Cosa può imparare la cybersecurity dalla guerra al terrorismo
Qual è il legame fra nuove minacce e strategie antiterrorismo? Qual è il reale impatto di Cloud, Big Data, IOT e CNI? Un unico comune denominatore: l’importanza di rafforzare il rapporto tra le istituzioni, l’industria e il mondo della ricerca. Ecco alcuni scenari, mentre l’Italia è ancora alla ricerca di una identità precisa
17 Novembre 2016
Benito Mirra, Huawei
Siamo nell’era della Digital Transformation o, come molti sostengono, all’inizio della “economia della trasformazione digitale”: secondo alcuni studi, la percentuale di imprese che si concentreranno su progetti di trasformazione digitale raddoppierà entro il 2020, le aziende si riorganizzeranno in base ad essa, consapevoli che le entrate economiche provenienti dal digitale aumenteranno in modo considerevole.
<pi big="" data="" saranno="" la="" colonna="" portante="" di="" questa="" trasformazione,="" l’iot="" e="" l’intelligenza="" artificiale="" guideranno="" trasformazione="" digitale="" trasversale="" in="" tutti="" i="" mercati,="" toccando="" ogni="" tipo="" attività="" economica="" cambiando="" modo="" sostanziale="" le="" modalità="" con="" cui="" persone="" si="" relazionano="" aziende="" loro="" catene="" del="" valore.=""
Neppure i Big Data possono contrastare le attività criminali; ad oggi per esempio risulta difficile predire attacchi terroristici. La cyber-guerra esiste, ma senza scenari fantascientifici. I Big Data non sono i nuovi oracoli, sono solo analisi statistica. Per esempio, in un territorio come quello italiano, sulla base di dati e segnalazioni, si possono dislocare in modo ottimale le forze dell’ordine o disporle in base a interventi specifici in determinate aree. Ma prevedere un evento non può essere solo una questione di statistica.
La storia ci insegna che gli attacchi terroristici, vedi l’attacco alle Twin Towers, sono episodi perlopiù singolari come suggerisce Nicholas Taleb nel suo saggio del 2007 “Il cigno nero”:
“Il libro si focalizza sul forte impatto di alcuni avvenimenti rari e imprevedibili e sulla tendenza umana a trovare retrospettivamente spiegazioni semplicistiche di questi eventi. Questa teoria è da allora conosciuta come la ‘teoria del cigno nero ’. “Un singolo evento è sufficiente a invalidare un convincimento frutto di un’esperienza millenaria. Ci ripetono che il futuro è prevedibile e i rischi controllabili, ma la storia non striscia, salta. I cigni neri sono eventi rari, di grandissimo impatto e prevedibili solo a posteriori, come l’invenzione della ruota, l’11 settembre, il crollo di Wall Street e il successo di Google. Sono all’origine di quasi ogni cosa, e spesso sono causati ed esasperati proprio dal loro essere imprevisti. Se il rischio di un attentato con voli di linea fosse stato concepibile il 10 settembre, le torri gemelle sarebbero ancora al loro posto. Se i modelli matematici fossero applicabili agli investimenti, non assisteremmo alle crisi…” (1)
Sarà difficile che un meccanismo statistico sia in grado di predire questi avvenimenti. Le analisi possono invece far emergere relazioni, nomi, luoghi. Il che non significa che i Big Data siano meno importanti.
Il problema principale resta la circolazione delle informazioni, o forse meglio dire la loro totale mancanza. I governi non stanno facendo abbastanza su questo versante che è un requisito chiave per la ottimizzazione delle informazioni.
Analizziamo per esempio lo stato di sicurezza delle infrastrutture critiche industriali. I sistemi ICS (Industrial Control Systems) e le reti di controllo sono sempre più esposte alle minacce informatiche a causa dell’adozione sempre più diffusa del protocollo IP su queste reti – e quindi dell’apertura verso internet – per la comunicazione, l’uso di sistemi operativi e le applicazioni commerciali. Il termine ICS viene spesso confuso con il termine PCN (Process Control Network), tipicamente più in uso nel settore manifatturiero. Si parla anche di sistemi SCADA (Supervisory Control And Data Acquisition), sebbene questi siano in realtà un sottoinsieme dei sistemi ICS. I sistemi ICS sono nati come ambienti a compartimenti chiusi e per questo motivo non necessitavano di una protezione cyber. Allo stesso tempo le soluzioni per una protezione cyber tipica degli ambienti IT non può essere applicata senza adattamenti al mondo industriale, poiché si rischierebbe di creare incidenti gravi sia all’ambiente che alle persone. Per questo motivo si rende necessario in questi casi un approccio alla cyber-protezione che sia ‘ICS-aware’, al fine di ridurre al minimo la probabilità di impatti negativi sull’erogazione e continuità del servizio che la rete di controllo dell’infrastruttura critica offre.
