l'analisi

Che cosa abbiamo imparato sui rischi cybersecurity dopo Wikileaks e i dati del Governo

Il furto alla Cia e la relazione del Dis mostra quanto è avanzato l’arsenale della guerra cyber. Ma anche illuminano la strada che dovremo percorrere come sistema Paese

Pubblicato il 10 Mar 2017

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

sicurezza-140405160428

È recente la notizia della pubblicazione su Wikileaks di una notevole quantità di dati esfiltrati dalla CIA.

Si parla già di proliferazione di armi cibernetiche e di strumenti per azioni che potremmo definire quanto meno “aggressive” rispetto alla privacy di cittadini, istituzioni, industrie…

In Italia il Dipartimento per le informazioni e la sicurezza della Repubblica ha emanato la relazione annuale al Parlamento da meno di una settimana: la relazione ha un capitolo dedicato al tema del rischio cibernetico che solleva alcuni punti di riflessione.

I dati riportati evidenziano che in Italia sono più colpiti enti pubblici che privati da attacchi “significativi”. La realtà non appare diversa in altri Stati: la pubblicazione di dati esfiltrati alla CIA verrà ricordata come un evento “molto” significativo, anche se ancora non è affatto chiaro se i dati siano stati esfiltrati con una azione cibernetica o esclusivamente cinetica (cioè fisica). Aldilà del contenuto dei dati pubblicati, fa rabbrividire la possibilità di “giocare” una mossa tanto audace e tanto dirompente a un ente che della sicurezza e della riservatezza dovrebbe essere il detentore.

Viene facile commentare che l’ampia percentuale rilevata di attacchi a enti pubblici sia dovuta alla ancora scarsa abitudine del settore privato a denunciare gli attacchi subiti per motivi di protezione della reputazione e della competitività: in ogni caso i ripetuti attacchi, anche solo presunti e non ancora attribuiti con certezza, a sistemi pubblici di immagazzinamento dati dovrebbe farci riflettere profondamente sull’urgenza di contromisure sistemiche che evidentemente non sono ancora state perfezionate neanche dai “giganti” occidentali. La partita è ancora aperta. Le evidenze mostrano comunque che la maggiore vulnerabilità è legata al fattore umano, sia esso attore consapevole o meno, il che non è una novità, ma resta un problema talvolta neppure affrontato.

Tra i settori con un livello di attacchi in crescita nel nostro territorio si ritrova il farmaceutico e, come già da parecchi anni, l’energetico. Sono in aumento gli eventi di blackout e più in generale gli eventi di “spegnimento” di servizi pubblici riconducibili ad attacchi cibernetici e questo è vero a livello globale, anche se ancora sono eventi a impatto limitato soprattutto per le percentuali di popolazione colpite. Ciononostante dovremmo cogliere l'”avvertimento” implicitamente contenuto e iniziare (o continuare, nel migliore dei casi) a progettare contromisure sistemiche. La protezione e la sicurezza sono attributi collettivi e non singoli: l’eccellenza nella sicurezza si raggiunge a livello di territorio e non solo di individuo (anche societario).

Nella relazione del DIS si legge inoltre che le tecnologie malevole innovative sono sempre più spostate verso sistemi che permettano “l’ingresso” non autorizzato in reti e sistemi altrui: di contro i malware sono sempre più aggressivi, persistenti e sofisticati. Un po’ come dire che un ipotetico avversario malevolo stia studiando batteri ad alto tasso di letalità e resistenti alla maggior parte dei ceppi antibiotici, corredati da un ampio ventaglio di sistemi, anche semplici e “massivi”, per la riduzione delle difese immunitarie… Gli investimenti “avversari” contemplano anche l’affinamento della conoscenza degli idiomi (in particolare è citato l’italiano) per la costruzione di sequenze di ricerca atte a esfiltrare “determinati” dati, quindi un miglioramento delle tecniche di “scelta” dei dati da rubare nonché un miglioramento delle tecniche di ingegneria sociale (phishing, spear phishing, e tutte le altre tipologie di “adescamento” delle vittime per far rilasciare involontariamente credenziali di accesso, dati personali, dati finanziari e così via): in altre parole le mail false che tentano di indurci a rivelare dati personali diventeranno sempre più credibili, laddove fino ad oggi un indizio estremamente utile a riconoscerle velocemente era proprio dato dalla palese presenza di grossolani errori di linguaggio.

