Nell’ultimo anno, l’aumento degli attacchi cibernetici alle infrastrutture critiche ha spinto il governo ad adottare un approccio proattivo che si è concretizzato nella creazione dell’Agenzia per la cybersicurezza nazionale (ACN) e nella piena ’operatività del Perimetro di sicurezza nazionale cibernetica (PSNC). Non a caso, nella Relazione annuale sulla politica dell’informazione per la sicurezza, pubblicata dal Comparto Intelligence, la minaccia cibernetica occupa una posizione centrale tra le tematiche legate alla sicurezza nazionale.
Come dimostrato dall’attuale crisi in Ucraina, l’Italia non è esente da attacchi cibernetici. Di recente, infatti, il Computer Security Incident Response Team (CSIRT) Italia ha emanato un bollettino di sicurezza per raccomandare alle aziende di adottare una postura di massima difesa cibernetica, poiché “l’acuirsi delle attività malevole nello spazio cibernetico incrementa la possibilità che le stesse possano generare fenomeni di spillover al di fuori degli assetti direttamente oggetto delle campagne.” Tuttavia, la Relazione dell’Intelligence – di recente pubblicazione – non tiene conto dell’evoluzione (inaspettata) della situazione ucraina, né tantomeno, del conseguente aumento dei rischi cyber per le infrastrutture digitali nazionali.
Il documento si apre con un focus sulla creazione dell’ACN, che ha rivoluzionato l’impianto organizzativo della cybersecurity nazionale. L’agenzia deve agire, infatti, su tre fronti: garantire un elevato livello di sicurezza, attraverso la prevenzione e la gestione degli incidenti informatici; innalzare il livello di resilienza cibernetica nazionale e, infine, coadiuvare il governo nella gestione delle crisi cibernetiche, attraverso il Nucleo per la cybersicurezza, attivato di recente dal Presidente del Consiglio, Mario Draghi, “per condividere le informazioni raccolte” sulla crisi ucraina.
Le attività di cyber intelligence, quindi, rimangono di esclusiva competenza del Comparto Intelligence che, nello scorso anno ha evidenziato una sensibile crescita di azioni con finalità criminale, in particolare attraverso l’utilizzo della tecnica Ransomware-as-a-Service (RaaS) basata sull’interazione tra gli sviluppatori del software malevolo e chi lo usa per condurre attacchi nel cyberspazio. Caso emblematico è quello della Regione Lazio, colpita la scorsa estate da un attacco cibernetico che, secondo l’Avv. Stefano Mele, Partner e responsabile della cybersecurity dello Studio Gianni&Origoni, deve essere considerato come una minaccia alla sicurezza nazionale, al pari degli “attacchi cibernetici che abbiano come obiettivo quello di colpire i soggetti pubblici e privati che erogano un servizio essenziale per i cittadini”.
Le attività legate al cybercrime poi, continua la relazione, hanno permesso ad attori di matrice statuale di agire indisturbati riuscendo ad occultare le attività di cyber espionage e gli attacchi di tipo disruptive ad aziende private ed enti pubblici. La maggior parte degli attacchi (69%), infatti, sono stati indirizzati a infrastrutture informatiche della Pubblica Amministrazione. Nel settore privato, invece, tra i settori più colpiti vi sono quello energetico, quello dei trasporti e quello delle telecomunicazioni. Si tratta di settori particolarmente strategici per il Paese e le cui aziende rappresentano buona parte delle infrastrutture critiche nazionali.
Per quanto riguarda gli attori di minaccia, nell’ultimo anno sono cresciute le attività di matrice statuale (da 4% a 23%) e sono diminuite quelle legate all’hacktivismo (da 71% a 23%). A causa della pandemia, le prime sono state indirizzate principalmente a strutture sanitarie e a dipendenti di aziende strategiche, sfruttando le vulnerabilità create dallo smart-working, ormai ampiamente diffuso.
Da tenere a mente però, come chiarisce la Relazione, che le caratteristiche intrinseche del dominio cibernetico rendono ancora molto complesso e lento il processo di attribuzione di un attacco. Ciò è dovuto anche alla presenza di innumerevoli attori nel cyberspazio, i quali agiscono anche attraverso false flag, ovvero “quelle operazioni poste in essere utilizzando cautele e tecniche tali da indurre il target a ritenere che le stesse siano riconducibili ad un attore diverso da quello che ha condotto l’attacco”, secondo la definizione del CSIRT Italia.
Conclusioni
A causa degli incidenti informatici dello scorso anno che hanno coinvolto più o meno direttamente l’Italia, il governo ha riconosciuto la rilevanza e la centralità della cybersecurity nel più ampio scenario della sicurezza nazionale. Le attività di cyber intelligence svolte dal Comparto Informativo hanno messo ancor più in evidenza come la minaccia cibernetica sia attuale e concreta. I recenti sviluppi normativi e organizzativi in ambito cyber, attraverso la creazione dell’ACN e la piena operatività del PSNC, devono essere accolti con grande favore, perché permetteranno, nel prossimo futuro, di raggiungere un livello adeguato al contesto europeo, dove vi sono paesi come la Francia e la Germania, che presentano una maturità cyber molto più alta di quella italiana. Tuttavia, l’attacco alla Regione Lazio e i recenti attacchi all’Ucraina hanno messo in luce una grande lacuna nel nostro Paese: gli attacchi cibernetici non sono riconosciuti come minaccia alla sicurezza nazionale, come evidenziato dall’Onorevole Enrico Borghi, membro del Comitato parlamentare per la sicurezza della Repubblica (Copasir) e membro della Segreteria nazionale del Partito democratico con delega alle politiche per la sicurezza. Tale problematica è stata sollevata – di recente – anche dall’Avv. Stefano Mele, il quale durante l’evento CyberSec2022, ha fatto appello al legislatore affinché preveda la possibilità per il Presidente del Consiglio di valutare come minaccia alla sicurezza nazionale un attacco informatico che blocca l’erogazione di un servizioessenziale. In tal modo, dopo aver attivato i tavoli preposti alla valutazione degli attacchi, il PdC potrà decidere di porre in essere azioni adeguate al fine di rispondere all’attacco. Questo richiederebbe un cambio di approccio al cyberspazio, non più basato esclusivamente sulla deterrence by denial, ovvero sul rafforzamento delle difese cibernetiche, ma anche sulla deterrence by punishment ovvero sulla minaccia di azioni di rappresaglia, spingendo così l’avversario ad astenersi dal compiere operazioni offensive.
