Rapporto Clusit 2018 | “Il rischio è continuamente crescente”. Intervista a Andrea Zapparoli Manzoni

Sul tema degli avversari multipli, nessuno ha la ricetta unica della difesa, ma deve essere chiaro ad utenti, aziende e enti che stare online è un rischio continuamente crescente. La risposta ha tre direttrici: ridurre la superficie di attacco per compensare l’aumento quotidiano di rischio, una sorta di dieta digitale che sfrutti il mimetismo/camoufflage con il risultato di essere meno attaccabili. Seconda direttrice: le persone devono collaborare ed è necessaria un’awareness di massa, conseguita con il giusto mix di bastone e carota, perché nessuno ha il “diritto di non sapere”. La terza direttrice riguarderebbe l’intervento correttivo sui vendor di servizi e tecnologia che attualmente non sono responsabili per vulnerabilità e difetti che portano ad attacchi informatici. Nel contratto con i vendor c’è una dicitura che li scarica da ogni responsabilità’: “use at your own risk” (uso a vostro rischio n.d.r.) e non dovrebbe esistere nel 2018. Ma nessuno dei vendor è incentivato a investire per non parlare delle lobby contro le quali è difficilissimo portare avanti battaglie.

Una mappa dei dispositivi connessi a internet nel mondo

&copy Shodan

Il 2017 definito come anno del trionfo del Malware nel rapporto, ma negli anni precedenti cosa accadeva diverso da oggi?

I primi malware con finalità criminali erano oggetti complessi ad esempio i trojan bancari del 2009 operavano in modo complesso. Oggi Invece, gli attaccanti hanno capito che al di là delle resistenze dei buoni ci sono tre o quattro cose cattive che funzionano benissimo, i ransomware per citarne uno. Questo li facilita e realizzano economie di scala, riuso di software sfornando decine di varianti al giorno supportati da macchine apposite e questo ha cambiato il campo di gioco. Quindi prima osservavamo pochi malware sofisticati fatti da artigiani, ora si vedono codici “schifosi” generati da tool in automatico, che funziono solo perché gli antivirus non gli stanno dietro. Gli attaccanti hanno sempre 48-72 ore di vantaggio sui difensori. Dunque i cattivi hanno cambiato strategia e in futuro potrebbero usare il machine learning, piuttosto che studiare gli antivirus come hanno fatto fino ad oggi.

Gli Stati come attori di minaccia: cosa rischia l’Italia e da chi?

Siamo un paese con quaranta milioni di cittadini online o collegati a internet, con dati, segreti personali e infrastrutture critiche (IC): quindi siamo un target. Siamo poco “aware” (consci della minaccia n.d.r.)  e abbiamo una bassa situtional awareness (letteralmente, consapevolezza della situazione in ottica cybersecurity n.d.r.). In quanto nazione avanzata, abbiamo tre tipi principali di attaccanti: l’estremo oriente per lo spionaggio industriale, i paesi interessati a creare backdoor o accessi ad IC e qui ricordo che le alleanze del dopo seconda guerra mondiale non hanno più senso fra paesi amici e nemici; paesi pazzi, fuori controllo, aggressivi per natura o non amici di nessuno come Iran e Corea del Nord.

Gli attacchi motivati da cybercrime sono ingenti, ma destano meno preoccupazione per la pericolosità intrinseca o potrebbero anche essere usati per spostare l’attenzione rispetto ad altre manovre?

Il cybercriminale, parassita del mondo digitale, non ha interesse ad elevare l’allarme sociale su ciò che lo riguarda. Gli attaccanti potrebbero fare quello che vogliono, ma si limitano, sono pragmatici e cercano il punto ottimale fra profitti e allarme generato. Tengono un profilo relativamente basso per non avere un effetto boomerang di allarme sociale. La gente ha ancora poca paura di loro, rispetto al ladro tradizionale ma per un difetto di percezione, perché invece negli ultimi due anni, il valore dell’estorsione digitale ha superato quella perpetrata in modo fisico. Se i criminali operino nel cybercrime per spostare l’attenzione, posso rispondere “ni”: alcuni sì ed è evidente nelle campagne Not Petya e Wannacry per offuscare i reali motivi, poi ci sono altri gruppi che fanno cybercrime per finanziarsi, ma anche loro preferiscono cinquanta euro da tutti che un milione di euro da un solo soggetto.

