Tutti gli aspetti da mettere a fuoco nella strategia nazionale di sicurezza cibernetica che il Dipartimento delle informazioni per la sicurezza sta mettendo a punto, a corredo della direttiva NIS: dalla necessità di una risposta immediata, allo studio della scalabilità del fenomeno e all’importanza dell’analisi predittiva
Marco Santarelli
Esperto in Network Analysis, Critical Infrastructures, Big Data and Future Energies
Nella stesura della strategia nazionale di sicurezza cibernetica, lo Stato deve prevedere la presenza delle Autorità competenti in materia di Network and Information Security sempre in prima linea, cioè dentro le aziende, dentro le PA, innalzando così il livello di attenzione per attivare in real time le procedure per il contrasto e la prevenzione senza attendere la notifica.
Emerge questa esigenza mentre si annuncia la prossima pubblicazione delle linee guida del Dis sulla gestione dei rischi e la prevenzione, mitigazione e notifica degli incidenti ex direttiva Nis.
Bisogna, insomma, poter intervenire ed essere subito operativi, senza ulteriori strati di comunicazione dopo un attacco e puntare non più tanto sulla resilienza ma sulla analisi predittiva, sulla prevenzione più che sul mitigamento dei danni.
Cosa cambia e qual è l’impatto della Direttiva NIS
L’Europa si è dotata di regole organiche sulla sicurezza informatica con la direttiva NIS (Network and Information Security – Direttiva NIS e d.lgs. del 18 maggio 2018 n.65). La proposta è arrivata dal Parlamento Europeo per soddisfare la necessità di una direttiva sulla sicurezza dei sistemi dei reati e dell’informazione, NIS appunto, ed ha ottenuto il consenso unanime.
L’obiettivo della direttiva, recepito in Italia dal DIS (Dipartimento delle informazioni per la sicurezza), è gestire, per dirla in maniera diretta e comprensibile, un livello di sicurezza più elevato delle informazioni, delle reti e dei sistemi collegati ai device.
Tecnicamente, in prima chiamata, croce e delizia della direttiva, si parla quindi di una protezione reale per migliorare il livello di cooperazione e informazione tra gli Stati dell’Unione con l’obbligo di gestire i rischi e di riportare gli incidenti sia degli operatori di servizi essenziali dello Stato sia dei fornitori di servizi digitali privati. Quindi, più che di un mero aspetto tecnico, la prima partita si gioca prevalentemente nel mettere d’accordo gli Stati tra loro su reciproca informazione e strategia comune.
Questo vuol dire che, in maniera inequivocabile, prima di tutto si dovrà gestire una doppia e vera strategia interna (per ogni Stato) che abbia dei requisiti replicabili anche se in contesti diversi e geografie diverse che variano da Stato a Stato. La conseguenza di questa unicità – replicabilità del sistema di contrasto è, in maniera esplicita, prima volta nella storia, una cooperazione più palese tra Stato-Stato e pubblico-privato.
Cooperazione che si esprime da una parte nell’innalzare le misure cibernetiche e dall’altra nell’informare gli organi prestabiliti di quello che accade nel proprio interno, soprattutto da parte dei privati. In tal senso in questo primo approccio la direttiva sembra essere immobilizzata nella mera informazione tra le parti e non prevede un’attenta fase di audit obbligatoria (come accaduto per l’energia con la 102/14) per l’aspetto di informatizzazione delle fasi di approccio cibernetico. Fasi che vanno, ad esempio, dalla conoscenza della struttura delle reti informatiche in azienda, ai server e ai cloud utilizzati tracciandone la capacità di rigenerazione da eventuali attacchi.
L’importanza (dimenticata) dell’analisi predittiva
Se recepita così la direttiva sembra ripercorrere un classico approccio di Crisis Management tipico degli ultimi anni, che ha prodotto il termine resilienza, ma ci ha allontanati da un vero e serio impegno sulle analisi predittive. Se puntiamo veramente all’informazione come cooperazione, dobbiamo toccare il nervo scoperto delle aziende e delle PA. Non bisogna aprire la scatola della mappatura degli incidenti dopo che sono accaduti, ma cercare di mitigare quello che potrebbe accadere.
Questo non deve prevedere l’informazione di ciò che è accaduto, ma deve portare a stipulare una guerra bilaterale cibernetica, creando il cosiddetto servizio di sicurezza gestito, in cui il team CSIRT (Computer Security Incident Response Team) nominato dallo Stato, oltre ad avere un ruolo di Advisory, abbia la possibilità di intervenire ed avere propri collaboratori su quelle che possiamo definire infrastrutture critiche, con innalzamento di competenze e accessi su IP modificabili della rete aziendale privata e pubblica. Centri di “irraggiamento” da cui partono i servizi primari, vedi energia, cibo, sistemi bancari e altro.
