Aziende, istituzioni pubbliche e anche singoli cittadini potrebbero pagare a caro prezzo la rivoluzione tecnologica informatica che ci attende? Come contrastare i pericoli che ne derivano?
Ne parliamo con Germano Matteuzzi della Cyber Security Division di Leonardo Spa.
La cybersicurezza potrebbe apparire preoccupazione remota ai fruitori di pc, telefoni, rilevatori gps, posta elettronica, social network e rete. Eppure, il nostro quotidiano, la nostra rinnovata socialità informatizzata facile e veloce ci espone a nuove e più complesse vulnerabilità. Quali i maggiori rischi della società iperconnessa?
Purtroppo la sicurezza cibernetica dei nostri dati non è affatto remota ma problema attualissimo. È proprio questa la consapevolezza che manca per affrontare il problema alla radice, partendo ovviamente dalle istituzioni. La diffusione istantanea delle informazioni sulla rete fa sì che anche i pericoli siano istantanei e questo causa impreparazione sistemica per gli utenti della rete stessa che non sono in grado di difendersi. Così come quando da giovani si va in moto, la guida è spericolata all’inizio, poi la consapevolezza dei rischi ci impone di cambiare atteggiamento.
Molte delle aziende moderne basano i loro affari su informazioni e conoscenza. Queste permettono loro di realizzare prodotti e servizi, competere sul mercato ed essere tecnologicamente avanzati per mantenere la propria presenza sul mercato globale. La differenza sostanziale è che da quando viviamo l’ondata della trasformazione digitale queste informazioni, siano esse brevetti, progetti, opere d’ingegno o altro, non si capisce bene dove siano memorizzate. O meglio sono memorizzate e disponibili in più posti e a più persone. E quindi sono meno protette. Molte aziende nel cavalcare la digitalizzazione arrivano al cambiamento impreparate (perché i ritmi sono serratissimi) e spesso commettono errori che ne compromettono irreversibilmente la capacità di competere.
Basti pensare a quante aziende, ad esempio, hanno migrato le loro infrastrutture su cloud pensando di risparmiare denaro e poi hanno perso la propria base di conoscenza, per semplici errori tecnici.
Per le istituzioni pubbliche vale lo stesso discorso solo che queste informazioni riguardano principalmente noi cittadini, quindi gli errori strategici e tattici nella digitalizzazione delle istituzioni si ripercuotono principalmente su di noi, che abbiamo già i nostri problemi a gestire le nostre informazioni private.
Sembra banale, ma la protezione più efficace è capire il reale valore che le informazioni hanno per i loro proprietari e simulare cosa potrebbe accadere in casi di perdita, divulgazione o compromissione di queste. Per cui la prima regola è capire che succede se le informazioni sono a rischio e se tale rischio si concretizza, considerando tra i rischi anche le conformità normative. Ecco perché il mercato della sicurezza è principalmente diviso in due grandi aree di attività, una tecnico/giuridica e una principalmente operativa.
Facendo riferimento a frodi, furto di dati, attacchi ransomware, ma anche cyber espionage e attacco a infrastrutture critiche, quali sono gli indicatori che dovremmo osservare per comprendere se siamo sotto attacco? Il Paese possiede capacità di analisi, risposta e gestione agli attacchi cyber? Che ruolo hanno i penetration testing?
È veramente difficile capire se e come le nostre informazioni sono sotto attacco, soprattutto quando l’attaccante ha tutto l’interesse a non farcelo sapere. I casi più importanti di spionaggio cibernetico sono stati rilevati, non tanto per le capacità di difesa delle vittime quanto per errori di gestione delle armi cibernetiche e per la perdita del loro controllo da parte degli attaccanti, vedi un esempio per tutti stuxnet. Attacchi ransomware si manifestano subito nella loro capacità distruttiva ma sono quelli meno pericolosi in uno scenario di spionaggio. Gli attori in gioco determinano le finalità dell’attacco, perciò un attacco con finalità distruttive è veloce e non mostra segni evidenti. Gli attacchi a scopo di spionaggio durano nel tempo e tendono ad essere silenziosi. È pur vero che prima o poi i dati devono essere esfiltrati in uno scenario di spionaggio e tenere sotto controllo le comunicazioni verso entità esterne può dare le indicazioni giuste, così come rilevare anomalie deboli sui dati prestazionali delle macchine, sul traffico di rete o altro. Tutti i bersagli sono a rischio, in primis le infrastrutture critiche che hanno in genere anche altri problemi legati all’obsolescenza dei loro sistemi ICT che amplifica i rischi in uno scenario iperconnesso.
Il Paese negli ultimi 5 anni, anche grazie alla spinta delle istituzioni europee, ha fatto molti passi in avanti verso la consapevolezza dei rischi cibernetici e il contrasto e la risposta agli attacchi. Basti pensare al Framework Nazionale, alla organizzazione governativa per la protezione cibernetica, al CSIRT Italia, alla attuazione della direttiva NIS, al GDPR al perimetro cibernetico nazionale, alle misure minime di sicurezza Agid e tanto altro. Siamo sulla strada giusta ma bisogna affrettare i tempi, perché nel cyberspazio il fattore tempo è fondamentale e le scale temporali si accorciano drasticamente.
