Sicurezza informatica, Giustozzi: “Queste le minacce 2018 (e le speranze)”
di Corrado Giustozzi, esperto di sicurezza cibernetica presso il CERT-PA AgID
Il 2018 sarà decisivo per la sicurezza visto l’incremento delle minacce specie su infrastrutture critiche. Tante le iniziative dell’Italia da DPCM Gentiloni a Piano nazionale e cyber Comando. Nella Ue passi avanti con GDPR e NIS. Per il futuro si teme per sistemi smart, IoT e Bitcoin.
Siamo a fine anno e, come di consueto, siamo tutti più portati a compilare bilanci e tracciare previsioni, dedicando qualche momento di riflessione a valutare ciò che è successo nell’anno trascorso ed a speculare su ciò che succederà in quello prossimo.
Per quanto riguarda la cybersecurity in senso generale, il 2017 è stato un anno importante sotto molti fronti, tanto nel bene quanto nel male; e il 2018 probabilmente sarà un anno decisivo, in quanto vedrà la realizzazione di molte delle iniziative di innalzamento della sicurezza impostate proprio in quest’anno che oramai ci sta lasciando.
Ma iniziamo dagli aspetti negativi. Il 2017 è stato caratterizzato da un prevedibile e previsto incremento della minaccia, sia in termini quantitativi che qualitativi. E se i data breach hanno oramai raggiunto record dimensionali che sfiorano addirittura il ridicolo (si pensi solo alla compromissione di 3 miliardi di account appartenenti al colosso Yahoo!, resa nota nel 2017 anche se avvenuta negli anni precedenti), altri fenomeni quali il ransomware hanno consolidato la loro presenza con un tasso di crescita imponente e picchi di virulenza in alcuni casi davvero eccezionali, come nel caso di WannaCry che in poche ore ha colpito diversi Paesi d’Europa.
Ma forse l’avvenimento più preoccupante, in senso prospettico, è stata la scoperta in the wild di malware quali Industroyer, o CrashOverride che dir si voglia, in grado di interagire direttamente con le componenti hardware dei sistemi di controllo industriale nell’ambito della produzione e del trasporto di energia. Se ne sospettava l’esistenza da tempo, soprattutto in collegamento ai noti episodi di black-out avvenuti in Ucraina nel dicembre 2016, ma l’evidenza di un sample funzionante ha consolidato le preoccupazioni verso le potenzialità distruttive di questi tipo di malware che, utilizzando nativamente i protocolli di comunicazione e controllo tipici del mondo del controllo industriale, sono intrinsecamente capace di manomettere impianti di produzione e trasporto di luce, acqua e gas. Ciò apre la strada ad una nuova generazione di minacce dirette ai sistemi ciber-fisici, in grado cioè di sabotare i sistemi di automazione e controllo che costituiscono il cuore di ogni infrastruttura critica.
Un’altra costante preoccupazione della comunità di esperti di sicurezza è che in protocolli critici o in loro implementazioni di uso comune e grande diffusione possano essere scoperte vecchie ma sconosciute vulnerabilità giacenti da tempo, rendendo così improvvisamente vulnerabili ampie classi di dispositivi comunemente ritenuti sicuri. Ciò è successo proprio nel 2017 con la scoperta del cosiddetto “Key Reinstallation Attack” (o brevemente KRACK), una vulnerabilità sottile ma estremamente micidiale che affligge quasi ogni dispositivo WiFi agendo sullo scambio di chiavi operato all’interno del protocollo WPA2. Fortunatamente questa vulnerabilità può essere corretta mediante patch che mantengono la compatibilità all’indietro, e quindi senza richiedere massicci sforzi di sostituzione degli apparati; ma sfortunatamente la stragrande maggioranza dei dispositivi vulnerabili non riceverà mai le patch dai propri produttori perché non più manutenuti od obsoleti, oppure semplicemente perché sarebbe troppo complesso o costoso produrle e distribuirle. Fra i dispositivi a rischio di non ricevere le correzioni vi sono, purtroppo, praticamente tutti gli smartphone con Android fino alla versione 6, il che rende il problema estremamente serio.
