuso ufficialmente il nome dell’operatore PEC che ha subito l’attacco, per quanto fonti di stampa e perfino un comunicato di un operatore (TrustTechnologies, gruppo TIM) ci hanno informato essere TIM – Telecom Italia nel suo datacenter di Pomezia.

Dunque, al di là del caso specifico che ci aiuta a comprendere il processo (ancorché sulla base di informazioni frammentarie), possiamo fare solo considerazioni generali soggette a possibili errori e omissioni in ragione della frammentarietà delle informazioni trapelate.

Una ricostruzione dell’attacco

Ricostruendo l’episodio si evince che il 10 novembre l’attaccante, uno Stato estero presumibilmente stando alle informazioni diramate dall’autorità, ha cominciato le operazioni di ricognizione sull’operatore PEC. Due giorni dopo – il 12 novembre alle 17 circa – Telecom è stata attaccata e, dopo aver fatto i primi interventi ed analisi, il giorno dopo, il 13, ha inviato l’informazione al CNAIPIC – Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche della Polizia Postale. A questo punto il CNAIPIC ha valutato che l’incidente poteva avere rilevanza dal punto di vista della sicurezza nazionale e ha segnalato il fatto al Nucleo per la Sicurezza Cibernetica (NSC), presieduto dal vicedirettore del DIS Roberto Baldoni con delega sulla cyber, al quale fanno capo anche AISE, AISI, i ministeri CISR, Protezione Civile, AgID e il consigliere militare del presidente del Consiglio.

A seguito della segnalazione della Polizia Postale (CNAIPIC) al NSC, quest’ultimo ha emanato l’allerta e messo in atto le prime contromisure sistemiche a protezione dei soggetti coinvolti fino ad arrivare il giorno 14 al blocco dei tribunali. Sempre il 14 novembre alle 16.00, il Presidente del Consiglio veniva informato dal NSC e venivano attuate le contromisure volte a contenere il danno, disinnescare le minacce, effettuare una ricognizione sui danni provocati sino a quel momento.

Nei giorni immediatamente seguenti fino a tutto il 19 novembre, NSC procedeva a valutare in maggior dettaglio le dinamiche e le possibili informazioni trafugate: da quanto è stato riportato pare che si sia trattato perlopiù di furto di identità PEC.

I rischi dei ritardi nella segnalazione

Ricostruiti per quanto possibile i fatti, sulla base delle fonti giornalistiche disponibili è possibile notare che l’operatore PEC ha impiegato diverse ore prima di comunicare al CNAIPIC l’attacco. È anche da rilevare come anche un operatore tra i più importanti in Italia non ha saputo riconoscere la ricognizione dell’attaccante per tempo (il 10) e ha subito l’attacco impreparato. Non è affatto facile riconoscere una ricognizione da parte di un attaccante, tuttavia si può presupporre che prima di un attacco di questa portata alcuni segnali ci siano e l’aver individuato le tracce ci porta a dire che in questo case ce ne potevano essere.

Le ore trascorse dalla scoperta dell’attacco alla segnalazione al CNAIPIC evidenziano come la pericolosa abitudine (parlo in generale non potendo giudicare l’operato specifico di Telecom) di evitare di diffondere le informazioni sugli attacchi di sicurezza per tempo, molto diffusa, provochi danni anche molto gravi. In particolare, negli attacchi informatici è noto come sia la condivisione degli incidenti che la tempestività siano lo strumento più utile per permettere agli altri di difendere e proteggere il perimetro nazionale. Una diffusione tempestiva delle informazioni non solo avrebbe potuto velocizzare l’intervento del NSC ma avrebbe reso un beneficio anche ad altri operatori PEC magari oggetto anch’essi di un attacco a loro insaputa o di una ricognizione.

Le possibili cause dell’attacco

Non si può poi non ipotizzare che l’attacco sia potuto accadere utilizzando un deficit di misure di sicurezza, questo perché nella stragrande maggioranza dei casi è così, come ad esempio sistemi non aggiornati o procedure che non rispettano gli standard di settore.

