Numero 31 - Maggio 2017

Questo numero è stato chiuso in redazione il 14 Aprile 2017


Gli articoli contenuti nella Rivista esprimono l'opinione degli autori e non impegnano Nedcommunity


ISSN 2284 - 3450
Il Codice può essere utilizzato da Ricercatori universitari, Dottorandi, Studenti, Partecipanti a Concorsi privati e pubblici, per chiedere che venga loro attribuito il punteggio di merito del titolo relativo alla pubblicazione di un articolo su questa Rivista.

CYBER SECURITY

CYBER SECURITY


La prevenzione del cyber risk nel sistema Italia: lo stato dell’arte


di Luisa Franchina (*)
e Andrea Lucariello (**)

Analizzando alcune delle più autorevoli classificazioni sviluppate dalla dottrina, il rischio cyber – così come, più in generale, il rischio di security – rientra a pieno titolo tra quelli definiti da Prandi come “puri” ed “esterni” o da Saccone come “potenziali”. Tale tipologia di rischio, che si muove all’interno di un’arena già di per sé instabile e complessa, merita di essere compresa e analizzata attraverso diverse dimensioni: dal piano giuridico e normativo a quello di contesto, dallo studio dell’architettura nazionale che gravita intorno al tema fino ad arrivare ai potenziali sviluppi futuri. Andiamo quindi per ordine al fine di inquadrare il tema e lo stato dell’arte nella maniera più esaustiva possibile.
Nel nostro Paese il tema del cyber risk e della cyber security è stato affrontato prima di tutto dal potere politico mediante l’emanazione di tre Decreti del Presidente del Consiglio dei Ministri che danno forma alla materia e fissano alcune questioni definitorie e istituzionali: da un lato il DPCM del 24 gennaio 2013 denominato Direttiva recante la protezione cibernetica e la sicurezza informatica nazionale – apostrofato da alcuni come “Decreto Cyber Sicurezza”; dall’altro, il DPCM del 27 gennaio 2014 che, nell’accogliere una Strategia nazionale di sicurezza cibernetica, ha legittimato l’adozione di due Documenti che hanno dato al tema una struttura organica. Si fa riferimento al Quadro strategico nazionale per la sicurezza dello spazio cibernetico e al Piano nazionale per la protezione cibernetica e la sicurezza informatica. Il primo, elaborato dal Tavolo Tecnico Cyber con la collaborazione dei Dicasteri che afferiscono al CISR (Comitato Interministeriale per la Sicurezza della Repubblica), dell’Agenzia per l’Italia Digitale e del NSC (Nucleo per la Sicurezza cibernetica), individua sei indirizzi strategici che dovranno essere seguiti da tutti gli attori individuati dal DPCM del 24 gennaio 2013, i quali è necessario che interagiscano tra loro in maniera coordinata. Il secondo, invece, tenta di dare una concreta attuazione al Quadro mediante la realizzazione di undici indirizzi operativi, all’interno dei quali sono descritti sia gli obiettivi specifici da conseguire, sia le linee di azione da intraprendere.
Infine lo scorso 17 febbraio 2017 il CISR ha approvato un Decreto del Presidente del Consiglio per la cyber security che andrà a sostituire il DPCM del 24 gennaio 2013 che finora ha regolato l’architettura nazionale per la sicurezza cibernetica. Tale provvedimento, rafforza il ruolo del CISR che “emanerà direttive con l’obiettivo di innalzare il livello di sicurezza informatica del Paese, e si avvarrà in questa attività del supporto del coordinamento interministeriale delle amministrazioni CISR (c.d. CISR tecnico) e del Dipartimento delle Informazioni per la Sicurezza (DIS)” e potrà occuparsi anche del recepimento della direttiva europea NIS (Network and Information Security). Tra le novità vanno sottolineati quattro aspetti:

  • il primo è che il Nucleo Sicurezza Cibernetica (NSC) viene ricondotto all’interno del DIS ed assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei Ministeri competenti in materia.;
  • il secondo attribuisce al Direttore generale del DIS il compito di definire linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, pubblici e privati, verificandone ed eliminandone le vulnerabilità;
  • il terzo è rappresentato dalla interazione, in caso di risposta a una crisi, con tutti i CERT previsti nel Quadro strategico nazionale trai quali il CERT Nazionale (Computer Emergency Response Team) istituito in seno al Ministero dello Sviluppo Economico;
  • infine, aspetto non certo ultimo per importanza, per la realizzazione di tali attività è previsto un serio coinvolgimento non solo con il mondo accademico e della ricerca ma anche delle professioni, grazie alla collaborazione con le imprese di settore e le infrastrutture considerate critiche e strategiche nell’attuazione delle politiche di sicurezza informatica.