Passando invece al piano del contrasto alla minaccia, molto si è fatto nel 2017 sia in Italia che in Europa a livello organizzativo e della cooperazione: gli effetti delle misure adottate non saranno ovviamente immediati ma si vedranno auspicabilmente nei prossimi anni, a partire dal 2018. Il nostro Paese in particolare, mediante il cosiddetto “DPCM Gentiloni” dello scorso febbraio, ha rivisto ed aggiornato la propria architettura per la protezione dello spazio cibernetico nazionale aumentandone l’efficienza ed ampliandone l’ambito di azione; ha emesso un nuovo Piano Nazionale con alcuni indirizzi operativi aggiornati rispetto al precedente del 2013, anche alla luce degli obiettivi nel frattempo già conseguiti; ha iniziato un processo di unificazione dei due CERT governativi, il CERT Nazionale ed il CERT- della Pubblica Amministrazione, in un’unica struttura; ed ha infine costituito all’interno dello Stato Maggiore della Difesa il nuovo Comando Interforze Operazioni Cibernetiche (CIOC), che inserisce a pieno titolo nel sistema difensivo italiano le competenze sulle operazioni cyber in ambito militare.
Tra le cose su cui invece il nostro Paese è rimasto un po’ in ritardo annoveriamo la procedura di recepimento della Direttiva NIS e quella di adeguamento del quadro normativo nazionale della privacy al nuovo regolamento europeo (GDPR): in entrambi i casi, infatti, le rispettive leggi delega al Governo sono state approvate solo verso fine anno (a novembre la prima, a ottobre la seconda) e dunque le relative leggi attuative si faranno il prossimo anno, il che per la NIS significa giungere in zona Cesarini rispetto ai termini tassativi di adozione previsti dal mandato europeo.
Anche la Pubblica Amministrazione italiana è stata interessata da alcune attività specifiche di cybersecurity, portate avanti dall’Agenzia per l’Italia Digitale grazie al mandato ricevuto nel 2015 dall’allora Presidente del Consiglio Renzi e riconfermato dal Piano Nazionale. La prima è consistita nell’inserimento della cybersecurity all’interno del Piano Triennale, una novità assoluta per questo tipo di documento di programmazione strategica ed operativa: la sicurezza vi figura correttamente come componente trasversale, che attraversa tutti e tre gli “strati” orizzontali in cui il Piano Triennale scompone le componenti ICT a servizio e supporto dell’Amministrazione, e declina per ciascuno di essi le azioni ed i principi a tutela della sicurezza e della fiducia dei sistemi, dei processi e dei servizi erogati. L’altra è stata l’emissione delle Misure Minime di sicurezza ICT, di obbligatoria adozione da parte di tutte le Pubbliche Amministrazioni entro questo 31 dicembre, che mediante l’agevole strumento della check-list mirano da un lato a creare consapevolezza nelle Amministrazioni soprattutto più piccole e meno preparate, e dall’altra a stabilire una baseline comune imprescindibile per quanto riguarda l’attuazione di misure tecniche ed organizzative per l’innalzamento delle difese ed il contenimento dei rischi.
Anche l’Unione Europea, in attesa che divengano pienamente operative presso tutti gli Stati Membri le due importanti normative riguardanti la sicurezza, ossia il nuovo Regolamento Generale sulla protezione dei dati personali (GDPR) e la Direttiva sulla sicurezza delle reti e dell’informazione (NIS), non è stata con le mani in mano: ha anzi deciso di chiedere ulteriori rafforzamenti alle misure già in campo, chiamando tutti gli stakeholder a dare di più per aumentare la cooperazione ed il fronte comune contro la crescente minaccia. Così in autunno la Commissione ha presentato una Comunicazione congiunta al Parlamento ed al Consiglio, formalmente denominata “Resilienza, deterrenza e difesa: verso una cibersicurezza forte per l’UE” ma subito diventata nota come “pacchetto Juncker”, la quale propone per l’approvazione sia modifiche ed estensioni alla precedente cyberstrategy del 2013 che la proposta di rafforzare l’Agenzia dell’Unione per la cybersecurity (ENISA). Quest’ultimo punto è particolarmente importante: l’Europa ha bisogno di un punto di riferimento permanente e pienamente operativo per la cybersecurity, e così la Commissione ha deciso di affidare questo ruolo ad Enisa, che fino ad oggi era “solo” un centro di competenza con limitate risorse finanziarie ed un mandato a termine. Il “pacchetto” prevede quindi che ad Enisa sia riconosciuto in pieno il ruolo di guida che ha saputo conquistarsi negli anni, e che quindi all’Agenzia venga assegnato un ampliamento non solo in termini di budget e risorse ma anche di mandato, assegnandole lo status di agenzia permanente ed allargando l’ambito delle funzioni ad essa assegnate e del ruolo da essa ricoperto. Tra le altre proposte del “pacchetto”, assai dirompente è quella di istituire un quadro europeo di certificazione della cybersecurity: questa iniziativa è evidentemente volta sia ad incrementare la fiducia dei consumatori nei prodotti e servizi digitali che a favorirne lo sviluppo facilitando i produttori che si troveranno a dover interagire con un regime certificativo semplificato, uniforme e comune. Vedremo nel 2018 se, e con che tempi, il Parlamento ed il Consiglio recepiranno le richieste della Commissione, e soprattutto in che modo le trasformeranno in azioni operative.
