“Il mondo della pubblica amministrazione, quello delle infrastrutture critiche e quello dei servizi sanitari sono tra i settori più colpiti dagli attacchi informatici. E il fatto che nel caso della Regione Lazio si sia trattato di un ransomware conferma che ci troviamo proprio nell’ambito in cui l’attività dei cybercriminali è più intensa, quello delle offensive a scopo di estorsione”. Così Gabriele Faggioli, presidente del Clusit, l’associazione italiana per la sicurezza informatica (a settembre è prevista la partenza dei nuovi appuntamenti della Security Summit Academy), e Ceo di Digital360, analizza in un’intervista a CorCom l’attacco informatico ai danni della Regione Lazio che ha paralizzato da domenica i sistemi informatici dell’amministrazione.
Faggioli, qual è oggi il trend nel campo delle minacce informatiche verso aziende e istituzioni?
I dati che abbiamo a disposizione evidenziano che il cybercrime, contenitore all’interno del quale trovano posto i ransomware, quindi il blocco dei sistemi finalizzato all’ottenimento di un “riscatto”, rappresenta più dell’80% dei casi di attacchi informatici. Seguono con il 14% quelli che hanno come fine lo spionaggio o il sabotaggio, mentre la percentuale rimanente è rappresentata da offensive che partono dall’attivismo e dall’information warfare. Quella che ha coinvolto la Regione Lazio è quindi tra le tipologie di attacco più comuni, anche se all’interno di questo contesto si potrebbero evidenziare altre sottocategorie “tecnologiche”, e si è verificata in uno sei settori di mercato tra i più presi di mira dagli hacker. Non dovremmo quindi stupirci del fatto che sia successo, anche perché l’anno del Covid-19 ci ha insegnato che ai criminali non interessa nulla dell’emergenza sanitaria, né della campagna vaccinale, come dimostrano gli attacchi agli ospedali che si sono verificati nei mesi scorsi. Detto questo, non si può entrare nel merito di quello che è successo nel caso specifico del Lazio, perché è una vicenda su cui sono in corso indagini e che solo con il tempo sarà chiarita definitivamente. Ciò che è certo è che siamo in un contesto storico in cui gli attacchi gravi aumentano in modo forte, con percentuali che possono arrivare a un +20% l’anno, al di sotto dei quali c’è poi un’infinità di cyberattacchi meno rilevanti, che colpiscono entità di tutti i tipi, pubbliche e private, e provocano danni più contenuti. Insieme agli attacchi sta crescendo anche la percezione mediatica di questi fenomeni, se ne parla di più: se fino a poco tempo fa erano considerati dai media come argomenti esotici, oggi stanno diventando di massa.
Cosa insegna alla Pa e alle aziende italiane l’attacco informatico che si è verificato domenica notte ai danni della Regione Lazio?
Io sono profondamente convinto che di fronte a un attacco mirato e violento sia particolarmente difficile difendersi, e in alcuni casi addirittura impossibile. L’unica cosa da fare è contenerli. E’ facile parlare della necessità di fare investimenti e di adeguarsi alle normative, ma spesso si devono fare i conti con le possibilità economiche delle potenziali vittime. Non ci si può limitare a snocciolare i principi normativi, di buon senso e tecnologici: quello che insegna ciò che è avvenuto ai danni della Regione Lazio è che incidenti di questo genere possono avvenire, bisogna quindi tenerne conto nella pianificazione dei budget e delle evoluzioni tecnologiche. Non so e non posso dire se le difese messe in campo fossero adeguate, questo ce lo dirà la storia. E’ probabile che alcune cose potessero essere fatte meglio, ma questo vale sempre per tutto quando si verifica un problema. La lezione è che siccome possono verificarsi situazioni gravi, in grado di bloccare servizi importanti o addirittura essenziali per i cittadini, ogni realtà che gestisce questo genere di applicazioni dovrebbe senza indugi organizzare un’attività di analisi del rischio attenta e intervenire in chiave di priorità, quindi a seconda delle proprie possibilità economiche. Non basta averlo già fatto, perché le tecnologie e le tipologie di attacco cambiano rapidamente, e le difese già in campo potrebbero non bastare. La difesa deve evolversi insieme ai rischi.
Proprio in queste ore anche il Senato ha dato il via libera al provvedimento che definisce l’architettura nazionale e istituisce l’agenzia per la cybersicurezza. Basterà per evitare che incidenti del genere si verifichino di nuovo?
Credo che sia una buona scelta, ci siamo già pronunciati favorevolmente rispetto a questo importante passo di razionalizzazione. E decisivo che ci sia una unità unica che gestisce queste tematiche, che sia in grado di consolidare le competenze in una struttura centrale.
L’elemento culturale. Quanto c’è ancora da fare per la formazione delle persone e dei dipendenti?
Qualunque apparecchiatura connessa comporta dei rischi, e ognuno dovrebbe essere formato per comprenderne i pericoli e comportarsi di conseguenza. L’attività di formazione dovrebbe partire fin dalle scuole primarie, bisogna spiegare anche ai bambini quali sono i rischi quando si utilizzano tecnologie, perché iniziano a confrontarsi con il digitale già dai primi anni di vita. La metafora che mi piace utilizzare è che si può avere la macchina migliore del mondo, ma se si guida mentre si è al telefono o in chat prima o poi succede l’incidente. Questo oggi lo sanno tutti, eppure vediamo ogni giorno persone che guidano con i figli in auto mentre chattano su Whatsapp: oltre a mettere a rischio la propria incolumità e quella dei passeggeri, danno un esempio sbagliato a chi è in macchina con loro. Questo aspetto dovrebbe essere al centro di un’attenzione continua: dobbiamo contare sulle opportunità della tecnologia, ma dobbiamo anche renderci conto che senza un uso consapevole, senza la comprensione dei rischi, la tecnologia non può essere risolutiva.
