PREMESSA BARBARA CARFAGNA INTRODUZIONE PER L’ITALIA UN PROGETTO FORTE DI CYBERSECURITY ALESSANDRO PANSA I DATI: IL NUOVO ORO DA METTERE AL SICURO di Roberto Baldoni e Luca Montanari RICONOSCERE UN ATTACCO di Marco Iavernaro VERSO UN MONDO SENZA PASSWORD di Stefano Pepe NON APRITE QUELLA PORTA di Elena Vidotto L’ UOMO CHE SUSSURRA ALLE MACCHINE: L’ANALISTA DEI DATI NELL’IMPRESA di Marco Ramilli 15 BEST PRACTICE DA ADOTTARE SUBITO di Stefano Mele COSTRUIAMO IN SICUREZZA L’INDUSTRIA 4.0 di Andrea Rigoni COSA DICE LA LEGGE: DALLO STATO ALL’INFOSFERA di Stefano Mele

LE MATRIOSKE. DALL’ AZIENDA, ALLA CITTA’, ALLO STATO di Michele Colajanni DIRETTIVA NIS: IL CYBER SCIOGLIE I CONFINI NAZIONALI di Michele Pierri DALLA CYBERSECURITY ALLA CYBERWAR di Mariarosaria Taddeo TRA PUBBLICO E PRIVATO: STATI UNITI E REGNO UNITO di Stefano Mele IL MODELLO ISRAELIANO di Michele Pierri MISSION IMPOSSIBLE? LA SFIDA DELL’ITALIA SUL DIGITALE di Marco Mayer

Per l’Italia un progetto forte di cybersecurity

Il contesto di una sfida

Il mondo cyber sta cambiando tutti gli altri mondi. La rivoluzione digitale che stiamo vivendo, in ogni campo della nostra vita personale e professionale, come ogni cambiamento storico, porta con sé opportunità e minacce. Minacce per lo status quo e per i cittadini e le imprese, ed opportunità di sviluppo per fasce sempre più numerose di popolazione. Tra le opportunità di questo percorso possiamo enumerare, a titolo di esempio, l’elevato livello di interoperabilità e flessibilità circa l’uso dei dispositivi elettronici, che stanno divenendo sempre più multi-funzione. Ciò consente agli utenti di trarre vantaggio da opportunità prima di allora inimmaginabili, che permettono loro di: essere costantemente informati e di avere accesso ai propri dati sempre e ovunque; essere in più posti contemporaneamente (la cd. ubiquità digitale); muovere oggetti o agire da remoto, e così via. Per quanto concerne i punti di debolezza, l’incremento di dispositivi connessi a internet – tra cui l’internet delle cose (Internet of Things – IoT) ma anche sistemi di Supervisory Control and Data Acquisition (SCADA) – ha comportato un rilevante ampliamento della superficie d’attacco, incrementando le possibilità di escalation. Ciò si traduce, per le infrastrutture critiche, in un più elevato grado di interdipendenza tra le stesse, seguito da un “effetto domino” in caso di attacco cyber o system failure. In questo senso la cyber security apparirebbe non diversa dalle altre rivoluzioni tecnologiche che abbiamo conosciuto nel recente passato. A ben vedere, invece, una grande differenza c’è: in questa rivoluzione tecnologica, la sicurezza è una pre-condizione perché le opportunità si possano dispiegare pienamente. Già adesso stiamo entrando nel mondo dell’internet of things – IoT e dell’Industry 4.0 dove le macchine colloquiano tra di loro in un unico ambiente tecnologico. Qui non sono consentite mezze misure: se la sicurezza c’è, vi è sviluppo ed innovazione; se la sicurezza non c’è, non si entra nel nuovo mondo. Questo vale sia a livello di sistema industriale sia per l’intera economia nazionale: solo se saremo capaci di creare un ambiente nazionale sicuro, parteciperemo con la nostra economia allo sviluppo della rivoluzione digitale che abbiamo davanti. Noi tutti – attori pubblici, imprenditori, responsabili politici, ricercatori – non sempre siamo pienamente consapevoli di questo vincolo. Nel dicembre 2014, Nomisma ha pubblicato gli esiti di uno studio, commissionato dal DIS, volto a valutare il livello di percezione della minaccia cibernetica nelle piccole e medie imprese, che costituiscono il 99,9% della totalità delle aziende del Paese, al fine di accrescerne la sicurezza informatica. Benché tale ricerca sia stata pubblicata ormai quasi un paio di anni fa, i relativi risultati possono essere purtroppo ritenuti ancora oggi validi. I dati più rilevanti mostrano infatti che:

la minaccia principale è costituita da malware volti non solo all’interruzione del funzionamento di sistemi informatici, ma anche alla sottrazione di know how relativo a progetti industriali ed a strategie manageriali;

da un lato l’impatto economico è stato stimato come piuttosto contenuto (nell’ordine di circa 50.000 euro come danno massimo), ma dall’altro la maggior parte delle imprese ha ammesso la difficoltà nel valutare tale dato;

il top management ha mostrato una certa sensibilità verso la tematica della cyber security, benché sia risultato restio all’elaborazione di documenti di valutazione della minaccia cibernetica e all’adozione di strategie di prevenzione;

infine, anche se la maggior parte delle aziende intervistate ha dichiarato di aver adottato misure di prevenzione, gli investimenti nella sicurezza informatica sono risultati moderati, ammontando solamente all’1% del volume delle vendite.

In sintesi, c’è consapevolezza ma si fatica a costruire la reazione.

Nel frattempo, però, la minaccia si evolve con estrema velocità: la crescente mole di dati – raccolti in maniera massiva e riferiti a qualità personali, abitudini e stili di vita, preferenze di consumo – diviene un serio onere per l’impiego da parte di chi li detiene, ed allo stesso tempo rappresenta un obiettivo ambito ed altamente remunerativo per chi vuole impossessarsene illecitamente. Quante infrastrutture critiche strategiche sono oggi controllate da sistemi di controllo automatici, completamente interconnessi ed operanti sul web? E quanti sistemi critici viaggiano allo stesso modo, ad esempio nel mondo della sanità? Il cyber si mostra, peraltro, sempre più uno strumento duttile e penetrante, tale da poter essere utilizzato anche in operazioni di influenza articolate. A quest’accelerazione esponenziale della minaccia si aggiunge ora anche il rischio terroristico. E qui assistiamo ad un’ulteriore evoluzione del contesto: l’impatto della minaccia – non solo terroristica - si esprime non più solo in un danno materiale (per lo Stato, per le aziende, per i cittadini), ma emerge già dall’uso dello strumento cyber. Basti pensare al re-engineering che i gruppi terroristici fanno dei maggiori social networks e/o delle applicazioni di messaggistica per operare il proselitismo, il reclutamento, l’addestramento, il coordinamento operativo, etc. Anche in termini di effetti comunicativi, la capacità di incidere sul mondo reale grazie alla comunicazione digitale è un aspetto che deve essere sempre tenuto in considerazione quando si parla di sicurezza cyber. Si consideri il crescente gap tra sicurezza reale e quella percepita: come ben sappiamo, l’obiettivo della sofisticata opera di comunicazione di Daesh tende proprio ad ampliare a dismisura questo cuneo, che si insinua tra la cittadinanza ed i propri governanti. Il mondo virtuale può divenire un punto di riferimento anche culturale per coloro che si sentono rifiutati dal tessuto umano in cui vivono ovvero siano portatori di una cultura divergente rispetto a quella prevalente. E' evidente che occorre acquisire piena consapevolezza degli interessi che entrano in gioco quando ci confrontiamo con la minaccia cyber: l’integrità fisica dei nostri cittadini, l’integrità economica collettiva e delle nostre imprese, le funzioni fondamentali dello Stato, i diritti dei singoli, lo stesso diritto alla libertà. Questi sono gli elementi che vanno considerati, quando si valuta quali difese approntare per la realizzazione di un sistema valido di cyber security. Rispetto a questi valori ed a questi interessi occorre ponderare la modifica delle regole, l’eventuale parziale compressione delle libertà e/o dei diritti dei cittadini. In un delicato equilibrio, che peraltro va modificandosi continuamente proprio con l’evolvere della tecnologia e della minaccia.

Per la ricerca di questo giusto equilibrio è necessario che tutti – pubblica amministrazione, aziende, ricerca – concorrano alla definizione di un sistema nazionale di cyber security coerente con il profilo della minaccia, che tenga conto delle aspettative e degli impegni che il nostro Paese ha preso nei consessi internazionali cui partecipa (Alleanza Atlantica, Unione Europea) e con il sostegno bilaterale dei propri partners più importanti. Cosa è stato fatto

È in tale contesto che il DIS ha promosso e continua a promuovere iniziative mirate al consolidamento della partnership pubblico-privato – PPP, che si rifanno ad un modello multi-stakeholder. In tal senso la collaborazione con “Leonardo” appare particolarmente significativa. Leonardo, infatti, è uno degli operatori privati di rilevanza strategica che hanno firmato una convenzione con il DIS per la condivisione di informazioni relative agli incidenti cyber e che attivamente supporta le diverse iniziative del Dipartimento. A partire dal 2013, il DIS ha consolidato un formato di condivisione informativa con i gestori di infrastrutture critiche ed altri operatori strategici: tali soggetti, se da un lato notificano al Dipartimento volontariamente gli attacchi ed altre anomalie registrate sulle proprie reti e sistemi, dall’altro, sono destinatari da parte del DIS di analisi e valutazioni della minaccia cyber, così da assicurare loro un adeguato livello di sicurezza informatica. Occorre ricordare anche l’importante ruolo del CNAIPIC: costituito in seno al Servizio di Polizia Postale e delle Comunicazioni, ha il compito di garantire la prevenzione ed il contrasto degli attacchi informatici alle strutture di livello strategico per il Paese, la sicurezza e la regolarità dei servizi di telecomunicazione, il contrasto della pedopornografia online, il contrasto degli illeciti perpetrati per via informatica concernenti i mezzi di pagamento e il diritto d’autore. Per la difesa delle infrastrutture critiche, il Centro ha stipulato numerose convenzioni con enti pubblici e privati.

Nel novembre 2015 è stato inoltre istituito il Polo Tecnologico di Comparto, quale centro di eccellenza in materia di cyber security. La missione del Polo consiste nell’implementare le capacità nazionali di cyber intelligence e nel convogliare la ricerca accademica e privata affinché i relativi esiti soddisfino le esigenze della comunità intelligence nazionale, consentendo una migliore e più approfondita conoscenza delle minacce cyber attuali e future, oltre ad un miglioramento dello stato dell’arte tecnologico.

L'Intelligence ha inoltre giocato un ruolo di primario rilievo nell’elaborazione della Strategia Nazionale di Sicurezza Cibernetica ed il DIS è costantemente impegnato nel coinvolgere attivamente nell’esercizio i principali stakeholder, sia pubblici che privati. Siamo infatti consapevoli che se sapremo assicurare un elevato livello di sicurezza informatica ai nostri “campioni nazionali”, saremo anche in grado di garantire una maggiore competitività al nostro Paese sullo scacchiere internazionale, attraendo così investimenti dall’estero. A questo riguardo, stiamo attualmente aggiornando il “Piano Nazionale per la protezione cibernetica e la sicurezza informatica”, allineando lo stesso sia alla Direttiva UE sulla Network and Information Security (NIS), adottata il 6 luglio di quest’anno dal Parlamento Europeo, sia alle nuove sfide poste dall’innovazione digitale.

Il Comparto Intelligence ha ispirato e sostenuto la creazione del Laboratorio Nazionale CINI, per il coordinamento nazionale della ricerca nella cyber security. Si è

così potuto offrire alla ricerca italiana, universitaria e non, un punto di coordinamento e connessione con la PA e con le infrastrutture critiche nazionali, mettendo d’altro canto a disposizione il complesso dell’offerta e delle eccellenze che la ricerca nazionale esprime in questo campo. Il Laboratorio ha quindi naturalmente costituito una controparte qualificata per avviare la cooperazione internazionale di ricerca, che ha prodotto lo scorso anno il “Framework nazionale per la Cyber security”, elaborato secondo gli standards internazionali più avanzati.

La “way ahead” Se oggi la nostra attenzione e preoccupazione è principalmente focalizzata sul furto di dati personali e finanziari, inclusi i dati biometrici, così come di informazioni rilevanti sotto il profilo commerciale e strategico, dobbiamo tuttavia considerare anche l’impatto fisico derivante dalla manipolazione di software. Abbiamo già al riguardo degli esempi concreti, come il recente test di hacking condotto da alcuni

ricercatori su modelli di automobile Tesla, che hanno mostrato vulnerabilità che, se sfruttate,

avrebbero consentito ad un potenziale attaccante di prendere il controllo, tra l’altro, dei freni del

veicolo. Questo test mostra, in modo concreto, come un attacco cyber possa causare danni sul

piano fisico, anche in termini di feriti e, nel caso peggiore, di vittime.

Ciò dimostra l’importanza dei cd. “programmi di bug bounty” come quello, ad esempio, denominato “Hack the Pentagon”, iniziativa promossa quest’anno dal Dipartimento della Difesa USA, volto a testare la sicurezza dei propri siti web con esclusione, tuttavia, dei sistemi informatici critici. L’innovazione digitale richiede alle comunità intelligence, a livello mondiale, uno sforzo d’immaginazione senza precedenti, mentre entriamo in un futuro permeato di tecnologia. In questo nuovo mondo l’intelligence dovrà essere in grado di comprendere, prima ancora degli attori ostili, come – da un punto di vista squisitamente tecnico – una nuova tecnologia possa essere sfruttata per finalità che possono mettere a rischio la sicurezza nazionale. Europol, nel suo rapporto IOCTA sugli otto trend del cyber crime nel 2016, li ha classificati in:

crime-as-a-service: il crimine diventa una commodity che si compra al “supermercato” (nero) criminale;

i ransomware, la nuove edizione dell’estorsione; l’uso criminale dei dati nelle forme di truffe od estorsioni più sofisticate; le frodi nei pagamenti, che stanno velocemente sostituendo le “cartiere”; la pedopornografia online e gli abusi; l’abuso di darknet per attività illecite; il social engineering, ora rivolto anche ai vertici aziendali per frodi articolate; l’uso distorto delle valute virtuali, divenute lo strumento di pagamento degli illeciti.

Per tutti questi fenomeni, i trend sono in netto aumento. Il Paese ha bisogno di un progetto nazionale di cyber security, che – in una nuova e più incisiva accezione di Sicurezza Nazionale – possa confrontarsi con le nuove minacce. Ad esempio, l’affidabilità e la sicurezza di componenti hardware e software che supportano

infrastrutture critiche nazionali ed altri attori strategicamente rilevanti, possono essere conseguite solo attraverso la “messa in sicurezza” di tutti i soggetti della “catena del valore”, inclusi i produttori di componenti hardware, gli sviluppatori di software ed i fornitori di servizi IT. Una delle priorità della nuova edizione del Piano Nazionale potrebbe essere l’implementazione di

un laboratorio governativo dove testare i sistemi informatici prima del loro impiego nell’ambito di

infrastrutture critiche, sia governative che private. Tale obiettivo non può essere conseguito senza

un approccio multi-stakeholder basato sulla cooperazione con il settore privato. Tale iniziativa,

insieme alle analisi strategiche e tattiche realizzate dal Comparto, consentirà il perseguimento di

una strategia di prevenzione onnicomprensiva.

Per affrontare la minaccia, appare cruciale, da un lato, acquisire e tenere aggiornata una vasta

capacità di raccolta, analisi e conservazione dei dati, ormai in quantità immense (i c.d. big data), al

fine di individuare e disarticolare in anticipo la minaccia e, dall’altro, poter contare su nuove

sensibilità dei provider nel sostenere gli attori pubblici nel loro sforzo di garantire la sicurezza.

L’approccio, pertanto, non può che vedere la sintesi tra l’interesse nazionale e quello privato, tra

sfera collettiva e sfera privata.

Il Progetto Nazionale di Cybersecurity potrà utilmente beneficiare della dotazione messa a disposizione dalla legge di stabilità per il 2016. Perché il progetto determini, come risulta ormai essenziale, un effettivo cambio di passo per la capacità di reazione del nostro Paese sarà altrettanto indispensabile che la costruzione dello stesso avvenga con il contributo delle varie componenti (pubbliche, private e della ricerca) che costituiscono la struttura portante del tessuto cyber nazionale. E tutti gli attori chiamati a dare il loro contributo dovranno intervenire con spirito indipendente, con posizioni coerenti, con una visione naturalmente rivolta al futuro, tale da porre la sicurezza nazionale al di sopra degli interessi settoriali.

Alessandro Pansa Direttore generale DIS

I dati: il nuovo oro da mettere al sicuro La cybersecurity è la serratura della porta di casa. E in questo momento in molte aziende la porta è aperta. L'ecosistema di imprese italiano è unico nel suo genere. C’è un numero esiguo di grandi imprese, grandi pubbliche amministrazioni e grandi operatori di servizi essenziali che costituiscono meno dell’1% delle imprese. Sono le piccole-medie imprese a generare circa il 70% del prodotto interno lordo, creando di fatto una galassia imprenditoriale. Sono di tre tipi: le micro-imprese (quasi tutte le imprese italiane, circa il 95%), di solito a gestione familiare, con pochissimi dipendenti (una decina). Il secondo tipo, da dieci fino a 40/50 dipendenti (circa il 5%). Il terzo, lo 0,5% sono tra 50 e 250 dipendenti. Realtà molto piccole, soprattutto se confrontate con le grandi multinazionali; ma spesso non tanto piccole da gestire, dal momento che iniziano a presentare molte delle criticità tipiche delle grandi, soprattutto se parliamo del dominio informatico. Ma non hanno all'interno le capacità per gestire tali criticità. Una di queste criticità, relativamente nuova, è la cyber security o sicurezza informatica. Un termine che sale sempre più nelle cronache nazionali e internazionali ma di cui pochissimi conoscono il reale significato; i piccoli imprenditori non sempre hanno tempo per informarsi essendo giustamente focalizzati sul proprio business. La gestione di questo nuovo rischio, il cyber risk, richiede risorse, e molte. Possiamo definirla un'arte perché ci sono innumerevoli casi, anche recenti, di attacchi gravi condotti ad aziende enormi e fortissime dal punto di vista della prevenzione; certificazioni; uffici preposti alla sicurezza; responsabili della sicurezza e così via (l’attacco a Yahoo di qualche giorno fa sia l'esempio principe). Ma è anche una scienza: se da una parte è vero che i vari sistemi e software di sicurezza servono; è anche vero che non bastano. Ci vogliono processi di gestione, programmi di formazione, cultura della sicurezza, consapevolezza (awareness, termine di moda): siamo in un mondo che non è progettato tenendo presente la sicurezza, ma che piuttosto è abituato a tappare i buchi una volta che iniziano a fare acqua. Purtroppo la sicurezza ha un costo certo, a fronte di un rischio sì potenziale ma che se colpisce può spazzare via una piccola media impresa, in tempi paragonabili a quelli dei terremoti che tanto flagellano la nostra penisola. È proprio questa mancanza di consapevolezza che porta, soprattutto gli amministratori di PMI, i proprietari, a dire la frase principe di tutti i mali dal punto di vista digitale: "ma io non ho nulla da proteggere, cosa mi ruberebbero?", la risposta è semplice, i dati. Spesso non è facile descrivere il valore economico dei dati: una cosa così intangibile non è facile da quantificare; eppure ci sono state acquisizioni di imprese recenti che hanno spostato cifre da capogiro (pensiamo a Facebook che compra Instagram, 1 miliardo di dollari, compra anche WhatsApp, 19 miliardi di dollari) con lo scopo principale di possedere i loro dati; più importanti delle loro tecnologie e brevetti. Pare che l’attacco subito da Yahoo abbia avuto proprio lo scopo di sottrarre dati per rendere il costo della società, attualmente in vendita, più accessibile.