In tutto questo comunque essere consapevoli che le nostre infrastrutture sono vulnerabili, e quindi a rischio, ma anche compromissibili è importante, perché ci pone davanti all’evidenza di sapere con certezza che un eventuale attacco avrebbe successo. Questo è il principale motivo per cui il mercato dei penetration tester è tuttora fiorente, perché forniscono le evidenze delle vulnerabilità che altrimenti rimarrebbero sostanzialmente sulla carta dei rapporti. E, cosa ancora più importante, permettono di evidenziare tutto un insieme di vulnerabilità che spesso nei rapporti nemmeno ci finiscono, e cioè quelle umane e sociali.
Catalogare minacce, attori malevoli e motivazioni di sorta. Come impiegare l’intelligenza artificiale? L’intelligenza artificiale è capace di aggregare questi dati secondo le necessità dell’analista?
L’applicazione dei modelli matematici che consentono l’apprendimento dei fenomeni e dei comportamenti e di tutti i modelli di AI derivano dall’applicazione dell’intelligenza umana. Senza voler scomodare Asimov e la robotica, cosa che peraltro viene fatta molto spesso quando parliamo di cyber, il nome stesso deriva dall’utilizzo del termine in romanzi del filone cyberpunk, una cosa è l’AI applicata ad una enorme quantità di dati e che si basa su modelli matematici per la ricerca anche predittiva di fenomeni e schemi, un’altra è l’autocoscienza delle macchine così come la vediamo nei film e la troviamo nei romanzi, la ricerca dell’umanità in tutti i sensi.
Per la prima ci stiamo già lavorando e sicuramente la matematica ci aiuterà a poter visualizzare, aggregare e presentare le analisi dei dati in modo che tra di esse appaiano manifeste le relazioni che a prima vista non possiamo vedere, per la seconda, anche se nel campo della cyber security esistono già modelli reattivi e di comportamento artificiale, probabilmente dovremo attendere ancora un bel po’.
In questo primo scenario l’AI nelle sue applicazioni di Machine Learning e Deep Learning utilizzando algoritmi basati su reti neurali è capace di analizzare questa grande quantità di dati e presentarla in formato leggibile ad un analista che potrà quindi prendere decisioni lavorando su un insieme informativo ridotto ed analizzabile per una mente umana. L’AI può inoltre suggerire all’uomo azioni derivate dalla sua base di conoscenza legata ai suoi algoritmi di apprendimento e ai dati disponibili, azioni che devono essere analizzate prima che valutate per la loro applicabilità. E la bontà o l’applicabilità di queste azioni sono sempre legate alla qualità e alla quantità dei/di dati che gli forniamo. Non vorrei dare una visione troppo antropocentrica della questione ma per adesso l’AI è ancora un supporto all’intelligenza umana.
Accanto a diplomazia e intelligence è divenuta determinate la necessità di sviluppare capacità cyber di difesa e attacco. Diversi attori internazionali mettono in atto veri e propri attacchi cibernetici per ottenere informazioni ed evitare rappresaglie anche grazie alle note difficoltà di attribuzione. Alle volte, le prove che attengono simili attacchi paiono riportare tutte ad un unico paese, ma è possibile che gli indizi siano lasciati con l’intento di far ricadere la responsabilità su di paese nemico?
L’attribuzione delle responsabilità degli attacchi nel cyberspazio è di fatto molto complicata, se non quasi sempre impossibile. Tutto avviene in tempi ridottissimi, non ci sono barriere naturali che inibiscono determinate azioni, non ci sono difese efficaci per gli asset digitali, non ci sono spesso segnali di avvertimento.
Proprio per questo lo spazio cibernetico è la nuova frontiera della guerra, dove diversi tipi di attori si affrontano ogni giorno, attori che vanno dai governi nazionali o organizzazioni filogovernative a criminali cibernetici che agiscono a scopo di lucro, o destabilizzante; gli scenari di attacco cambiano radicalmente volto rispetto a quelli tradizionali, e operazioni cibernetiche possono essere condotte ed attivate in modo repentino e con pochissimi segni di avvertimento. Non ci sono più eserciti che si radunano, evidenze di operazioni o mobilitazioni ai confini degli stati, traiettorie di missili da individuare, aerei che decollano o navi che partono, tutte le attività di preparazione e ricognizione sono svolte nell’ombra e nell’anonimato del cyberspazio, e l’attacco è impossibile da rilevare.
