Ucraina e cyber attacchi: cosa ci racconta il contesto internazionale e quali i rischi per l’Italia

Il conflitto armato internazionale che si sta consumando tra Russia e Ucraina ha visto per la prima volta in modo così palese l’integrazione di operazioni cibernetiche a supporto di operazioni militari convenzionali. L’utilizzo di capacità cibernetiche sotto forma di campagne di disinformazione, eventi cibernetici di tipo DDoS e utilizzo di malware che hanno reso temporaneamente indisponibili e/o inutilizzabili i sistemi informatici colpiti hanno contribuito a costruire i presupposti per la creazione di un contesto di confusione che ha preceduto l’invasione dell’Ucraina da parte della Federazione Russa. Nonostante non si abbiano dichiarazioni ufficiali sull’attribuzione o rivendicazione dei cyber attacchi da parte di gruppi criminali o attori statali, risulta quantomeno curiosa la tempistica di alcune campagne malevole ai danni di organizzazioni ucraine che hanno preceduto, anche di poche ore, l’aggressione russa.

Ucraina e cyber attacchi: cos’è accaduto prima del conflitto

Già dal 13 febbraio, il Microsoft Threat Intelligence Center (MSTIC) aveva individuato l’esistenza di un particolare malware della famiglia WhisperGate nei sistemi di numerose agenzie governative e organizzazioni non-profit ucraine. Il malware pare non sia stato opera di gruppi criminali, poiché “travestito” da ransomware. Nonostante facesse comparire una schermata di richiesta di riscatto dopo la sua esecuzione, l’analisi tecnica di Microsoft ha rilevato come i dati presi di mira dal malware venissero distrutti e non potessero essere recuperati nemmeno pagando la somma richiesta per il riscatto. Un altro evento malware di tipo distruttivo ai danni delle organizzazioni ed enti ucraine è stato osservato il 23 febbraio, poche ore prima dell’inizio delle operazioni militari da parte della Russia. Symantec ha notato come anche in questo caso il malware, denominato HermeticWiper, avesse finalità diverse dalla richiesta di estorsione e che i programmatori del codice malevolo avessero previsto la distruzione dei dati contenuti nei sistemi colpiti.

E in Italia? Ecco i rischi per le infrastrutture informative nazionali

Fin dall’inizio dell’invasione dell’Ucraina, il governo italiano ha preso una chiara posizione condannando l’aggressione della Federazione Russa e supportando l’attivazione di ulteriori pacchetti di sanzioni decisi dall’Unione Europea ai danni di individui e organizzazioni russe. Anche per questo motivo, attori privati ed enti governativi che risiedono sul suolo italiano potrebbero quindi diventare oggetto di eventi cibernetici malevoli perpetrati da collettivi informali di hacker che si sono apertamente schierati a favore di Mosca oppure da operazioni cibernetiche di stampo ritorsivo condotte da attori statali. Inoltre, esiste la possibilità che gli effetti provocati da un’operazione malevola fuoriescano – effetto “spillover” – e vadano a interessare soggetti che non sono direttamente coinvolti nel conflitto tra le parti. In altre parole, anche se le campagne cibernetiche vengono indirizzate verso obiettivi precisi, le stesse possono intercettare sistemi informativi interconnessi che, se non opportunamente protetti, potrebbero favorire la propagazione incontrollata dell’attacco e venire a loro volta colpiti dal codice malevole.

I rischi di essere bersaglio diretto o indiretto di operazioni cibernetiche malevole risultano quindi molto alti per le organizzazioni private e governative italiane. La domanda sorge spontanea: come può l’Italia resistere a una possibile ondata di operazioni cibernetiche contro le sue infrastrutture pubbliche e critiche?

Resilienza cibernetica del sistema pubblico italiano: punti deboli e possibili strategie

Alcuni dati dimostrano come il settore pubblico italiano si trovi in particolare difficoltà per quanto riguarda l’aggiornamento e l’implementazione di misure di sicurezza anche di base dei sistemi informativi. Un dato AgId riportato dal PNRR (Piano Nazionale di Ripresa e Resilienza) pubblicato nel 2021 mostra come il 95% dei circa 11mila centri di elaborazione dati utilizzati dalle pubbliche amministrazioni presenti carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza. Questo dato eloquente viene ulteriormente aggravato dal fatto che, nel nostro Paese, la formazione del capitale umano è a livelli minimi se comparata con quella degli altri Stati Membri dell’Unione Europea. Secondo il report della Commissione Europea “Digital Economy and Society Index” 2021 (DESI report), infatti, l’Italia risulta in netto ritardo rispetto ad altri paesi UE in termini di capitale umano, facendo registrare livelli di competenze digitali di base e avanzate molto bassi (25° posto su 27 stati UE). A dimostrazione di tali carenze, secondo la relazione annuale dell’intelligence di recente pubblicazione, nel 2021 le attività cyber ostili contro assetti informatici rilevanti per la sicurezza nazionale hanno interessato il settore pubblico per il 69%. In particolare, le azioni hanno interessato le amministrazioni centrali dello Stato (56%) e le infrastrutture IT di enti locali e strutture sanitarie (30%). È necessario sottolineare che gli attori malevoli sono stati capaci di sfruttare le vulnerabilità dei principali sistemi di connessione remota utilizzati per il lavoro a distanza.