 Tuttavia, la materia è in continuo divenire sia perché sono frequenti i cambiamenti tecnologici e la tipologia di attori “attaccanti”, sia perché alla formazione di un regolamento unitario concorrono anche, in un’ottica di “sicurezza partecipata”, imprese, centri di ricerca, accademie e aziende che, grazie ai loro contributi, rendono dinamica l’evoluzione su diversi piani.
Su questo sfondo si collocano due documenti – disponibili in rete – redatti conseguentemente ai DPCM di cui sopra: il primo è il Libro bianco su Il futuro della Cyber Security in Italia realizzato dal Laboratorio Nazionale di Cyber Security del Consorzio Interuniversitario Nazionale per l’Informatica (CINI); il secondo è il Framework nazionale per la Cyber Security redatto nel febbraio 2016 su iniziativa Centro di ricerca di Cyber Intelligence and Information Security (CIS) de “La Sapienza” con il supporto del Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei Ministri – che verrà analizzato più nel dettaglio successivamente.
Quando si parla di cyber space – inteso come il dominio del cyber risk – occorre prima di tutto darne una definizione omogenea e successivamente comprendere il contesto attuale entro cui, oggi, questa dimensione si concretizza.
Roberto Baldoni, Direttore del CIS, durante un’audizione alla Camera dei Deputati dal titolo “Indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico”, ha definito il cyberspace come “il complesso ecosistema risultante dall’interazione di persone, software e servizi su internet per mezzo delle tecnologie, dispositivi e reti a esso connesse. Dunque il cyberspace è una struttura su cui poggia il nostro Paese, e ormai tutta la nostra economia: non esiste un settore oggi che non sia interessato alle dinamiche cibernetiche”. Lo stesso Direttore nell’Executive Summer del Framework nazionale per la sicurezza cibernetica ritiene che il cyberspace sia “quell’insieme di reti e sistemi informativi con i quali vengono erogati servizi indispensabili a cittadini, da parte degli enti governativi, delle infrastrutture critiche, delle imprese e della pubblica amministrazione”. A queste condizioni, è evidente che il cyberspace necessiti di essere difeso proprio come si fa con i confini geografici, lo spazio aereo e lo spazio marittimo tutelando, di fatto, gli interessi economici, politici e militari del nostro sistema-Paese – nell’arena cibernetica, questo problema si pone ancora più complesso perché i confini non sono così netti da tracciare. Proprio il tema degli interessi economici, che rappresentano una delle dimensioni della sicurezza nazionale, trova un collegamento diretto con il cyberspace poiché la protezione di quest’ultimo – che non va intesa solo come un mero problema di natura tecnica e informatica – è condizione necessaria per la prosperità economica di una nazione.

Nell’attuale contesto non è più così immediato distinguere tra “pubblico” e “privato” o tra “civile” e “militare”: tali separazioni non esistono sia perché gli strumenti e le tecnologie si confondono tra loro, sia perché nessuno può gestire quest’arena così complessa in completo isolamento. Il turbo-capitalismo, le interconnessioni tra reti e strumenti, il ruolo delle aziende (soprattutto delle PMI) che rappresentano il tessuto e l’intelaiatura economica dell’intero sistema Paese danno luogo a tutta una serie di concetti e nozioni prima ignoti, come i seguenti: i Big Data, le Smart Cities, Internet of Things, Industria 4.0, l’Agricoltura 4.0, il Blockchain, i Bitcoin, e così via. Tutte queste realtà, che sono in fase di sperimentazione e di implementazione ma che rappresentano già ormai dei dati di fatto con cui confrontarsi quotidianamente, costituiscono il contesto che fa da sfondo al rischio cyber soprattutto se, come ha fatto Patrizia Rizzini Cancarini su Il Caffè Geopolitico, del cyber space vengono prese in considerazione sia la dimensione fisica, sia quella sociale. L’interazione tra le due dimensioni porta con sé dei rischi e delle opportunità: se da un lato migliora l’efficienza e il funzionamento, dall’altro lato tale interazione può configurare uno sterminato campo di battaglia per hackers, organizzazioni criminali, attivisti, gruppi terroristici e – perché no – Stati e istituzioni governative.
A titolo di esempio, sebbene presenti delle declinazioni finanche in termini di cyber spionaggio e Information Warfare, prendiamo brevemente in esame il caso di APT 28 e APT 29. APT 28 e APT 29 rappresentano degli acronimi “occidentalizzati” che definiscono due gruppi di hackers, presumibilmente di derivazione governativa russa, dotati di notevoli capacità tecniche – un mix tra malware, social engeneering, hacking, vulnerabilità 0-day e crittografia – e finanziarie, che pare si siano resi responsabili di attacchi di varia complessità. Tra i due sembra che non ci siano situazione antitetiche ma, anzi, si pensa che il secondo sia la naturale evoluzione del primo e che facciano riferimento alle due agenzie di intelligence russe. Benché nell’arena cibernetica l’attribuzione precisa degli attacchi non sia semplice, sembra che le due formazioni siano responsabili delle azioni offensive come quella al Bundestag (2014 e 2016), a TVMonde5 (aprile 2015), alla Casa Bianca, al Pentagono e alla NATO (agosto 2015), alla World Anti-Doping Agency (agosto 2016), alla Democratic National Commitee (2016), alle infrastrutture critiche ucraine (dal 2014 a oggi), al Ministero della Difesa italiano e in parte il Dicastero degli Esteri (dall’ottobre del 2014 al maggio del 2015).