Le PMI hanno dati da proteggere, come tutti noi cittadini, anche se a volte non lo sanno. Sono estremamente vulnerabili agli attacchi (perché non si proteggono), e hanno bisogno di svegliarsi. La minaccia cyber è oggi, e sarà sempre peggio domani. Il Framework Nazionale per la Cyber Security (www.cybersecurityframework.it), pubblicato dalla Sapienza e scritto da importanti figure dell'impresa, dell'Accademia (con il laboratorio nazionale per la cyber security), del governo e della pubblica amministrazione italiana si è concentrato proprio sulle PMI. Per una PMI i rischi sono molteplici: cyber attacchi possono sottrarre proprietà intellettuale (magari una PMI è specializzata, sa fare solo una cosa bene, e il segreto industriale può essere sottratto. È già successo, e succede ogni giorno), preventivi – così da mostrare il fianco a concorrenti agguerriti – ma anche elenco dei clienti, dati personali (incorrendo in questo caso in processi penali a causa del codice della privacy), buste paga, business plan, elenco dei fornitori, dati di cassa, dati bancari e l'elenco non finisce qui. E’ tutto sui PC, smartphone e tablet, e mantenerli “disconnessi” non basta. Attenzione, non è solo un competitor che potrebbe avere interesse a prendere di mira una PMI e l'effetto di un attacco non è solo economico, ma anche reputazionale, morale. Bisogna agire; il tempo del pensiero è scaduto. Mettere in sicurezza i propri sistemi e formare il personale costa. Le PMI sorreggono l’intera economia itaiana; vanno aiutate e supportate ad affrontare il rischio. C’è bisogno di un sistema di incentivi fiscali per agevolare questo processo e il governo lo sa. Purtroppo però questo processo, ancora agli albori, è lungo, lunghissimo se confrontato con la velocità con cui la minaccia cyber evolve. Di conseguenza, è estremamente importante prendere precauzioni, investire in sicurezza, studiare, prima che sia troppo tardi.

Roberto Baldoni, Luca Montanari CIS-Sapienza

baldoni@dis.uniroma1.it montanari@dis.uniroma1.it

Riconoscere un attacco L’80% delle aziende italiane è sotto attacco ma non lo sa. Consigli pratici. Come costruire una password sicura Nell’attuale civiltà digitale il rischio di un attacco informatico è aumentato vertiginosamente in un tempo relativamente breve. Basti pensare che, nonostante un aumento degli investimenti sul settore della sicurezza informatica dell’8% nell’arco dell’ultimo anno, si è registrato un incremento del 30% degli attacchi. È sbagliato pensare che i cybercriminali puntino solamente ad eseguire attacchi in grande stile. Si può notare infatti come, a fianco di bersagli quali istituti governativi e bancari, siano sempre più oggetto di attacchi informatici anche PMI e liberi professionisti come medici o commercialisti. La filosofia della sicurezza dunque deve essere rivista tenendo conto che nessuno può più considerarsi al sicuro se non prende le corrette precauzioni e non adotta un atteggiamento proattivo nei confronti della sicurezza informatica. Anche il modello di cybercriminale moderno si è evoluto. Sempre più spesso si sente parlare ad esempio di cyber-hacktivisti: questi ultimi non perseguono come fine ultimo il guadagno economico, ma eseguono le loro azioni in risposta a ideali politici o religiosi e puntano dunque ad azioni che sono principalmente dimostrative (seppur anch’esse sono sovente causa di danni economici non indifferenti) e sono volte ad ottenere visibilità a livello di mezzi di stampa e di comunicazione. L’obiettivo invece di chi esegue un attacco per fini economici non è direzionato verso grandi aziende o istituti governativi, ma proprio verso la piccola e media imprese e verso i liberi professionisti. Questo avviene principalmente per due motivi. Il primo è legato alla rilevanza che viene data alla sicurezza all’interno dell’azienda. Sia per motivi interni che per motivi di aderenza alla legislazione nazionale, la maggior parte delle grandi aziende è dotata di dispositivi di sicurezza e di monitoraggio che rendono più complicato portare a buon fine un attacco informatico. È evidente invece che in un’infrastruttura in cui i dispositivi di sicurezza non sono monitorati in modo continuativo, o in casi estremi sono addirittura assenti, risulta più semplice ed efficace portare a termine un’azione di intrusione e di furto di dati. Il secondo motivo riguarda la presenza di soluzioni di disaster recovery e di backup. L’assenza di tali soluzioni è il terreno più fertile per gli attacchi di tipo ransomware che si stanno diffondendo a macchia d’olio negli ultimi mesi. Questa tipologia di attacchi non richiede un livello di preparazione tecnica molto approfondito e si sta evolvendo e raffinando sempre più. Il metodo di diffusione più comune è quello dell’email, che viene camuffata ad arte per assomigliare ad esempio ad una fattura o ad un ordine di un potenziale cliente. Il fine dell’attaccante è quello di indurre l’utente ad eseguire il download dell’allegato presente sulla mail ricevuta, in modo tale da poter eseguire l’installazione del virus sulla macchina target. Una volta installato, il ransomware esegue una cifratura di quanti più file riesce a infettare, includendo non solo la macchina locale su cui è stato scaricato, ma anche le eventuali cartelle condivise. Per ottenere la chiave di decifrazione la vittima deve pagare un riscatto, solitamente sotto forma di Bitcoin, la moneta digitale utilizzata sempre più dai cybercriminali

per le transazioni di questo genere, in quanto difficilmente rintracciabili. L’unico metodo per proteggersi da questi attacchi è avere a disposizione una soluzione di disaster recovery o di backup aggiornate. In poco tempo può essere eseguito il ripristino dei file danneggiati e la minaccia può essere scongiurata. Se tuttavia queste soluzioni non sono a disposizione, l’unico modo per recuperare i propri dati (o i dati personali dei propri clienti) è quello di pagare il riscatto: è dunque evidente che un attaccante che vuole avere un’alta percentuale di successo punterà la sua attenzione verso chi difficilmente adotta soluzioni di questo tipo e non può permettersi di perdere dati (basti pensare alle cartelle cliniche di un medico o ai dati di commercialisti ed avvocati). La prevenzione di un attacco informatico parte dunque dalla consapevolezza che possiamo esserne vittima in qualsiasi momento. La domanda che dobbiamo porci non dev’essere più “Posso essere vittima di un attacco?”, ma “Quando sarò vittima di un attacco informatico?”. Da questo scaturisce tutto ciò che riguarda il processo di valutazione del rischio e delle vulnerabilità a cui è esposto il sistema informatico di un’azienda. Spesso l’attenzione è rivolta più alla sicurezza fisica che a quella informatica, mentre si dovrebbe tener conto che nell’attuale era digitale il livello di transazioni, comunicazioni, visite ed altre attività (anche criminali!) si sta spostando sempre più verso l’astratto mondo di Internet. Facendo un paragone potremmo dire che, come nessuno uscirebbe di casa lasciando la porta d’ingresso aperta, così nessuno dovrebbe lasciare la propria infrastruttura informatica senza alcun strumento di protezione, sia esso un semplice firewall o uno strumento più avanzato. E, similmente, come può risultare utile installare un antifurto o una soluzione di videosorveglianza, allo stesso modo deve essere presa in considerazione una possibile attività di controllo e monitoraggio H24 dell’infrastruttura che raccoglie i dati digitali dell’azienda. La parte tecnologica e di processi non è tuttavia l’unica da prendere in considerazione quando si tratta di sicurezza. Come in tutte le cose che ci riguardano, a svolgere un ruolo fondamentale infatti è la parte umana. Risulta dunque di particolare importanza impartire una corretta formazione al personale che si avvale dell’utilizzo di dispositivi informatici. Nonostante adozione all’interno di un’azienda di strumenti tecnologici e processi per la riduzione del rischio, è l’utente l’attore che può determinare la buona riuscita di un attacco, a seconda che abbia sviluppato o meno la capacità di riconoscere e distinguere una mail malevola. Bisogna tuttavia sottolineare che le attività di prevenzione non forniscono garanzia di immunità da un attacco informatico: nonostante tutte le precauzioni adottate, rimangono comunque margini per un attaccante particolarmente abile o motivato di riuscire a superare le misure di sicurezza messe in piedi. Entra in gioco dunque la capacità di riconoscere un attacco e di essere in grado di dare un’adeguata risposta all’attacco in corso. Non è facile infatti rilevare la presenza di un’attività malevola in corso se non si è dotati di strumenti adeguati. Mentre un attacco di tipo ransomware è facilmente individuabile e riconoscibile, altre tipologie di attacco possono risultare meno evidenti e dunque di difficile rilevazione. Basti pensare che il tempo medio di rilevazione di un attacco informatico varia dai 98 ai 197 giorni e che un attacco viene riconosciuto correttamente solamente nel 25% dei casi.

Questi dati evidenziano come la fase di riconoscimento possa risultare difficile, soprattutto quando si tratti di APT (Advance Persistent Threat), tipologia di minaccia sempre più utilizzata. Questo genere di attacco evidenzia anche una seconda caratteristica dei cybercriminali moderni: la pazienza. Mentre un tempo si cercava di ottenere “tutto e subito” oggi l’attaccante sa attendere il momento adatto per sferrare l’attacco ed è proprio questo aspetto a caratterizzare i malware APT. Vengono infatti inseriti nel sistema sfruttando vulnerabilità note e restano poi dormienti, fino a quando l’attaccante non ottenga informazioni sufficienti per portare a termine la sua attività. È proprio questa la caratteristica che li rende così difficilmente rilevabili: non eseguendo attività alcuna, o eseguendo comunque azioni che gli antivirus non riconoscono come malevole, questi malware riescono a rimanere nascosti permettendo all’attaccante di prenderne il controllo ogni qual volta lo desideri, sfruttando questo punto d’ingresso per eseguire altre attività sul target designato. È chiaro dunque che i metodi di riconoscimento di queste tipologie di infezioni devono essere per forza di cose molto avanzati, in quanto molto spesso la signature analysis fornita dagli antivirus (ovvero l’analisi della firma del file per verificarne la presenza all’interno di un database di virus noti) non è efficace. Questo perché il malware viene confezionato ad hoc per il target in questione, ed è quindi sempre diverso da un’installazione all’altra. Per la rilevazione di questi attacchi è dunque necessaria un’analisi del traffico che eseguito dalle postazioni per evidenziare contatti con l’attaccante. Per controllare il malware l’attaccante infatti deve forzatamente eseguire delle connessioni verso la macchina che lo ospita. Tramite appositi strumenti di monitoraggio, queste attività anomale possono essere isolate e segnalate al team tecnico, che può dunque procedere ad un’analisi approfondita della macchina in questione al fine della rilevazione del malware. La prevenzione e la rilevazione successiva di attacchi informatici eseguiti verso un’infrastruttura risultano dunque essere elementi fondamentali per poter affrontare in modo adeguato i pericoli derivanti dal cybercrime. Partendo dalla considerazione che le tipologie di attacco sono molteplici e in continua evoluzione, è evidente che individuare una strategia unica o delle best practice generali in grado di indirizzare correttamente le attività risulta essere particolarmente complicato, oltre che rischioso: l’eterogeneità della situazione esterna fa sì che tali regole generaliste possano risultare di scarsa applicabilità ed efficacia nei confronti di un attacco mirato e ben strutturato. Si possono tuttavia individuare delle “buone pratiche” di sicurezza che, relazionate alle diverse tipologie di attacchi più frequenti, aiutano a ridurre il rischio (che non potrà comunque mai essere eliminato) di cadere vittime di un cyber attacco. Attacchi più comuni nel corso del 2016

Phishing e spear phishing: questa tipologia di attacchi viene solitamente da

un’attività di social engineering, volta a sfruttare abitudini, comportamenti e

vulnerabilità del target. Mentre l’attività di phishing avviene solitamente tramite

“campagne” di mail più semplici da riconoscere ed individuare (a causa anche di errori

di ortografia o traduzioni imprecise), le attività di spear phishing sono altamente

targettizate e ritagliate ad hoc sulla vittima dell’attacco. In questo caso l’attività di

pianificazione e tempismo svolge un ruolo fondamentale e permette all’attaccante di

camuffarsi al meglio, fingendo di essere un cliente piuttosto che un fornitore, e

inducendo l’utente che riceve la mail a eseguire azioni malevole senza rendersene

conto. In generale alcune buone pratiche da seguire per ridurre il rischio di attacchi di

phishing sono le seguenti:

1. All’apertura di una mail che non si riconosce o non si attende, evitare di

cliccare sul contenuto.

Di per sé, il testo di un’email non è mai pericoloso. Il vero pericolo si nasconde

dietro collegamenti e allegati. Questi ultimi sono responsabili della maggior

parte delle infezioni nella posta. Prima di compiere qualsiasi azione è

importante controllane l’aspetto generale.

2. Valutare il mittente, controllando l’intestazione e la parte successiva alla

@: dovrebbe corrispondere al sito web del mittente. Se non è così

probabilmente non viene dall’azienda in questione. Il campo del mittente

tuttavia può essere agevolmente camuffato (email spoofing).

3. Diffidare dalle email che mettono fretta: sembrano arrivare dalla propria

banca, azienda o social network. Comunemente il messaggio è allarmistico e

del genere: "verifica il tuo account" oppure "rispondi entro 48 ore".

4. Porre attenzione alla forma dell’email: deve essere scritta correttamente,

senza errori grammaticali, e deve contenere immagini in buona definizione.

5. Prestare attenzione ai link: basta passare con la freccia del mouse sul link

senza cliccare per controllare che il link sia originale e che corrisponda al sito

web ufficiale. In generale è bene diffidare delle mail che contengono nel corpo

solo una riga con un link.

6. Controllare l’attendibilità del sito a cui l’email rimanda: in caso di dubbi,

si può verificarne la sicurezza su siti come www.virustotal.com per scoprire se

il link su cui si sta per cliccare è pericoloso o meno.

7. Attenzione agli allegati: di solito gli antivirus, i browser più sicuri e le

applicazioni di posta elettronica eseguono i controlli necessari, ma alcuni

contenuti malevoli non vengono rilevati. Può risultare utile osservare

l'estensione dell’allegato per verificare che non sia doppia (ad esempio

.pdf.exe).

Attacchi brute force: consistono nel tentativo da parte di un hacker di indovinare,

tramite un processo di trial and error, la password o il pin di un dispositivo. Questi

tentativi vengono solitamente eseguiti da software che si appoggiano su database di

password comuni. Anche in questo caso è possibile però essere vittima di attacchi

mirati: molti di questi software infatti eseguono tentativi non solo su password note,

ma anche su possibili combinazioni di lettere e numeri basate su degli input forniti

dall’attaccante. Conoscendo elementi come nome, cognome, data e luogo di nascita o

altre informazioni sulla persona di cui vuole scoprire la password, può utilizzarle

come base di partenza per il tool automatico, che genera diverse possibili

combinazioni. Il successo di questi attacchi si basa sulla capacità di calcolo della

macchina che esegue l’attività (semplificando: quante password al secondo può

generare) e sulla robustezza delle password dell’utente. Buone pratiche per ridurre il

rischio di subire un attacco di questo tipo sono le seguenti:

1. Usare password che non contengano informazioni personali

2. Limitare i tentativi di login falliti

3. Utilizzare password “forti”

4. Non scrivere le password su carta, ma utilizzare gli appositi tool di salvataggio

delle password cifrati

5. Non utilizzare la stessa password per servizi diversi

Può sembrare strano, ma le password più comuni nel 2016 sono ancora “123456”, “password” o “qwerty”…

Attacchi di Denial of Service (DoS): un attacco di tipo Denial of Service coinvolge

solitamente una o più macchine attaccanti (attacco DoS distribuito). Il cyber

attaccante prende il controllo di alcune macchine, chiamate zombie, le quali eseguono

un elevato numero di richieste verso la macchina target, rendendola indisponibile ed

andando quindi a rendere impossibile la fruizione dei servizi erogati. Può accadere

che la stessa macchina sia coinvolta in entrambe le fasi dell’attacco, ovvero diventi uno

zombie e sia la destinazione finale del DoS. Sono varie le metodologie utilizzate per

prendere il controllo delle macchine: può trattarsi dello sfruttamento di vulnerabilità

note, oppure dell’installazione di un malware tramite un link o una mail malevoli. Il

riconoscimento di un attacco DoS e la sua prevenzione richiedono strumenti di

monitoraggio del traffico di rete specifici, in grado di individuare anomalie sul traffico

in entrata o in uscita dalla rete aziendale, in modo tale da stroncare sul nascere

possibili tentativi di attacco.

Attacchi man in the middle: consistono nell’intercettazione da parte dell’attaccante

della comunicazione legittima in corso tra due attori. Tramite diverse tecniche, che si

differenziano attraverso la tipologia di connessione in corso, l’attaccante osserva lo

scambio di informazioni tra le due parti, e al momento più opportuno si sostituisce a

una delle due per ottenere quanto desidera.

Un classico esempio di questa tipologia di attacco, che sta mietendo sempre più

vittime anche in Italia, viene denominato man in the mail: a seguito della violazione

dell’account di posta di uno dei due attori coinvolti, l’attaccante è in grado di assistere

alle conversazioni email. In questo modo egli può carpire quante più informazioni

sulle persone coinvolte e al momento opportuno sostituirsi ad una di esse in maniera

esemplare. Questo avviene solitamente poco prima di una transazione di denaro: il

cyber attaccante si sostituisce dunque all’effettivo destinatario del pagamento e

richiede che il bonifico venga eseguito su un IBAN apposito, diverso dal solito o da

quello precedentemente comunicato. Evidentemente l’ignaro pagante non può sapere

che tale comunicazione sta arrivando da una persona diversa da quella reale, tanto più

perché l’attaccante cerca in tutti i modi di dissuadere dal contatto telefonico,

adducendo scuse come riunioni, viaggi o altre problematiche. La maggior parte delle

volte dunque il pagamento viene eseguito e il cyber attaccante si dilegua prima di

poter essere individuato.

L’unico modo per evitare il verificarsi di tali truffe è chiedere una conferma certa da

parte del ricevente e in caso di dubbi stoppare l’attività di bonifico.

Minacce dall’interno: va tenuto nella dovuta considerazione il fatto che l’attenzione

agli attacchi informatici deve necessariamente essere rivolta non solo verso l’esterno,

ma anche verso l’interno dell’azienda. Un dipendente particolarmente motivato

potrebbe creare un danno molto maggiore rispetto a quello di un cyber attaccante,

vista la sua conoscenza dell’infrastruttura e degli asset aziendali. Per comprendere

pienamente questo, può essere utile soffermarsi su un caso realmente accaduto,

relativo ad un’azienda con sedi produttive e commerciali in diversi paesi del mondo,

operante con successo in una specifica nicchia di mercato. Notando una consistente

flessione delle vendite in temi brevi e la contemporanea ascesa nel mercato di un

nuovo concorrente, la Direzione cominciò a interrogarsi sui possibili motivi. L’esito di

un’indagine interna portò ad individuare alcuni comportamenti non appropriati di un

responsabile commerciale, che venne allontanato dall’Azienda. Poiché i prodotti offerti

dal nuovo competitor presentavano caratteristiche molto somiglianti a quelle dei

propri, l’Azienda decise di approfondire ulteriormente le indagini per individuare altri

possibili coinvolgimenti. Venne così eseguita, nel rispetto dei vincoli imposti dalla

normativa sulla privacy, l’analisi forense su pc e smartphone aziendali concessi in uso

al responsabile commerciale allontanato. Dall’analisi dei dati, cancellati dall’utente ma

recuperati mediante particolari tecniche forensi, emerse che l’utente in questione

agiva per conto dell’azienda concorrente, disponendo addirittura di un indirizzo di

posta ufficiale. Dall’analisi dello scambio di email emersero collegamenti tra il

responsabile allontanato e altri tre responsabili tecnici dell’Azienda, a loro volta

quindi allontanati. In accordo con la direzione, si avviò l’analisi forense di tutti i

dispositivi informatici aziendali (pc desktop, pc portatili, tablet, smartphone) dati in

utilizzo alle persone allontanate, al fine di meglio circostanziare il livello del loro

coinvolgimento.

L’esito delle analisi fu decisivo e sorprendente allo stesso tempo. L’analisi infatti non

fornì solo ulteriori e pesantissimi dettagli sul coinvolgimento degli utenti individuati,

ma delineò uno scenario di “azienda nell’azienda”, nel quale il responsabile

commerciale inizialmente allontanato e i 3 responsabili tecnici successivamente

individuati svolgevano un ruolo centrale di coordinamento. L’analisi mise altresì in

luce il coinvolgimento di ulteriori figure aziendali presenti in un’importante sede

estera e l’appoggio di alcuni fornitori compiacenti.

In funzione di queste evidenze, l’azione di analisi fu estesa con le medesime modalità a

tutte le sedi estere interessate, permettendo di arrivare a determinare il complesso

reticolo di persone coinvolte e le relative responsabilità.