Questi sono alcuni degli alert prinicipali che riguardano la cybersecurity in ambito industriale:
- Un esponenziale aumento del malware specifico sviluppato per attaccare le reti ICS;
- La dimostrazione che attacchi cyber con conseguenze sul mondo fisico, i cosiddetti ‘datacinetici’, sono reali e attuali (vedi Stuxnet, BlackEnergy e Havex);
- L’avvento dell’Internet delle cose e lo sviluppo di reti ICS moderne, fanno crescere l’attenzione dei cyber-criminali.
Il livello di sofisticazione dei malware implica la presenza di attaccanti ovviamente motivati, preparati e che dispongono di solidi finanziamenti. Il tempo che intercorre tra l’infezione e l’individuazione del malware si misura purtroppo in anni, con gravi conseguenze e danni a carico delle aziende: per esempio Stuxnet è stato lanciato nel 2008 e scoperto solo nel 2010; BlackEnergy e Havex sono stati lanciati nel 2011 e individuati nel 2013.
Molto spesso le vittime di questi attacchi sono le nazioni. [2] Stuxnet, sebbene sia stato l’attacco più noto, rappresenta solo un esempio di uno scenario ben più ampio e articolato; qualche anno fa un incidente in un impianto petrolifero in Turchia è stato causato da un cyber-attacco [3], mentre un attacco informatico che si è propagato dagli uffici alle sedi produttive di una acciaieria in Germania ha causato numerosi danni. [4] Grazie a un documento Excel infetto (BlackEnergy con eseguibile KillDisk), nel dicembre 2015 è stato sferrato uno dei primi attacchi conosciuti al mondo verso una centrale elettrica in Ucraina, 700 mila persone sono rimaste al buio per oltre 6 ore. [5]
Alcune volte non sono necessari attacchi sofisticati o motivazioni economiche per causare incidenti molto pericolosi: un teenager polacco ha causato il deragliamento di 4 tram usando semplicemente un telecomando da televisore modificato, con il quale ha agito su degli attuatori degli scambi comandati con segnali non protetti nella banda dell’infrarosso. [6]
Questi
incidenti hanno spinto le agenzie governative competenti in materia a lavorare su
standard, normative e best practices. Per esempio negli USA gli enti federali devono
essere conformi alle direttive NIST.
A che punto è l’Italia?
Ad oggi siamo ancora in cerca di un’identità precisa. Sicuramente in Italia abbiamo una quantità elevatissima di competenze nella sicurezza informatica. Ma non serve assumere competenze per poi dire loro cosa debbono fare. Occorre assumere competenze per farci dire cosa fare e come farlo, quindi purtroppo, nella maggior parte dei casi, queste competenze non vengono sfruttate come dovrebbero.
Noi italiani siamo abituati a dire che si può fare da soli, anche se ultimamente ci sono segnali molto importanti che prevedono un nuovo approccio e i lavori dei ‘Cantieri Sulla Sicurezza della PA’ ne sono la dimostrazione.
Potremmo chiederci se c’è un conflitto tra la sicurezza informatica e il trattamento dei dati. La risposta è No, semplicemente perché la sicurezza dovrebbe comprendere anche la riservatezza.
Dovremmo chiederci però se la rinuncia alla riservatezza contribuisce alla sicurezza; e la risposta è NI. Un esempio classico è il caso della NSA: come facciamo a sapere se i programmi di raccolta dati dell’NSA, che rappresentano di fatto una vera e propria violazione della privacy, abbiano contribuito a ridurre i rischi?
E’ una questione di equilibrio: per assurdo per prevenire il recente attacco terroristico in Belgio si sarebbero potuti raccogliere dati su tutti i cittadini belgi, ma i risultati non sarebbero stati proporzionati a tale invasività.
E’ ovvio che tutto diventa difficile per le regulations interne che ogni stato adotta. Chi in Italia è considerato un attivista, in un altro stato potrebbe essere considerato un terrorista.