Gli operatori PEC per operare devono conformarsi al regolamento AgID attestando che tali misure vengono effettuate, ma va detto che a fronte della verifica formale da parte di AgID non esiste una valida e periodica verifica che il rispetto di tali requisiti siano garantiti. L’AgID si affida alle certificazioni che gli operatori ottengono sulle norme ISO, tuttavia questo potrebbe dare garanzie sufficienti nello specifico dei servizi PEC, data la delicatezza e la rilevanza ai fini nazionali. Se da una parte sono note le carenze di organico dell’Agenzia su questi aspetti, dall’altra non si può non notare come questa carenza possa dar luogo a buchi di sicurezza su una infrastruttura come la PEC che rappresenta la principale, insieme alla firma digitale e a SPID, infrastruttura di Identità Digitale del Paese.

Una revisione del processo di monitoraggio da parte di AgID sarebbe quantomeno auspicabile, come sarebbe urgente far sì che tutte le infrastrutture di Identità Digitale siano almeno protette da verifica di sicurezza in due fasi, così da renderle meno vulnerabili all’individuazione della password affiancando così un meccanismo di rilascio delle credenziali ad un monitoraggio rafforzato degli operatori, almeno di quelli rilevanti.

Migliorare il processo di monitoraggio dei servizi

A seguito di questo incidente è auspicabile che si colga l’occasione per migliorare il processo di monitoraggio dei servizi forniti dagli operatori accreditati anche con visite ispettive periodiche, evidenze delle attività effettuate attraverso log, ecc. Una ipotesi potrebbe essere quella di costituire un registro di società abilitate alla verifica degli operatori che periodicamente provvedano alle ispezioni non solo formali e si assumano la responsabilità di attestare la sicurezza e qualità del servizio reso. Spero che AgID emani quanto prima un aggiornamento degli obblighi agli operatori in tal senso.

Il NSC ha già preso alcune misure di sicurezza da applicare a tutti i soggetti coinvolti, come ad esempio la certificazione di sicurezza dei dispositivi, a queste solo la corretta applicazione di procedure può consentire di evitare che la principale vulnerabilità attuale (l’uomo) possa tramutarsi in incidente.

Questo incidente, di proporzioni rilevanti, ci porta anche a riflettere maggiormente sulla necessità o meno di esternalizzare servizi così delicati come la Pec per la PA. Alcuni commentatori autorevoli, hanno correttamente posto in essere il dubbio che servizi così critici siano più convenienti se esternalizzati, anche perché nel caso di incidenti la cui concausa è dovuta ad inefficienze delle misure di sicurezza, il codice penale (DPR 547/93) prevede che “i reati informatici non vedono completare ogni loro fattispecie se i sistemi aggrediti o danneggiati non sono “protetti da misure di sicurezza””[1]. Nei fatti riducendo il reato per l’aggressore (anche se in questo caso pare sia uno Stato estero). L’impiego di soggetti pubblici di per sé non rende sicuri, tuttavia la natura stessa di questi operatori li porta a mettere in atto tutte le misure necessarie di carattere tecnologico e procedurale non dovendo confrontarsi oltre misura con i costi e i margini di profitto a beneficio degli azionisti. La presenza di operatori in-house che dimostrano capacità progettuali e di gestione dell’operatività di eccellenza consente di aver fiducia che nelle infrastrutture critiche questo possa essere un beneficio. D’altra parte i 20 operatori accreditati dall’AgID presentano caratteristiche molto diverse tra loro, forse gli operatori che accreditano centinaia di migliaia di utenti, o gli utenti di infrastrutture critiche, dovrebbero avere meccanismi più stringenti di chi “accredita” solo gli utenti del proprio “dominio” di competenza. Anche questa è una riflessione che mi permetto di suggerire ad AgID.

Il sistema nazionale coordinato dal NSC ha saputo rispondere prontamente all’attacco e in modo adeguato, tuttavia questo incidente deve sollecitare ogni organizzazione del Paese a mettere in atto quanto possibile per aumentare il grado di sicurezza sia in termini tecnologici ma soprattutto in termini di procedure e condivisione delle informazioni nelle sedi opportune. Solo così possiamo pensare di proteggere le informazioni rilevanti dalle minacce sempre più pericolose e ben organizzate che arrivano dal “cyberspazio”. È necessario aprire una riflessione più ampia del singolo incidente su come ci attrezziamo a fronteggiare questi eventi. Confido nella capacità sin qui dimostrata dagli organismi di intervento e coordinamento su questi temi per analizzare le vulnerabilità messe in evidenza da questo incidente e applicare le contromisure necessarie.

________________________________________________________________

[1] https://www.startmag.it/innovazione/furto-identita-ministeri-gdf/

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4