Su indicazione di esperti informatici, l’azienda cominciò a muoversi su più fronti,

partendo immediatamente dalla revisione del regolamento sull’utilizzo dei beni

informatici aziendali, che risultava in certi punti carente e dava quindi spazio a utilizzi

non conformi. L'azienda avviò inoltre diversi progetti organizzativi e tecnologici per il

miglioramento delle procedure di controllo degli accessi ai dati riservati, che prima

della vicenda non erano stato oggetto di sufficiente attenzione, ponendo a serio rischio

l’azienda stessa.

Un’adeguata prevenzione degli attacchi risulta dunque di fondamentale importanza in qualsiasi infrastruttura, sia essa un’istituto bancario o una piccola impresa, al fine di garantire a sé stessi e ai propri clienti la capacità di mantenere l’integrità, la confidenzialità e la disponibilità di dati sensibili e personali e di informazioni strategiche.

Marco Iavernaro SOC team leader gruppo Yarix

marco.iavernaro@yarix.com

Verso un mondo senza password

E’ sempre più difficile memorizzare password sicure. I sistemi diventano complessi ma il cervello umano è sempre lo stesso. Ecco le soluzioni del futuro L’utilizzo delle password ha radici militari e finanziarie: dagli accampamenti militari di epoca romana ai banchieri fiorentini, il loro utilizzo era molto simile a quello odierno, ovvero verificare l’identità di una persona. Oggi, nonostante si siano aggiunte complesse sovrastrutture digitali, il principio è medesimo: l’amministratore di un computer o il titolare di un conto bancario vengono riconosciuti attraverso una password, la quale sblocca automaticamente i servizi correlati.

Le password sono sempre state uno strumento controverso, in quanto la loro segretezza è allo stesso tempo punto di forza e debolezza. Idealmente dovrebbe essere non intuibile, facile da ricordare anche se non si usa per molto tempo, adatta al contesto in cui la si utilizza. Una password troppo semplice può facilmente diventare preda di persone non autorizzate, mentre una troppo complessa può essere difficile da ricordare o digitare, generando perdite di tempo e produttività. Se cinquant’anni fa questo problema era di spie, crittografi e gradi più elevati dell’esercito, oggi chiunque deve ricordarsi svariate password, necessarie per avere il controllo di ciò che digitalmente gli appartiene. Se escludiamo il denaro contante nelle tasche e qualche mazzo di chiavi, nel mondo attuale è pressoché tutto. Questo espone ciascuno a tre problemi principali:

Il valore che le password devono proteggere è in crescita Il numero di password da ricordare è in crescita La capacità dei computer di scoprire una password è in crescita esponenziale

Sul primo punto le password custodiscono sia le risorse finanziarie, per esempio servizi di home banking e bancomat, sia ricordi e aspetti della vita privata che tramite servizi cloud sono diventati accessibili ovunque (ma anche da chiunque ne conosca la password). Password che custodiscono risorse a tutti i livelli, dall’utente meno esperto che salva le foto dei propri gattini all’amministratore di sistemi energetici e difensivi critici per interi Paesi. Il secondo punto riguarda la frammentazione delle identità e dei servizi ad esse correlati. Social network, caselle di posta elettronica, siti e-commerce, community e app richiedono l’inserimento della propria email e la definizione di una password, la quale in moltissimi casi è scelta dall’utente tra un gruppo ristretto di alternative, al limite variata con “permutazioni” di lettere o numeri. Nel lungo periodo, avallando la tesi di oltre 200 account pro capite1, è impensabile che gli utenti non facciano uso della stessa password su più sistemi, o le annotino su supporti più o meno sicuri per poi recuperarle al momento opportuno. Sebbene la tecnologia offra già soluzioni efficaci (casseforti di password sullo smartphone o sistemi di “single sign on” tramite Facebook o Google) il rischio è la concentrazione in un punto singolo: in America viene pragmaticamente chiamato “single honeypot” ovvero il singolo vaso di

1 Guillaume Desnoës, “How will we manage 200 passwords in 2020?,” ITProPortal, September 13, 2015, www.itproportal.com/2015/09/13/how-will-we-manage-200-passwords-in-2020/

miele che tanto più diventa grande, tanto più è appetibile dai malintenzionati. Pertanto da un lato si concentrano i punti dove le password vengono custodite, dall’altro vi è un’altissima probabilità che la stessa parola chiave venga poi utilizzata su sistemi più importanti e meglio protetti, dalla banca alle applicazioni aziendali. Linkedin è stato solo l’ultimo di una serie molto lunga2. Il terzo punto è ancor più inevitabile: la legge di Moore nel 1965 stabiliva che il numero di transistor integrabili all’interno di un chip potesse raddoppiare ogni dodici mesi. Oggi il ritmo è leggermente calato (siamo a 18 mesi) ma la diffusione di smartphone e internet a banda larga ha portato ovunque, e in modo non controllabile, questa potenza di calcolo. Uno studio di dieci anni fa (nel 20063) stima che una password di 8 caratteri potesse essere individuata in circa 77 giorni compiendo un attacco di tipo brute force, ovvero combinando tutti i caratteri digitabili da una comune tastiera. Per questo motivo oggi si richiedono maiuscole, minuscole, caratteri speciali e numeri. Ma non è sufficiente: il nostro cervello si è dovuto evolvere per sopravvivere alla savana come primati evoluti, non per evitare che computer sempre più sofisticati fossero in grado di indovinare cosa stesse pensando. Infatti secondo lo stesso studio molto difficilmente riusciamo a ricordare password più lunghe di 9 caratteri, con eccezioni che si fermano a parole di 5 caratteri. Il risultato tende al catastrofico: il nostro cervello non può più ricordare password abbastanza sicure, queste servono in numero sempre maggiore e devono proteggere informazioni sempre più preziose. In soccorso arrivano tecnologie di vario genere, le quali concatenate alla password permettono di avere uno “strato” aggiuntivo di autenticazione, garantendo innanzitutto meno notti insonni ai responsabili di sicurezza delle aziende più esposte ad attacchi informatici. Il metodo più comune, la “one time password”, consiste in un pin temporaneo spedito via SMS o mostrato sul display di strani portachiavi che le banche (o grandi multinazionali) ci fanno usare per fare bonifici o avere accesso alla rete intranet aziendale. Seguono sistemi di biometria, spesso abbinati a smart card, i quali utilizzano l’impronta digitale per riconoscere l’utente e garantire l’accesso. In questo caso il DNA e il possesso di una tessera neutralizzano il furto della sola password, costringendo l’autore di un possibile attacco ad ottenere la prossimità del bersaglio. A questo complesso intreccio di processi vengono sovrapposte piattaforme di behavioral authentication, ovvero metodi che analizzano il contesto e il comportamento dell’utente prima di garantire l’accesso. Utilizzare un computer nuovo, connettersi da un Paese per la prima volta, sbagliare un po’ troppe volte la password e immettere un codice OTP errato sono tutti segnali che i sistemi attuali interpretano come probabile aggressione, bloccando temporaneamente l’accesso. In ogni caso il viaggio si è compiuto solo a metà: ricordarsi le password è diventato sempre più difficile, come è sempre più difficile fornire fattori di autenticazione aggiuntivi (impronta digitale, pin temporaneo) i quali tendono a moltiplicarsi insieme alle piattaforme a cui dobbiamo avere accesso. La biometria, applicata a dispositivi personali e indossabili, potrebbe in parte risolvere questo problema sempre più grande, sebbene l’assenza di

2 http://money.cnn.com/2016/05/19/technology/linkedin-hack/ 3 Hossein Bidgolli, editor, Handbook of Information Security (Hoboken, NJ: John Wiley & Sons, 2006), p. 433

segretezza apre scenari ancor più inquietanti: chi colleziona e custodisce i dati biometrici per attestarne la validità e sbloccare l’accesso? E chi difende questi sistemi da attacchi informatici volti a rubarli o manometterli?

La risposta è nella decentralizzazione delle infrastrutture di identificazione, ma questa è tutta un’altra storia.

Stefano Pepe Founder & CEO presso UniqId Inc

pepe@uniquid.co

Non aprite quella porta La dissimulazione disonesta: l’ingegneria sociale Non importa di quali tecnologie di sicurezza sia dotata la tua azienda, l’investimento in soluzioni all’avanguardia potrebbe essere inficiato dal comportamento di un solo utente, manipolato con un attacco di ingegneria sociale. Il social engineering costituisce una minaccia temibile per le reti più protette. È l'attacco più potente, perché non esiste alcuna tecnologia che permetta di prevenirlo o di difendersi. Per esserne immuni è necessario essere addestrati. In cosa consiste la minaccia più difficile da cui proteggersi? L’ingegneria sociale è in generale l’arte di indurre le persone a compiere determinate azioni dissimulando il reale obiettivo dell’attacco. L’ingegnere sociale è abile a mascherare la propria identità, fingendosi un'altra persona: in tal modo, attraverso la conversazione o altre interazioni, riesce a ricavare informazioni che altrimenti non otterrebbe. In ambito security il social engineering viene utilizzato come metodo di intrusione e spesso l’attività di social engineering è strettamente collegata a quella di phishing. L’evoluzione del cybercrime negli ultimi anni evidenzia la tendenza all’utilizzo congiunto di tecniche avanzate di malware e social engineering per lanciare attacchi sempre più sofisticati e difficili da prevedere o rilevare, tali da provocare danni ingenti e a volte irreparabili ai sistemi di sicurezza aziendali, con conseguenti perdite economiche, perdita di dati sensibili e informazioni strategiche, danno alla reputazione. Tra le principali cause di vulnerabilità delle aziende, in cima alla classifica si posizionano i comportamenti inconsapevoli e la distrazione delle persone. Si stima che ben due terzi degli attacchi non vengano neppure rilevati, tanto sono diventati abili i criminali informatici nello sfruttare le lacune nella sicurezza per eludere i controlli e nascondere le attività dannose. Sempre più spesso i malware sono presenti nel computer della vittima in modo silente e, senza essere rilevati dagli antivirus, trafugano informazioni strategiche, sabotando e danneggiando i sistemi. Per capire meglio l’attacco di ingegneria sociale è necessario soffermarsi brevemente sul suo fondamento. L’ingegneria sociale utilizza infatti strategie psicologiche che permettono di bypassare i processi razionali dell’individuo, facendo leva su alcuni tratti caratteristici del comportamento umano. Tale metodologia, certamente non nuova e alla base oggi anche delle più efficaci strategie di marketing, è stata oggetto di studi approfonditi a partire dagli anni ottanta. Semplificando, le tendenze di base del comportamento umano sfruttate dall’ingegnere sociale sono:

altruismo: l’uomo è naturalmente portato ad aiutare un proprio simile in modo disinteressato se prova empatia nei suoi confronti e se l’aiuto che gli dà non ha per lui costi troppo elevati

authority: le affermazioni fatte da persone autorevoli sono maggiormente persuasorie

coerenza: mantenere una immagine coerente ha una funzione tranquillizzante nei

confronti di chi ci osserva perché non costringe ad una nuova valutazione liking: le persone più attraenti sono spesso le più persuasive reciprocità: quando viene offerto qualcosa che non si è richiesto, si è spinti a

ricambiare in qualche modo il favore che ci è stato fatto scarsità: un’opportunità poco disponibile è senz’altro più appetibile rispetto ad

un’altra per la quale non sussistono limitazioni validazione sociale: se un pensiero, un comportamento o un modo di essere è

condiviso da un buon numero di persone, verrà facilmente percepito come una buona alternativa da seguire

Se passiamo ora a considerare l’ingegneria sociale applicata alle intrusioni in un sistema informatico, possiamo comprendere meglio i principali canali di attacco. Si possono distinguere due grandi categorie: attacchi basati sulla sola interazione fra esseri umani e attacchi che sfruttano un computer come mezzo. Fra gli attacchi della prima categoria rientrano strategie come l’impersonare qualcuno per trarre vantaggio dal ruolo simulato: lo spacciarsi ad esempio per una persona importante è utile al fine di intimorire l’interlocutore facendogli abbassare le difese; oppure fingersi del supporto tecnico può servire a carpire informazioni riservate o accedere fisicamente al computer vittima. Altre tecniche da non sottovalutare, anche se a prima vista più banali, sono lo shoulder surfing (ossia sbirciare inosservati password o altre informazioni, posizionandosi solitamente alle spalle della vittima ignara) oppure il dumpster diving, ossia il recupero di materiale dall’immondizia. Nella seconda categoria rientrano invece tutti gli attacchi software based come phishing e spear phishing, baiting (pensiamo ad esempio all’abbandono ad arte di chiavette USB o cd in modo da stimolare la curiosità della vittima) e lo scam (o truffa online). Il phishing è un tipo di attacco con cui i criminali informatici inviano messaggi email a migliaia di potenziali vittime in tutto il mondo con l’obiettivo di perpetrare una frode. Normalmente questi messaggi sembrano provenire da una fonte di cui si ha fiducia, come ad esempio la banca. Le email possono contenere un link che conduce ad un sito progettato per infettare il computer dell’utente oppure un allegato infetto che, una volta aperto, tenterà di prendere il controllo del computer. Più persone sono destinatarie dell’email, più alto sarà il numero delle vittime. Nello spear phishing il concetto è il medesimo: l’attaccante invia un’email alla sua vittima fingendosi un’organizzazione o una persona di cui la vittima ha fiducia. A differenza del phishing tradizionale, i messaggi di spear phishing sono estremamente mirati: destinatari ne sono, anziché migliaia di vittime potenziali, un gruppo ristretto, precedentemente oggetto di analisi fondate su ricerche. In questo modo la possibilità che i destinatari cadano vittime della truffa aumenta enormemente. Come si viene infettati? Vi sono alcune situazioni tipicamente sfruttate dal social engineer. Possono a prima vista sembrare attacchi di poco conto, ma il danno che può derivarne a volte è ingente. Pensiamo al furto di credenziali o al download di codici maligni, che può portare anche al controllo della macchina dell’utente. I criminali sfruttano il web per creare siti trappola contenenti malware, a cui le vittime

vengono indirizzate attraverso post diffusi ad arte sui canali social o link inviati con email. Vediamo quali sono le situazioni sfruttate:

Notizie a grande diffusione: siano esse legate al lancio di un prodotto o servizio molto atteso, oppure ad un incidente o una catastrofe naturale, qualsiasi evento che genera clamore è un perfetto punto di partenza per creare una trappola.

Celebrità e personaggi famosi: notizie, vere o false che esse siano, riguardanti persone importanti e forgiate ad arte con l’uso del sensazionalismo, magari promettendo la visione di un video o di foto esclusive, riescono a mietere un numero elevatissimo di vittime.

Truffe legate all’utilizzo dei social network: gli utenti vengono spesso spinti a scaricare estensioni dannose per il browser con la falsa e allettante promessa di una nuova funzionalità.

False notifiche attraverso email: il più delle volte fanno leva sull’urgenza e il timore delle conseguenze per indurre l’utente a reagire velocemente. Utilizzano contenuti allarmanti per indurre a visualizzare un allegato infetto, inserire credenziali in una pagina fasulla, oppure ancora effettuare un pagamento online. A volte si tratta dell’invito ad installare un aggiornamento (come non ricordare i finti aggiornamenti di Flash Player?) o falsi avvisi di infezioni per indurre ad installare un presunto antivirus.

Chi sono gli intrusori? Nella maggioranza dei casi si tratta di organizzazioni criminali che mirano al profitto. In altri casi però le motivazioni possono essere diverse e riguardare la sottrazione di dati utili, il conseguimento di un vantaggio competitivo, il desiderio di vendetta. Accanto dunque alla criminalità organizzata, ci sono altri attori come hacker solitari, con competenze e motivazioni di vario tipo, gruppi terroristici, hacktivisti, ma anche organizzazioni commerciali (alcuni settori ad esempio prevedono incentivi economici a fronte dell’acquisizione di dati personali) e insider. Questi ultimi spesso non hanno grandi competenze tecniche, ma il loro accesso alle reti rappresenta un’opportunità allettante. Come viene condotto un attacco di social engineering? L’attività, se diretta su un target circoscritto, risulta strutturata in più fasi, che possono essere così riassunte:

Fase preliminare: in questa fase, definita footprinting, il social engineer si occupa della raccolta delle informazioni sulla vittima necessarie per condurre l’attacco, quali ad esempio indirizzi email, recapiti telefonici, numeri di fax, ecc. Questa fase è complessa e può richiedere parecchio tempo, utilizzando molteplici fonti come ad esempio informazioni reperite da siti web aziendali, profili di social networking, documenti pubblici.

Fase intermedia: in questa fase, non sempre presente nell’attività di social engineering, l’ingegnere si occupa di verificare che le informazioni in suo possesso siano attendibili. Dopo aver preparato una sorta di canovaccio con le informazioni raccolte nella fase precedente e con le risposte ad eventuali quesiti che potrebbero essere posti, per effettuare tali verifiche l’engineer cerca di entrare in contatto diretto con la vittima o persone vicine. Lo strumento più utilizzato è senza dubbio la telefonata, che viene effettuata utilizzando uno stile vocale adeguato e studiato ad hoc. Al fine di raggiungere l’obiettivo, cercherà di entrare in sintonia con la vittima e dimostrare una certa sicurezza nel caso in cui gli vengano poste delle domande.

Fase finale: tale fase coincide con l’attacco vero e proprio, in cui si contatta la vittima

per reperire le informazioni desiderate (un classico esempio è rappresentato dalla richiesta di username e password di autenticazione) con le scuse più disparate (controlli sulla macchina o sulla casella di posta elettronica, assistenza remota, ecc.). L’attacco viene condotto con tono accomodante e convincente, al fine di spingere l’interlocutore a fornire le informazioni richieste. Se la vittima cade nella trappola, il social engineer avrà raggiunto il suo obiettivo, ossia una breccia nel sistema informatico della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.

Risulta dunque di facile comprensione come il dipendente che si fidi ciecamente sia un anello debole nella catena della sicurezza, con conseguente esposizione dell'azienda ad un rischio, poiché con il suo comportamento può fornire agli hacker maggiori punti di ingresso. La difesa più efficace contro il social engineering è la formazione e sensibilizzazione del dipendente, che deve conoscere e saper applicare le politiche di sicurezza aziendali, essere informato sui rischi legati al cybercrime e consapevole di come gli altri possano influenzare il suo comportamento in senso negativo. È chiaro che la formazione deve comunque essere supportata dall’utilizzo di strumenti software e hardware atti a prevenire gli attacchi di social engineering. Risulta inoltre evidente che all’interno di una organizzazione la sicurezza informatica deve coinvolgere tutti i reparti aziendali, oltre che i processi. Bisogna considerare dunque che la sicurezza non è un prodotto ma un processo aziendale che necessita di essere continuamente affinato e verificato per essere efficiente ed efficace. Soltanto individuando i punti di possibile attacco di un sistema o di una infrastruttura ICT è possibile porvi rimedio neutralizzando le minacce e le criticità. In quest’ottica, per i team di sicurezza che sono preposti alla difesa e devono migliorare costantemente l’approccio alla protezione delle loro aziende, può risultare utile pianificare attività di social engineering da condurre sui dipendenti, con l’ausilio di società che offrono questa tipologia di servizi. Due sono principalmente le motivazioni alla base delle richieste di attività di social engineering con finalità di test: la volontà di verificare le reazioni del personale qualora venga sottoposto ad attacchi esterni e la volontà di valutare il grado di assorbimento da parte del personale dei contenuti dei corsi di formazione erogati, per verificare l’effettiva comprensione e la capacità di darne attuazione. I test vengono preceduti da una pianificazione dettagliata, sulla base delle informazioni iniziali fornite dal committente e l’individuazione di specifici target. Gli scenari di test sono studiati su misura per le policy e i processi specifici di ciascuna azienda o organizzazione.

Elena Vidotto Marketing Manager Gruppo Yarix

elena.vidotto@yarix.com

L’uomo che sussurra alle macchine: l'analista dei dati nell'impresa

“Un giorno le macchine riusciranno a risolvere tutti i problemi, ma mai nessuna di esse potrà porne uno”

Albert Einstein. L'evoluzione delle minacce informatiche Ogni giorno è possibile osservare un incremento inesorabile della complessità delle minacce informatiche (Cyber Threats) ed il rispettivo aumento di efficacia. Tale complessità, che sempre più’ spesso riesce a sfidare complessi sistemi di threat detection come per esempio (ma non limitato a): AntiVirus Comportamentali, SandBox ed Exploiting Detectors, nasconde un cambiamento epocale: la nascita delle Cyber Attacker Organizations. Una delle principali informazioni da raccogliere al fine di creare un buon metodo di difesa informatico (Cyber Defence) è comprendere chi sia il probabile attaccante. I processi, le procedure e gli artefatti da utilizzare nel caso in cui gli attaccanti principali siano “Exploit Kids” oppure attaccanti “opportunistici” sono assai differenti rispetto a quelli necessari per contrastare attaccanti professionisti e/o organizzazioni strutturate.