Su questo teatro operativo ci sono guerre cibernetiche che proseguono da anni; per esempio, India e Pakistan si affrontano nello spazio cibernetico da oltre 20 anni, la Russia e l’Ucraina si fronteggiano anche su quel fronte e Stati Uniti, Israele e Arabia utilizzano le armi cibernetiche contro l’Iran (e viceversa), recentemente abbiamo operazioni cinesi contro altri paesi, Russia Australia, ecc.
Nelle liste dei paesi meglio preparati a fronteggiare attacchi cibernetici troviamo sempre gli Stati Uniti, Israele ma anche paesi dell’area pacifico, oltre alla Russia e alla Cina.
Attribuire le responsabilità di un cyber attacco è un processo complesso che travalica la sola identificazione dei sistemi sorgente dell’attacco, anche perché questi sistemi magari appartenenti ad un paese possono essere stati loro volta oggetto di attacco e compromissione da parte di un altro paese e così via. Vengono analizzati principalmente gli strumenti e le tecniche di attacco che spesso possono ricondurre a pochi o ad un singolo agente di minaccia e quindi per quanto aleatoria una attribuzione delle operazioni può essere perlomeno azzardata. E ovviamente sì, dal momento che queste tecniche e strumenti sono noti, è possibile che alcuni attacchi siano portati avanti simulando che avvengano da parte di agenti di minaccia legati ad altri paesi al solo scopo di far ricadere su di esso le responsabilità dell’attacco, in uno scenario di diplomazia cibernetica che si somma a quella tradizionale.
Il Centro Studi Esercito ha da tempo avviato uno studio sulle capacità cyber dell’esercito italiano e ha coinvolto istituzioni e aziende nel suo lavoro. Leonardo è parte integrante del gruppo. Quale ruolo potrebbe giocare Leonardo nel modello globale di detection and response auspicato dal CSE?
Leonardo è partner storico della difesa in tutti i settori, non ultimo la Cyber Security. Ricordo i primi programmi Cyber, il CERT dell’ Esercito e la Cyber Defence Capabilities basato sul framework NATO dell’allora C4D che risalgono al 2010, parliamo ormai di quasi 10 anni fa, con cui si implementarono le prime capacità di detection & response, con tutte le successive evoluzioni fino alla realizzazione di una full operational capability e all’implementazione di capacità all’interno del CIOC per pianificare e condurre operazioni sul nuovo dominio cibernetico. Anche nei confronti delle forze armate la divisione Cyber Security ha collaborato con la realizzazione di capacità cyber importanti, Esercito e Marina su tutte. Leonardo ha anche realizzato la Full Operational Capability della NATO implementando l’NCIRC, il Computer Incident Response Center per tutte le sedi e i paesi NATO.
Leonardo è però presente in maniera importante nel mercato della cyber security italiana anche in ambito civile principalmente in quello governativo dove è aggiudicataria dell’accordo quadro CONSIP SPC Cloud Lotto 2 – Sicurezza, tramite il quale vengono erogati servizi di sicurezza gestita e servizi professionali a tutte le pubbliche amministrazioni centrali e locali che ne fanno richiesta. È presente anche nel settore privato delle Infrastrutture Critiche e delle Large Enterprise, dove Leonardo eroga servizi verso grandi aziende nei settori Oil&Gas, Energy, Utilities e Trasporti.
Negli ultimi anni Leonardo ha investito pesantemente su sviluppi legati alla threat intelligence in ambito cyber dotandosi di propri strumenti tecnologici internamente sviluppati per la ricerca e l’analisi su web utilizzando il paradigma OSInt (Open Source Intelligence). Inoltre, il Security Operation Center Leonardo, attivo dal 2007, uno dei primi Managed Security Service Provider Italiani sul mercato, eroga tramite questa piattaforma servizi di intelligence in piena sinergia con quelli di Cyber Security più tradizionali. Nell’ambito della sicurezza delle comunicazioni poi Leonardo ha storica presenza avendo lavorato e fornito prodotti e servizi sia sui domini di cifra per le informazioni classificate sia nel campo delle comunicazioni sicure professionali in uso alle forze dell’ordine e ai servizi di emergenza. Non ultimo Leonardo è una società interamente italiana e partecipata dallo stato, fatto che la pone in una posizione particolarmente privilegiata per poter essere l’attore di riferimento della sicurezza cibernetica italiana sui mercati militare e civile.
Se per le operazioni all’interno del dominio cibernetico il ruolo prevalente lo dovrebbe avere il recentemente istituito COR è pur vero che ciascuna forza armata, seguendo il concetto di Network Enabled Capability (NEC) deve estendere le capacità utilizzando strumenti cibernetici a supporto delle operazioni tradizionali. Non, quindi, operazioni puramente cyber ma tecnologie cyber a supporto delle operazioni nei domini tradizionali.
Leonardo può dunque mettere a disposizione dell’Esercito, ma anche delle altre forze armate, tutte le capacità e le conoscenze relative alla sicurezza maturate in questi anni in ambiti militari e civili, e affiancarlo nella acquisizione di quelle capacità cibernetiche non ancora pienamente implementate.