Che fare? Il tema è oggetto di interesse sia per le istituzioni pubbliche e governative, sia per l’industria nazionale. Anzi, tra i due settori è necessario che vengano favoriti tavoli di confronto che sostengano la crescita, lo sviluppo e le potenziali sinergie da ambedue le parti. Per questo motivo, l’ecosistema organico che si sta configurando sarà caratterizzato da confini labili e sfumati: la protezione del sistema-Paese, infatti, passa attraverso la valorizzazione congiunta di entrambi i settori.
Le proposte affrontate in questa sede possono riassumersi in cinque linee di indirizzo che verranno sommariamente declinate nel prosieguo del lavoro:

  • Approcciare il rischio cyber come un rischio economico portandolo sui tavoli dei Consigli di Amministrazione e attraverso (anche) strumenti assicurativi

 La prima proposta intende porre l’attenzione sul rischio cyber come un rischio di natura economica che, come tale, necessita di essere studiato e preso in considerazione dai Consigli di Amministrazione delle varie organizzazioni. Il top management deve essere consapevole di quale siano i danni e gli impatti di un eventuale attacco cyber al business – in questo caso – aziendale ma anche sulla clientela e sulle entità esterne (operatori del settore, società civile, governo). La digitalizzazione dei processi aziendali, infatti, comporta che numerosi assets informatici oggi rappresentino una risorsa strategica da tutelare per tre ordini di motivi: a) la strategicità degli assets informatici di per sé; b) l’incremento degli “attacchi” alle infrastrutture informatiche a causa del valore che queste hanno per le aziende; c) la facilità di compiere “attacchi” è anche dovuta ai bassissimi costi di realizzazione della maggior parte delle azioni offensive (come nel caso dei CriptoLocker). Per questi motivi, le organizzazioni dovrebbero procedere a una migliore definizione delle strategie con cui “governare il rischio”, a una più precisa descrizione dei modelli di valutazione e conseguentemente dovrebbero implementare azioni più efficienti per mitigare i rischi medesimi. Per far ciò gli interventi devono essere mirati su due fronti: uno interno e l’altro esterno (a terzi).
Sul fronte interno tramite, per esempio, l’assimilazione del rischio cyber all’interno dell’Enterprise risk management. L’ERM è “una filosofia direzionale che considera la gestione integrata dei rischi quale elemento chiave per favorire il raggiungimento degli obiettivi aziendali ai vari livelli della struttura organizzativa. […] L’ERM è quindi un approccio sistematico e integrato utile a gestire tutti i rischi che un’organizzazione può incontrare. Esso si focalizza sulla supervisione del processo di risk management da parte del board, con il fine di identificare, valutare e gestire in un’ottica integrata tutti i principali rischi aziendali. […] Si tratta a ben vedere di un radicato processo di gestione del rischio che tende a integrare il risk management sia a livello di aree tematiche (security, safety, health, environment, finanziaria, produzione, ricerca e sviluppo, ecc.) sia a livello di struttura aziendale, e quindi diretto a tutti i vari livelli verticali dell’impresa (direzione generale, direzioni regionali, stabilimenti, ecc.)”. In tema di rischio cyber questa necessità si fa sempre più pressante perché la gestione di tale rischio non è un problema meramente tecnico e tecnologico, ma che impatta su tutti i livelli dell’organizzazione andando a colpire l’intero patrimonio della medesima – che sia un’azienda o una pubblica amministrazione.
Sul fronte esterno, invece, può essere interessante implementare un sistema di cyber insurance, che agisca nella fase finale del cosiddetto “trasferimento del rischio”. Il tema è in continuo divenire ma è già possibile trarre qualche considerazione soprattutto grazie al Rapporto Clusit 2016 e al Framework Nazionale per la Cyber Security. Il focus-on sul Rapporto Clusit 2016 ricorda la necessità di integrare le polizze tradizionali (All Risks, Incendi, Trasporti) con le polizze cyber perché nell’arena cibernetica gli aspetti materiali si mescolano con quelli immateriali. Il Framework nazionale, invece, afferma che sono due gli approcci che, soprattutto nei paesi anglosassoni e negli Stati Uniti, vengono utilizzati a questo proposito e che configurano due metodologie di indennizzo differenti: il primo è il First Party Damages: ovvero i danni sofferti dall’azienda colpita da un evento cibernetico; il secondo è il Third Party Damages: ossia la responsabilità dell’azienda assicurata per la violazione dei dati di terzi di cui l’azienda assicurata sia in possesso.

