Blog

La lezione da trarre per proteggere meglio le nostre infrastrutture critiche

Forse qualcuno ricorderà una classica spystory, 007 “Mai dire mai”, con Sean Connery che utilizzava, nel film, un videogioco “La guerra dei mondi”, contro e con il cattivo di turno, Maximillian Largo (Klaus Maria Brandauer), emissario della SPECTRE multinazionale del crimine.  Era il 1983 ed il film aveva fatto scalpore per il rientro, nei panni di 007, dopo più di dieci anni dal precedente, di Connery come protagonista: proprio da qui il titolo. Ma la citazione nel nostro caso è legata, per associazione d’idee, all’informatica, alla privacy ed alla Guerra dei mondi, questa volta associata alla Cibersecurity.

Perché il recente attacco “hacker” alle pec ha riproposto l’importanza e l’urgenza di proteggere, in maniera adeguata, le informazioni digitali dei nostri calcolatori. L’attacco, proveniente dal cyberspazio,  ha messo in luce alcune criticità, su cui è opportuno riflettere. Se, infatti, il sistema nazionale coordinato da NSC (Nucleo per la Sicurezza Cibernetica) ha saputo rispondere prontamente ed in modo adeguato, tuttavia emerge la necessità di sollecitare ogni organizzazione del Paese, a mettere in atto misure adeguate per aumentare il grado di sicurezza, sia in termini tecnologici sia per le procedure di condivisione delle informazioni, nelle sedi opportune.

Questo vale (soprattutto) per i dati in ambito sanitario, per definizione sensibili. Non deve sfuggire che sono state 500 mila le caselle Pec, di cui circa 98000 della Pubblica Amministrazione (PA) centrale, quelle interessate dall’attacco. Le “vittime” sono state principalmente organizzazioni facenti capo al Comitato Interministeriale per la Sicurezza della Repubblica (CISR), ovvero: Presidenza del Consiglio, Ministero degli Esteri, Difesa, Interno, Economia e Finanze, Sviluppo Economico, Giustizia. In particolare, quest’ultima ha subito gravi disservizi.

Il Dipartimento delle Informazioni per la Sicurezza (DIS) ha agito egregiamente, intervenendo appena informato, coordinando gli interventi degli attori istituzionali, come previsto dalla normativa vigente. La Polizia Postale ha dimostrato capacità di intervento rapido ed è stata così neutralizzata la minaccia. Il DIS ha scelto di diffondere un minimo di informazioni sull’accaduto, rispondendo sulla base delle informazioni e considerazioni in suo possesso. Anche se non è stato diffuso ufficialmente il nome dell’operatore PEC vittima dell’attacco, fonti di stampa e perfino un comunicato di un operatore (TrustTechnologies, gruppo TIM) ci hanno chiarito essere TIM – Telecom Italia la struttura colpita: possiamo fare solo considerazioni generali, al di là del caso specifico che ci aiuta a comprendere il processo.

Ricostruiamo l’episodio. Il 10 novembre l’attaccante (uno Stato estero presumibilmente, stando alle informazioni diramate dall’autorità) ha cominciato le operazioni di ricognizione sull’operatore PEC. Due giorni dopo – il 12 novembre, alle 17 circa – Telecom è stata attaccata e, dopo aver fatto i primi interventi ed analisi, il giorno dopo, il 13, ha inviato l’informazione al CNAIPIC  (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale. L’incidente poteva avere rilevanza dal punto di vista della sicurezza nazionale. E’ intervenuto.Il Nucleo per la Sicurezza Cibernetica (NSC), al quale fanno capo anche AISE, AISI, i ministeri CISR, Protezione Civile, AgID ed il consigliere militare del presidente del Consiglio.

