Dopo il caso Eye Piramid, il tema del cyberspionaggio diventa oggetto di dibattito pubblico. Secondo il ceo di NTT Data Italia i dati vanno protetti perché “sono il petrolio del paese”
Arturo Di Corinto per Cybersecurity 12 gennaio 2017
Parliamo del caso del giorno, la vicenda Eye Piramid, con Walter Ruffinoni, attuale CEO di NTT Data Italia, partner del distretto di Cybersecurity di Cosenza. L’occasione è l’intervista a SkyTG24 dove ha potuto dare il suo punto di vista sui temi della sicurezza e sulle prospettive del nostro paese dove l’azienda ha deciso di investire in talento e innovazione, proprio al Sud.
NTT Data Italia ha deciso di investire al Sud
Ruffinoni, intanto ci dica cosa fate a Cosenza
Siamo partner del Distretto di cybersecurity insieme a Poste e all’università della Calabria per creare soluzioni di protezioni dai cyber attacchi per aziende, istituzioni e privati. In quella sede costruiamo soluzioni basate anche sulle tecnologie ed esperienze giapponesi, come Dymora, visto che la protezione dell’end user è per noi una priorità. DyMoRa è una soluzione permette di avere sul proprio device mobile un’area sicura e non accessibile ai malintenzionati dove scambiare informazioni (es per i CdA) o per tenere in sicurezza i dati sensibili.
Lei ha detto infatti anche in altre interviste che Informazione e dati sono la ricchezza del paese
E lo ripeto: la sicurezza è un asset fondamentale per costruire la digitalizzazione di un paese con l’obiettivo di avere servizi più semplici ma allo stesso tempo sicuri dagli attacchi informatici. Oggi l’Informazione ha un valore sempre più alto e il rapporto stato-cittadino va digitalizzato in maniera sicura. Il dato è la vera moneta di scambio e la vera ricchezza. Per questo i dati fanno sempre più “gola” ai cybercriminali. Oggi il perimetro da controllare si dissolve ed i singoli end user diventano il nuovo perimetro da mettere sotto controllo: con la commistione digital/fisico e l’interconnessione di cose, persone e organizzazioni si apre un nuovo campo di vulnerabilità prima sconosciuto.
È sufficiente quello che fanno le aziende in Italia?
In Italia le aziende hanno messo in campo una serie di soluzioni focalizzate maggiormente sul tema della protezione perimetrale, il controllo degli accessi logici ai sistemi a diverso livello (applicativo, sistemistico e DB) e il tracciamento delle operazioni svolte da utenti e amministratori di sistema. Le principali aziende italiane, sicuramente le più grandi, hanno poi riconosciuto come questo atteggiamento “statico”, focalizzato sulla messa in campo di contromisure puntuali, non potesse rimanere al passo con una dinamica tecnologica che favoriva il rapido diffondersi di nuove vulnerabilità e il nascere di nuove e sempre più sofisticate tecniche d’attacco.
Il caso Eye Piramid: tecnica, prevenzione e conseguenze
Veniamo al caso Eye Piramid. Cosa è successo dal punto di vista tecnico? Come è potuto accadere?
Il caso Eye Piramid è un caso di malware infection avvenuto attraverso una email malevola (una email da indirizzo valido di uno studio legale con un allegato altrettanto “valido” – un pdf che però camuffava il virus). Questo malware ha creato una botnet tra i computer infetti. Sono stati poi selezionati i pc delle persone “interessanti”. Inoltre in questo caso sono stati infettati account di domini “ufficiali” di enti specifici (es bancaditalia.it, esteri.it, tesoro.it etc).
In questa rete venivano monitorati account specifici di persone rilevanti in termini istituzionali o di potere e sono stati creati una serie di dossier memorizzati su server negli Stati Uniti. I dossier contenevano di fatto info scambiate principalmente via email dagli interessati e il file dossier veniva poi spedito a una serie di email controllati dagli attaccanti.
Le mail inviate erano rimosse in tempo reale e non lasciavano traccia. Non è ancora chiaro come venivano utilizzati i dati raccolti, probabilmente potevano essere commercializzati sul mercato (deep web).
Cosa avremmo potuto fare per fermarlo?
Tutto è nato da un click su un allegato. Una “cosa banale”. Non si tratta di un malware nuovo, ma già in circolazione dal 2008. Ma si tratta di una malware “poliformo” che ha tra le sue caratteristiche quella di mutare in modo da non essere riconosciuto dai normali antivirus. La mutazione avviene sia comandata dal centro di comando, ma può anche essere programmata internamente al malware e attivarsi automaticamente.
Contro questi malware non basta un buon antivirus?
Non esiste una soluzione automatica che protegge. Molte email che nascondono malware fanno anche leva su aspetti psicologici molto raffinati, puntando su paura, senso del dovere, o sul rispetto delle regole etc.
È per questo che all’aumentare delle difese, gli attacchi non diminuiscono?
La digitalizzazione può aumentare le potenziali vulnerabilità, ma l’errore umano è una della cause principali tramite cui si riesce a inserire un malware.
Cosa si poteva fare per prevenire?
Difficile prevenire. Solo attenzione anche di fronte a mittenti sicuri. Sempre prestare molta attenzione a click a link e all’apertura di allegati anche “innocui” come un pdf, appunto.
In caso di dubbio?
Beh, direi di fare un check online googlando il nome dell’allegato della mail: spesso si trovano segnalazioni di pericolo. Consapevolezza ed educazione sono i due maggiori ambiti su cui lavorare per mitigare il rischio a livello individuale.
Il problema, le soluzioni, l’utente finale
Quali sono allora le soluzioni possibili in questo scenario?
Occorrono maggiori investimenti per aumentare la collaborazione del cittadino nella condivisione delle informazioni di cui è proprietario nel rispetto della privacy, al tempo stesso investimenti nell’educazione per evitare di condividere informazioni che paiono innocue e che in realtà possono essere usate per social engineering.
Occorre anche maggiore trasparenza da parte degli attaccati per scoprire e denunciare nel più breve tempo possibile questi attacchi. In questo caso è stato possibile scoprire l’attacco solo quando casualmente una di queste mail è stata ricevuta dall’Enav che si è insospettito e ha girato tutto al CNAIPIC che ha avviato le indagini.
Prevenire è difficile, ma si può fare qualcosa per capire se un PC è infetto?
Spesso gli attacchi non vengono riconosciuti immediatamente. In media occorrono 200 gg prima di scoprire un attacco. Il singolo individuo difficilmente ha capacità e strumenti per analizzare e scovare il virus. Però può far valutare le situazioni che ritiene sospetti da esperti. Ad es, la polizia postale o società specializzate.E’ comunque sempre buona norma tenere sempre aggiornati i propri sistemi di sicurezza (firewall, antivirus) e cambiare spesso anche le proprie password.
Ma può bastare visto che non solo le persone, ma anche le infrastrutture sono sotto attacco?
Dal sistema energico a quello finanziario per arrivare alla comunicazione, le infrastrutture critiche sono interconnesse e vitali per il funzionamento di un paese. Alcuni studi europei hanno evidenziato come un black out di una sola di queste infrastrutture porterebbe al collasso un paese intero. Senza energia elettrica col passare delle ore tutti i servizi fondamentali per la vita di una nazione smetterebbero di funzionare causando anche dei decessi.