Tralasciando le finalità e il tipo di attori che si celano nella preparazione e lancio di queste azioni ostili, risulta ovvio che attività malevole vengano indirizzate verso infrastrutture che sono facilmente compromissibili e le cui azioni possano arrecare discontinuità dei servizi erogati.

Per questo motivo, sperare di evitare un possibile confronto nello spazio cibernetico risulta un pensiero quantomeno ingenuo. Il vantaggio dell’attore malevolo, sia esso criminale che statale, è proprio quello della scelta dell’obiettivo che risulta più scoperto e facile da compromettere. Per questo motivo, oltre a una preparazione tecnica importante, risulta in questo caso cruciale una stretta collaborazione in termini di coordinazione e comunicazione di eventi malevoli tra enti pubblici e privati per far fronte ad una possibile crisi cibernetica.

La gestione delle crisi cibernetiche nazionali: il ruolo l’Agenzia per la Cybersicurezza Nazionale

Premettendo che ogni azienda privata ha l’esclusivo compito di prepararsi e testare le proprie strutture informative per resistere ad eventuali operazioni malevole assicurando al contempo il rispetto delle misure minime di sicurezza cibernetica previste dalla legislazione italiana, il governo italiano ha creato degli strumenti che gli permettono di agire in qualità di coordinatore nella gestione di eventi e crisi cibernetiche di ampio spettro.

Con l’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) l’Italia si è dotata di un importante ente che racchiude gli organi di monitoraggio e intervento in caso di incidente cibernetico, tra cui il Computer Security Incident Response Team (CSIRT Italia) e il Nucleo per la Cybersicurezza Nazionale. Lo scopo primario dell’ACN è quello di coordinare i soggetti pubblici e privati creando e promuovendo azioni comuni per garantire la loro sicurezza e cibernetica. Un esempio concreto di quanto appena detto è l’attività di promulgazione di messaggi di allerta (alert) diramati dall’Agenzia e dallo CSIRT nazionale ai fini di condivisione dei principali indicatori di compromissione relativi ad eventi cibernetici con possibili effetti ad ampio spettro.

Il primo allarme dato dal CSIRT Nazionale e condiviso dall’ACN relativo ai rischi connessi alla situazione ucraina risale al 14 febbraio. Le comunicazioni sono continue e tengono conto dell’evoluzione della minaccia cibernetica e dell’apparizione di nuovi malware osservati nello spazio cibernetico ucraino. Lo CSIRT Italia si occupa inoltre di monitorare gli incidenti cibernetici a livello nazionale e di gestire tutte le comunicazioni con le parti interessate riguardanti i casi di violazione della sicurezza di reti e servizi. Lo CSIRT è in costante comunicazione con la rete europea di CSIRT nazionali e può intervenire in caso di incidenti emettendo preallarmi e divulgando informazioni riguardo l’analisi delle dinamiche dei rischi e degli eventi cibernetici. Inoltre, lo CSIRT comunica al Nucleo per la Cybersicurezza gli eventi monitorati. Tra i tanti compiti, questo nucleo si occupa di supportare le decisioni del Presidente del Consiglio dei Ministri nella materia di cybersicurezza e valuta se gli incidenti assumono dimensioni e intensità tali da permettere al Presidente del Consiglio dei Ministri di dichiarare uno stato di crisi cibernetica. In altre parole, se l’insieme degli effetti degli eventi monitorati e le segnalazioni di incidenti informatici risultano così gravi da costituire una minaccia alla sicurezza nazionale, il nucleo per la cybersicurezza nazionale si occupa di gestire una eventuale crisi cibernetica e al contempo mantiene aggiornati i decisori politici facenti parte del Comitato interministeriale per la cybersicurezza istituito presso la Presidenza del Consiglio dei ministri e presieduto dal Presidente del Consiglio stesso.

Crisi Ucraina e cyber attacchi: una possibile “prova del nove” per il nostro Paese

Al momento, tutti gli organi nazionali di monitoraggio degli eventi cibernetici sono in stato di massima allerta. Fintanto che la crisi ucraina continuerà, il rischio relativo a eventuali azioni cibernetiche dirette o indirette che potrebbero interessare le infrastrutture informative dell’Italia rimane più alto del normale. Per scongiurare ed essere in grado di far fronte a una possibile crisi cibernetica nazionale, la collaborazione tra pubblico e privato e una politica chiara di gestione e comunicazione degli incidenti informatici è tanto importante quanto la difesa tecnica dei sistemi informativi. Poiché nel mondo cibernetico nessun soggetto è un’isola, la resilienza cibernetica di un Paese si misura in base alla forza del suo anello più debole. Nonostante l’Italia sia ancora agli albori per quanto riguarda la diffusione di una cultura della cybersicurezza e stia facendo del suo meglio per lanciare piani di riqualificazione delle competenze del personale già operante nelle pubbliche amministrazioni, un grande sforzo è già stato compiuto dal punto di vista comunicativo/organizzativo. Ora si tratta di testare sul campo virtuale se le misure poste in essere saranno sufficienti a proteggere gli asset più critici dell’Italia.

Le opinioni espresse nel presente articolo sono esclusivamente riconducibili alla responsabilità dell’autore e non riflettono necessariamente la posizione di altri soggetti, enti e/o organizzazioni riconducibili ad esso