Sembra che l’attacco sia potuto avvenire utilizzando un deficit di misure di sicurezza, visto che nella stragrande maggioranza dei casi è così (sistemi non aggiornati o procedure che non rispettano gli standard di settore). Gli operatori PEC, per lavorare, devono conformarsi al regolamento AgID, attestando che tali misure vengono effettuate, a fronte della verifica formale da parte di AgID stessa: non esiste una valida e periodica verifica che il rispetto di tali requisiti siano garantiti. L’AgID si affida alle certificazioni che gli operatori ottengono sulle norme ISO, tuttavia questo potrebbe dare garanzie sufficienti nello specifico dei servizi PEC, data la delicatezza e la rilevanza ai fini nazionali.

Se da una parte sono note le carenze di organico dell’Agenzia su tali aspetti, sembra inevitabile che possano dar luogo a “buchi di sicurezza”, su una infrastruttura come la PEC che rappresenta la principale (con firma digitale e SPID) piattaforma di Identità Digitale del Paese. La revisione del processo di monitoraggio, da parte di AgID, è auspicabile, come il far sì che tutte le infrastrutture di Identità Digitale siano protette da verifica di sicurezza, per renderle meno vulnerabili all’individuazione della password. Il codice penale (DPR 547/93) prevede che “i reati informatici non vedono completare ogni loro fattispecie, se i sistemi aggrediti o danneggiati non sono protetti da misure di sicurezza”. Nei fatti, riducendo il reato per l’aggressore (anche se in questo caso pare sia uno Stato estero): anche qui un aggiornamento sarebbe utile.

A seguito di questo incidente, appare conveniente migliorare il processo di monitoraggio dei servizi forniti dagli operatori accreditati (anche con visite ispettive periodiche, evidenze delle attività effettuate attraverso files log, block chain, ecc.). Anche un registro di società abilitate alla verifica degli operatori (con ispezioni non solo formali e che si assumano la responsabilità di attestare la sicurezza e qualità del servizio reso) sarebbe desiderabile. Il NSC ha già preso alcune misure di sicurezza, da applicare a tutti i soggetti coinvolti, come ad esempio la certificazione dei dispositivi. Solo la corretta applicazione di procedure può consentire di evitare, che la principale vulnerabilità attuale (l’uomo), possa tramutarsi in incidente.

Il sistema nazionale, coordinato dal NSC, ha saputo rispondere prontamente all’attacco e in modo adeguato, tuttavia questo incidente deve sollecitare ogni organizzazione del Paese a mettere in atto quanto possibile, per aumentare il grado di sicurezza (in termini tecnologici e procedure di condivisione delle informazioni, nelle sedi opportune). Solo così possiamo pensare di proteggere le informazioni rilevanti dalle minacce, sempre più pericolose e ben organizzate, che arrivano dal “cyberspazio”. Al di là   del singolo incidente, bisogna   attrezzarsi per fronteggiare questi eventi.  

Non è una spystory, è il mondo che ci circonda e in cui viviamo. Vale la pena ricordarlo.

BIBLIOWEB:

LEGGE 23 dicembre 1993, n. 547-  G. U. Serie Generale del n. 305 del 30 dicembre 1993 http://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario;jsessionid=agXOKthHUD3Wp5bIwKQDfg__.ntc-as2-guri2a?atto.dataPubblicazioneGazzetta=1993-12-30&atto.codiceRedazionale=093G0633&elenco30giorni=false
Reati informatici, Codice penale e regolamentazione comunitaria  https://www.diritto.it/pdf_archive/26626.pdf
Cybersecurity made in Italy  http://newmicro.altervista.org/?p=5156
Non c’è Privacy senza DPIA  http://newmicro.altervista.org/?p=5089
Privacy & Rischio  http://newmicro.altervista.org/?p=4187
L’eHealth è la nuova frontiera della Sanità   http://newmicro.altervista.org/?p=4372
Diagnostica per immagini, consenso informato e dematerializzazione   http://newmicro.altervista.org/?p=4293
Sanità digitale: le credenziali SPID   http://newmicro.altervista.org/?p=4206
Fascicolo Sanitario Elettronico: chiedilo al sito   http://newmicro.altervista.org/?p=3350