Maggiore velocità nella risposta ai cyber attacchi
Per le velocità registrate oggi per gli attacchi informatici non abbiamo tempo di rispondere all’attacco con un’altra comunicazione al CSIRT. Questi ultimi non devono operare con l’oracolo di Delfi, devono essere ciò che accade, mappare gli HUB più vulnerabili e critici e stare dentro agli OSE, Operatori di Servizi Essenziali. In tal senso sarebbe importante non dividere in maniera netta nemmeno gli OSE dai FSD, fornitori di servizi digitali. Per un livello di sicurezza alto dividere le due figure o dare loro dei compiti diversi appare una forte limitazione semplicemente perché gli operatori dei servizi essenziali non possono prescindere dalla capacità della rete di essere interdipendente. Non è strategico disunire la parte della produzione di un servizio con la sua distribuzione e poi la vendita. Come nascondere una matita a chi deve disegnare.
Questo approccio deve rispondere sempre più ad una precisa presa di posizione di tutti gli organi del sistema di informazione per la sicurezza della Repubblica avvenuta nell’ambito del QSN, Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico, già dal 2014 con decreto del Presidente del Consiglio dei Ministri nel 2013. Qui si richiama appunto la responsabilità dei vari attori e soprattutto si iniziano a scremare termini come “urgenze e priorità” nell’ambito del cyber spazio. Questa compenetrazione deve tener conto della struttura di Intelligence che deve dotarsi, all’interno del DIS, cosa in parte già in atto, di più Security Governance Manager con l’esplicito compito di eseguire i threat analysis system, valutando le azioni di omissioni e quanto le interconnessioni tra le aree produttive e sociali sono state intaccate da un possibile attacco cyber.
Nella strategia nazionale che il DIS sta diligentemente mettendo a punto, a corredo della NIS, non dovrà mancare la già citata dalle direttive varie Cyber Situational Awareness, cioè lo studio della scalabilità del fenomeno. La sua ampiezza. Generare una procedura che possa avere due livelli di intervento: il primo legato a pool di esperti di pronto intervento, con delle direttive ben precise (cosa fare e come farlo), il secondo che preveda lo studio dell’effetto domino del fenomeno malevolo.
Questo deve compenetrarsi con la cosiddetta ricerca sulle potenzialità dei contesti delle reti. Cioè all’atteggiamento informativo deve corrispondere una precisa consapevolezza del mondo che stiamo attraversando e l’importanza delle reti in termini globali. Un mondo diverso rispetto al 2013, ma anche già differente dal 2018. I sistemi attaccabili con una piramide di vulnerabilità sono aumentati per il loro duplice effetto dato dalla velocità e dalla moltiplicazione di informazioni.
Due aspetti per comprendere le sfide in atto
Questi due aspetti danno il sentore di come il mondo si stia muovendo.
Ad una velocità massima di download dei dati corrisponde una più facile intercettazione e una più facile fuga dopo aver fatto del male.
Più informazioni invece generano una facile intromissione nei sistemi attraverso principi tanto difficili da studiare, quanto banali da attaccare.
Questi due driver ci pongono la sfida maggiore. Se il primo atteggiamento descritto ci mette in guardia da una migliore futura gestione degli operatori, questo aspetto ci apre invece a problemi di tipo architetturali. Non dimentichiamo che parliamo di sicurezza delle reti, cioè parti fisiche su cui passano miliardi di informazioni ogni secondo.
Qualche dato sulla digital audience
Prendendo a campione il mese di marzo 2018, abbiamo dati interessati che ci mostrano quale è stata la digital audience e quanto ha usufruito della rete il mondo umano. La total digital audience nel mese di riferimento ha raggiunto 42,3 milioni di utenti unici: pari al 70,8 % della popolazione dai 2 anni in su, circa 3 italiani su 4 online complessivamente per 87 ore e 19 minuti, 3 giorni e 15 ore. La fruizione di internet nel giorno medio vede coinvolti 33,3 milioni di individui online principalmente da smartphone, sono stati infatti 28,6 milioni gli utenti online che si sono collegati almeno una volta nel giorno medio da smartphone, l’87 % dei maggiorenni online, collegati in media per 3 ore 24 minuti per persona.
Gli uomini online nel mese di marzo 2018 sono stati 55,6% pari a 16,6 milioni, le donne sono state il 55% pari a 16,7 milioni, 80,3 % dai 35-44 anni (7,2 milioni), 82,8 % dai 18-24 anni (3,6 milioni), 83 % dai 25-34 anni (5,7 milioni), 26,5 % dai 64+, 66,5 % dai 55-64 anni (66,5 milioni), 78 % dai 45-54 anni (7,5 milioni). Il tempo trascorso online in ore nel giorno medio è stato per il total digital audience 3:37, al computer 1:16, al tablet 1:41, con lo smartphone 1:16.
La customer journey del consumatore/individuo può avere una profilazione molto più dettagliata e soprattutto più ricettiva delle sue esigenze ed umori. I consumatori/clienti oggi si sono trasformati in “prosumer”, cioè “produttori/di contenuti, diventando più informati ed esigenti. Il numero totale degli utenti attivi sui social media è di 35 milioni, il 59% della popolazione totale, il numero totale di utenti attivi sui social media da mobile è di 31 milioni, il 52% sulla popolazione totale.