La presenza di “Cyber Attack Organizations”, spesso finanziate da enti governativi ma anche organizzazioni spontanee, aumentano notevolmente il grado di complessità delle nuove minacce: ora sviluppate non solo da professionisti del settore ma da vere e proprie complesse organizzazioni con dipartimenti di R&D e di sviluppo ad-hoc. La totale assenza di confini resa possibile grazie ad Internet, amplifica l’economia di scala di tali organizzazioni al punto da rendere ogni singola persona e/o “piccola media impresa” (PMI) potenziali vittime. Questo scenario cambia radicalmente il processo di difesa: ogni organizzazione deve dotarsi di strumenti di difesa preparandosi a subire attacchi professionali e non più’ semplicemente opportunistici.

Il limite della macchina. Il sistema macchina è - e con buona probabilità resterà - drasticamente efficace ad eseguire compiti (task) di natura sempre più complessa. Alcune macchine avranno la capacità di scegliere quale task attuare ed altre avranno la capacità di migliorare il proprio task in funzione del numero di volte che esso verrà eseguito e di parametri esterni che potrebbe percepire durante l’esecuzione dei propri “run” (fase di esecuzione di un task). Una logica razionale e programmatica sarà, con alta probabilità, sempre il driver di tali scelte. Proprio come Albert Einstein intuì all'inizio del 1900 (in questo articolo il concetto di “macchina” prende il significato di: “sistemi automatizzati per l’individuazione delle minacce informatiche”) la grandezza del sistema automatizzato è vincolata dal suo contesto e dal metodo razionale con il quale esso è stato sviluppato. Una Cyber Attack Organization è formata sia da automatismi che da esseri umani i quali hanno il compito di studiare, attraverso un sistema non razionale (la mente umana), un metodo per evadere un sistema razionale.

La dimostrazione di quanto scritto è alla luce di tutti e vede la propria massima espressione nella realizzazione dei metodi di evasione da strumenti automatizzati come mostrato in www.malwarestats.org. L'intelletto umano ha pertanto portato alla generazione di attacchi informatici basati sul polimorfismo, al fine di evadere signature statiche, sul metamorfismo al fine di evadere signature comportamentali, metodi di evasione basati sul controllo di negazione (come per esempio contattare un dominio non esistente), metodi di evasione basati sull'individuazione di sistemi di emulazione, metodi di evasione basati sul controllo della presenza umana (verifica periodica di click, scrittura, movimenti mouse, etc..), metodi di evasione basati sulle performance del sistema (controllo di RAM e numero di CORE), etc. Per ogni metodo di evasione un sistema automatizzato veniva creato al fine di intercettare e mitigare l’evasione realizzata, parallelamente per ogni metodo di mitigazione e protezione automatizzato un ulteriore step di evasione veniva studiata, realizzata ed utilizzata in nuovi attacchi. Risulta pertanto chiaro che i sistemi attuali automatizzati non riescono a competere con l’essere umano. La grande complessità umana paragonata ai cyber threats La capacità di percepire “piccoli segnali” è una delle più grandi doti non razionali dell’ essere umano. Prendiamo come esempio un classico attacco opportunistico realizzato da organizzazioni a fine di lucro come per esempio: Bayrob v.2016 (noto Malware appartenente alla famiglia BackDoor). Uno dei principali metodi di infezione fino all’inizio del 2016 era attraverso eMail (successivamente viene propagato attraverso Angler Kit, noto Exploit Kit):

Una email veniva recapitata alla vittima La vittima apriva un link il quale scaricava un file “eseguibile” (come per esempio: scr, exe, bat,

com, js) La vittima apriva il file scaricato e veniva infettata

Un attack path di questa natura ha “evaso” almeno 4 sistemi automatizzati di sicurezza come per esempio: AntiSpam (download della email), Proxy (navigazione ed apertura link), Antivirus (salvataggio del file “eseguibile”) ed ID/PS (callback del Malware al fine di prelevare i comandi da eseguire sulla macchina vittima). Nel migliore delle ipotesi i sistemi perimetrali hanno individuato un “piccolo rumore” ma non sufficiente da avviare i tasks automatizzati di alerting e blocco del sistema. Un Cyber Security Analyst (aiutato da tecnologie appositamente create per aumentare l’efficacia come per esempio: il Cyber Security Defence Center) avrebbe avuto la possibilità di analizzare tali “piccoli rumori” e di percepirne la gravità. Avrebbe avuto l'opportunità di individuare la minaccia, di identificarla e di mitigare difendendo così il sistema protetto. Il condizionale è d’obbligo nella irrazionalità umana, in quanto tale analisi dipende fortemente dall’analista in questione e dalla sua preparazione personale. E’ per questo motivo che vi è la necessità di avere un sistema di difesa ibrido formato da un una piattaforma appositamente

studiata e sviluppata al fine di guidare l'operato umano e di standardizzare gli artefatti al fine di essere a totale supporto di cyber analyst opportunamente formati. Cyber Augmented Analyst: analisti umani ed “aumentati” dall’ utilizzo di un Cyber Secuirty Defence Center è la reale risposta alla difesa digitale in quanto viene associato il determinismo di un sistema automatizzato alla capacità irrazionale di un essere umano nella difesa di una organizzazione. L’azione di risposta e la collaborazione nella difesa La collaborazione, la condivisione ed il pensiero collettivo sono momenti di vitale importanza nella risposta ai cyber attacks. Tanto più complessi diventano i Cyber Threats tanto maggiore è la necessità di avere momenti di collaborazione al fine di effettuare una risposta efficace all’attacco stesso. Tanto maggiore risulta essere la complessità di un'organizzazione tanto maggiore è la necessità di avere un sistema flessibile non razionale alla guida (management) della mitigazione e/o dell’azione di risposta all’attacco. Risulta naturale affermare che tali momenti possono essere condivisi e vissuti da menti umane capaci di intuire attack vectors realizzati attraverso “piccoli rumori” e capaci di interagire nel migliore dei modi con le organizzazioni colpite. La maggior parte delle attuali aziende è formata da sistemi informativi, sistemi automatici (sistemi di domotica, macchine automatiche, sistemi di self-provisioning) e da esseri umani alla guida di essi. L'organizzazione dell'azione di risposta ad un cyber attack e la sua rispettiva “messa in opera” all'interno dell entità colpita deve essere gestita interamente da esseri capaci di adattare i propri metodi e strutture in funzione dei processi dell’ entità colpita al fine di intervenire sull’ incidente senza influire e/o modificare radicalmente l’ente coinvolto (la risoluzione della minaccia deve essere meno “dolorosa” rispetto alla minaccia stessa) e nel minor tempo possibile. Strumenti automatizzati per la gestione degli incidenti risultano difficilmente adottabili sia da organizzazioni strutturate con metodi e processi definiti che vedono stravolgere i propri metodi, sia da piccole organizzazioni non strutturate che vedono imporsi formalismi e sovra-strutture superiori alle proprie reali capacità. Conclusioni. L’attuale complessità delle minacce informatiche, l’inesorabile incremento in frequenza e l’aumento radicale della loro efficacia, mettono in totale discussione gli odierni paradigmi di difesa. Contemporaneamente la naturale differenza strutturale tra organizzazioni proiettata nella totale assenza di confini dell’ “informatica” evidenzia la necessità di avere esseri autonomi specializzati nell individuare, identificare e contrastare minacce informatiche in contesti differenti, avendo flessibilità e “capacità di contesto”. Oggi tali esseri sono meglio conosciuti come: Cyber Analysts. Il limite operativo di un Cyber Analyst è nella sua capacità di processare “grandi numeri”, per questo egli deve essere guidato attraverso un sistema appositamente realizzato al fine di amplificare la sua irrazionalità e che offra la possibilità di standardizzare l’ operato. Tale collaborazione “uomo-macchina” risulta di vitale importanza al fine di garantire la migliore difesa possibile. E’ pertanto importante la giusta formazione di un Cyber Analyst e l’utilizzo di un sistema (Cyber Security Defence) necessario ad offrire il determinismo ed il razionalismo alla mente irrazionale, intuitiva ed investigativa di un Cyber

Analyst. Questo binomio “uomo-macchina” risulterà essere paragonabile e realmente utilizzabile al contrasto delle minacce informatiche.

Marco Ramilli Founder Yoroi

marco.ramilli@yoroi.company

15 best practice da adottare subito La cybersecurity richiede formazione continua. Ecco le priorità Ogni anno, entro il mese di febbraio, il Comparto Intelligence italiano presenta al Parlamento una “Relazione sulla politica dell’informazione per la sicurezza” relativa alle attività svolte durante l’anno precedente. Ogni Relazione presenta anche un approfondimento sul tema della cyber-security e al suo interno sono riportate delle interessanti statistiche sull’impatto del fenomeno sul tessuto sociale italiano. Stando a quanto si legge nella Relazione relativa al 20154, per quel che concerne la tipologia di attori ostili, questi sono raggruppabili in cinque categorie, di cui la principale – solo per percentuale di azioni svolte (47%) e non per grado di pericolosità – rimanda ai gruppi hacktivisti. Significativa è anche la quota di attori non meglio identificati (35%), che trova la sua ragion d’essere soprattutto nelle criticità poste dalla difficoltà di attribuire con certezza e in tempi ragionevoli la responsabilità di un attacco informatico al suo autore materiale e/o al reale mandante. Seguono, poi, gruppi professionisti dediti allo spionaggio digitale (17%), nel quale sono coinvolti anche gruppi criminali specializzatisi negli ultimi tempi nell’esfiltrazione di informazioni pregiate. Emergono, infine, i gruppi hacker islamisti (1%) con il ricorso a tecniche tipiche dell’hacktivism.

Sul fronte dei soggetti privati5, invece, gli obiettivi principali sono quelli operanti nei settori della difesa (18%), delle telecomunicazioni (15%), dell’aerospazio (12%) e dell’energia (3%). 4 Sistema di Informazione per la Sicurezza della Repubblica, “Relazione sulla politica dell’informazione per la

sicurezza 2015”, pag. 122, 2016, in https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-

content/uploads/2016/03/Relazione-2015.pdf. 5 Sistema di Informazione per la Sicurezza della Repubblica, “Relazione sulla politica dell’informazione per la

sicurezza 2015”, pag. 125, cit..

Significativo, altresì, il 3% registrato nei confronti del settore bancario, verso cui sono stati impiegati i cd. banking trojan. Sotto la voce “altri settori” (34%), invece, la Relazione aggrega tutte quelle realtà imprenditoriali – per lo più appartenenti proprio alla categoria delle piccole e medie imprese – afferenti a molteplici classi merceologiche, i cui eventi cibernetici assumono rilevanza statistica solo se analizzati in formato aggregato. La voce “società non meglio precisate” (3%), infine, fa riferimento a quelle attività ostili condotte su larga scala contro le risorse esposte su internet di una moltitudine indiscriminata di target.

Infine, in merito alle tipologie di attacco6, il 53% è costituito da software malevolo (malware) specie nella forma dell’Advanced Persistent Threat (APT), impiegato non solo per finalità di spionaggio, ma anche nell’ambito di logiche estorsive e di altre attività illecite di natura predatoria. Da rilevare, inoltre, il crescente ricorso a tale strumento da parte anche dei movimenti hacktivisti – oltre alla tecnica SQL Injection (20%) – per la sottrazione di dati da riversare poi su Internet. Altra modalità largamente utilizzata in tale ambito è quella del defacement di siti web (14%), mentre in calo risultano i Distributed Denial of Service (5%). Valenza residuale, invece, assumono le attività prodromiche ad un attacco (5%) quali, ad esempio, quelle di scansione delle vulnerabilità, di mappatura della rete del target e di fingerprinting dei sistemi, ed i tentativi di attacco (3%).

6 Sistema di Informazione per la Sicurezza della Repubblica, “Relazione sulla politica dell’informazione per la

sicurezza 2015”, pag. 126, cit..

Appare più che mai evidente, allora, che al di là degli obblighi minimi di sicurezza informatica imposti dalle norme, proteggere le informazioni e i dati (personali e non) anche di una piccola e media impresa rappresenta ormai un impegno imprescindibile e assolutamente prioritario. Tuttavia, la messa in sicurezza dei sistemi informatici e delle informazioni in essi contenute raramente può essere vista come un processo sintetizzabile in pochi principi, men che mai quando l’obiettivo è quello di renderli anche comuni per le esigenze di protezione di una categoria così trasversale e variegata com’è quella delle piccole e medie imprese in Italia. Ciononostante, alcune regole primarie ed essenziali possono essere comunque delineate e poste alla base di un corretto approccio a questo genere di attività. Le seguenti 15 best practice, dunque, devono essere considerate come meramente basilari e ad altissima priorità per qualsiasi piccola e media impresa. Esse sono:

1. Predisporre una lista di applicazioni considerate affidabili e la cui installazione risulti indispensabile per la produttività aziendale, impedendo l’installazione di qualsiasi altro genere di software.

2. Configurare in maniera sicura tutto l’hardware e il software presente all’interno del parco dei dispositivi aziendali, sia fissi che mobili (come, ad esempio, server, workstation, router, switch, computer portatili, smartphone aziendali, ecc.).

3. Svolgere un’efficace ed effettiva politica di aggiornamento dei sistemi e di correzione delle vulnerabilità sia del sistema operativo, che delle applicazioni, entro un arco temporale ristretto e comunque non superiore alle 48 ore dalla pubblicazione di ciascun aggiornamento di sicurezza (patch).

4. Disattivare l’account di amministratore locale e contestualmente limitare il più possibile il numero degli utenti con i privilegi di ‘amministratore/root’ sia a livello locale, che di dominio, obbligando, inoltre, questi ultimi ad usare account de-

privilegiati per le operazioni quotidiane (come la lettura di email e la navigazione in Internet).

5. Configurare gli account degli utenti affinché abbiano i privilegi minimi richiesti per eseguire le attività loro assegnate e, di conseguenza, possano prendere visione ed utilizzare esclusivamente le informazioni e le risorse condivise dell’azienda utili allo svolgimento della propria attività lavorativa.

6. Impostare per tutti gli utenti una politica di autenticazione attraverso password complesse (non meno di 8 caratteri, alfanumeriche, con l’inserimento di almeno una lettera maiuscola ed un carattere speciale), obbligandone la modifica ogni 3 mesi ed impedendo l’utilizzo almeno delle 5 password precedentemente utilizzate.

7. Predisporre un’efficace difesa non solo del perimetro aziendale, ma di tutta la rete attraverso strumenti informatici – software e/o hardware – volti ad analizzare e proteggere in tempo reale il traffico di rete proveniente sia dall’interno che dall’esterno dell’azienda, al fine di ricercare anomalie, attacchi e/o tentativi di accesso non autorizzati (firewall, network-based intrusion detection/prevention system, intrusion prevention system basati su machine learning).

8. Utilizzare su tutto il parco dei dispositivi aziendali – sia fissi, che mobili – sistemi di analisi, identificazione e protezione in tempo reale degli accessi degli utenti, dello stato dei sistemi informatici, dei programmi in esecuzione e del loro utilizzo delle risorse (antivirus, workstation firewall e host-based intrusion detection/prevention system).

9. Implementare specifici sistemi di protezione e stringenti politiche di sicurezza per l’utilizzo delle e-mail e soprattutto degli eventuali file allegati, al fine di diminuire il rischio d’infezione attraverso malware.

10. Impiegare sistemi automatizzati di analisi e filtro dei contenuti web, al fine di impedire la visualizzazione e la navigazione di siti Internet inappropriati e/o potenzialmente pericolosi per la sicurezza dei sistemi.

11. Predisporre un sistema centralizzato di raccolta, archiviazione e analisi in tempo reale dei file di log, sia quelli generati dai sistemi informatici, che quelli originati dalle attività di rete (file da conservare per almeno 6 mesi, come per legge7).

12. Prevenire l’uso non autorizzato e la trasmissione di informazioni aziendali riservate attraverso specifiche politiche di information leak detection and prevention.

13. Adottare una politica di utilizzo e controllo quanto più stringente possibile in merito all’utilizzo in azienda di supporti di memoria rimovibili (le cosiddette “chiavette USB”, hard disk esterni, unità CD-ROM esterne, memory card, ecc.), nonché di applicazioni utili alla trasmissione, elaborazione e archiviazione in remoto di informazioni (il cosiddetto “cloud computing”), soprattutto se di terze parti.

14. Attuare un’efficiente politica di backup e di disaster recovery volta a prevenire eventuali perdite di dati e ad aumentare il livello di resilienza dei sistemi informatici.

15. Avviare e protrarre nel tempo programmi di formazione del personale sull’utilizzo degli strumenti informatici aziendali, sulla sicurezza informatica e delle informazioni, nonché sulla privacy e la protezione dei dati personali.

Come evidenziato anche all’interno del “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”8, la protezione dello spazio cibernetico è un processo più che un fine e la

7 GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, “Misure e accorgimenti prescritti ai titolari dei trattamenti

effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, 2008, in

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499.

continua innovazione tecnologica introduce inevitabilmente nuove vulnerabilità. E’ quindi di fondamentale importanza che la sicurezza dei sistemi informatici delle PMI non sia intesa come un mero costo, bensì come un vero e proprio investimento. Un processo in continua evoluzione ed aggiornamento volto anzitutto a tutelare il business di quelle aziende che – nei fatti – costituiscono da sempre la vera ossatura ed il motore dell’industria e dell’economia italiana.

Stefano Mele Avvocato – diritto delle tecnologie

Presidente gruppo Cybersecurity Camera di Commercio americana Italia smele@carnelutti.com

8 PRESIDENZA DEL CONSIGLIO DEI MINISTRI, “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”,

2014, in Sistema di Informazione per la Sicurezza della Repubblica, http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-

content/uploads/2014/02/quadro-strategico-nazionale-cyber.pdf

Costruiamo in sicurezza l’industria 4.0 Il 4.0 riduce i costi e aumenta l’efficienza ma espone a nuovi rischi. Che vanno prevenuti. Il settore industriale è nel mezzo di una rivoluzione. La necessità di rendere più veloce e flessibile la produzione ha portato alla quarta rivoluzione industriale, denominata anche Industria 4.0 o Internet Industriale. Ogni componente del processo industriale, da una macchina a controllo numerico ad un camion per il trasporto sono collegati ad Internet e possono interagire tra di loro in modo automatico, aprendo possibilità fino a qualche anno fa impensabili. Questo uso pervasivo e avanzato della tecnologia sta portando numerosi benefici alle industrie, come la riduzione dei costi e l’aumento dell’efficienza; ma la maggiore complessità e la completa interconnessione di ogni componente espone l’azienda a nuove minacce e rischi. Le minacce varia da organizzazioni criminali, interessate ad attività di Cyber spionaggio per sottrarre proprietà intellettuale e segreti industriali, fino a organizzazioni governative interessate a sabotare o prendere il controllo di impianti industriali. Oltre a queste minacce, che prendono di mira specificamente il settore industriale, vi sono anche minacce generiche che colpiscono sistemi connessi, indipendentemente da chi sia l’azienda: è il caso di codici malevoli che colpiscono indiscriminatamente sistemi di qualsiasi genere. Una reazione comune da parte degli imprenditori industriali è di considerare il Cyber come un problema che non li riguarda. Molto spesso pensano che questa tipologia di minacce riguardi le grandi aziende. Inoltre, spesso sono portati a pensare di essere immuni poiché fino ad oggi non è accaduto nulla. Purtroppo la situazione reale è molto differente: le aziende industriali, anche quelle non ancora passate all’Industria 4.0, vengono colpite costantemente da attacchi informatici, che però passano inosservati, non vengono rilevati. La maggior parte delle imprese non è attrezzata con sistemi, piattaforme, servizi e competenze per poter rilevare e gestire correttamente le violazioni Cyber. Queste vengono rilevate esclusivamente se producono sintomi evidenti. Purtroppo la minaccia si è specializzata nel colpire le imprese non creando segni evidenti. Se quindi non si dispone di capacità adeguate di sicurezza Cyber, l’azienda subirà danni che non percepirà immediatamente. E’ una tipologia di minaccia molto simile al monossido di carbonio: inodore e incolore, ma letale; è in grado di soffocare e portare all’asfissia, così come il Cyber spionaggio, che indebolisce fino ad annullare il vantaggio competitivo delle aziende. Purtroppo le minacce stanno diventando sempre più sofisticate e anche aziende con un buon sistema di protezione sono a rischio. Il 23 Dicembre 2015, quattro aziende Ucraine addette alla distribuzione dell’energia elettrica sono state oggetto di un pesantissimo attacco, proveniente quasi certamente da un gruppo affiliato ad un governo. Questo attacco ha provocato blackout prolungati nel paese e non ha consentito alle quattro aziende di riprendere ad operare normalmente per oltre venti giorni. E si trattava di aziende “Industria 3.0”, ovvero dove vi era un uso dell’IT negli impianti di produzione, ma non ancora una

connettività spinta come nel caso dell’Industria 4.0.