E sul fronte delle previsioni, cosa possiamo attenderci dal futuro? Molti trend sono abbastanza chiari, ed è relativamente facile leggervi alcune linee di probabile evoluzione; altri fenomeni rimangono invece nell’ambito dell’imprevedibile. Tuttavia la comunità internazionale ha individuato alcuni temi come meritevoli di attenzione per i loro possibili impatti nei prossimi mesi, e vale quindi la pena quantomeno di rifletterci un attimo. Ci si attende ad esempio la comparsa di minacce sempre più sofisticate ai sistemi ciber-fisici, che si diffondano come virus e attacchino direttamente i sistemi SCADA: al di là dell’ambito strettamente industriale, dove una ancora diffusa segregazione delle reti attua un certo contenimento della minaccia, attacchi basati su strumenti del genere potrebbero essere effettivamente devastanti in ambiti più moderni ed intrinsecamente connessi quali le smart grid e tutti i sistemi distribuiti di controllo che stanno sempre più prendendo piede nelle nostre città (raccolti sotto il termine generale di smart city). Parallelamente aumenteranno gli attacchi a carico dei dispositivi IoT, oggetti che pur trovando sempre più posto nelle nostre case e nelle nostra vita quotidiana vengono ancora immessi sul mercato senza praticamente alcuna protezione intrinseca, e saranno probabilmente di tipo ransomware.
Un altro recente fenomeno, costituito dall’impressionante apprezzamento del BitCoin e di molte altre criptovalute a traino, verosimilmente innescherà nuovi tipi di attacchi e minacce. L’improvvisa e vertiginosa crescita del valore del BitCoin sta infatti rapidamente richiamando l’interesse della criminalità organizzata su questo tipo di valuta e soprattutto sui meccanismi che ne consentono la creazione, lo stoccaggio ed il trasferimento: si sono già verificati primi imponenti “furti” di BitCoin, e ci si aspetta che specifici attacchi, rivolti soprattutto ai “depositi” e ai “portafogli”, aumenteranno nel breve futuro.
Un ultimo punto controverso si sta profilando all’orizzonte, e riguarda l’atteggiamento di alcuni Stati verso le misure di legge finalizzate a reprimere i reati informatici o a fornire all’Autorità giudiziaria strumenti teoricamente in grado di recuperare l’inevitabile e fisiologico svantaggio tecnologico che sempre essa ha nei confronti della minaccia. Recentemente la Germania, come vera e propria voce fuori dal coro rispetto alle posizioni consolidate in ambito europeo, ha reso noto di stare sviluppando una legge che dovrebbe rendere obbligatoria la presenza in ogni dispositivo informatizzato di una backdoor in grado di consentire alle forze dell’ordine l’accesso al sistema e ai dati da esso trattati. Si tratta di una posizione molto criticata dagli esperti in quanto ritenuta consensualmente inefficace, pericolosa, inaffidabile, e tecnicamente quasi impossibile da realizzare facendo salve tutte le garanzie di tutela necessarie per i legittimi utenti. La stessa Enisa, già nel 2016, aveva pubblicato un pesantissimo Opinion Paper sancendo, anche sulla scorta di un clamoroso insuccesso raccolto negli USA a seguito di un analogo tentativo fatto qualche anno fa, che sistemi del genere finiscono solo per vessare gli utenti onesti mentre non aggiungono alcun grado di deterrenza verso i criminali o alcun reale vantaggio per le forze dell’ordine. Vedremo nei prossimi mesi se la pressione della comunità farà arretrare la Germania dalla sua posizione, o se si arriverà a creare un controverso precedente.