Prevenire, non mitigare i problemi di sicurezza
Tutti questi dati sono rete. Sono possibilità fisiche di interruzione e possibilità di perdita dei servizi primari. Se da una parte la sfida più grande che ha il DIS è cercare di capire meglio il mondo social e i meccanismi che si nascondono dietro la profilassi di ognuno di noi innalzando la nostra vulnerabilità e caducità, dal pasto che mettiamo ogni giorno a tavola a dove andiamo in vacanza, come gestiamo gli acquisti on line e se veramente siamo così neutrali in rete, dall’altra parte più intrigante è prevenire (e non più mitigare) quelli che sono i problemi di sicurezza base, dalla minaccia interna (dipendenti, fornitori e altro) alla capacità di mettere dei tool per prevenire la violazione dei dati, gestione identità e accessi falsi.
Secondo il Global Threat Intelligence Report 2019, pubblicato da NTT Security, uno dei principali player a livello mondiale nell’ambito della Consulenza e dei Servizi IT, il settore Finance è nuovamente il più attaccato al mondo in sei degli ultimi sette anni, rappresentando il 17% di tutti gli attacchi. Stessa percentuale è risultata al settore tecnologico, in cui vanno per la maggiore gli attacchi finalizzati al furto di credenziali e di applicazioni web attraverso il phishing (67%) con utenti malintenzionati che tentavano di raccogliere nomi utente e password di account Microsoft (45%), Google (27%), PayPal (15%) e DocuSign (10%). Istruzione (dal 4% all’11%) e governo (dal 5% al 9%) sono entrambi new entry nella lista dei primi cinque settori industriali più attaccati. Le campagne di mining di valuta virtuale sono le principali responsabili per i crescenti attacchi in ambito education.
Le possibili contromisure
- Bisogna istituire una Cyber Intelligence come il classico whatsapp di quartiere, partendo da segnalazioni base fino alla loro comprensione e alla prevenzione.
- Intervenire poi più in profondità e da esperti: dalla comprensione dell’intestazione (header) dei messaggi tipici di attacchi cyber fino alla conoscenza del suo trasporto (sito civetta, mail o altro) per capire quali dati sono stati intaccati.
- Avviare un campo di codici di parità (abbinamento delle chiavi per evitare errori e mancato riconoscimento), lavorare sugli indirizzi dei vari destinatari delle nostre comunicazioni e capire dalla sorgente i codici di controllo.
- Istituire un numero di sequenza meno lungo, ma più articolato delle password (purtroppo oggi più aumenta la lunghezza, più il sistema diventa vulnerabile).
- Rafforzare gli stati di transito, ovvero i nodi intermedi e i link per evitare che “buchino” il nostro sistema.
Infine individuare il target e gli stati di BUG (false comunicazioni, falsi messaggi, marketing civetta).
- Passare poi dal controllo dei dispositivi alla mappatura puntuale del server.
Aumentata la banda e la velocità 11 gigabit al secondo passando a 59 nel 2018 si sono verificati sempre più i BOTNET, gli attacchi veloci. Questo monitoraggio continuo, applicato alla strategia nazionale cyber, ci rende consapevoli della perdita dei dati per domandarsi da subito dove vanno a finire tali dati.
Il problema quindi si fa ancor più reale.
Gli effetti “reali” di un cyber attacco
Molti pensano che il cyber spazio o un attacco cyber, per il suo essere immateriale, sia nascosto tra qualche “nuvola” sospesa. In realtà l’attacco etereo produce effetti devastanti su reti elettriche, reti di trasporto, reti di gas, sistemi idrici. Questi ultimi sono tutti collegati da un sistema di dati (i famosi termini “internet del tutto” o “internet delle cose”) e di trasmissioni web che però rispondono a precise reti fisiche.
Qui deve concentrarsi il DIS e deve concentrarsi anche la nostra attenzione maggiore. Bisogna intervenire in quello spazio chiamato “zero day”, cioè il giorno zero, precedente a quello in cui avviene un possibile attacco, rispondendo con analisi di tipo SEO, ossia applicare una strategia di comprensione delle reti che si stanno sviluppando e capirne i collegamenti, i dati che vi girano e le informazioni classificate (dalle meno influenti ai più influenti e viceversa) e capire meglio gli stati delle persone che parlano di quello che accade.
Partire da un Talking About Things You Care About (persone e cose che conosci che parlano di cose che conosci) e finire ad una social Intelligence di esperti che approfondiscono il valore attuale dei dati, dove si ampliano e che futuro avranno. Partirei col capire, mettendo dentro la strategia nazionale un report manager che studia gli effetti di queste iniziative sulle reti fisiche, dall’analisi dei 12.000 km di cavi tra Europa, Asia e Africa.
Capirne i contenuti, le velocità, i lavori, gli approcci e la possibilità che questa grande opera, dentro ai piani della Nuova Via della Seta, sia una nuova percentuale di passaggio di dati che si aggiunge al già consigliato 95% di trasmissioni intercontinentali e si sommano ai già presenti 380 cavi esistenti. Gli USA hanno definito quest’opera una “minaccia della sicurezza nazionale”. Più reti fisiche ci sono, più spetta capirne gli impatti e prima ancora che un malware arrivi nei nostri device capiamo perché ci arriva e come.