  • Rendere operative le linee guide consigliate dal Framework Nazionale per la Cyber Security

 La seconda proposta suggerisce di rendere operative le linee guide consigliate dal Framework Nazionale per la Cyber Security. Tale documento, redatto dal Centro di ricerca de La Sapienza Cyber Intelligence and Information Security (CIS), dal Consorzio Interuniversitario Nazionale per l’Informatica (CIS), è stato pubblicato a febbraio 2016. Ai lavori della prima edizione hanno partecipato non solo diverse strutture governative nazionali, ma anche altrettante realtà aziendali e numerosi esperti del settore come curatori. La scelta del termine “Framework” sta a rappresentare che le intenzioni sono quelle “di offrire alle organizzazioni un approccio volontario e omogeneo per affrontare la cyber security al fine di ridurre il rischio legato alla minaccia cyber. L’approccio di questo Framework è intimamente legato a un’analisi del rischio e non a standard tecnologici”. Si tratta, dunque, di uno strumento, ad adozione volontaria, di auto-analisi di un’organizzazione e prende spunto da normative e standard internazionali – soprattutto il “Framework for Improving Critical Infrastructures Cybersecurity” emanato dal NIST.

In via di sintesi, cinque aspetti del Framework sono interessanti per le esigenze di questa sede.
Il primo è che, a partire dal Framework del NIST, il Documento del nostro Paese eredita la dimensione del Framework Core, che rappresenta la struttura del ciclo di vita del processo di gestione della cyber security sia dal punto di vista tecnico, sia organizzativo. Il Core è strutturato gerarchicamente in Function, Category e Subcategory. “Le Functions, concorrenti e continue, sono le seguenti: Identify, Protect, Detect, Respond, Recover; esse costituiscono le principali tematiche da affrontare per operare una adeguata gestione del rischio cyber in modo strategico”. Il Framework quindi definisce – per ogni FunctionCategory e Subcategory che “forniscono indicazioni in termini di specifiche risorse, processi e tecnologie da mettere in campo per gestire la singola Function. Infine, la struttura del Framework Core presenta delle informative references, dei riferimenti informativi che legano la singola Subcategory a una serie di pratiche di sicurezza note utilizzando gli standard di settore”.
Il secondo aspetto rilevante è che il Framework per essere applicabile deve essere contestualizzato al dominio di applicazione non solo grazie alla dimensione Core, ma anche mediante una scelta ponderata del profilo, dei livelli di priorità e dei livelli di maturità. Una selezione mirata di specifiche Subcategories del Framework costituisce un Profile – secondo aspetto ereditato dal NIST – che, scelto in base a diversi fattori, può essere utilizzato come opportunità per migliorarne lo stato di sicurezza, mettendo a confronto un profilo “attuale” con un profilo “desiderato” e monitorandone l’evoluzione. Per quanto concerne, invece l’analisi dei livelli di priorità e dei livelli di maturità: i primi permettono di supportare le organizzazioni nella scelta delle Subcategories da implementare per ridurre maggiormente i livelli di rischio a cui sono sottoposte mediante una concezione tripartita della priorità (alta, media, bassa); i secondi, invece, permettono di fornire una misura della maturità di un processo di sicurezza, ovvero della maturità di attuazione di una tecnologia specifica o una misura della quantità di risorse adeguate impiegate per l’implementazione di una data Subcategory, attraverso una scala di valori progressiva (ad esempio da 1 a 4, dal minore al maggiore) ognuno dei quali associa una descrizione a un valore.
Il terzo aspetto interessante è l’utilizzo di un paradigma evoluto di gestione del rischio cyber che superi uno statico processo che abbia luogo solo all’interno dell’azienda per giungere ad un approccio dinamico che includa anche altri passaggi come la cyber intelligence, il monitoraggio continuo, il threat modelling e l’information sharing.
Il quarto aspetto da ricordare è il legame tra il già citato ERM, gli standard internazionali di sicurezza informatica e il Framework: un siffatto modello di gestone del rischio in ambito aziendale assicura un approccio integrato e olistico a tutti i rischi aziendali. Più in particolare, “il Framework, salendo a un livello di astrazione, agisce da ponte tra strumenti di Enterprise Risk Management [CAS, COSO, ISO] e IT & Security Standards [COBIT, SANS, ISO]”: in questo modo, da un lato, è possibile applicare una doppia contestualizzazione del Framework (per settore e per dimensioni) e, dall’altro, considerando l’organizzazione come un’unica entità, è possibile far risaltare gli aspetti positivi di un rischio, ovvero quelli che consentono di dare un vantaggio competitivo e di garantire lo sviluppo e la protezione dell’intera organizzazione.
Infine, l’ultimo aspetto di rilevante interesse del Framework è rappresentato dallo studio di quelli che sono i vantaggi per le grandi imprese e per PMI. Per le prime, l’applicazione del Framework costituisce uno strumento per la top management awareness, per definire con quali priorità agire nei confronti del rischio cyber, aiuta a pianificare un miglioramento sostenibile nella gestione della cyber security (anche attraverso strumenti assicurativi, come descritto in precedenza), semplifica la protezione della catena di approvvigionamento e delle eventuali supply chains, favorisce l’adozione di un processo evoluto di gestione del rischio cyber e consente l’adozione di un linguaggio comune. Per le piccole e medie imprese, invece, dato che – pur non avendo mai affrontato il problema della sicurezza informatica – rappresentano il tessuto economico-sociale del Paese, l’applicazione del Framework permette una precisa contestualizzazione ad esse “dedicata”, una scelta delle pratiche che con il minimo sforzo garantiscono di ottenere un salto di livello in termini di protezione (quick-wins), rappresenta una guida all’implementazione dei controlli a priorità alta, un rafforzamento della catena di approvvigionamento e consente – anche in questo caso – l’adozione di un linguaggio comune .