Nell’Industria 4.0 i rischi aumentano notevolmente per la combinazione di alcuni fattori. Innanzi tutto, qualsiasi componente del sistema produttivo è collegata in rete. Ogni dispositivo, macchina utensile, sistema di controllo e sensore è collegato ad Internet. Anche i prodotti stessi lo sono, grazie a sistemi di etichettatura intelligente (come l’RFID). L’intero ciclo di produzione è in grado di regolarsi e modificarsi in tempo reale, a seconda di istruzioni che potrebbero venire dall’esterno. Inoltre, ogni componente è collegata ad Internet, pertanto hackers e organizzazioni criminali potrebbero averne accesso dall’esterno, senza lasciare tracce evidenti per l’azienda. Questi rischi non devono però intimorire chi sta valutando di passare all’Industria 4.0, ma devono essere compresi in modo da poter essere affrontati e ridotti al minimo. Innanzi tutto è indispensabile che l’imprenditore comprenda che i rischi Cyber riguardano tutta l’azienda e possono avere impatti anche devastanti. Pertanto la responsabilità di mettere in sicurezza l’azienda non è delegabile né ai tecnici né a società esterne. E’ il management che ha il compito di comprendere i rischi e di prendere le scelte più opportune al fine di ridurli. In questo devono lavorare con il coinvolgimento dei responsabili del business, dei sistemi informativi (IT – Information Technology) e dei sistemi di produzione (OT – Operation Technology). Il top management dovrà considerare il rischio Cyber come uno dei rischi rilevanti per l’azienda e lo dovrà valutare come rischio complessivo e non semplicemente come un problema tecnico da indirizzare nell’ambito dell’IT. Il top management dovrà pertanto definire un piano complessivo di sicurezza, valutando periodicamente i rischi introdotti dalle nuove tecnologie e dai nuovi sistemi. Per la predisposizione del piano di sicurezza, un aiuto è offerto dal “Framework Nazionale di Cyber Security” (http://www.cybersecurityframework.it/), il quale fornisce un elenco di tutte le aree e i controlli da considerare nella stesura di un piano di misure di sicurezza. Non si tratta di una semplice lista di cose da fare, ma di un elenco di possibili categorie di misure di sicurezza che ogni azienda dovrà individuare sulla base delle proprie caratteristiche uniche, dei rischi a cui si è esposti e le conseguenze in caso di attacco/violazione. E’ bene comprendere che non esiste un piano di sicurezza standard: ogni azienda dovrà definire il proprio e dovrà mantenerlo nel tempo in modo da riflettere le evoluzioni di scenario tecnologico, di processo e di minaccia. Il Framework Nazionale di Cyber Security offre anche un elenco minimo di misure da adottare, indipendentemente dal proprio profilo di rischio: si tratta di un ottimo punto di partenza, poiché le aree considerate sono di norma legate a vulnerabilità e rischio universali. Le misure minime includono: l’adozione di sistemi Antivirus, il controllo di tutti gli accessi da remoti agli impianti, la protezione delle reti di accesso, l’esecuzione quotidiana di copie di backup, la definizione di configurazioni minime di sicurezza per i sistemi informativi e i sistemi di controllo industriale, una adeguata formazione del personale, ecc. E’ importante disporre in azienda di competenze specializzate in Cyber Security, che assisteranno il top management, i responsabili di business, i responsabili dei sistemi informativi e dei sistemi di produzione nella valutazione e nella gestione dei rischi. E’ importante che queste competenze non risiedano esclusivamente nell’area dei sistemi informativi, ma anche nell’area di produzione. Quasi sempre queste competenze sono assenti nell’area di produzione ed è proprio qui che si possono generare i rischi maggiori.

Qualora non si disponesse di queste professionalità, è possibile farsi aiutare da società specializzate, che possono tamponare, almeno temporaneamente, la carenza di competenze internet. Infine, è importante lavorare con le società che producono e installano sistemi di controllo industriale. Il management deve fornire requisiti precisi sulla sicurezza degli impianti e deve lavorare con i fornitori affinché questi mettano a disposizione soluzioni sicure e allineate agli standard aziendali. La Cyber Security deve essere un fattore differenziante nella scelta delle soluzioni e dei partner che supporteranno l’azienda nel passaggio all’Industria 4.0.

Andrea Rigoni Cyber Security Advisor to Governments, NATO and International Organisations.

Intellium, Deloitte arigoni@deloitte.it

Cosa dice la legge: dallo stato all’infosfera La Sicurezza delle Informazioni nella Legislazione Italiana Il legislatore italiano già da tempo si è preoccupato di dettare delle norme volte ad individuare alcune misure minime di sicurezza per tutti quei casi in cui la qualità delle informazioni contenute nei sistemi informatici di un’azienda renda opportuna e giuridicamente necessaria la loro protezione. In particolare, la normativa italiana vigente – contenuta per poco tempo ancora nel D.Lgs. 196/2003 e comunemente denominata “Codice della privacy” – si applica esclusivamente al trattamento di dati personali. Essi sono definiti come “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a

qualsiasi altra informazione, ivi compreso un numero di identificazione personale”9. E’ questo, allora, il principale discrimine per l’applicazione o meno delle misure di sicurezza previste dal Codice della privacy: venire a conoscenza di qualunque informazione riferibile a persona fisica – sia essa relativa ad un dipendente, ad un cliente o ad un soggetto terzo – identificata o identificabile durante le operazioni di trattamento dell’azienda. Accanto alla definizione di dato personale e di dato identificativo, però, il legislatore ha espressamente previsto anche i concetti di dato sensibile e di dato giudiziario, protetti dalla normativa vigente in maniera ancora più stringente, dato l’alto valore delle informazioni in essi contenuto. I dati sensibili, infatti, riguardano i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale di un soggetto. I dati giudiziari, invece, sono i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei

relativi carichi pendenti, o la qualità di imputato o di indagato. In merito alla loro protezione, l’art. 31 del Codice della privacy pone come regola generale quella secondo cui i dati personali oggetto di trattamento debbano essere “custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o

non conforme alle finalità della raccolta”10.

9 Art. 4, comma 1, lett. b) del Decreto legislativo n. 196 del 30 giugno 2003, “Codice in materia di protezione dei dati

personali”, in http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248. 10

Art. 31 del Decreto legislativo n. 196 del 30 giugno 2003, “Codice in materia di protezione dei dati personali”, in

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248.

Inoltre, l’art. 34 esplicitamente afferma che il trattamento dei dati personali attraverso

l’utilizzo di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal

disciplinare tecnico contenuto nell’Allegato B)11 al Codice della privacy, almeno le seguenti

misure minime di sicurezza: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai

singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) [soppressa]; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti

di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Occorre evidenziare come il legislatore italiano preveda esplicitamente ed analiticamente solo le misure minime di sicurezza da applicare al trattamento dei dati, ovvero quelle dell’art. 34 e dell’Allegato B al Codice della privacy, lasciando invece indefinite le misure di sicurezza idonee previste dall’art. 31. Tuttavia, la differenza tra misure di sicurezza minime e misure di sicurezza idonee non è meramente filosofica, ma si apprezza sul piano “tangibile” delle sanzioni collegate alla violazione della previsione normativa: semplificando e sintetizzando, la non applicazione delle misure minime ha come conseguenza sanzioni di tipo penale, laddove la mancata predisposizione di misure di sicurezza idonee per lo specifico trattamento dei dati comporta l’applicazione delle sole sanzioni amministrative. Le norme da prendere in considerazione, però, non si esauriscono con quanto finora accennato. Il 25 maggio 2016, infatti, è entrato in vigore il “Regolamento europeo generale sulla

protezione dei dati personali” n. 2016/67912, che stabilisce norme relative alla protezione

delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative

alla libera circolazione di tali dati.

Questo Regolamento diventerà definitivamente applicabile in ogni Stato membro dell’Unione Europea a partire dal 25 maggio 2018, abrogando la Direttiva 95/46/CE sinora vigente e andando a sostituire anche quanto attualmente previsto in Italia dal Codice della privacy.

11

Decreto legislativo n. 196 del 30 giugno 2003, “Codice in materia di protezione dei dati personali”, Allegato B –

Disciplinare tecnico in materia di misure minime di sicurezza, in

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1557184. 12

Per approfondire, “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,

relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera

circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, 2016, in

http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679.

In linea generale, tutto il Regolamento si poggia su due principi fondamentali, che ispirano l’intero costrutto normativo: il principio di privacy by design, che mira a proteggere ogni dato personale sin dal momento di determinare i mezzi o i processi utili al trattamento, oltre che ovviamente all’atto del trattamento stesso (attraverso, ad esempio, i “sotto-principi” di pseudonimizzazione e minimizzazione dei dati trattati); e il principio di privacy by default, che mira garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento e che va ad incidere, pertanto, sulla quantità dei dati personali raccolti, sulla portata del trattamento, nonché sul periodo di conservazione e sulla loro accessibilità. Il Regolamento, quindi, prevede anzitutto che i dati personali siano trattati in maniera tale da garantire un’adeguata sicurezza, compresa la loro protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o da danni accidentali. Il Titolare del trattamento, inoltre, deve essere anche in grado di dimostrare di aver adottato questo complesso di misure giuridiche, organizzative e tecniche finalizzate alla protezione dei dati personali in conformità al dettato del Regolamento, ivi compreso sul piano dell’efficacia delle misure di sicurezza adottate. Tali misure, peraltro, dovranno tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche a cui appartengono i dati (c.d. risk-based approach). All’interno del nuovo assetto giuridico delineato dal legislatore europeo, dunque, non ci sono più misure minime di sicurezza, ma solo misure adeguate, progettate dal Titolare del trattamento solo dopo aver eseguito un’analisi dei rischi per ogni singolo trattamento effettuato. Ciononostante, il Regolamento fornisce all’art. 32 un elenco esemplificativo delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, che comprendono:

a) la pseudonimizzazione e la cifratura dei dati personali; b) la garanzia su base permanente della riservatezza, integrità, disponibilità e resilienza

dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati

personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure

tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Oltre a quanto previsto dal legislatore italiano ed europeo, occorre evidenziare, tuttavia, come siano ormai numerosi i documenti contenenti standard e best practice, validate e riconosciute a livello internazionale dalla comunità di esperti del settore, che hanno come scopo proprio quello di esplicitare i requisiti e i controlli utili a un corretto processo di gestione della sicurezza informatica e delle informazioni. Lo standard ISO/IEC 27001 e ISO/IEC 2703213, il framework COBIT14 ed il NIST SP 800-53 (Rev. 4)15 rappresentano

13

Per approfondimenti, ISO/IEC 27001 – “Information security management”, in

http://www.iso.org/iso/home/standards/management-standards/iso27001.htm e ISO/IEC 27032 – “Information

senz’altro i più importanti documenti per un approccio a questa materia completo, di respiro internazionale e soprattutto costantemente aggiornato. Peraltro, non può di certo sorprendere che anche i governi di tutto il mondo abbiano ormai posto la cyber-security come argomento prioritario all’interno della propria agenda politica e che, dall’analisi comparata delle cyber-strategy attualmente pubbliche, si possa evincere come uno dei pilatri strategici condivisi a livello internazionale sia proprio quello volto ad

incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici16. Ciò soprattutto perché nella maggioranza di questi Paesi la protezione dei sistemi informatici critici per la sicurezza nazionale (come quelli deputati all’erogazione dell’energia elettrica, alle telecomunicazioni, ai trasporti, ai sistemi finanziari, ecc.) è demandata e gestita direttamente da soggetti privati e non più dai governi. Di conseguenza, ciò ha comportato, soprattutto in area americana/anglosassone, lo sviluppo

e la pubblicazione di documenti governativi17 volti ad indicare al settore privato le misure di

sicurezza ritenute più idonee per proteggere i sistemi informatici e le informazioni ivi

contenute18.

Anche l’Italia, attraverso il Decreto del Presidente del Consiglio dei Ministri del 24 gennaio

201319, ha posto in evidenza – tra le altre cose – come la sicurezza informatica e delle

informazioni sia un compito di tutti, tanto dei governi quanto delle società private. L’art. 11

del DPCM, infatti, evidenzia proprio il ruolo chiave svolto in quest’ambito dagli operatori del

settore privato, chiedendo a coloro che “forniscono reti pubbliche di comunicazione o servizi di

comunicazione elettronica accessibili al pubblico, [così come a] quelli che gestiscono

infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato

dall’operatività di sistemi informatici e telematici” di “adottare le best practices e le misure

finalizzate all’obiettivo della sicurezza cibernetica, definite ai sensi dell’art. 16-bis, comma 1,

lett. a), del Decreto legislativo n. 259/2003, e dell’art. 5, comma 3, lett. d), del presente

Decreto”20.

All’interno di questo approccio proattivo del governo italiano, si è perfettamente inserita, ad

technology — Security techniques — Guidelines for cybersecurity” in https://www.iso.org/obp/ui/#iso:std:iso-

iec:27032:ed-1:v1:en 14

Per approfondimenti, COBIT 5, in http://www.isaca.org/cobit/pages/default.aspx. 15

Per approfondimenti, NIST Special Publication 800-53, Revision 4 – “Security and Privacy Controls for Federal

Information Systems and Organizations”, in http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-

53r4.pdf. 16

MELE S., “I principi strategici delle politiche di cyber-security”, Sistema di Informazioni per la Sicurezza della

Repubblica, 2013, in http://www.sicurezzanazionale.gov.it/sisr.nsf/il-mondo-intelligence/principi-strategici-delle-

politiche-di-cyber-security.html. 17

Per approfondimenti, si veda lo specifico capitolo all’interno di questo testo. 18

Tuttavia, questa iniziativa, seppure indubbiamente lodevole, pare aver avuto purtroppo scarsi risultati, soprattutto

negli Stati Uniti. Per approfondire, President’s Council of Advisors on Science and Technology (PCAST), “Report to

the President on Immediate Opportunities for Strengthening the Nation’s Cybersecurity”, 2013, in

http://www.whitehouse.gov/sites/default/files/microsites/ostp/PCAST/pcast_cybersecurity_nov-2013.pdf. 19

Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013, “Direttiva recante indirizzi per la protezione

cibernetica e la sicurezza informatica nazionale”, 2013, in

http://www.gazzettaufficiale.it/eli/id/2013/03/19/13A02504/sg;jsessionid=QI0W7ckcZt5e7NUAX7Rj3Q__.ntc-as1-

guri2a. 20

Confronta l’art. 11, comma 1, lett. b), del Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013, cit..

esempio, anche l’Agenzia per l’Italia Digitale (AgID), che proprio di recente ha reso pubblico un documento pratico per valutare e innalzare il livello di sicurezza informatica delle pubbliche amministrazioni21. Un ben più modesto e pratico contributo per la sicurezza dei dati e delle informazioni delle PMI italiane, invece, è presente all’interno di questo testo nel capitolo dedicato a “Le Best Practice in Materia di Cyber Security per le PMI”.

Stefano Mele Avvocato – diritto delle tecnologie

Presidente gruppo Cybersecurity Camera di Commercio americana Italia smele@carnelutti.com

21

Agenzia per l’Italia Digitale (AgID), “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, in

http://www.agid.gov.it/sites/default/files/documentazione/misure_minime_di_sicurezza_v.1.0.pdf.

Le matrioske: dall’azienda, alla citta’, allo stato “L’evoluzione della cyber security: da elemento tecnologico a fattore di gestione aziendale, verso una strategia nazionale unitaria a favore dell’intera società”

A quasi trent’anni dal primo attacco informatico su scala mondiale che ha dato il via all’industria della cyber security, la situazione a livello mondiale, nazionale e locale è, senza eufemismi, drammatica, tuttavia con qualche bagliore in lontananza. Gli attacchi aumentano ogni anno in numero e gravità, ma anche la consapevolezza si sta diffondendo. Non è stato facile raggiungere tali livelli di cognizione soprattutto a causa di due sindromi: presbiotica e santommasiana. La sindrome presbiotica è caratterizzata dal “vedo bene i problemi lontani e non quelli in prossimità”. In effetti, le notizie riportano solo gli attacchi gravi alle grandi aziende e alle persone note. Non fanno notizia le centinaia di denunce che quotidianamente vengono raccolte da Polizia e Carabinieri in ogni grande città relativamente a crimini perpetrati mediante mezzi informatici (truffe, diffamazione, bullismo, violazione della privacy, accesso abusivo a sistema informatico). Di conseguenza, un imprenditore di una piccola-media azienda o un comune cittadino è indotto a ritenere che gli attacchi informatici non lo riguardino. La realtà è opposta: i piccoli e medi imprenditori, i cittadini sono coinvolti in percentuali ancora maggiori dei grandi, ma i loro attacchi e danni subìti non finiscono sui giornali. La sindrome santommasiana ci porta al “se non vedo, non credo”, ed è un tipico fattore della società digitale non ancora da noi introiettato. E’ immediato credere al verificarsi di un incendio o di un’alluvione, ma gli attacchi informatici sono subdolamente diversi poiché, nella maggior parte dei casi, non producono alcun effetto visibile: se mi rubano lo smartphone, me ne accorgo immediatamente; se mi rubano i dati dello smartphone, potrei non percepirlo mai. Combinando le due sindromi, si comprende quanto sia difficile convincere i non esperti a investire correttamente in prevenzione, in competenze e in comportamenti corretti, dove la chiave di tutto è il termine “correttamente” in quanto le spese in cyber security sono in continua crescita: il mercato annuo è aumentato esponenzialmente da poco più di 3 miliardi di dollari nel 2004 a 75 miliardi nel 2015, e raggiungerà 170 miliardi nel 2020. Di fronte a tale potenza di fuoco difensiva, sarebbe lecito attendersi una proporzionale diminuzione dei crimini e degli attacchi, ma la verità è drammaticamente diversa: il fatturato del crimine informatico è cresciuto ancora più rapidamente degli investimenti in sicurezza. Quindi: investimenti ancora insufficienti o investimenti errati? Forse la seconda risposta è più vicina al vero, anche perché riscontriamo una casistica opposta in altri settori, dagli infortuni sul lavoro alla sicurezza stradale. Progettazione di auto e strade più sicure, nuove tecnologie per i controlli, sanzioni, campagne di sensibilizzazione hanno portato a una diminuzione delle morti sulle strade e, analogamente, maggiori investimenti, controlli e cultura hanno migliorato la sicurezza sul lavoro. Non è difficile concludere che, al contrario, nella cyber security stiamo sbagliando. Non è qui possibile analizzare tutti i fattori, quali i limiti di legislazioni e di poteri investigativi nazionali in un mondo che informaticamente non conosce frontiere, la presenza di avversari, le

sindromi di cui sopra. E’ opportuno, tuttavia, evidenziare i due su cui ciascuno di noi potrebbe svolgere un suo ruolo. I prodotti informatici sono intrinsecamente insicuri.