La superficie di attacco con internet è aumentata. Mettere online qualunque cosa ovviamente amplia le possibilità di essere colpiti ovunque. Ogni sito, dai monumenti alla centrale nucleare, è connesso e quindi facilmente attaccabile. Il pericolo è considerare la sicurezza a posteriori, quando ormai la vulnerabilità è svelata.
Come colmare il divario della sicurezza informatica?
Il 6 luglio scorso il Parlamento Europeo ha emanato la direttiva sulla sicurezza dei sistemi delle reti e dell’informazione, NIS. Questa direttiva rappresenta il primo insieme di regole sulla sicurezza informatica per tutta l’Unione Europea. L’obiettivo della direttiva è raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i Paesi membri dell’UE.
I tre punti chiave della direttiva NIS sono:
- Migliorare le capacità di cyber security dei singoli stati dell’Unione;
- Aumentare il livello di cooperazione tra gli stati dell’Unione;
- L’obbligo della gestione dei rischi e di riportare gli incidenti di una certa entità da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali.
La direttiva NIS sottolinea alcuni aspetti fondamentali:.
- Ogni stato infatti dovrà dotarsi, qualora già non l’avesse, di una strategia nazionale di cyber security che definisca gli obiettivi strategici, le politiche adeguate e le misure di regolamentazione che dovrebbe includere gli obiettivi strategici, le priorità nazionali, la governance, l’individuazione di misure proattive, di risposta e di recovery; sensibilizzazione, formazione e istruzione; incentivazione della cooperazione tra settore pubblico e settore privato.
- Ogni stato membro dovrà designare uno o più CSIRT (Computer Security Incident Response Team) responsabili del monitoraggio degli incidenti a livello nazionale, fornendo allarmi tempestivi, avvisi e annunci, con lo scopo di diffondere informazioni su rischi e incidenti, analisi sui rischi e incidenti e soprattutto aumentare il grado di consapevolezza. Fondamentale è la cooperazione internazionale e l’ information sharing. A tale proposito è stato stabilito un gruppo di cooperazione che facilita i rapporti tra gli stati membri e ne aumenta la fiducia reciproca. Questo gruppo di cooperazione sarà composto da rappresentanti degli stati membri, dalla Commissione e dall’ENISA (European Union for Network and Information Security Agency). Le quattro aree di lavoro del gruppo saranno: pianificazione, guida, segnalazione e condivisione.
- Prevedendo un sistema di riferimento unico per tutta l’Europa in tema di sicurezza informatica, con misure di gestione del rischio più coerenti e la segnalazione sistematica degli incidenti, il testo consente ai settori che dipendono dai sistemi IT di essere più affidabili e stabili.
- La cyber security entra in una dimensione nuova, fatta di regole puntuali stabilite a livello europeo, un coordinamento reso necessario e non più differibile da cyber attacchi e criminalità informatica in crescita esponenziale,
- Nel testo si sottolinea la volontà delle istituzioni europee di promuovere la protezione delle infrastrutture critiche in settori come trasporti, energia, bancario, finanziario e sanitario, con una serie di obblighi previsti a carico degli operatori di infrastrutture critiche affinché possano mettere in piedi sistemi capaci di resistere ai cyber-attacchi. Anche i provider di servizi digitali, per esempio i motori di ricerca e le piattaforme di e-commerce e cloud, anche se dispongono di piani di sicurezza strutturati, avranno l’onere di comunicare e notificare alle autorità nazionali i cyber attacchi
Oggi le imprese tendono a nascondere gli incidenti informatici subiti per non vedere sminuita la fiducia dei clienti; i nuovi obblighi di notifica inseriti nella direttiva sembrano contrastare con questo tendenza. I timori delle aziende non sono però ingiustificati: basta guardare al caso di TalkTalk, uno dei maggiori fornitori di servizi di connettività, di fonia e dati del Regno Unito. Subì una breach nell’ottobre del 2015. Gli effetti in termini di reputazione e di fiducia da parte dei clienti sono stati catastrofici per Talk Talk. Sono stati stimati in 250.000 i clienti che hanno abbandonato Talk Talk, cambiando operatore subito dopo l’accaduto. Ad oggi, ovvero a distanza di un anno, la quota di mercato che Talk Talk ha perduto supera il 6%, essendo passata dal 16% al 10%. L’episodio conferma il quadro emerso da un recente sondaggio di Gemalto, secondo il quale il 64% dei consumatori dichiara di non voler fare business con chi ha subito un attacco informatico.
Proviamo a immaginare che cosa significherà garantire la sicurezza dei sistemi:
L’hacking dei dati di posizione di una macchina è semplicemente una violazione della privacy conosciuto come ‘furto di dati’, mentre l’ hacking nel sistema di controllo di una macchina sarebbe una minaccia per la vita ed è considerato ‘cyber terrorismo’.
Di seguito riporto alcuni ipotesi di come si possa utilizzare una tecnologia così promettente per causare caos e distruzione:
Scenario 1: Cosa succederebbe se tutti i dispositivi che gestiscono il sistema di ventilazione delle metropolitane o di lunghe gallerie smettessero di funzionare ?
Scenario-2: Che cosa accadrebbe se un veicolo perdesse il controllo o riscontrasse malfunzionamenti? E se ciò accadesse a tutti i veicoli in tutte la città contemporaneamente?
Scenario-3: Che cosa accadrebbe se i semafori sincronizzati non funzionassero come dovrebbero?
Scenario-4: Cosa succederebbe se tutte le ventole di raffreddamento di tutti i DataCenter smettessero di funzionare?
Scenario-5: Che cosa accadrebbe se tutti i risultati di diagnosi in tempo reale dei dispositivi medici degli ospedali venissero manipolati?
Scenario-6: Che cosa accadrebbe se gli allarmi di sicurezza domestica in ogni casa di una città iniziassero a inviare segnali di pericolo contemporaneamente?
E che cosa accadrebbe se tutti gli scenari di cui sopra accadessero allo stesso tempo in una città come Milano o Roma?
Una enorme sconfitta per il genere umano e una grande perdita economica, una perdita che renderebbe quasi impossibile qualsiasi recovery immediato, generando caos, panico, disordini.
In definitiva, la Nis rafforzerà la cyber security. Garantire la sicurezza delle reti e dei sistemi informativi nella comunità europea è essenziale per assicurare la prosperità e per mantenere attiva l’economia online. La tecnologia digitale e internet sono la spina dorsale della nostra società e della nostra economia. Saremo sempre di più circondati da dispositivi intelligenti continuamente connessi a Internet. Ormai si parla già di 5G; avremo a disposizione una rete cellulare velocissima e altissima disponibilità ovunque. Secondo una stima, nel 2030 ci saranno 500 miliardi di dispositivi connessi a internet, le lavatrici faranno il bucato seguendo le istruzioni dal cloud, i frigoriferi faranno la spesa da soli controllando cosa manca al loro interno, le nostre automobili saranno comandate da stazioni di controllo che consentiranno di farci viaggiare senza guidatore e soprattutto in maniera sicura.
In sostanza, tutto ciò che è collegato a Internet può essere violato con gli strumenti e le competenze giuste e gli oggetti non fanno eccezione. Un’azienda di sicurezza, la ESET, recentemente ha rilevato un malware denominato “KTN-Remastered” che dovrebbe essere destinato agli oggetti IOT embedded, a router e ad altri dispositivi.
Per i propri componenti hardware Huawei ha adottato al suo interno un approccio “Built-in” ( If a place or piece of equipment has built-in objects, they are permanently connected and cannot be easily removed), piuttosto che un approccio “Bolt-On” (added to a main product, service, or plan as a smaller,extra part or feature) con processi end-to-end completi, verificabili in ogni momento, con un programma di protezione incorporata ( embedded security ) in ogni singolo processo.
Nell’agosto 2016 la direttiva del Parlamento Europeo è entrata in vigore. A febbraio 2017 il gruppo di lavoro dovrebbe iniziare le attività, con consegna della relazione a febbraio 2018 per stabilire il programma di lavoro. A partire da agosto 2017 per i fornitori di servizi digitali sarà obbligatorio adottare i requisiti minimi di sicurezza e di notifica degli incidenti. La scadenza più importante è quella di maggio 2018 che prevede l’integrazione della direttiva NIS all’interno degli ordinamenti nazionali. A novembre dello stesso anno ogni stato membro dovrà identificare gli operatori di servizi essenziali. Nel 2019 la Commissione Europea valuterà la coerenza dell’identificazione degli operatori di servizi essenziali da parte degli stati membri e nel 2021 verrà esaminato il funzionamento della direttiva con particolare attenzione alla cooperazione strategica e operativa degli stati e all’applicazione della stessa da parte dei gestori di servizi essenziali e dei fornitori di servizi digitali.
In sintesi, anche il settore delle reti di controllo industriale e quindi anche delle infrastrutture critiche sarà sempre più normato e sottoposto a obblighi per proteggersi dagli attacchi informatici.
I problemi di sicurezza informatica, reali o presunti, influenzano la credibilità del brand e quindi del business. Possono essere locali, interni, esterni o anche regionali; i clienti stanno prestando la massima attenzione a questo aspetto. Basta dare uno sguardo ad alcuni esempi di notizie riportate dai media:
La sicurezza informatica: una sfida comune a tutti
Due anni fa è nato a Monaco di Baviera l’Open Lab Huawei [7] proprio per costruire un ecosistema sempre più competitivo in grado di creare valore innovativo. Ad oggi piu’ di 25 partner (tra questi T-System, SAP, Alstom, Hexagon, Intel etc) ne fanno parte al fine di costruire città sempre più intelligenti e sicure. In Italia le reti dei carrier principali sono fornite da Huawei e sono quindi certificate dagli stessi operatori sia in termini di sicurezza che di operatività. Huawei conta circa 176.000 dipendenti il 45% dei quali è impiegato nella Ricerca e Sviluppo. Huawei ha realizzato 16 centri di Ricerca & Sviluppo, 36 joint Innovation Center e 45 Training Center in tutto il mondo, e’ membro di 170 organizzazioni che si occupano di standard internazionali come IEEE, IETF, DMTF, Continua, e HL7.
A tutto il 2015 Huawei ha registrato oltre 50.000 brevetti. Secondo l’agenzia ONU World Intellectual Property Organization (WIPO), Huawei è la prima azienda al mondo per richieste di brevetti internazionali nel 2015 con 3.898 richieste.
Alcuni centri operativi in Italia:
- Centro di Ricerca focalizzato sulle tecnologie wireless delle alte frequenze per applcazioni 5G a trasmissione in ponte radio, a Segrate diretto da Renato Lombardi
- Mobile Innovation Center – Torino (Partnership con Telecom Italia)
- Network Innovation Center – Roma (Partnership con Telecom Italia)
- Core Innovation Center – Milano (Partnership con Vodafone)
- Business Innovation Center – Roma (Partnership con Telecom Italia)
Alcuni dipendenti Huawei svolgono un ruolo attivo in organismi di normalizzazione come l’Institute of Electrical and Electronics Engineers (IEEE) e la Internet Engineering Task Force (IETFs). Huawei ha inoltre organizzato la formulazione di standard di sicurezza H(e)NB e collabora con i principali operatori e fornitori di dispositivi sulla ricerca della sicurezza machine to machine (M2M) e dei sistemi di allarme pubblico (PWS). Huawei partecipa attivamente nella definizione di norme di sicurezza e anti-spam con l’ ITU-T per per il cloud e le reti virtuali e ha aderito a diverse organizzazioni che si occupano di standard di sicurezza (ad esempio, IEEE, OMA, Forum UPnP, e WiFi-Alliance) e il Forum for Incident Response and Security Teams (FIRST).
Huawei ha superato la ISO 27000, ISO 28000, e ISO 20000, fa riferimento al C-TPAT, TAPA, e O-TTPS (che è in fase di sviluppo) per costruire il suo sistema di gestione della sicurezza della supply-chain. Considerazioni conclusive: Huawei collabora oggi e collaborerà in futuro con tutti i governi, clienti e partner attraverso vari canali per far fronte congiuntamente alle minacce attuali e future relative alla sicurezza informatica. Evidenziando i seguenti punti:
- Rafforzare la cooperazione e adottare un approccio aperto nella risoluzione dei problemi di sicurezza informatica.
- Dare priorità allo sviluppo e alla gestione di strategie, obiettivi, organizzazioni, processi e persone.
- Sviluppare strategie e obiettivi chiari;
- Stabilire organismi con responsabilità chiare, come ad esempio il Single Point of Contact (SPOC);
- Andare incontro ai requisiti di gestione di sicurezza informatica basate sui processi;
RIFERIMENTI
[1] Il cigno nero, saggio di Nassim Nicholas Taleb
[2] NSA Claims Iran Learned from Western Cyberattacks
[3] Mysterious ’08 Turkey Pipeline Blast Opened New Cyberwar
[4]Cyberattack on German Steel Plant Caused Significant Damage: Report
[5] Schoolboy hacks into city’s tram system
[6] Cyberattacco, un virus informatico provoca blackout in Ucraina