  • Accogliere le indicazioni del Report italiano di Cyber security 2016

 Il Report italiano di Cyber security 2016 – controlli essenziali, redatto dai già citati CIS e CINI e pubblicato a marzo 2017, presenta una serie di controlli essenziali – sul modello di un vademecum – per difendersi dai pericoli della rete.
Gli obiettivi del Documento vengono fissati già nell’Executive Summary, in cui si spiega che esso, implementando buone prassi e una fornendo una stima dei costi, “propone 15 Controlli essenziali di Cyber security che possono essere adottati e implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi e per aumentare la consapevolezza del personale interno, in modo da resistere agli attacchi più comune”. Infatti, le piccole e micro imprese rappresentano la filiera produttiva dalla quale non si può prescindere per garantire la sicurezza di tutto il sistema-Paese: per questo motivo, nelle intenzioni del Report c’è quella di costituire una guida essenziale alla cyber security per le PMI e per i cittadini affinché – mediante un linguaggio semplice – si recepisca l’importanza di condividere le buone prassi.
I “controlli essenziali”, esplicitati nel Capitolo 2 del Report, sono definiti anche come “comportamenti virtuosi” e sono mappati con le linee guida del Framework nazionale e con le misure minime di sicurezza informatica per le PA al fine di garantire una supply chain dell’intero sistema-Paese: costituiscono, dunque, una proposta di incentivi per la sicurezza informatica a vari livelli. Suddivisi in 8 macro-aree, tali controlli, selezionati – scrive il Report – attraverso un processo di consultazione pubblica da 200 esperti del settore, configurano 15 settori di intervento, come di seguito riportati:

 

1

Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.

2

I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc..) offerte da terze parti a cui si è registrati sono quelli strettamente necessari.

3

Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.

4

È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.

5

Sono identificate e rispettate le leggi e/o regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda

6

Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato.

7

Le passwords sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo di sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).

8

Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utente personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi accounts non più utilizzati sono disattivati.

9

Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

10

Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato…). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

11

La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.

12

Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda. I backup sono conservati in modo sicuro e verificati periodicamente.

13

Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).

14

In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.

15

Tutti i softwares in uso (inclusi i firmwares) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i softwares obsoleti e non più aggiornabili sono dismessi.