Se ne prenderemo velocemente atto, capiremo ancora meglio la necessità e l’urgenza di rendere tutti gli individui consapevoli dei pericoli e delle misure preventive per l’uso della rete e degli strumenti informatici.

La migliore difesa dalle tecniche miste, psicologiche e informatiche, di ingegneria sociale è la propensione alla diffidenza dell’operatore, cioè del fattore umano. Propensione alla diffidenza che si deve instaurare come una reazione automatica anche di fronte a  messaggi (mail con minacce di atti giudiziari, azioni verso pagamenti inevasi, ma anche inviti ad acquisti scontatissimi del tipo “ora o mai più” e qualsiasi altra situazione che abbassa le normali attenzioni umane sulle proprie azioni) tesi a forzare verso azioni “veloci”, e quindi non perfettamente controllate, la potenziale vittima.

La sicurezza sta diventando un fattore abilitante per il business: sempre più aziende richiedono alle proprie catene di fornitura la dimostrazione di adeguate misure di sicurezza cibernetica per evitare che diventino loro un tallone di Achille e comunque per avere garanzie ulteriori della continuità di erogazione della fornitura. Il concetto di “fattore abilitante” fa sì che la sicurezza diventi una voce di investimento, indipendentemente dal ritorno di investimento che può o non può generare: oltre a ridurre le perdite, ancorché potenziali, essa diventa condizione necessaria per poter operare in determinati contesti.

Si parla infatti sempre più spesso di una “territorialità” della sicurezza: Paesi sicuri dal punto di vista cibernetico potranno in futuro ospitare attività di business più facilmente di Paesi ritenuti non sicuri. Da questo punto di vista l’Italia si è appena dotata di una nuova architettura per la sicurezza informatica a livello di sistema Paese: il DPCM emanato il 17 febbraio traghetta il nostro Paese verso una organizzazione più snella e più consapevole per la gestione degli eventi di tipo cibernetico e per la definizione delle strategie, dei requisiti e delle attività in merito alla cyber security.

Le novità che attendiamo da questa nuova architettura riguardano anche i meccanismi di scambio informativo (information sharing) che consentono anche a chi lavora per la protezione di “giocare in squadra”: gli attaccanti giocano in squadra regolarmente, condividono tecniche, tecnologie e informazioni per migliorare le loro prestazioni di attacco, ridurre i costi, “riusare” codici e metodi, imparare dalle best practice. Effettuare la condivisione delle informazioni sulle tecniche di attacco e sulle contromisure permette di ottimizzare tempi, costi ed energie anche nel campo delle potenziali vittime.

Ciononostante ancora si discute e si discuterà sul dilemma della competitività o precompetitività della sicurezza. Alcuni aspetti sono e resteranno precompetitivi, per cui la spinta alla comunicazione obbligatoria degli attacchi da parte del settore privato oltre che pubblico, spinta attuata anche dalla direttiva europea cosiddetta NIS (network and information security) emanata l’anno scorso, è stata accolta da tutti i Paesi europei come una leva di collaborazione e di facilitazione per il raggiungimento di un obiettivo di sicurezza comune a livello europeo.

La cultura della sicurezza è un tassello imprescindibile nella strategia di sicurezza di un Paese, cultura diffusa a livello dei cittadini e delle imprese: per quanto sicuro possa essere un sistema o una rete aziendale, basta la disattenzione di un solo dipendente che apre l’allegato di una email di phishing per rendere vane, in tutto o in parte, le misure di sicurezza adottate.

Resta quindi fondamentale l’aspetto della diffusione della consapevolezza: rendere tutti i cittadini “consapevoli” nell’uso della rete e nella gestione dei propri dati personali è un fattore che può potenziare in modo esponenziale (o, se non perseguito, depotenziare in modo altrettanto esponenziale) gli innumerevoli sforzi effettuati da enti pubblici e privati e dallo Stato stesso per rendere il nostro Paese “sicuro”.

Valuta questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati