Cybersecurity, Clusit: che anno è stato, che anno ci aspetta
Nonostante il 2016 abbia portato alcuni progressi significativi, come la Direttiva NIS e piani e iniziative di cybersecurity in diversi paesi, Italia compresa, siamo ancora molto lontani dalla capacità di azioni coordinate adeguate, anche solo in termini di protezione. Un bilancio e una previsione
22 Dicembre 2016
Claudio Telmon, Clusit
Il 2016 è stato sicuramente un anno significativo in termini di evoluzione delle minacce di cybersecurity e di attacchi. Gli spunti sono molti, ma il tema che sul lungo termine potrebbe avere l’impatto maggiore sono stati i presunti attacchi russi ai sistemi del partito democratico degli Stati Uniti, nonché le presunte manipolazioni del voto.
Quest’anno infatti, le accuse e minacce reciproche fra le due grandi potenze sono diventate esplicite (per quanto riguarda la Russia, le minacce in particolare riguardano rappresaglie in conseguenza delle sanzioni imposte per l’intervento in Siria). Se anche i fatti di cui si accusano fossero falsi, vanno visti in una prospettiva geopolitica complessiva, in cui nel corso dell’anno si è tornati a parlare di armi nucleari e, dopo l’elezione di Trump si sente discutere di possibili nuovi “accordi di Yalta” sulla spartizione delle aree di influenza, quello che sembra probabile è che ci avviamo tranquillamente verso un lungo periodo di aggressione continua fra le due potenze, almeno per quanto riguarda il cyberspace.
La cosa è tanto più probabile se si tiene conto della difficoltà nel ricondurre gli attacchi ad un soggetto specifico e ancora più alla volontà di uno stato sovrano. Le accuse di questi giorni della CIA relative alle elezioni USA, e le smentite dell’FBI (non mi pare che sia pratica frequente), ed altri episodi di accuse e smentite simili, come quello relativo alla diffusione di notizia su Hillary Clinton, mettono in evidenza come sia facile confondere le acque sulla fonte degli attacchi, che quindi non c’è motivo di credere che non diverranno più frequenti e forse anche sempre più invasivi. È difficile credere che l’Europa resterà immune da attacchi. A differenza di Stati Uniti e Russia però, è altrettanto difficile immaginarsi dall’Europa una risposta, di qualsiasi tipo, che sia tempestiva e coordinata. Nonostante il 2016 abbia portato alcuni progressi significativi, come la Direttiva NIS e piani e iniziative di cybersecurity in diversi paesi, Italia compresa, siamo ancora molto lontani dalla capacità di azioni coordinate adeguate, anche solo in termini di protezione. Per contro, mentre la Russia e la Cina richiedono che i dati dei propri cittadini rimangano entro i confini nazionali (gli Stati Uniti non hanno questo problema, visto e i principali servizi in cloud sono negli Stati Uniti), l’Europa nel 2016 ha sottoscritto il Privacy Shield, per rendere nuovamente facile esportare i dati dei cittadini europei, anziché sviluppare realmente delle alternative europee, come sarebbe se ci fosse la percezione che si tratta di risorse strategiche.
Da un punto di vista più tecnico, il 2016 è stato caratterizzato da una parte dall’impennata degli attacchi di denial of service, che sono arrivati al picco di 1Tbps, dall’altra dall’evidente vulnerabilità dell’Internet delle cose. Per quanto riguarda gli attacchi, vale la pena di sottolineare la notizia data da Akamai che a metà dell’anno, il record era di più di 360 Gbps, ed è stato verso un’azienda italiana: di nuovo, essere in Italia non vuole dire essere “poco interessanti” per gli attacchi, che non colpiscono solo le grandi multinazionali americane. Per quanto riguarda l’Internet delle cose, per la quale si ripete un copione già visto fatto di apparati e componenti senza sicurezza per puntare al risparmio (e alla user experience, ma questa spesso è una scusa per dire di nuovo risparmio), la buona notizia è che sembra esserci una reazione più veloce, e una prospettiva condivisa della necessità di intervenire con normative che impongano la sicurezza dove il mercato non è in grado di farlo. Che poi i processi normativi abbiano dei tempi compatibili con l’evoluzione del cyberspace e delle minacce, è un’altra questione.
Il 2017 non sembra quindi promettere bene, se non per chi si occupa di cybersecurity. A questo proposito, una buona notizia è che le aziende cominciano ad avere una maggiore attenzione ad una sicurezza reale e non solo millantata. Da questo punto di vista, più di tutto hanno fatto due o tre anni di ransomware: il rischio di perdere informazioni (o in molti casi l’effettiva perdita) ha evidenziato nelle aziende l’importanza del sistema informativo e della sua protezione, anche se una vera cultura della gestione del rischio IT sta appena cominciando a diffondersi. E con l’esigenza di una sicurezza più efficace, sta emergendo il problema delle competenze, particolarmente in Italia: dopo anni di sicurezza fatta solo “per compliance”, adesso la scarsità di competenze è evidente, e forse per la prima volta anche sentita.
In tutto questo, la PA italiana è, o dovrebbe essere, in un momento di evoluzione importante, se non fosse che l’agenda digitale, a parole sentita da tutti come esigenza, sembra essere usata più per manovre politiche, a favore o contro il governo, che per dare alle pubbliche amministrazioni quel supporto e quell’indirizzo chiaro che avrebbero tanto bisogno di seguire. Al momento, sembra che scelte tecniche che dovrebbero indirizzare l’evoluzione dei sistemi informativi delle pubbliche amministrazioni per molti anni, debbano cambiare ogni sei mesi, spesso con il rischio di vanificare gli sforzi delle PA che provano a fare qualcosa. Non scegliendo, gli anni passano.
Il 2016 è stato anche l’anno dell’approvazione di diverse normative importanti, a partire dal più noto Regolamento europeo sul trattamento dei dati personali (GDPR) fino alla meno nota Direttiva NIS, che apre la strada ad un vero coordinamento a livello europeo. Entrambe le normative cominceranno a far sentire i loro effetti dal 2017, anche se l’efficacia inizierà principalmente dal 2018
Infine, il cybercrime: continua ad essere il vero protagonista della cybersecurity, e in effetti buona parte degli attacchi di denial of service sono riconducibili a reti di bot controllate da cybercriminali che le affittano attraverso servizi cosiddetti di “booter” a chi vuole usarle per danneggiare rivali o estorcere denaro. e non c’è da dubitare che anche nel 2017 porterà novità con nuovi attacchi. Certo, il coordinamento a livello internazionale per la lotta alla cybercriminalità sta aumentando e diventando sempre più efficace, ma l’impegno richiesto è ancora tanto. A questo proposito, quella che può sembrare una nota di colore: il capo di una di queste bande di cybercriminali, che controllava la rete “Avalanche”, al momento dell’arresto ha sparato con un kalashnikov attraverso la porta, uccidendo un agente prima di essere arrestato (e successivamente rilasciato). Con buona pace dell’immagine romantica, diffusa da tanti film, dei soggetti che si dedicano agli attacchi ai sistemi informativi.