 

  • Adottare un processo evoluto di gestione del rischio cyber (Sophisticated Adversary Simulation, Intelligence Aziendale)

 Un processo evoluto di gestione del rischio può essere adottato sfruttando, appunto, l’evoluzione di alcune tecniche classiche o altre già utilizzate in differenti settori di interesse. A questo proposito, spendiamo qualche riflessione sulla Sophisticated Adversary Simulation (SAS) e sullo sviluppo “aziendale” dell’intelligence.
Sul primo punto, tra gli esperti si è formata ormai una consapevolezza in fatto di cyber security nazionale: data la complessità delle minacce e la rapidità con cui si evolvono, è necessario integrare approcci diversi. Questa attività cruciale deve riguardare sia il sistema Paese, sia le aziende/istituzioni che ne costituiscono il tessuto. È essenziale rafforzare il dialogo interdisciplinare ed utilizzare linguaggi adattabili ai diversi destinatari, in modo da favorire la comprensione, e dunque la conoscenza, del rischio cyber. Un eventuale attacco, infatti, coinvolgerebbe non solo operazioni “cibernetiche” ma anche “cinetiche”, secondo un approccio che abbini strumenti fisici con apparecchi informatici. Le squadre che potrebbero perpetrare gli attacchi – siano esse di criminali alla ricerca di guadagni, di spie private o governative, di terroristi – sono sempre multidisciplinari e studiano il loro obiettivo sotto molteplici punti di vista. Chi si difende deve imparare a lavorare in modo altrettanto multidisciplinare, in modo da immedesimarsi al meglio nell'attaccante e poter capire (e carpire) i suoi modi e metodi calandoli in un’ottica difensiva. A questo, in sintesi, tende una nuova forma di analisi di vulnerabilità denominata Sophisticated adversary simulation e mirata a condurre attacchi verso il proprio obiettivo di protezione esattamente "come se fossimo una squadra di attaccanti": con tecniche di •questo tipo, secondo un approccio di threat modelling, si organizza la protezione di un obiettivo (una azienda, una istituzione, una persona…) sulla base degli esiti di attacchi condotti con tecniche di "immedesimazione, simulazione ed emulazione" mirate a individuare meccanismi di ingresso e ingaggio, modus operandi, minacce, strumenti, attività di exploitation, risultati ottenibili, tempi e costi, ecc. Per far ciò, un ruolo cruciale è svolto da chi si occupa della raccolta e della gestione delle informazioni a supporto delle attività: informazioni da banche dati e da fonti aperte possono dare contezza degli attaccanti, della minaccia, degli strumenti, dei moventi, dei modi, degli obiettivi, dei pericoli.
Proprio questo punto, legittimando nelle organizzazioni il diffuso uso di team di intelligence con competenze nella raccolta e nell’analisi di informazioni di contesto indispensabili alla conoscenza delle minacce e delle vulnerabilità, ci conduce al secondo aspetto, ovvero quello dell’Intelligence aziendale.
L’attività di intelligence, definita classicamente come “raccolta e analisi delle informazioni” al fine di supportare l’organizzazione/decisore di riferimento, può essere calata all’interno di qualsiasi contesto: chiunque, nel proprio lavoro, trasformi i dati elementari e grezzi in informazioni strategiche, valorizzandone il patrimonio informativo, si può dire che svolga una qualche forma di attività di intelligence. Le realtà aziendali non sono estranee a questo procedimento. Anzi, in un contesto competitivo come quelli attuale, individuare gli “early warning” necessari per svariati settori di intervento costituisce quel valore aggiunto di estrema rilevanza. Dalla funzione competitiva (aumento di vendite, nuovi clienti, informazioni sui competitor) alla conoscenza dei potenziali attaccanti, dalla consapevolezza dei propri punti di debolezza/falle di sicurezza alla capacità di estrapolare insight strategici a partire dal patrimonio informativo aziendale, dall’introduzione di appositi softwares per la Business Intelligence, Data Analysis e analisi comportamentale dei sistemi e delle reti alla ricerca di elementi utili per scelte innovative e strategiche: in tutti questi casi è auspicabile la diffusione di una capacità di Intelligence aziendale che sia in grado supportare il business e il patrimonio aziendale tout court.

