Ce lo aspettavamo. Se ne era parlato a lungo in questi giorni in cui il conflitto militare tra la Russia e l’Ucraina aveva preso anche la forma di un conflitto cibernetico. Tutto era cominciato – come da noi riportato – dalla diffusione di un pericoloso malware di origine russa, un wiper, capace di cancellare la memoria dei computer e di renderli inservibili, ed era proseguito con le incursioni di Anonymous e di una trentina di altri gruppi hacker dai nomi fantasiosi che avevano bloccato le risorse informatiche una volta dei russi una volta degli ucraini. Tutto all’insegna del timore di un intervento Nato che secondo l’articolo 5 può intervenire in difesa di un paese dell’alleanza, anche in caso di attacco cibernetico.
Adesso, come atteso, la preoccupazione è che anche un paese distante come l’Italia, che ha preso posizione contro la guerra di Putin, possa essere coinvolto nella guerra cibernetica.
Già dai giorni scorsi sul sito dello Csirt però si poteva leggere questo avviso “Sebbene al momento non vi siano indicatori in tal senso, si evidenzia il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche. Tali impatti potrebbero derivare dalla natura interconnessa della rete Internet, in quanto azioni malevole, indirizzate verso una parte di essa, possono estendersi ad infrastrutture contigue come dimostrano precedenti infezioni con impatto globale quali ad esempio NotPetya e Wannacry”.
Insomma, l’allarme non riguarda proprio tutti, ma i gestori di servizi essenziali e quelli che operano infrastrutture critiche.
Nonostante l’allarme comparso sulle agenzie di stampa, fonti riservate da noi contattate però ci dicono che non ci sono indici di attacco (IoA), eppure negli ambienti della difesa cibernetica ci sono specialisti che parlano in forum e chat private dell’Italia come possibile target e citano la probabilità immediata di un attacco sul perimetro cibernetico nazionale.
Neanche loro però sanno se sarà il wiper oppure se dobbiamo aspettarci attacchi DDoS (Distributed Denial of Service Attacks) come quelli che hanno bloccato i siti ministeriali russi, della tv RT o di Gazprom. Qualcun altro ha parlato di possibili attacchi sulla supply chain (la filiera di approvvigionamento) in cui fornitori globali di tecnologie potrebbero rilasciare aggiornamenti software dannosi capaci di interferire col funzionamento dei sistemi elettrici, di trasporto, della sanità e della manifattura che oggi sono mediati dal codice informatico.
Il pericolo però è plausibile. L’Agenzia per la cybersicurezza nazionale aveva anche diramato una comunicazione che chiedeva di ridurre le superfici di attacco esterne ed interne, di verificare il controllo degli accessi ai sistemi, di innalzare i livelli di monitoraggio delle infrastrutture IT, adottare piani per la preparazione e gestione di situazioni di crisi cibernetica, e assicurare lo scambio informativo sia interno sia esterno verso le articolazioni cyber di riferimento, lo CSIRT Italia prima di tutto.
Nella comunicazione le misure da osservare sono le seguenti:
• sensibilizzare costantemente gli utenti in merito ai rischi derivanti da file o link malevoli ricevuti tramite comunicazioni che potrebbero costituire phishing (email, sms, instant messaging);
• verificare la corretta applicazione delle password policy, valutando la possibilità di effettuare un password reset per tutti gli utenti;
• verificare la funzionalità e l’efficacia dei sistemi di backup e ripristino dei dati, prevedendo, se non già realizzato, il mantenimento off-line del back up;
• ove non già adottati, pianificare ed implementare modelli di sicurezza del tipo “zero trust”, ovvero modelli che superano il concetto di perimetro di rete sicuro ed affidabile, prevedendo l’autorizzazione e l’autenticazione di ogni singolo accesso ai servizi ITe la segregazione capillare delle componenti di rete;
• ridurre il livello di esposizione esterno, riducendo all’essenziale i servizi esposti ed i canali di comunicazione, come ad esempio connessioni internet secondarie non adeguatamente protette.
Secondo una fonte qualificata presso un grande operatore nazionale che non può essere nominato: “Saranno mesi di lacrime e sangue, i russi vorranno punire chi gli ha fatto le sanzioni, assisteremo a una guerra silenziosa in cui il sistema economico nazionale ed europeo saranno bombardati digitalmente. Sarà una maratona, quello che viviamo non è un contesto da Torri gemelle, ma uno stillicidio quotidiano per il settore economico. Bisogna imparare ad assumere una nuova postura e questo non vale solo per i 100 big della nostra economia. È diventato il problema di un’intera società”.