Ad elezioni terminate l’auspicio è una maggiore attenzione politica verso il tema, sebbene in campagna elettorale non se ne sia parlato, oppure forse è stato voluto perché l’assetto nazionale di gestione della cybersecurity è definito, con anche la nomina del vicedirettore cyber?

Tutti gli attori deputati dalle normative stanno trovando un assetto da circa tre anni e non rilasciano dichiarazioni e mentre questo ambito va per la sua strada e non è influenzato dalla politica, il mondo della politica non parla di cybersecurity perché o non ne capiscono o non sono ben consigliati al loro interno. Un tema importante e strategico che fa parte dell’agenda di tutti i paesi civili avanzati, qui in Italia non viene trattato appropriatamente, forse perché si pensa che il tema cyber non tocchi la pancia degli italiani, come è avvenuto per altri argomenti.

In Italia non si sono visti fondi ingenti come in altri paesi per la cybersecurity; non le chiedo una spiegazione, ma solo una valutazione su quale cifra dovrebbe essere stanziata annualmente e su che lasso temporale dei prossimi anni per innalzare il livello di readiness (prontezza) nazionale?

Gli USA sono fuori scope e confronto per le loro specificità, ma si può guardare ai paesi europei più simili come Francia e Inghilterra, e un po’ meno alla Germania che presenta caratteristiche diverse. La Francia, solo per la cyberprotezione delle forze armate, ha stanziato ottocento milioni di euro all’anno e altrettanti per la parte civile quindi oltre un miliardo e mezzo all’anno.

Da noi si sono visto i centocinquanta milioni del 2015, ma finchè non si faranno statistiche serie sugli impatti (misura materiale del danno n.d.r.) non si sa nemmeno come arrivare alla definizione di un budget e quanto ci costa non fare questi investimenti. Non c’è un ente che tenga questo calcolo, (l’Istat o la stessa PCM-Presidenza del Consiglio dei Ministri n.d.r.) e qualsiasi cifra di cui parlare potrebbe essere inutile: minimo dovremmo stanziare una cifra equivalente a quella francese.

Per innalzare la readiness nazionale cosa dovrebbe essere fatto che fino ad oggi non ha avuto luogo?

Negli ultimi 3 anni ho discusso con CERT, DIS, sulla mancanza di entità CSIRT (Computer Security Incident Response Team) distribuiti sul territorio e capaci di intervenire in caso di incidente informatico. Oggi abbiamo zero capacità di incidenza e risoluzione di problemi. Esistono solo apparati per la denuncia e l’investigazione ma non per riparare ai danni, elemento lasciato totalmente alle vittime. Dovrebbe esistere una sorta di protezione civile cyber. Magari potrebbero essere entità che operano in outsourcing per la PA o soggetti accreditato a cui rivolgersi, che operino secondo standard, su cui poter basare benchmark e analisi statistiche recuperando dati sulla minaccia e la sua incidenza, dati che oggi non emergono. Il fatto che ci manchi questa articolazione territoriale operativa ci rende indifesi insieme alla mancanza di awareness.

A livello del singolo e dei privati e di azienda cosa dovrebbe essere fatto concretamente?

Ancora awareness ma sempre nell’approccio “carota e bastone”. È necessaria una normativa specifica come quelle sulla safety (la sicurezza del lavoratore n.d.r.). Il GDPR è focalizzato sulla privacy, ma manca la messa a terra di una serie di principi mediante normative e sanzioni. Questa mancanza non permette nemmeno la piena realizzazione delle assicurazioni contro i rischi cyber, se vogliamo fare un parallelo con il mondo auto, perché non si sviluppa il mercato del trasferimento del rischio e sebbene oggi alcuni gruppi offrano assicurazioni di questo tipo, una analisi attenta permette di osservare come siano coperti i rischi legal, il danno d’immagine con poca o nulla copertura della parte informativa danneggiata. Manca la definizione di una baseline di security appropriata e soprattutto mancano dati storici di riferimento.