  • Utilizzare un linguaggio comune e condividere le informazioni

L’ultimo aspetto intende sottolineare, da un lato, l’importanza di utilizzare un linguaggio comune e, dall’altro, quello di affrontare il tema secondo una visione di information sharing. I due concetti sono collegati: il linguaggio comune, già ipotizzato nel Framework Nazionale per la Cyber security e nel Report italiano di Cyber security 2016, è una pre-condizione della condivisione di informazione; tale scambio deve costituirsi all’interno di un ambiente in cui tutti i soggetti che ne fanno parte – pubblici e privati – asseriscano uno stesso linguaggio.
Ma come si condividono le informazioni? Tra le diverse modalità, alcune di esse è opportuno menzionarle in questa sede.
Innanzitutto c’è il ruolo degli Information Sharing and Analysis Centres (ISAC) che, di origine statunitense, sono delle strutture nate per condividere nella maniera più proficua possibile le informazioni nel contesto delle infrastrutture critiche. Molto brevemente un ISAC di settore è una struttura che lavora specificatamente per il suo settore di interesse e che fa una serie di attività tra cui le seguenti: stabilisce requisiti specifici di condivisione delle informazioni e di attività di intelligence per incidenti, minacce e vulnerabilità; colleziona, analizza e dissemina alerts riguardanti incidenti verso i suoi membri, basandosi sulle sue expertises analitiche specifiche di settore; fornisce un mezzo di comunicazione elettronica fidato per la condivisione delle informazioni relative alle minacce e ai partner che lo costituiscono, anche con meccanismi di anonimizzazione garantiti; infine, condivide e fornisce supporto al Governo oppure ad altri ISAC. In altre parole, l’ISAC prevede un sistema di condivisione delle informazioni pubblico-privato – obiettivo già sancito dal Quadro Strategico Nazionale – su base bidirezionale in cui è possibile riunire in tavoli di lavoro congiunti imprese dello stesso settore produttivo o con una esposizione al rischio cyber molto simile. Tali tavoli hanno lo scopo di prevenire la minaccia cyber attraverso finanche opportune azioni e attività di intelligence.
In secondo luogo, in merito alle informazioni da condividere è necessario che siano chiare le “regole di ingaggio” al fine di garantire la condivisione delle sole informazioni di cui è necessario venire a conoscenza (need to know) ma anche l’anonimato; che ci sia un sistema che accolga le terze parti in un ambiente tendenzialmente non concorrenziale animato da reciproca fiducia (“trust”); che i canali informatici e i luoghi fisici dove incontrati siano universalmente riconosciuti unanimemente; che i punti di trasmissione e di contatto siano in grado di gestire le informazioni e conseguentemente assegnare le eventuali responsabilità per potenziali danni che si possono verificare.
In terzo luogo, come in tutti gli ambienti legati alla Security, è opportuna una consapevolezza della situazione (quella che in gergo è definita “situational awareness”) in cui siano chiare le fonti e le capacità di analisi, gli ambiti di competenza e le conoscenze dei partecipanti e che tale condivisione abbia luogo in una finestra spazio-temporale brevissima – preferibilmente in real-time.
In quarto luogo, è rilevante l’identificazione di standards e policies grazie anche al contributo di numerose Commissioni che si sono insediate a livello globale, NATO, EU e nazionale e che forniscono delle linee guida che, spesso non cogenti, sarebbe comunque preferibile e opportuno adottare.
Infine, le informazioni da condividere riguardano anche lo sviluppo tecnologico e i programmi di ricerca e sviluppo (R&D): in questo senso, il ruolo delle Accademie e dei centri di ricerca è fondamentale non solo come bacino e incubatore di professionalità e competenze ma anche - in materia cyber - per organizzare e supportare esercitazioni, re-training, programmi di sviluppo e simulazioni.

 Per concludere, l’obiettivo di questo lavoro è stato quello di fare il punto sulla situazione del rischio cyber nel sistema-Italia.
Dopo una disamina del contesto attuale, degli aspetti organizzativi e dell’architettura giuridica che ruota attorno al tema, si è tentato di enucleare dei possibili scenari verso i quali poter convergere i nostri sforzi – awareness e motivazione, rischio cyber come rischio economico, condivisione delle informazioni, processo evoluto del rischio cyber, adottare le indicazioni del Framework nazionale e del Report italiano del 2016 – nella consapevolezza che l’unico vantaggio che dispone chi si difende è rappresentato dell’unione delle forze: la prospettiva isolazionista, infatti, è assolutamente da superare a favore di logiche inclusive e di condivisione.

 

© RIPRODUZIONE RISERVATA

 

(*) Luisa Franchina – Ingegnere elettronico con dottorato e post dottorato di ricerca in ingegneria elettronica (Università di Roma la Sapienza) e master in geopolitica (IASD) del Centro Alti Studi Difesa. Ha conseguito la qualifica militare CBRN presso la Scuola Militare di Rieti. Ha lavorato come ricercatore in alcune università estere (Sud America e Far East) e come consulente in Spagna. E' stata Direttore Generale della Segreteria per le Infrastrutture Critiche (Presidenza del Consiglio dei Ministri 2010-2013), del Nucleo Operativo per gli attentati nucleari, biologici, chimici e radiologici (Dipartimento della Protezione Civile, PCM, 2006-2010) e dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Ministero delle Comunicazioni 2003-2006).
Attualmente ha fondato un’azienda che eroga servizi di gestione del rischio e gestione dell'informazione e reporting. Docente in temi di sicurezza presso master specialistici di alcune università (Sapienza, Tor Vergata, SIOI - scuola della Farnesina, Campus Biomedico, Bocconi, Università di Milano, Link Campus, ecc.).
Ha pubblicato numerosi articoli e libri su temi di sicurezza e protezione infrastrutture critiche.
blustarcacina@gmail.com

