“Creare un sistema di norme che vincolino i Telco provider sulla sicurezza delle informazioni nel territorio nazionale è fondamentale. E’ necessario stare attenti che le informazioni e le comunicazioni non escano all’estero, che le Telco mantengano i server all’interno del Paese. E per gli Internet service provider dobbiamo iniziare a pensare che se si vuole usare Google si è liberi di farlo, accettando il rischio che si corre nel momento in cui le informazioni che ci riguardano faranno un bel giro del mondo prima di arrivare a destinazione. Ma si potrebbe pensare a Isp nostrani in Italia, dove si paga qualche euro in più al mese per avere in cambio certezze. Si può iniziare a promuovere una cultura della sicurezza, e anche del costo della sicurezza. Se io gestisco le mie email in Italia, do la certezza che i server sono italiani, che faccio cifratura sui dati, riesco a dare maggiore certezza che la comunicazione sia garantita nella sua riservatezza, grazie anche alla normativa Italiana in materia molto restrittiva”.
A parlare è Roberto Baldoni, professore ordinario di Sistemi distribuiti presso la Facoltà di Ingegneria dell’informazione dell’Università degli studi Sapienza di Roma, dove dirige il centro di ricerca in cyber intelligence e information security. Proprio nei giorni scorsi Baldoni ha presentato uno studio nato dalla collaborazione con la presidenza del Consiglio sulla Cyber security in Italia. Lo studio è stato supportato dal progetto Miur Prin Tenace e da Microsoft.
Professor Badoni, quali sono i punti principali che sono emersi da questo report?
“La prosperità economica di un sistema paese si misura sempre più attraverso il grado di sicurezza che possiamo dare allo spazio cibernetico. Con gli attacchi si può arrivare al controllo fisico di asset che attengono alla sicurezza nazionale, come i sistemi di distribuzione elettrici, di Gas o acqua. Ma se ci rubano le proprietà intellettuali di una Ferrari, di un occhiale Luxottica, del processo di preparazione del Parmigiano, dopo 5 mesi abbiamo 3mila persone senza lavoro. In qualche modo è sicurezza nazionale anche questa, che attiene alla prosperità economica di un paese. Per rendere sicuro lo spazio fisico ci sono le forze dell’ordine, ma nel cyber space c’è la stessa esigenza: più il sistema è aperto in termini di vulnerabilità, sia in rete che per i sistemi interni, più si riescono a intrufolare attaccanti con le più svariate intenzioni: dal terrorismo allo spionaggio industriale.
Come stanno cambiando le tecniche dei cyber attacchi?
Un aspetto interessante è che sta diminuendo l’expertise necessario per organizzare gli attacchi: avere a disposizione un meccanismo di offesa è sempre più alla portata di tutti: si tratta ormai di sistemi simili a videogiochi. Si è abbassato il livello delle competenze per entrare nel mondo degli “attaccanti”, e questo potrebbe creare per il futuro un proliferare di situazioni, con un crescente numero di persone in grado di far danno dal proprio sofà. E’ da sottolineare che nelle utilities si raggiunge già oggi un numero di migliaia di attacchi al giorno, e in alcuni momenti di migliaia di attacchi ogni ora. Ed è interessante il fatto che gli attacchi vengano programmati con criteri di social engineering, prevalentemente nei week end e di notte, quando normalmente c’è meno attenzione e prontezza di risposta. Questo indica che dall’altra parte c’è una mente che stimola gli attacchi: un motivo in più per organizzarsi come sistema Paese. Anche perché non si riesce a gestire la complessità del problema in isolamento, da singole aziende. C’è bisogno di un approccio di collaborazione pubblico-privato-università che permetta, creando gruppi omogenei di organizzazioni, sollecitate e coordinate con ambienti governativi.
Fortunatamente le infrastrutture critiche sono il settore più avanzato nella sicurezza informatica in Italia, rispetto alla media. Proprio con il nostro ultimo studio abbiamo creato un Cyber readiness index, da cui emerge che le utilities, dai trasporti all’energia, sono sicuramente avanti rispetto al altri settori.
Qual è il quadro della posizione dell’Italia rispetto al resto d’Europa in questo campo?
Dal punto di vista normativo ci stiamo attrezzando, come ha ricordato il sottosegretario Minniti alla presentazione del rapporto, dovrebbe essere presentata entro la fine dell’anno la strategia nazionale di cyber security: si tratta essenzialmente dell’implementazione del decreto Monti sulla sicurezza cibernetica del 23 gennaio. Un provvedimento che ci metterà sullo stesso piano degli altri paesi europei.
Ma le aziende devono capire che nei gruppi di lavoro si collabora, mentre fuori si è competitor. E’ un confine culturale importante: non siamo una democrazia del Nord Europa, con un concetto di cooperazione molto avanzato: purtroppo in questo siamo più mediterranei. I gruppi dovranno trovare autonomamente il loro confine “share vs compete”. Perché se le utilities raggiungono migliaia di attacchi al giorno il problema è reale.
Che cosa ci si può aspettare dalle strategie nazionali?
Principalmente un quadro di coordinamento che chiarisca chi fa cosa all’interno dei tavoli di rischio, o quali strutture si attivino in caso di attacco o di incidente. E poi le modalità di coinvolgimento dei privati e delle università. Dovrebbe essere un piano operativo che organizza il processo di difesa nazionale e di monitoraggio. L’imperativo è non frammentare il processo tra troppe organizzazioni, ma cercare di concentrare le attività e capacità cyber nel minor numero di luoghi possibili. Anche perché le capacità cyber in Italia sono una risorsa limitata.
Quali sono gli ambiti di ricerca per il futuro?
Noi stiamo lavorando nel campo dell’automated cyber defence, con l’obiettivo di automatizzare sempre di più le difese per un’organizzazione complessa gestendo in modo il più possibile automatico l’attacco cibernetico. Dall’analisi del rischio, alle possibili contromisure, automatizzando tutti i passaggi automatizzabili, perché la velocità in questo tipo di battaglie è fondamentale. E poi lavoriamo sulla prediction di “zero day” e di vulnerabilità non ancora conosciute, per predire con analisi basate su big data ogni genere di situazioni anomale. Perché il problema dello zero day è che per essere efficaci bisogna prevenirlo.