A causa di una competizione sfrenata e globale, l’industria informatica ha indotto tutti i clienti ad accettare che sia normale acquistare come nuovo un semilavorato da aggiornare mensilmente. Accettereste di acquistare un’auto, usarla un paio di mesi e attendere l’integrazione del sistema frenante, quando e se disponibile, solo in seguito a molteplici incidenti? Il 90% dei danni informatici è causato da software difettoso e da configurazioni errate. Se aprendo un allegato proveniente da una sorgente sospetta, il tuo computer si infetta, hai senza dubbio commesso un errore; tuttavia, se il software non fosse difettoso, l’infezione non avrebbe avuto modo di agire. In un momento in cui l’informatica sta pervadendo tutte le infrastrutture critiche, le industrie, i prodotti industriali a partire dalle nuove automobili e dai molteplici oggetti smart, non possiamo più tollerare la scarsa qualità del software della maggior parte dei prodotti e la mancata responsabilizzazione dei produttori, in quanto i prossimi problemi da affrontare riguarderanno l’incolumità dei cittadini, i rischi ambientali, le enormi conseguenze economiche e sociali di un black-out prolungato. I consumatori hanno molto più potere di quanto immaginano e il recente “fattore olio di palma” è stato esemplare. Fin quando accetteremo che i prodotti informatici siano scadenti e non saremo disposti a pagare qualcosa in più per prodotti di qualità, le aziende non avranno alcuno stimolo a proporci prodotti migliori. La sicurezza dei prodotti cyber è da pretendere così come la diamo per scontata nel momento in cui acquistiamo un ferro da stiro o una caldaia. Le aziende e i cittadini sono stati lasciati per troppi anni soli a difendersi da un nemico preparato, ben motivato e operante su scala mondiale. La diminuzione dell’incidentalità stradale e sul lavoro è effetto di scelte politiche forti, sistemiche e spesso impopolari, con un approccio globale al problema: investimenti, incentivi, regole, sensibilizzazioni e sanzioni. Rispetto alla cyber sicurezza, ciascun cittadino e ciascuna azienda fa da sé quello che può, tipicamente perdendo ogni battaglia. In un mercato globalizzato, dove il competitor non è più l’impresa dello stesso distretto, ma uno sconosciuto imprenditore asiatico o americano, senza una risposta unitaria del Paese, rischiamo di perdere significative quote di mercato entro dieci anni. La risposta unitaria è ancora un auspicio e passerà tempo prima che venga accettata socialmente. L’uomo è un essere complesso e le aziende non possono essere diverse. In un mondo razionale, non dovrebbero servire norme per indurci a fare il nostro bene, tuttavia sono servite leggi e sanzioni per costringerci a indossare il casco e le cinture di sicurezza quando siamo tutti in grado di comprendere le conseguenze della non adozione (per rafforzare il concetto, ricordo bene un amico chirurgo che a cena esternò la sua preoccupazione a causa dell’improvvisa scarsità di organi per trapianti a seguito dell’obbligo di indossare caschi e cinture di sicurezza). D’altro canto, senza alcuna legge né sanzione, tutti investiamo in porte blindate e in serrature sofisticate, quasi che tenessimo più ai nostri beni fisici che alla nostra vita. Fidarsi della buona volontà dei singoli non è sufficiente. Se il pensiero razionale non induce i cittadini e le aziende a fare il proprio bene, ben vengano le leggi, gli incentivi e le sanzioni perché la competitività del Paese si baserà sul livello di sicurezza che l’intera filiera delle infrastrutture di

comunicazione e dei servizi digitali riuscirà a garantire. La strategia nazionale va completata con piani di cyber security prioritari corrispondenti al rischio effettivo e non a quello percepito. Ha destato qualche sorpresa che i cinque settori più colpiti nel 2015 siano stati la sanità e l’industria manifatturiera; solo dopo, il mondo finanziario, i governi e i trasporti. Per intraprendere la via migliore verso la cyber security, l’Italia potrà anche ispirarsi a modelli esteri, ma dovrà trovare la sua strada, in quanto ciascun Paese ha la propria cultura che determina chi siamo come cittadini, come ci approcciamo agli altri, alle Leggi e alle regole aziendali, quali sono i valori fondamentali e i princìpi inderogabili, quello che consideriamo normale o anomalo, sicuro o pericoloso, accettabile o inaccettabile. La cultura della sicurezza è in continua evoluzione, si declina in funzione di molteplici fattori personali e soprattutto tende a modellarsi sulla base degli eventi effettivi o percepiti, ed è fortemente collegata al territorio. Rispetto a cinque anni fa, la consapevolezza è aumentata sia a livello aziendale sia a livello personale, mentre rimane disastrosa la sensibilità del mondo pubblico che include il delicatissimo ambito sanitario. Dopo due decenni in cui si è erroneamente considerato il problema della cyber security come un tema da confinare all’ambito tecnologico, e solo successivamente si è compresa la necessità di coinvolgere l’ambito gestionale, oggi si è arrivati alla sensibilizzazione dei livelli più alti delle aziende e del Paese. L’auspicio è che il problema sia affrontato in modo sistemico e che la strategia nazionale possa riflettersi sull’intera società civile e produttiva.

Di fronte alle sfide vitali, la competizione è un inganno a breve termine; il futuro è della cooperazione. E il nostro Paese, culla delle migliori individualità, sa comprendere quando è il caso di competere e quando è necessario collaborare. Anche perché, la cyber security ha ancora da affrontare le sfide più complesse, in quanto, dopo aver collegato metà abitanti del pianeta, abbiamo da mettere in rete gli oggetti (Internet of Things), il mondo manifatturiero e dei servizi (Industria 4.0) e, con 80-100 miliardi di entità in rete, necessariamente in sicurezza, ci sarà spazio per tutte le competenze, non solo tecnologiche. Le enormi carenze in tal senso che costituiscono uno dei problemi odierni della cyber security potranno trasformarsi in opportunità di impiego giovanile. Abbiamo i ragazzi più in gamba per preparazione, determinazione, adattabilità, genio e ne regaliamo 70-80.000 all’anno ad altri Paesi. In un mondo sempre più dipendente da tecnologie intrinsecamente sicure, con un piccolo spostamento di investimenti verso le risorse umane, è lecito attendersi la nascita di numerose startup giovanili, prima al servizio della nazione e poi alla conquista dei mercati esteri. E le università diffuse in tutte le province italiane hanno un ruolo determinante e strategico in tal senso.

Michele Colajanni

Full professor, Dipartimento di Ingegneria "Enzo Ferrari", Centro di Ricerca Interdipartimentale sulla Sicurezza e Prevenzione dei Rischi (CRIS)

Università di Modena e Reggio Emilia Michele.colajanni@unimore.it

Direttiva NIS: il cyber scioglie i confini nazionali Nel cyber cade lo steccato tra sicurezza e difesa. La cybersecurity deve essere pubblico-privata ed europea: la direttiva Network and Information Security La direttiva Nis segna un punto di svolta e di maturità per l'Unione europea nel versante della cyber security. Questo 'salto di qualità' si deve in primo luogo ad un cambio di approccio, che ha portato per la prima volta le istituzioni comunitarie a farsi carico di un ruolo di coordinatore delle iniziative continentali in questo frangente. Obiettivo: avere un sistema integrato che ponga fine alla frammentazione attuale dei diversi sistemi nazionali e che coinvolga settore pubblico e privato per rafforzare la sicurezza informatica dell'Ue e e difendere lo sviluppo del Mercato unico digitale. Le ragioni che hanno spinto l'Ue a proporre questa direttiva, rilevano gli esperti, nascono da una valutazione di realtà: se da un lato le reti e i sistemi informativi ricoprono oggi un ruolo essenziale nel funzionamento della nostra società, dall’altro il numero, la 'qualità', la violenza e le conseguenze delle violazioni informatiche aumentano sempre più. Se si dà dunque per scontato che lo sviluppo economico e sociale di un'economia matura come quella europea si leghi a doppio filo alla crescita e all'adozione di servizi digitali (senza trascurare la digitalizzazione delle imprese e la cosiddetta Industria 4.0), è prioritario garantire che questo ecosistema sia sicuro e affidabile, tanto per salvaguardare dati sensibili e proprietà intellettuale di cittadini e aziende del Vecchio continente, quanto per non generare sfiducia e timore nella popolazione. Oggi come oggi la sicurezza delle reti e dei sistemi non risulta abbastanza alta per assicurare tutto ciò: sono ancora troppe le disomogeneità tra le normative degli Stati membri, così come è ancora scarsa la loro cyber security complessiva. Questi elementi di debolezza sono spesso sfruttati dai criminali in Rete. Ed è su questo che la direttiva punta di impattare. A servizio dei vari attori coinvolti dalla Nis - Istituzioni, cittadini, imprese -, la sicurezza cibernetica farà così parte del linguaggio dell'Ue, con norme coattive per gli Stati membri che dovranno: migliorare le loro capacità di cyber security e adottare una strategia nazionale, insieme a misure e policy conformi a quanto stabilito. Il percorso verso la direttiva non è stato breve né semplice: la proposta originaria della Commissione europea risale al febbraio 2013 e l'adozione del testo in prima lettura da parte del Parlamento europeo al 13 marzo 2014. Poi ci sono stati ulteriori passi intermedi, che hanno portato il17 maggio 2016 all'adozione del testo da parte del Consiglio europeo e quella definitiva da parte del Parlamento dell'Unione pochi mesi dopo, il 6 luglio. Dato l'impianto normativo, si apre adesso una fase di trasferimento di queste regole nei vari ordinamenti nazionali: un periodo che durerà 21 mesi dall'entrata in vigore, a cui vanno sommati altri sei mesi per la scelta degli operatori dei servizi essenziali. Caratteristica peculiare della direttiva Nis -, acronimo di Network and information security, direttiva sulla Sicurezza delle Reti e dei Sistemi informativi -, è l'imposizione di obblighi in materia di sicurezza e di notifica per gli "operatori di servizi essenziali" in campi come l'energia, i trasporti, la sanità, il settore bancario e la fornitura di acqua potabile. In parole povere, gli Stati membri dovranno identificare i soggetti che operano in questi settori

seguendo criteri specifici, tra cui la fornitura di servizi essenziali per il mantenimento di attività sociali ed economiche cruciali per la nazione. In più alcuni fornitori di servizi digitali - mercati online, motori di ricerca e servizi di cloud computing - dovranno, oltre ad adottare misure per garantire la sicurezza delle loro infrastrutture, notificare gli incidenti più rilevanti alle autorità nazionali competenti. Le micro e le piccole imprese digitali sono esentate da tali requisiti. Va ricordato che invece la Nis non si rivolge alle telco, che già da qualche anno rispettano vincoli di compliance nazionali e non, delineati dai singoli Paesi, dalla direttiva europea 140 del 2009 e dalle linee-guida Enisa sulla resilienza delle reti alle quali gli operatori delle telecomunicazioni pubblici devono ottemperare. Tutt'altro che trascurabile, in questo quadro, è anche il tema della governance. Per scongiurare il rischio che questi sforzi non vengano vanificati da soggetti inadempienti e per far sì che quanto detto venga rispettato, la Nis prevede la creazione di autorità competenti per la sua attuazione e messa in opera. Quest'ultime dovranno contare su risorse dedicate e poteri regolamentari adeguati - inclusi quelli sanzionatori e di applicazione della legge -, in particolare verso gli operatori di servizi essenziali. Tali compiti, si legge nella direttiva, potranno tuttavia essere affidati anche ad autorità già in piedi, senza doverne necessariamente creare di nuove. Altri organismi attesi sono i Cert-Csirt, sigle che indicano i gruppi di intervento per la cyber security in caso di incidente e che saranno responsabili della trattazione di incidenti e rischi. Queste strutture verranno incluse in un 'network', allo scopo di incentivare la cooperazione e l'info sharing qualora si verificassero anomalie o attacchi. Tutti questi adempimenti riguarderanno, in qualità di Stato membro, anche il nostro Paese, che però non parte da zero e non dovrà stravolgere quanto fatto finora: Roma ha già formalizzato una sua cyber strategy (alla quale contribuiscono sia il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la protezione e la sicurezza informatica del 2014, sia il Dpcm che a gennaio del 2013 ne ha posto le basi); può già contare su uno o più Cert; e ha identificato un organismo di interfaccia e un'autorità responsabile per la sicurezza cibernetica della nazione. Bisognerà invece lavorare, tra le altre cose, su una definizione precisa di quali siano le infrastrutture critiche del Paese.

Michele Pierri

Direttore Cyber Affairs redazione@cyberaffairs.it

Dalla cybersecurity alla cyberwar Regolare i conflitti nell’era della rivoluzione dell’informazione Von Clausewitz ha spesso rimarcato che, più che un’arte o una scienza, le guerre (e di conseguenza anche i conflitti) sono attività sociali. Proprio come altre attività sociali, le guerre cavalcano gli sviluppi tecnologici e scientifici e rispecchiano i valori culturali e morali che caratterizzano il loro tempo. La progettazione, lo sviluppo e l’uso delle armi di distruzione di massa offrono un ottimo esempio di questa relazione. L’uso di queste armi durante la Seconda Guerra Mondiale fu stato reso possibile dai progressi della ricerca in fisica nucleare che aveva caratterizzato il dibattito scientifico ma anche culturale, in senso lato, negli anni precedenti allo scoppio della guerra. Allo stesso modo, i trattati che hanno decretato la fine della Guerra Fredda bandendo l’uso delle armi nucleari rispecchiano i valori delle società post-belliche, che preferirono la ricerca di pace e stabilità alla retorica belligerante degli anni ’30. La stessa relazione d’influenza reciproca esiste tra le nostre società dell’informazione e i conflitti cibernetici, i così detti cyber conflicts. Ne segue che le regole che definiscono condotte lecite e illecite nell’ambito dei cyber conflicts hanno un impatto molto ampio e sono decisive per lo sviluppo delle società dell’informazione aperte, pluraliste e pacifiche. Vista la diffusione capillare di rischi provenienti dal cyber space, da più parti si è stata evidenziata la necessità di agire prontamente nel regolare la condotta dei diversi stakeholers per evitare il far west digitale. Per questa ragione, negli scorsi anni, si sono moltiplicati gli sforzi per analizzare e interpretare il corpo delle leggi internazionali che definisce la condotta degli stati in caso di conflitti per applicarlo anche ai casi di cyber conflicts. Il corpus a cui si fa riferimento include le quattro Convenzioni di Ginevra, i primi due Protocolli Aggiuntivi, Constumary International Law, i General Principles of Law e le convenzioni che circoscrivono o proibiscono l’uso di alcuni tipi di armi, chimiche e nucleari, in caso di conflitti (Schmitt 2013; Glorioso 2015). Le misure coercitive concernenti le violazioni economiche sono considerate legittime per regolare cyber conflicts che non causano danni fisici (Lin 2012; O’Connell 2012). Per quanto rilevanti, queste analisi falliscono nell’identificare e, quindi risolvere, il problema posto dalla diffusione dei cyber conflicts. Il problema non è se questi conflitti possano essere interpretati in maniera tale da poter rientrare nei parametri dei conflitti tradizionali e delle trasgressioni economiche, e quindi, se questi ricadano nel dominio delle leggi internazionali come le conosciamo. Il problema sorge ad un livello più profondo e riguarda la struttura concettuale e normativa del corpus appena descritto e la sua capacità di regolare in maniera soddisfacente nel medio e lungo termine i cyber conflicts, rispecchiando i valori culturali e morali delle nostre società (Floridi and Taddeo 2014). Per raggiunger questo obbiettivo, gli sforzi per regolare i cyber conflicts devono basarsi su (a) una comprensione profonda di questo nuovo fenomeno; (b) identificare i cambiamenti che questo ha determinato (Floridi 2014; Taddeo and Buchanan 2015); e (c) definire un insieme di valori condivisi che guidi i diversi stakeholders che operano nell’arena internazionale. Allo

stesso tempo i cyber conflcits devono essere regolati nel rispetto della (d) Teoria della Guerra Giusta, (e) dei Diritti Umani, e (f) del Diritto Internazionale. Tuttavia rispettare (a)-(f) risulta molto problematico, visti i cambiamenti che questi hanno determinato nei nelle condotte belliche e visti i più ampi cambiamenti che sono stati determinati dalla così detta rivoluzione dell’informazione, di cui i cyber conflicts sono sintomatici (Dipert 2010; Taddeo 2012a; Floridi and Taddeo 2014). Se comparati con i conflitti tradizionali, i cyber conflicts mostrano alcune differenze fondamentali: il loro dominio spazia da quello fisico a quello virtuale; la natura degli agenti e degli obbiettivi coinvolti include agenti umani e artificiali, obbiettivi fisici e virtuali. Allo stesso tempo, il livello di violenza di questi conflitti varia da non-violenti a potenzialmente molto violenti. Queste differenze ridefiniscono la nostra comprensione di concetti chiave come danno, violenza, bersaglio, combattente, arma, e attacco, e pongono seri problemi bella definizione dei principi che dovrebbero regolare queste nuove forme di conflitto (Dipert 2010; Taddeo 2012b; Taddeo 2014a; Floridi and Taddeo 2014; Taddeo 2014b). Allo stesso tempo, l’assenza di confini nazionali, la natura distribuita e interconnessa del cyber space rendono difficile definire la sovranità dello stato (Brenner 2009; Chadwick and Howard 2009; Cornish 2015). Questo ha serie implicazioni per la definizione dell’autorità dello stato e del potere militare e quindi sulla definizione di condotte lecite e illecite, così come del corpo di leggi che dovrebbero essere applicate al caso dei cyber conflicts. Capire questi cambiamenti e identificare il loro impatto nel medio e lungo termine sulle relazioni internazionali e sulle strategie militari è un elemento preliminare e necessario per ogni tentativo di regolare i cyber conflicts. Senza un’adeguata comprensione di questi cambiamenti e del loro impatto, i tentativi di regolare e anche di arginare le minacce che vengono dal cyber space sono limitati da tre tipi di problemi concernenti i rischi, i diritti e le responsabilità’ (Taddeo 2012). Rischi. Alcune stime indicano che il mercato della cyber sicurezza crescerà raggiungendo un valore di US$170 miliardi nel 2020 e ponendo così il rischio di una ‘corsa ai cyber armamenti’ e quindi di una progressiva militarizzazione del cyber space, che rischia di creare competizione per la supremazia digitale e quindi di aumentare le possibilità che i cyber conflcits si intensifichino (MarketsandMarkets 2015). La regolamentazione dei cyber conflicts deve considerare e ridurre questo rischio e può farlo solo se include principi che favoriscano la stabilità, la fiducia e la trasparenza tra i diversi agenti coinvolti (Arquilla and Borer 2007; Steinhoff 2007; European Union 2015). Diritti. Le minacce cibernetiche sono diffuse in maniera capillare, prevenirle richiede alti livelli di controllo e sorveglianza che possono riguardare anche strutture civili e private a discapito dei diritti individuali, come privacy e anonimato (Arquilla 1999; Denning 2007). Responsabilità. Definire le responsabilità di un attacco cyber è problematico. Le difficoltà nell’ascrivere le responsabilità pongono grossi rischi di escalation in quanto possono determinare un’attribuzione erronea. Come è successo, per esempio, nel 2014, quando un malware altamente distruttivo di origini russe fu ritrovato nei server centrali di Nasdaq e le prime ipotesi rimandavo al governo russo. 22

22

http://arstechnica.com/security/2014/07/how-elite-hackers-almost-stole-the-nasdaq/

Gli sforzi per la regolarizzazione dei cyber conflicts non possono essere ciechi e non considerare questioni riguardanti l’impatto di queste nuove forme di conflitto sulle società informazionali, sui loro valori, sui diritti e la sicurezza dei loro cittadini, sulla politica nazionale e internazionale. E’ cruciale che le questioni etiche e concettuali che i cyber conflicts pongono siano considerate e risolte adesso, mentre gli sforzi per regolare questo tipo di conflitti sono ancora in corso. Solo in questo modo le regole per i cyber conflicts potranno contribuire a creare società informazionali aperte, pluraliste e pacifiche.

