La Cyber Resilience della PA non è opzionale: ecco le soluzioni per accrescerla

La digitalizzazione della PA, accelerata dalla pandemia, ha permesso alle amministrazioni più strutturate di portare avanti la propria missione nei confronti dei cittadini. Tuttavia, e questo è l’altro lato della medaglia, la trasformazione digitale ha esposto più che mai le amministrazioni al rischio concreto di cyber attacchi.

L’evoluzione della tecnologia, infatti, ha portato benefici non solo alle realtà produttive pubbliche e private, ma purtroppo anche agli hacker, che hanno sviluppato piani criminali sempre più sofisticati.

Quella che stiamo vivendo è la stagione del ransomware, l’attacco ai sistemi con richiesta di riscatto. Le gang criminali hanno compreso che includere le amministrazioni pubbliche nel perimetro dei potenziali bersagli porta vantaggi:

• economici, perché la PA teme di perdere i dati sensibili dei cittadini e pagare in termini di sanzioni e di fiducia;
• di prestigio, perché “bucare” il sistema di una pubblica amministrazione dimostra il (presunto) potere dell’autore dell’attacco agli occhi dei componenti del suo microcontesto sociale.

L’allarme è internazionale, perché si stima che vi sia un cyber attack ogni 11 secondi. Occorre, quindi, guardarsi le spalle e lavorare in ottica di rafforzamento della Cyber Resilience.

Per parlare di questo tema, dei rischi informatici più recenti (e meno conosciuti) e delle possibili soluzioni tecnologiche, il 19 ottobre scorso FPA ha organizzato un incontro online dal titolo “Digitalizzazione della PA e strategie di Cyber Resilience: modelli e soluzioni per un nuovo approccio alla data protection”, in collaborazione con Dell Technologies e Intel.

Innovazioni criminali e forme di resistenza tecnologica

Non sono in molti ad aver sentito parlare di hidden encryption: si tratta dell’evoluzione più estrema dei moderni ransomware, che penetrano nel sistema della vittima e manipolano i dati senza che nessuno se ne accorga. L’encryption utilizza algoritmi per trasformare dati leggibili in un formato illeggibile.

In caso di dati sensibili, come quelli delle amministrazioni, la minaccia è sconvolgente.

Per di più, secondo l’osservatorio di IBM, dalla fase di ricognizione e armamento delle gang criminali al momento dell’installazione dei componenti funzionali all’attacco nel sistema dell’amministrazione, passano in media 207 giorni.

Quando l’attacco ha inizio, poi, sono necessari circa 73 giorni per distruggere, cifrare ed esfiltrare enormi quantità di dati. Solo a quel punto, in genere, qualcuno se ne accorge, ma è trascorso quasi un anno e i danni sono difficilmente quantificabili.

Gli attacchi ransomware eliminano per primi i dati di backup dai master e media server. Pertanto, intuitivamente, la prima cosa da fare per prevenire la distruzione dell’intero sistema è trovare il modo di proteggere il backup togliendolo dal perimetro d’attacco. Su questo argomento si è soffermato lungamente Fabio Zezza – Country Lead Data Protection Solutions (DPS) – Dell Technologies: “Il backup tradizionale non è più sufficiente, qualsiasi sia l’ambiente scelto per l’archiviazione”.

La soluzione evidenziata da Zezza, invece, è un Cyber Recovery moderno, che consente la ripresa della produttività, garantendo:

• Isolamento – vale a dire la separazione dei dati di backup dall’ambiente di produzione;
• Immutabilità – cioè la tutela dell’integrità originale del dato;
• Intelligenza – capacità di analizzare i dati per comprendere se c’è un attacco in corso in fasi molto precoci.

Questo tipo di soluzioni isolano il backup, ne fanno una copia, la rendono immodificabile e la analizzano, attraverso strumenti di Intelligenza Artificiale, a livello di metadati, contenuti e variazioni nel tempo.

Solo in questo modo è possibile prepararsi alla ripartenza. Il primo sforzo che le amministrazioni devono fare, allora, è identificare i dati critici, quelli indispensabili alla ripartenza, e separarli dagli altri.

Minacce globali da prendere di petto

Secondo i dati del NATO Cooperative Cyber Defence Centre, nella top five mondiale degli obiettivi compaiono i seguenti settori:

• consumer/retail al 13%
• manifatturiero e finanziario al 12%
• governativo all’11%
• sanitario al 9%

I rischi di un attacco informatico sono molto seri e hanno effetti sul breve e sul lungo periodo. Ma fortunatamente a livello internazionale l’attenzione sul tema della sicurezza informatica è molto alta.

Giancarlo Milozzi, Homeland Security Sales Account Executive di Dell Technologies richiama l’attenzione sull’importanza dei:

• servizi di Security Socks Vulnerability assessment, efficaci processi di risk management per scoprire i punti deboli della rete;
• servizi di Cyber Intelligence. L’Italia può contare su organizzazioni ad hoc, come il CIOC – Comando Interforze per le Operazioni Cibernetiche del Ministero della Difesa e l’Agenzia per la Sicurezza Nazionale.

Gli Instant Poll di FPA: tra tensioni e (troppo) ottimismo

FPA ha chiesto ai partecipanti al tavolo di lavoro quanto ritengano probabile un attacco ransomware, quale si pensa sia il rischio maggiore per i dati e, infine, quali siano i tempi necessari per la ripartenza in caso di ransomware.

La maggioranza dei presenti ritiene molto probabile un attacco, teme per i danni all’integrità dei dati, per la violazione e per la sottrazione e pensa che una settimana sia sufficiente per la ripartenza.

Gli esperti presenti all’incontro hanno concordato sui primi due risultati. Sul terzo è intervenuto Zezza, puntualizzando che: “Certamente la ripartenza dei servizi essenziali può avvenire in una settimana; tuttavia, per una ripartenza più completa è necessario almeno un mese”.