 

(**) Andrea Lucariello – Laureato, con il massimo dei voti, in Scienze per l’investigazione e la sicurezza, in Ricerca sociale per la sicurezza interna ed esterna e in Scienze della politica e dei processi decisionali (Quest’ultimo percorso di studio è stato conseguito a seguito di un periodo di stage presso la Funzione Security di una rilevante infrastruttura critica nazionale).
Ha collaborato per il Laboratorio di Criminologia, criminalistica e investigazione istituito presso la sede di Narni (TR) dell’Università degli Studi di Perugia e, come tutor, per la Scuola di Scienze Politiche – Cesare Alfieri dell’Università degli Studi di Firenze.
Attualmente è iscritto al master di II livello in Intelligence e sicurezza presso la Link Campus University.
andrea.lucariello@yahoo.it.



Bibliografia


Libri e saggi


Baldoni R., Franchina L., Montanari L., Verso una struttura nazionale di condivisione ed analisi delle informazioni, in Gori U., Lisi S. (a cura di), La protezione cibernetica delle infrastrutture nazionali, FrancoAngeli, Milano 2014.


Prandi P., La classificazione dei rischi, in P. Prandi (a cura di), Il risk management. Teoria e pratica nel rispetto della normativa, FrancoAngeli, Milano 2010.


Saccone U., Governare il rischio. Un modello di security Risk Management, ARACNE, Roma 2014.


Documenti


Audizione alla Camera dei Deputati “Indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico”, a cura del prof. Roberto Baldoni, Direttore del CIS.
http://documenti.camera.it/leg17/resoconti/commissioni/stenografici/html/04/indag/c04_cibernetico/2016/02/09/indice_stenografico.0001.html


Glossario intelligence
https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2013/12/Glossario-intelligence-2013.pdf


Report della società FireEye su APT 28
https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-apt28.pdf


Estratto del Rapporto Clusit 2016
http://www.margas.it/wp-content/uploads/2016/07/rapporto-clusit-2016.pdf


Framework Nazionale per la cyber security
http://www.cybersecurityframework.it/sites/default/files/CSR2015_web.pdf


Report italiano per la Cyber security 2016
http://www.cybersecurityframework.it/sites/default/files/csr2016web.pdf


Sitografia


http://www.forumpa.it/pa-digitale/sicurezza-obiectivo-cyber-risk-sempre-piu-grave-ma-controllabile
http://www.ilsole24ore.com/art/notizie/2016-02-04/il-rischio-cyber-e-ancora-sottovalutato-133316.shtml?uuid=AC72iZNC
http://www.repubblica.it/tecnologia/sicurezza/2017/03/03/news/italian_cybersecurity_report_2016-159686862/
http://www.ilcaffegeopolitico.org/13728/cyberspazio-questo-sconosciuto
http://www.edv24.it/cms/2016/02/18/apt-28-gli-hacker-russi-che-hanno-attaccato-italia-e-nato/
http://cybersecurity.startupitalia.eu/53802-20170103-ecco-prove-hackeraggio-russi-contro-usa
http://formiche.net/2016/02/17/apt-28-ecco-come-si-muovono-gli-hacker-russi-che-hanno-attaccato-italia-e-nato/
http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/cyber-security-approvato-nuovo-decreto.html
https://www.agendadigitale.eu/infrastrutture/necessario-un-approccio-multidisciplinare-alla-cyber-security-ecco-come/
http://www.zerounoweb.it/news/analisi_comportamentale_nuova_frontiera.html


Inserisci un commento

Attenzione: L'intervento deve contenere nome, cognome e mail dello scrivente e non verrà pubblicato fino a quando il moderatore non lo avrà letto ed approvato. I commenti ritenuti inadatti o offensivi non saranno pubblicati.

Informativa privacy: L’invio di un commento richiede l’utilizzo di un “cookie di dominio” secondo quanto indicato nella Privacy Policy del sito; l’invio del commento costituisce pertanto consenso informato allo scarico del cookie sul terminale utilizzato.

Nome*
Cognome*
E-mail*



I campi contrassegnati con un asterisco (*) sono obbligatori.

Ho letto l'informativa in base all'art. 13 D.Lgs. 196/2003 e do il consenso al trattamento dei miei dati personali*


 




Ultimi commenti

Nessuno ha ancora commentato questo articolo.
Inserisci tu il primo commento!