Mariarosaria Taddeo Oxford Internet Institute, University of Oxford

Alan Turing Institute, London Consulente NATO

mariarosaria.taddeo@oii.ox.ac.uk

Tra pubblico e privato: Stati Uniti e Regno Unito

Gli Incentivi Governativi per la Cyber Security delle PMI Sviluppare una partnership tra pubblico e privati nel settore della sicurezza cibernetica rappresenta a livello internazionale uno dei pochi elementi comuni a quasi tutte le agende politiche dei governi e alle loro strategie. Ciò evidenzia la rilevanza e la sensibilità verso questo tema da parte di tutti i Paesi, indipendentemente dall’area geografica. Tuttavia, seppure la sicurezza delle società private classificabili come infrastrutture critiche sia ormai un argomento molto dibattuto, quella delle PMI rappresenta invece un tema troppo poco esplorato e su cui la giusta attenzione degli esperti e soprattutto dei governi latita pericolosamente. E’ opportuno ricordare, infatti, che le oltre 20 milioni di PMI presenti all’interno dei confini dell’Unione Europea rappresentano il 99,8% del numero totale delle imprese e impiegano circa 90 milioni di europei, che producono ben il 58% della ricchezza. Occorre, pertanto, fornire urgentemente degli aiuti diretti e concreti anche al settore delle PMI, mettendo a disposizione non solo competenze, consulenze e know-how, ma anche predisponendo quegli strumenti finanziari, legali e operativi utili a creare le condizioni perché la cooperazione tra settore pubblico e privati sia non solo concretamente realizzabile in tempi brevi, ma soprattutto sia anche inclusiva di tutte le realtà societarie. Ciò, a maggior ragione, in considerazione della evidente e scontata esiguità dei budget delle PMI per il settore della sicurezza informatica, laddove contestualmente la minaccia cibernetica – soprattutto quella orientata allo spionaggio – è da tempo in costante crescita, sia sotto il profilo della quantità, che soprattutto della qualità degli attacchi. Per la risoluzione di questo problema, appare interessante volgere lo sguardo anzitutto all’approccio adottato dagli Stati Uniti. Gli Stati Uniti hanno da sempre rivolto particolare attenzione nei confronti del tema della cooperazione in questo settore. Già nel febbraio del 2003, infatti, le Actions and Recommendations della National Strategy to Secure Cyberspace23 avevano posto in gran rilievo il ruolo degli attori privati, rimarcando in più punti l’esigenza di una reale partnership su queste tematiche, tanto per la creazione di un efficiente National Cyberspace Security Response System, quanto per l’attuazione di un programma di riduzione delle vulnerabilità e delle minacce derivanti dal cyber-spazio. Quest’esigenza si è mantenuta costante e primaria negli anni, fino ad essere – in tempi più recenti – cristallizzata ed enfatizzata dal Presidente Obama all’interno della sua Presidential

23 Department of Homeland Security (DHS), National Strategy to Secure Cyberspace, 2003, https://www.us-

cert.gov/sites/default/files/publications/cyberspace_strategy.pdf.

Policy Directive – Critical Infrastructures Security and Resilience (PPD-21)24 e del suo

Executive Order 13636 – Improving Critical Infrastructure Cybersecurity25, resi pubblici nel

febbraio 2013. Entrambi questi documenti pongono come centrale l’esigenza di scambiare in maniera efficace e rapida le informazioni sulle minacce cibernetiche proprio con le società private, evidenziando quindi una chiara volontà politica del governo degli Stati Uniti ad incrementare la quantità, la tempestività e la qualità delle informazioni sulle minacce cibernetiche scambiate con il settore privato, affinché questi soggetti possano meglio proteggere e

difendere le loro infrastrutture da questo genere di attacchi26.

Appare evidente, allora, il ruolo nodale demandato dal governo americano alla partnership pubblico-privati nel settore della cyber-security, soprattutto declinata nell’ottica

dell’information sharing27

, ulteriormente enfatizzata dalla recente creazione all’interno del

Department of Homeland Security (DHS) di un National Cybersecurity and Communications

Integration Center (NCCIC)28, volto ad offrire un punto di riferimento e di intersezione per lo

scambio di informazioni tra governo americano, settore privato, cittadini, forze dell’ordine, Intelligence e operatori della Difesa. Per di più, sul piano della protezione dei sistemi informatici delle piccole e medie imprese, il

governo americano, attraverso l’US-CERT e il suo C3

Voluntary Program29

, ha da tempo

cominciato ad offrire servizi e risorse utili alle aziende per comprendere questo genere di problematiche e rafforzare il loro livello di sicurezza cibernetica. Il programma, infatti, è teso a supportare in maniera diretta l’industria americana nel processo di accrescimento della consapevolezza di queste minacce, nell’incremento della resilienza dei sistemi informatici, nell’uso (anche per le PMI) del Cybersecurity Framework del

24 White House, Presidential Policy Directive – Critical Infrastructures Security and Resilience, 2013,

http://www.whitehouse.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-

infrastructure-security-and-resil.

25 White House, Executive Order 13636 – Improving Critical Infrastructure Cybersecurity, 2013,

http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-

cybersecurity.

26 White House, Executive Order 13636 – Improving Critical Infrastructure Cybersecurity, Section 4, cit..

27 Problematica dell’information sharing, in realtà, già affrontata dal governo americano con un approccio

olistico e strategico nel 2012 attraverso la National Strategy for Information Sharing and Safeguarding. Per

approfondire, White House, National Strategy for Information Sharing and Safeguarding, 2012,

http://www.whitehouse.gov/sites/default/files/docs/2012sharingstrategy_1.pdf.

28 U.S. Departement of Homeland Security (DHS), National Cybersecurity and Communications Integration Center,

2014, in https://www.us-cert.gov/nccic.

29 US-CERT, “C³ Voluntary Program SMB Toolkit”, in https://www.us-cert.gov/ccubedvp/smb.

NIST30

, nonché nell’incoraggiare il settore privato ad inserire e gestire anche la sicurezza

informatica come parte dell’approccio all-hazard alla gestione del rischio aziendale.

Di grande interesse, infine, appare essere anche il programma del Department of Homeland Security (DHS) denominato National Cybersecurity Assessment and Technical Services (NCATS). Per quanto i dettagli disponibili siano tuttora molto pochi, questo programma, nato nel 2014, ha come scopo quello di fornire un servizio gratuito di risk and vulnerability assessment e di “cyber igiene”31 nei confronti dei sistemi informatici del governo americano e delle infrastrutture critiche private. Un servizio che, tuttavia, ben presto potrebbe essere esteso anche ad altre tipologie di

società, prime tra tutte proprio le piccole e medie imprese. Infatti, ottenere un buon livello di sicurezza cibernetica è certamente uno sforzo – principalmente economico – non alla portata di tutte le aziende, men che mai le piccole o le micro imprese. Pertanto, estendere un simile programma anche e soprattutto al settore delle PMI rapprenderebbe un passo epocale verso una maggiore e più stabile sicurezza condivisa.

Al pari degli Stati Uniti, il Regno Unito è altrettanto attento alle esigenze di cyber-security del settore privato e delle sue piccole e medie imprese.

Sin dal 2011, infatti, il governo inglese ha dato il via alla Cyber-security Information Sharing

Partnership (CiSP). Un’iniziativa congiunta di industria e governo, inserita all’interno del CERT-UK, tesa a dar vita ad un ‘centro’ comune per il settore pubblico e i privati che facesse da collettore delle informazioni su eventuali minacce cibernetiche, condividendole automaticamente e in tempo reale con tutte le società britanniche. Il punto di forza di questo approccio risiede proprio nell’ampio ventaglio dei soggetti partecipanti – appartenenti ai più svariati settori e organismi – e nella possibilità di condividere in tempo reale le informazioni sulle minacce provenienti dal cyber-spazio in un contesto sicuro e dinamico, operando al contempo in un ambiente capace di salvaguardare anche la confidenzialità delle informazioni condivise.

L’esperienza positiva della Cyber-security Information Sharing Partnership (CiSP) ha portato il governo inglese, nell’ottobre del 2016, ad inaugurare il suo National Cyber Security Centre. La neonata struttura ospiterà al suo interno i massimi esperti di sicurezza informatica del Paese, i quali opereranno in stretta collaborazione con il settore privato, le università e con i partner internazionali al fine di garantire la sicurezza dello ‘spazio cibernetico’ inglese.

L’obiettivo, quindi, è ancora una volta quello di creare un unico punto di contatto all’interno del governo e un’unica fonte di consulenza e supporto nel settore della cyber-security per aziende di ogni grandezza e settore. Il Centro, inoltre, potrà contare anche su una “cyber

30 National Institute of Standards and Technology (NIST), Framework for Improving Critical Infrastructure

Cybersecurity, 2014, http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf.

31 U.S. Departement of Homeland Security (DHS), “National Cybersecurity Assessments & Technical Services

(NCATS): Service Overview, Success and Challenges”, 2016, in

http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2016-03/day1_mar23_ncats_current-and-future-

services.pdf.

force” pronta ad intervenire in caso di incidenti informatici occorsi sul territorio inglese per assicurare risposte più rapide ed efficaci agli attacchi più significativi.

Sul versante degli aiuti più concreti nel breve periodo, il governo inglese ha anche messo a disposizione delle micro, piccole e medie imprese un voucher di 5.000 sterline da investire in consulenza specialistica nel settore della sicurezza informatica, della protezione della proprietà intellettuale e delle nuove idee di business32.

In conclusione, seppure è indubbio che obiettivi complessi comportino necessariamente criticità altrettanto articolate, è utile osservare come le caratteristiche tipiche del cyber-

spazio facciano sì che la cooperazione ad ampio spettro nel settore della cyber-security sia un elemento assolutamente necessario ed imprescindibile. Ciò soprattutto a causa dell’impossibilità per ciascun attore coinvolto all’interno di questo ‘dominio’ di disporre – da solo – del quadro complessivo e di tutte le informazioni necessarie per far fronte efficacemente a questa minaccia.

Oggi più che mai la sicurezza cibernetica dev’essere vista come una componente fondamentale della sicurezza, della crescita e della competitività economica di ciascuna nazione e, conseguentemente, della sua strategia economica interna e internazionale. Occorre, pertanto, strutturare queste partnership tenendo a mente principalmente il reale ed

altissimo valore economico e militare di questo settore, evitando – come fatto finora – di concentrare gli sforzi solo sugli aspetti meramente tecnologici ed ingegneristici, che ne rappresentano un elemento utile, ma in questo caso marginale.

Stefano Mele Avvocato – diritto delle tecnologie

Presidente gruppo Cybersecurity Camera di Commercio americana Italia smele@carnelutti.com

32 UK Department for Culture, Media & Sport, “New £5000 Government grant for small businesses to boost cyber

security”, 2015, in https://www.gov.uk/government/news/new-5000-government-grant-for-small-businesses-

to-boost-cyber-security.

Il modello Israeliano

L’ecosistema israeliano è unico al mondo. Forma cittadini e futuri startupper partendo dall’educazione dei bambini e durante il periodo di leva. Per questo è leader mondiale in cybersecurity Quando si parla di cyber security il ‘modello’ israeliano – assieme a quelli di Stati Uniti e Regno Unito – è senz’altro uno dei punti di riferimento. Parlando delle best practice israeliane nei settori della cyber security e dell’innovazione, Sachs ha spiegato che “Israele ha raggiunto questa posizione per due ragioni principali: innanzitutto grazie a un ecosistema di imprenditori, un sistema unico; la seconda, la necessità, che riteniamo essere la ‘madre’ di tutte le invenzioni. Ciò che facciamo, particolarmente per le Forze della difesa, è investire in giovani brillanti, che non facciamo passare per il classico percorso universitario, ma semplicemente diamo loro la possibilità di essere in un ambiente che è molto ricco di persone come loro: menti brillanti, estremamente innovative. Dopo tre anni, in media, cercano di creare un business proprio e questo crea grandiose opportunità. Il concetto è molto semplice: prendi le élite, unità delle Forze di difesa, dell’università e del settore privato e li metti tutti nello stesso posto. Pensa a un semplice pranzo: un giovane soldato, uno appartenente a una multinazionale e un ricercatore che vanno a pranzo insieme e iniziano a condividere informazioni. Ci accorgiamo che nascono spontaneamente spunti interessanti, e che tutti i soggetti crescono insieme, e anche molto velocemente”. Oggi il 20% delle industrie high tech israeliane si occupano di sicurezza cibernetica, numeri che secondo le statistiche fanno del settore uno dei maggiori del Paese. La crescita del mercato israeliano, evidenzia il Globes, ha avuto, per gli esperti, importanti riflessi sulle capacità di cyber difesa del Paese. Secondo una ricerca dell’Hague Centre for Strategic Studies (Hcss), Israele è tra i dieci Paesi maggiormente preparati a difendersi da cyber attacchi, con un punteggio di 3, il nono al mondo, assegnato sulla base di molteplici criteri. Per fare un confronto, gli Stati Uniti hanno un punteggio di 3.8, il Regno Unito di 3.6 e l’Olanda di 3.5. Per lo studio dell’Hcss, il punteggio di Israele è più alto di quello francese e ancora di più di quelli russo (1.6) e cinese (1.4). A questo dato si aggiungerebbe un bassissimo tasso di crimini informatici: “l’1%, rispetto al 23% statunitense (il più alto) e al 9% cinese (il secondo in ordine di grandezza)”. Un report di Bank of America-Merrill Lynch, spiega che Israele, “in virtù della propria storia e della politica adottata in questi anni”, è oggi “un leader mondiale nella produzione di soluzioni di cyber security per la comunità militare e di intelligence”. Tra le punte più avanzate del “sistema Israele” lo studio cita due esempi. In ambito militare spicca “la Unit 8200, unità operativa dell’Israel Defense Forces (IDF), le Forze di Difesa israeliane”. Si tratta di un’unità sotto il comando del Direttorato dell’intelligence militare, incaricata dello spionaggio di segnali e comunicazioni, decrittazione di informazioni e codici cifrati, e cyber warfare.

Mentre nel settore privato il dossier parla di Check Point Software Technologies, compagnia fondata 23 anni fa proprio da tre ex membri della Unit 8200, quotata al Nasdaq, e che ha oggi una capitalizzazione di mercato di circa 15 miliardi di dollari. Per ciò che riguarda il sistema produttivo nel suo complesso, un report dell’IVC Research Center sostiene invece che “l’industria israeliana dedicata alla cyber security” sia passata “dalle 20 aziende del 1996, alle 250 del 2006, fino alle 430 attuali”. E che “dal 2000, mediamente, sono nate ogni anno 52 aziende”, ma la cifra “sale a 66” se si prendono in considerazione “gli ultimi quattro anni”. Una delle forze motrici che sta trainando il successo di Israele in questo frangente è stata la decisione del primo ministro Benjamin Netanyahu di creare un cluster di sicurezza informatica in una città nel deserto, Beer-Sheva. CyberSpark industry initiative, questo il nome dell’insediamento, altro non è che un progetto nazionale lanciato nel 2014 con l’obiettivo di riunire in un solo posto le aziende locali, le multinazionali globali, tutti i livelli di governo, i militari e il mondo accademico, e sostenere così lo sviluppo di un ecosistema informatico fiorente. Una scommessa che ha funzionato. Con esportazioni per un totale di 3,5 miliardi di dollari – approssimativamente il 5 per cento di un mercato globale da 75 miliardi di dollari nel 2015 e il 20 per cento degli investimenti privati – Israele ospita oggi circa 430 imprese di cybersecurity e 40 centri di ricerca e sviluppo sulla sicurezza cibernetica di multinazionali, ha detto Roni Zehavi, ceo di CyberSpark industry initiative, in un suo articolo pubblicato da iPolitics. Le aziende che decidono di insediarsi nel cluster, ha raccontato Zehavi , “ricevono sovvenzioni in proporzione ai salari pagati ai loro lavoratori. Le imprese che mantengono la proprietà intellettuale in Israele ricevono contributi aggiuntivi”. Ciò ha portato in breve tempo “ad attrarre in CyberSpark attori privati del calibro di Deutsche Telekom, PayPal, Oracle, Lockheed Martin, EMC e IBM. Mentre lo scorso aprile Blackberry ha acquistato WatchDox, una startup israeliana per la sicurezza di device mobili e ha anche annunciato che intende insediare un centro di ricerca e sviluppo in Israele”. Tutto l’ecosistema, ha rimarcato il ceo di CyberSpark, “si poggia sulla possibilità di avere rappresentanti di tutti i settori in un unico posto incoraggia la conoscenza reciproca, lo scambio di idee e dunque la collaborazione in diversi progetti. Si tratta di un equilibrio delicato, nel quale ogni soggetto ha conoscenza dei propri limiti e fa affidamento sulle competenze degli altri”. Infine, ha concluso Zehavi, “uno dei motivi principali per cui le multinazionali arrivano a Beersheba è la possibilità di acquisire personale altamente qualificato direttamente da uno dei centri accademici israeliani di maggior prestigio, l’università Ben Gurion”. “I risultati israeliani nel settore della sicurezza informatica sono il prodotto di una sostenuta spinta strategica. Gli altri Paesi avanzati possono imparare, imitare e adattare molto di ciò che Israele ha fatto, per orientare i loro sforzi nazionali in campo cibernetico”, ha detto a Cyber Affairs Lior Tabansky, ricercatore in cyber power al Blavatnik Interdisciplinary Cyber Research Center (TAU ICRC) dell’Università di Tel Aviv.

La cyber security israeliana, ha raccontato l’esperto, ha avuto origine come molte altre cose “nella comunità di difesa, per scopi di difesa specifici”. Tuttavia, la forza dell’ecosistema informatico israeliano e della sua capacità di attrarre investimenti esteri ed esportare soluzioni di sicurezza – prosegue lo studioso – è da ricercare “nella diffusione di competenze e nel nutrimento dell’innovazione” anche al di fuori del mondo militare. Di fatto, rimarca ancora, quel che c’è oggi è scaturito da molte decisioni di politica pubblica, come la “Legge per la promozione della ricerca industriale e lo sviluppo del 1984” e l’istituzione dell’Ufficio del Chief Science del ministero del Commercio e dell’Industria nello stesso anno”. Oltre al già citato Beer-Sheva, altre pietre miliari della politica di Israele in tema di cyber security, ha detto Tabansky, “comprendono la politica delle Israel Defense Forces (IDF), le Forze di Difesa israeliane, sull’uso dell’esperienza operativa dei veterani a servizio del settore privato; le disposizioni nazionali per la protezione delle infrastrutture critiche stabilita nel 2002; e il contributo di esperti esterni raccolto nel 2010, che ha poi portato all’attuale strategia nazionale di sicurezza cibernetica di Israele”. La collaborazione tra Israele e la Penisola in ambito cibernetico si rafforza. Grazie ad un accordo bilaterale di cooperazione scientifica ed industriale, i due Paesi hanno dato vita a un laboratorio congiunto sulla cyber security realizzato dall’università di Tel Aviv e da quella di Modena e Reggio Emilia. È iniziata cosi’ un’attività che ha consentito di sviluppare in Italia un polo che si avvale delle esperienze israeliane ai livelli più alti. “Tra Italia e Israele ci sono alcune piccole cooperazioni, prevalentemente in ambito ricerca e sviluppo e in campo accademico, ma sono in crescita” ha detto a Cyber Affairs è stato Ofer Sachs, ambasciatore d’Israele in Italia. Enel ha deciso di aprire un centro a Tel Aviv, nel cuore del sistema cyber e tecnologico. “È un’azione simbolica particolarmente forte e importante per un Paese piccolo come il nostro, perché per competere su scala globale abbiamo bisogno di cooperare con un Paese come l’Italia, che sa come lavorare su una scala così grande. Apprezziamo tantissimo l’unione fra l’innovazione e la tecnologia israeliana e l’abilità imprenditoriale italiana”. “Ritengo”, ha proseguito l’ambasciatore, “che ci sia piena intenzione di cooperare anche sul versante politico. Le nostre agenzie stanno collaborando e condividendo know-how e informazioni. Ci sono alcune sfide che stiamo affrontando in Israele e che ancora non sono arrivare in Italia – e mi auguro che sia così per sempre -, ma c’è bisogno di essere pronti in breve tempo se ciò dovesse accadere”.

