L’episodio è da considerarsi allarmante perchè l’attacco ha interessato infrastrutture ritenute critiche. È quanto sostiene il dipartimento Cyber dell’intelligence italiana rispetto all’hackeraggio del 12 novembre che ha riguardato 500mila indirizzi e-mail. Di questi, 98mila appartengono a soggetti della Pubblica amministrazione, tra cui magistrati. A finire nella rete dei pirati informatici, infatti, anche i tribunali italiani che hanno imposto uno stop deciso proprio per valutare la minaccia. L’attacco è partito il 12 novembre, ma già dal 10 ci sarebbero stati tentativi di intrusione nei sistemi informatici dell’azienda target che forniva i servizi di posta elettronica certificata (Pec) a una varietà di soggetti. I responsabili, al momento, sono ancora oggetto di indagine.
“Si é trattato di un attacco grave – ha dichiarato in conferenza stampa Roberto Baldoni, vice direttore generale Cyber per il Dis, Dipartimento delle informazioni per la sicurezza – il più grave da gennaio 2018 e portato sicuramente da fuori Italia, da una serie di IP sparsi per il mondo. La Polizia postale – ha aggiunto – sta indagando, ma per ora é possibile dire che sono stati esfiltrati i dati personali e le password cifrate dei titolari delle pec, non documenti”.
Nelle mani degli hacker, dunque, sarebbero finiti i dati personali dei proprietari dalle caselle elettroniche e non documenti. Ma il danno, fanno sapere gli 007, non è ancora calcolabile. In ogni caso, secondo Baldoni, “chi è entrato voleva prendere certe cose”.
Lunedì 19 novembre, inoltre, è stato convocato il Cisr-Tecnico proprio sull’attacco: “È stato sancito l’avvio del processo esecutivo: sono state individuate misure di carattere giuridico, organizzativo e operativo da attuare nel più breve tempo possibile in modo da minimizzare la presenza e le conseguenze di nuovi attacchi – non da escludere più rilevanti – con impatto e ripercussioni sul piano della sicurezza nazionale”. Secondo Baldoni, infatti, “il problema più rilevante non è tanto quello tecnologico, ma quello normativo e contrattuale. I contratti – ha aggiunto – non devono più essere in base al minimo ribasso”.
La strategia di sicurezza cibernetica
Si ricorda che la strategia di sicurezza cibernetica dell’Unione Europea, nelle more dell’adozione dello European Cybersecurity Act, presentato nel 2017 dalla Commissione Europea, si fonda sulla seguente architettura:
- Direttiva CE/2008/114 sulla protezione delle infrastrutture critiche europee
- Direttiva UE/2016/1148 sulla sicurezza delle reti e dei sistemi informativi (Directive on Security of Network and Information Systems, NIS)
Il Legislatore europeo ha previsto che gli Stati membri si dotassero di un’organizzazione nazionale in grado di vincolare a stringenti misure di protezione i maggiori operatori di servizi essenziali (OSE) per l’economia (energia, trasporti, finanza, sanità, erogazione di acqua potabile, smistamento del traffico telematico) e di servizi digitali (motori di ricerca, mercati online, fornitori di servizi di cloud computing).
E’ stato anche posto a carico degli Stati membri di introdurre l’obbligo per gli operatori dei servizi esssenziali ed i fornitori di servizi digitali di notificare alle autorità gli incidenti con “effetti negativi rilevanti” (la definizione dei criteri per individuarli è demandata agli Stati membri).
Infine, è stata prevista l’istituzione di un gruppo di cooperazione in ambito UE per lo scambio di informazioni e best practices finalizzate alla più efficiente ed efficace difesa e resilienza cibernetica (CSIRT)
In Italia la Direttiva NIS (UE/2016/1148) viene recepita con il Decreto Legislativo del 18 maggio 2018 n. 65, pubblicato in GU n.132 del 9 giugno 2018 ed in vigore dal 24 giugno 2018.
Nella struttura disegnata dal decreto attuativo la Presidenza del Consiglio dei Ministri è posta al vertice del «Sistema» con compiti di indirizzo politico e di coordinamento previsti dal legislatore comunitario e di definizione della strategia nazionale di cybersecurity.
Il DIS ha funzioni di raccordo con l’Unione europea e con gli altri Stati membri e provvede alla raccolta centralizzata di informazioni sugli incidenti ed al monitoraggio delle minacce attraverso il computer security incident response team (CSIRT) italiano.
Nelle strategie nazionali assume infatti quasi sempre particolare rilievo la condivisione di informazioni sugli attacchi e sulle minacce (cosiddetta Information Sharing).
I modelli di information sharing di maggior successo sono due:
- information and analysis centers (ISAC) ossia piattaforme che consentono a un gruppo di soggetti interessati di mettere in comune informazioni e capacità di analisi
- reti di computer emergency response teams (CERT) e di computer security incident response teams (CSIRT) ossi squadre di “pronto intervento” costituite all’interno di Pubbliche Amministrazioni, Aziende e Associazioni di categoria, che si collegano tra loro per condividere informazioni, capacità di analisi e capacità operative di difesa
Le autorità competenti di settore, che hanno il compito di specificare gli operatori di servizi essenziali, definendo le misure di sicurezza minime e vigilando sulla loro corretta applicazione anche mediante ispezioni e l’irrogazione di sanzioni.
Le autorità competenti di settore sono:
- il Ministero dello Sviluppo Economico per il settore energetico, per le infrastrutture di scambio del traffico telematico (le cosiddette infrastrutture digitali) e per i servizi digitali
- il Ministero dei Trasporti e delle Infrastrutture per il settore dei trasporti
- il Ministero dell’Economia e delle Finanze, in collaborazione con la Banca d’Italia e con la Commissione nazionale per le società e la borsa (Consob), per il settore bancario e delle infrastrutture dei mercati finanziari
- il Ministero della Salute e, per quanto di competenza, le Regioni e le Province autonome di Trento e Bolzano per l’attività di assistenza sanitaria
- il Ministero dell’Ambiente e, per quanto di competenza, le Regioni e le Province autonome di Trento e Bolzano per il settore di fornitura e distribuzione dell’acqua potabile
Mentre, per la Pubblica Amministrazione, l’AgID (Agenzia per l’Italia Digitale) ha emanato le Misure minime di sicurezza ICT per le pubbliche amministrazioni, intese come insieme ordinato e ragionato di “controlli”, ossia azioni puntuali di natura tecnica e organizzativa volte a prevenire il rischio di attacchi informatici e a contenerne gli effetti negativi.
È stato inoltre adottato il Piano triennale per l’informatica nella Pubblica amministrazione 2017-2019, che definisce il modello di riferimento per lo sviluppo dell’informatica pubblica italiana e la strategia operativa di trasformazione digitale del Paese.
Il Piano prevede la razionalizzazione delle risorse ICT come metodo prioritario per aumentare il livello di sicurezza attraverso la riduzione della superficie esposta agli attacchi informatici.
In questo complesso scenario, atteso il livello di estrema pervasività degli attacchi informatici, il nostro Paese ha il dovere di investire in maniera importante e costante nella sicurezza e resilienza cibernetica.
E ciò sarà possibile solo inserendo istituzionalmente la spesa per la protezione cibernetica nazionale nel budget complessivo della difesa, mettendo a sistema gli investimenti nazionali, all’esclusivo servizio di tutti i domini dell’information security nella cornice di una sempre maggiore ed efficace collaborazione pubblico-privato.