Michele Pierri

Direttore Cyber Affairs redazione@cyberaffairs.it

Mission impossible? La sfida dell’Italia sul digitale Il ritardo italiano può essere trasformato nell’opportunità di costruire un ecosistema già sicuro La rivoluzione digitale è un fenomeno globale, ma il suo impatto nei singoli paesi è fortemente differenziato. In alcune nazioni essa rappresenta un fattore di crescita e di benessere, in altre – al contrario – produce effetti negativi: perdita di competitività, emarginazione e declino. In Italia la perdurante assenza di una politica pubblica digitale (cyber public policy)i sta producendo danni gravissimi nel breve e nel medio periodo. Il Paese da un lato rischia di subire tutte le conseguenze negative prodotte dai processi di digitalizzazione (soprattutto in termini di disoccupazione dei lavoratori con qualifiche di livello medio-basso).ii Dall’altro corre il rischio di perdere la più rilevante opportunità di crescita di questo decennio (posti di lavoro qualificati in tutti i settori industriali e nei servizi, ricerca universitaria e privata, produzione di know how, imprese innovative e startup).iii Sintomo della debolezza italiana è il fatto che le grandi major digitali hanno in Italia quasi esclusivamente uffici commerciali, a differenza di quanto avviene in altri Paesi europei.iv La situazione è grave anche sul piano della sicurezza, dal momento che l’appropriazione indebita di brevetti, ricerche, prototipi, ecc. è cresciuta a livello esponenziale mettendo a repentaglio il patrimonio strategico/militare, industriale, tecnologico e scientifico italiano.v La proprietà intellettuale del paese è quotidianamente soggetta ad una minaccia silente, ma a differenza di altri paesi tra i cittadini ed in vasti segmenti del mondo imprenditoriale, la sensibilità per la cyber security awareness resta tuttora molto scarsa.vi Crescita e sicurezza sono in realtà due facce della stessa medaglia, in quanto una strategia digitale competitiva e orientata allo sviluppo non può non comprendere una dimensione security caratterizzata dai più elevati standard internazionali. La cyber security è innanzitutto un’attività preventiva e pertanto dovrebbe essere “embedded” nei processi, nelle reti e in tutti i dispositivi. Un ulteriore elemento di debolezza è costituito dalla spaventosa frammentazione che contraddistingue da anni il processo di digitalizzazione della PA. Un settore che in teoria potrebbe, invece, rappresentare – uno straordinario volano di crescita per il Sistema Paese. Il settore pubblico è diviso in tanti compartimenti stagni e la digitalizzazione “materiale” (spesso anche obsoleta) è stata sinora incapace di garantire interoperabilità tra le diverse amministrazioni centrali,vii tra lo Stato e le autonomie territoriali, né un’ efficace comunicazione tra autorità pubbliche, cittadini e imprese. Le stesse consistenti forniture pubbliche di servizi digitali (via Consip o senza Consip) sono la somma di esigenze settoriali – se non occasionali – e non hanno a monte un piano di riorganizzazione trasversale della PA capace di sfruttare in modo efficiente e creativo la vasta gamma di soluzioni offerte dalla rivoluzione digitale. In numerosi casi – in assenza di un modello organizzativo ben definito – la digitalizzazione delle procedure pubbliche ha prodotto e tuttora sta producendo tragi-comici effetti boomerang. Alcuni dei fenomeni più eclatanti – si pensi alla mera scannerizzazione del

cartaceo – si sono verificati nei ministeri della pubblica istruzione e della sanità, per non parlare dell’arretratezza organizzativa e tecnologica di numerose ASL, Regioni ed enti locali. Non si intendono qui negare alcuni progressi (fatturazione elettronica e ricettari medici digitali in alcune regioni virtuose, sperimentazione della carta di identità elettronica in qualche grande comune, ecc.),viii tuttavia la dispersione di energie e la frammentazione istituzionale sono ancora elevatissime, come peraltro ha dimostrato il dibattito parlamentare sull’emendamento Quintarelli in sede di riforma costituzionale (in questo caso un risultato politico positivo).ix La storica divaricazione tra Ministero degli Interni e Ministero dell’economia in materia di anagrafi -– e l’ambiguità normativa e gestionale che in questi anni ha contraddistinto il ruolo e le attività dell’Agid – sono solo altri due esempi delle difficoltà esistenti. In linea di principio, si potrebbe facilmente delineare una politica governativa, investimenti pubblici e una legislazione all’altezza delle nuove sfide, anche perché è oggi possibile far tesoro delle esperienze positive e negative di altri paesi.x Il punto centrale non è di policy, ma di politics (la governance in area Cyber, sicurezza compresa) e di comunicazione politica. La politica italiana dovrebbe riflettere sul fatto che la rivoluzione tecnologica non si limita a creare lo spazio cibernetico (il cosidetto cyberspace o quinto dominio).xi E’ l’intera realtà sociale e culturale che cambia; viviamo ormai in una vera e propria “società digitale” caratterizzata – a mio avviso – da cinque proprietà combinate ed inedite: a) iper-connettività a livello globale; b) iper-velocità della comunicazione; c) iper-memoria (miniere digitali o Big Data); d) iper-automazione dei processi (IOT); e) iper-capacità mimetica. Quest’ultima caratteristica presenta giganteschi problemi di attribuzione non solo degli attacchi informatici, ma anche in termini di influenza dell’opinione pubblica e di manipolazione occulta del mercato. La società digitale pone dunque in termini totalmente rinnovati la responsabilità politica dello Stato contemporaneo per quanto riguarda le politiche pubbliche, le strutture amministrative, i processi decisionali, i diritti civili e politici, la sicurezza ed i servizi al cittadino. Nella cultura della Silicon Valley i valori dominanti sono tecnologia e mercato, mentre la democrazia resta in ombra.xii Recenti studi hanno anche ipotizzato la presenza, all’interno delle società digitali, di un crescente grado di manipolazione politica (alcuni algoritmi nati per ragioni commerciali e pubblicitarie eserciterebbero – in termini preterintenzionali o per dolo – un’influenza di carattere politico). Si sostiene – ad esempio – che una percentuale crescente di elettori incerti sia influenzata, in termini subliminali e di persuasione occulta, dai motori di ricerca. Due docenti statunitensi di psicologia, Robert Epstein e Ronald Robertson, hanno studiato i comportamenti dell’elettorato incerto in India e negli Stati Uniti ipotizzando che una consistente percentuale è inconsapevolmente influenzata dalle ricerche in internet. Epstein e

Robertson hanno definito questo fenomeno con l’acronimo SEME (search engine manipulation effect).xiii Questa ipotesi tuttavia è contrastata da opinioni opposte.xiv Al di là della ricerca menzionata di cui è arduo verificare l’attendibilità – la verità è che non è affatto semplice conciliare i tempi, gli spazi e gli imperativi della società digitale con i valori fondanti delle democrazie contemporanee – un problema che rischia di aggravarsi ancor più ad ogni ulteriore balzo in avanti della tecnologia. Su questo punto in Italia si registra un grave ritardo culturale e politico.xv Il tema è sostanzialmente assente dallo spazio pubblico; così come scarsa è la partecipazione delle università e delle imprese nazionali ai grandi appuntamenti internazionali sulla governance relativa al futuro di Internet e del cyberspace.xvi In Italia, inoltre, sul piano della politics la molteplicità delle autorità politiche e tecniche deputate (Ministro dello sviluppo economico, Ministro della Funzione Pubblica, Interni, Difesa, altri ministeri, Regioni, ASL, Agid, altre agenzie, grandi comuni, ecc.) è in palese contrasto con la natura stessa della rivoluzione digitale. Per essere efficace tale rivoluzione richiede, infatti, la rottura dei compartimenti stagni e delle isole di potere (e delle relative gerarchie organizzative micro-settoriali). E’ necessaria una visione trasversale e unitaria che consenta di agire con velocità, con una catena di comando chiara e secondo una logica net-centrica coerente con una visione a lungo termine dell’intero Sistema Paese. Non vi è alcun dubbio che la politica digitale dell’Italia debba coinvolgere il Governo nel suo insieme e pertanto dipendere direttamente dalla responsabilità politica del Presidente del Consiglio ed, eventualmente, per delega da un suo Sottosegretario. Nel mondo cyber e nella realtà tecnologica contemporanea e futura non c’è spazio per l’ “Italia dei dicasteri”, per l’ “Italia degli orticelli”, per l’ “Italia delle parrocchie e dei mille campanili”. In questa logica, l’autorità politica dovrà dotarsi di uno strumento in grado di attuare e concretizzare le priorità dell’agenda politica. Sotto questo profilo la Presidenza del Consiglio dovrebbe creare un nuovo Ufficio o un nuovo Dipartimento dedicato alla strategia ed alla politica digitale (cyber public policy), dotato di competenze adeguate sotto il profilo tecnico e di poteri effettivi sull’intera macchina centrale e periferica della PA. Questa struttura non dovrebbe tuttavia rappresentare, come spesso è accaduto in Italia, un livello burocratico aggiuntivo teso a verificare adempimenti procedurali in chiave giuridico-legale. Se tale dovesse essere il rischio, sarebbe meglio abbandonare del tutto il progetto di una sua costituzione. Al contrario, si tratterebbe di realizzare una struttura capace di dare input strategici ed operativi e che risulti effettivamente competitiva a livello internazionale, in linea con gli altri Paesi industrializzati (non solo le grandi potenze, ma anche il Regno Unito, la Germania e la Francia, per non parlare di piccoli Paesi come Israele e l’Estonia dove i processi di digitalizzazione – cyber security compresa – costituiscono un rilevante fattore di crescita economica). In questa logica un altro aspetto cruciale riguarda la necessità di una radicale revisione legislativa ed organizzativa dell’Agid.xvii Tuttavia, oltre al grave problema di politics/governance, esiste un altro aspetto critico di non facile soluzione, quello di una comunicazione politica decisamente fuorviante. Nella percezione di gran parte della classe politica, dei media e dell’opinione pubblica, la dimensione digitale è erroneamente associata a immagini effimere: al “gioco” dei selfie e dei

cinguettii, al successo dei social network o comunque alla leggerezza del virtuale come se fosse un pianeta immaginario ed alieno dalla vita reale. Niente di più sbagliato. Queste cattive rappresentazioni nel mondo cyber sono solo la punta di un enorme iceberg. La distinzione tra virtuale e reale non esiste più, se mai è esistita in precedenza. In ogni caso, siamo oggi di fronte ad una nuova e gigantesca “rivoluzione industriale” che ha riflessi dirompenti sulla vita di tutte le imprese, delle Pubblica Amministrazione e di ogni singolo cittadino (sia sul piano sia lavorativo che della vita privata). E’ sbagliato pensare alla crisi economica come un effetto esclusivo della crisi finanziaria, anche se essa ne ha costituito un rilevante acceleratore; la crisi è dovuta a un cambiamento sistemico in cui i modelli organizzativi aziendali, i prodotti, le metodologie di produzione stanno cambiando rapidamente.xviii Di conseguenza, i paesi che vinceranno saranno quelli più sensibili a cogliere e gestire l’innovazione del digitale, i paesi che sapranno mantenere i propri cervelli e attirarne di nuovi. La rivoluzione digitale ha inciso profondamente anche nelle dinamiche della politica internazionale. Il cyberspace è diventato a tutti gli effetti un elemento di high politics, un terreno di confronto/scontro tra le grandi potenze anche per la crescente convergenza e integrazione tra dimensione civile e militare.xix Per queste ragioni è il momento di rompere gli indugi: occorre dotare l’Italia di una strategia, di una struttura di governance e di una capacità organizzativa all’altezza delle sfide della rivoluzione digitale. Il 29 settembre scorso il Governo Renzi ha nominato Diego Piacentini (già numero due di Amazon) Commissario Straordinario per il Digitale.xx Gli obiettivi politici annunciati da Piacentini dopo la nomina sono ambiziosi e condivisibili:

“rendere più semplice la vita ai cittadini… .far si’ che la macchina dello Stato sia in grado di usare le tecnologie come accade in Gran Bretagna e negli Stati Uniti….”xxi

Vedremo tra qualche mese se avrà una visione lungimirante, le idee chiare e soprattutto l’influenza necessaria per favorire il catch up dell’Italia. In bocca al lupo!

Marco Mayer, Direttore del Master Intelligence e Sicurezza di LinkCampus; docente di Cyberspace

and International Politics alla Scuola Superiore Sant’Anna e Conflict and Peacebuilding alla LUISS

mayerkos@yahoo.it i Si veda Mayer, M. http://www.ictsecuritymagazine.com/articoli/gli-imperativi-del-governo-italiano-per-la-

cyber-security/

ii Carl Benedikt Frey e Michael A. Osborne della Oxford Martin School hanno esaminato 702 profili professionali

nel mercato del lavoro degli Stati Uniti e sono giunti alla conclusione che il 47 % dei posti di lavoro è a rischio

per effetto della rivoluzione digitale. Frey. C.B, Osborne, M..A The Future of Employment - Oxford Martin School,

2013. La Banca mondiale ha successivamente utilizzato la metodologia adottata dai due studiosi per una

ricerca di carattere mondiale ed ha confermato il fenomeno a livello globale. Chi intende approfondire il tema

può fare riferimento a lavori successivi.

http://www.oxfordmartin.ox.ac.uk/downloads/reports/Citi_GPS_Technology_Work.pdf;

http://voxeu.org/article/how-digital-revolution-reshaping-global-workforce

iiiIl 7 ottobre 2016 Cyber Affairs - l’agenzia di stampa diretta da Michele Pierri - riporta la seguente

dichiarazione di Lorenzo Mazzei (cyber security advisory leader di EY): “Il ritardo digitale” ci costa due punti del

Pil e la mancata creazione di circa 700 mila posti di lavoro.” http://www.askanews.it/cyber-affairs/cyber-

security-che-cosa-si-e-detto-a-ey-capri-2016_711912855.htm

iv Con la nuova eccezione della Apple a Napoli che, tuttavia, è limitata alla formazione di sviluppatori di app, ma

non alla ricerca e innovazione: http //www.corriere.it/italia-digitale/notizie/apre-apple-academy-napoli-

seicento-nuovi-sviluppatori-app-81242492-8ba3-11e6-8000-f6407e3c703c.shtml, un altro esempio recente è il

distretto promosso dalla giapponese NTT data in Calabria dedicato allo sviluppo e implementazione di

soluzioni per la cyber security. NTT data:

http://www.quotidianodelsud.it/calabria/economia/2016/10/07/assunzioni-cyber-security-colosso-ntt-data-

assume-150-persone-cosenza

v Il Direttore del DIS- Prefetto Alessandro Pansa - ha recentemente ricordato: “…. Nel dicembre 2014, Nomisma

ha pubblicato gli esiti di uno studio, commissionato dal DIS, volto a valutare il livello di percezione della

minaccia cibernetica nelle piccole e medie imprese…. al fine di accrescerne la sicurezza informatica. Benché tale

ricerca sia stata pubblicata ormai quasi un paio di anni fa, i relativi risultati possono essere purtroppo ritenuti

ancora oggi validi”.http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/pansa-per-litalia-un-

progetto-forte-di-cybersecurity.html. Il tema è anche al centro del libro bianco elaborato dal CINI (a

cura di Baldoni. R, De Nicola R.) https://www.consorzio-cini.it/index.php/it/labcs-home/libro-bianco

vi Tra le molteplici iniziative promosse dai governi segnaliamo questo progetto statunitense promosso dal

Homeland Security Department: https://www.dhs.gov/publication/stopthinkconnect-industry-resources

vii Le difficoltà esistenti nonché l’esigenza di realizzare un coordinamento efficace tra le amministrazioni centrali

sono esplicitate nella direttiva emanata il 1 agosto 2015 dal Presidente del Consiglio Matteo Renzi:

http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/la-sicurezza-del-ciberspazio-come-priorita-

strategica.html

viii Uno dei tanti esempi paradigmatici su cui riflettere è il fatto che nella prima fase sperimentale (2015) la

dichiarazione dei redditi pre-compilata non aveva incluso le detrazione sanitarie!

ix Se la riforma costituzionale verrà confermata dal referendum del 4 dicembre la dimensione informativa-

digitale sarà materia d’interesse nazionale e dunque di competenza dello Stato.

http://www.polisblog.it/post/296498/emendamento-quintarelli-pubblica-amminitsrazione-digitalizzazione

x A livello internazionale Il caso di maggiore successo è Israele. 7 anni fa una felice combinazione tra la visione

lungimirante del Prof. Ben Isaac Israel dell’Università di Tel Aviv e l’intuito politico del primo ministro

Benjamin Netanyahu hanno prodotto una strategia onnicomprensiva e vincente sul paino digitale. . La storia è

raccontata in un recente volume: Isaac Ben Israel, I. Tabansky, L. Cybersecurity in

Israel, http://www.springer.com/us/book/9783319189857 . L’università di Tel Aviv – su impulso della

Farnesina ha anche stabilito una fattiva cooperazione con l’Università di Modena (il Centro diretto dal Prof.

Michele Colajanni). http://formiche.net/2015/09/28/le-sfide-della-cyber-security-viste-italia-israele/ . Anche

Leonardo Finmeccanica ha stabilito degli accordi significativi con realtà israeliane. Tuttavia sarebbe sbagliato –

come qualcuno ha suggerito - copiare il modello israeliano. Israele è un contesto del tutto particolare: si tratta

un paese in guerra e nel quale le forze armate (IDF) hanno un ruolo primario al di là dei compiti strettamente

militari.

xi. Nel 2014 in un lavoro presentato al MIT insieme a Fabio Rugge ho illustrato la metafora del cyberspace in

questi termini: “Reframing K. Waltz images: cyber arena as a mirror that reflects the real world and at the same

time it affects it”. L’idea cioè che il cyberspace sia uno specchio “speciale” che non solo riflette il mondo reale,

ma anche interagisce con esso influenzandolo.

http://ecir.mit.edu/images/stories/Images/Conference2014/Folder/workshopreportFINAL3.pdf, p. 68.

Tuttavia questa immagine – pur valida per descrivere il cyberspace in senso stretto - offre una visione parziale

perché la distinzione tra virtuale e reale è estremamente labile.

xii Si è molto discusso di democrazia digitale, ma i risultati sono stati sinora deludenti. Si veda, tra le numerose

pubblicazioni critiche il volume “il Mito della democrazia digitale” del Professor Matthew Hindman:

http://press.princeton.edu/titles/8781.html.

xiii“The search engine manipulation effect (SEME) and its possible impact on the outcomes of elections”:

http://www.pnas.org/content/112/33/E4512.full.pdf?with-ds=yes, https://aeon.co/essays/how-the-internet-

flips-elections-and-alters-our-thoughts , , https://www.wired.com/2015/08/googles-search-algorithm-steal-

presidency/

xiv Si veda: http://www.politico.com/magazine/story/2015/08/google-2016-election-121766,

https://www.theguardian.com/technology/2014/may/15/google-did-not-rig-indian-elections,

http://www.huffingtonpost.com/dr-robert-epstein/googles-hypocrisy_b_8253332.html

xv Per la verità la Casaleggio Associati già nel 2004 aveva intuito la centralità politica della rete (vedi il rapporto:

focus politica online: https://www.casaleggio.it/wp-content/uploads/2014/11/Focus_politica_online_1.0.pdf. Il

movimento Cinquestelle è stato peraltro l’unico movimento politico italiano capace di sfruttare le grandi

potenzialità di Internet per la conquista di elettori. Viceversa per quanto attiene alla democrazia interna le

consultazione degli oltre 150. 000 iscritti non pare aver inciso in profondità sugli esiti dei processi decisionali

del movimento.

xvi Per esempio nel congresso degli Stati Uniti si contesta ancora il progetto di eliminare il controllo americano

su ICAAN (la struttura che assegna e gestisce tutti i dati anagrafici, i domini e gli indirizzi di Internet ed i relativi

protocolli). Si veda: “Should the U.S. Relinquish Its Authority Over the Internet Domain Name System?”, CRS Insight,

October 5, 2016 https://www.fas.org/sgp/crs/misc/R44022.pdf.

xvii Si tratta di ridefinirne le funzioni tecniche in modo da assicurare un fattivo rapporto tra pubblico e privato,

uno stretto collegamento tra crescita dell’economia digitale, una nuova organizzazione industriale e la cyber

security; nonché la capacità di promuovere iniziative adeguate alla crescita della cultura digitale e della

sicurezza cibernetica, cominciando da quelle mirate ad elevare la consapevolezza del rischio (vedi nota 6).

xviii Di notevole interesse in questo ambito è il lavoro di McKinsey sui processi di automazione relative alle

tipologie di lavori: http://www.mckinsey.com/business-functions/business-technology/our-insights/where-

machines-could-replace-humans-and-where-they-cant-yet,

https://public.tableau.com/profile/mckinsey.analytics#!/vizhome/AutomationBySector/WhereMachinesCanR

eplaceHumans,

http://www.mckinsey.com/~/media/McKinsey/Business%20Functions/Business%20Technology/Our%20Ins

ights/Where%20machines%20could%20replace%20humans%20and%20where%20they%20cant/Sector-

Automation-Key.ashx?h=557&w=720

xix Carfagna. B. Speciale TG1 del 26 ottobre 2015: http://www.rai.it/dl/RaiTV/programmi/media/ContentItem-

c0623097-0669-4734-8dae-69772ccdf87a.html. Mayer, M. (et,al.)

https://www.academia.edu/14336129/International_Politics_in_the_Digital_Age,

https://www.academia.edu/4509736/La_politica_Internazionale_nellEra_Digitale_bozza_da_non_citare_

xx Si veda: https://teamdigitale.governo.it/en/42-content.htm

xxi Intervista Repubblica del 20 settembre 2016, p. 13:

http://www.repubblica.it/economia/2016/09/30/news/digitale_diego_piacentini-148802419/