“Le minacce cyber sono oggi il rischio in più rapida crescita per la nostra Sicurezza”. Con queste parole, Julian King, Commissario europeo per la Sicurezza dell’Unione, durante il discorso di apertura al Cybersecurity Summit 2018, lo scorso 21 marzo a Roma, ha descritto perfettamente una situazione che preoccupa soprattutto per la velocità con cui evolve, acquisendo connotati sempre più negativi e dimostrando sempre di più l’incapacità di molti di tenere il tasso con l’attività del cyber crime.

“Lo scorso anno, gli attacchi WannaCry e NotPetya hanno enfatizzato l’importanza di questo tema – ha detto Julian King –  È stato misurato che il costo economico del cyber crime è in fortissima crescita, e oggi preoccupano le conseguenze geopolitiche e strategiche di quanto avviene nel cyberspace. Data la sua natura “borderless”, oggi più che mai è fondamentale collaborare e unire le forze, motivo per cui anche la Commissione lo scorso settembre ha proposto un pacchetto di misure e un nuovo regolamento, il Cybersecurity Act, per aiutare a rafforzare la resilience dell’Europa e a costruire un sistema credibile di difesa cyber”.

L’evoluzione delle minacce che preoccupa di più

Il cyber crime sta diventando sempre più diffuso, più efficace, e in alcuni casi comporta danni che possono mettere a rischio la stessa sopravvivenza delle imprese italiane. Come ha dichiarato Nunzia Ciardi, Dirigente Superiore della Polizia di Stato e Direttore della Polizia Postale, l’incremento delle minacce cyber è molto sostenuto: il CNAIPIC ha registrato nel 2017 un numero di segnalazioni (dalle organizzazioni con cui opera) 5 volte superiore rispetto all’anno precedente, e la progressione riguarda tutti gli ambiti del cyber crime.

Il fenomeno è favorito dall’asimmetria che permette da un lato, agli attaccanti, di dotarsi di strumenti efficaci (spesso basati su malware semplici, di facile reperimento) a costi anche contenuti, mentre dall’altro lato, le aziende devono sostenere costi elevati per difendersi. In aggiunta, c’è una famiglia di attacchi che oggi preoccupa molto, è quella delle truffe finanziarie Man-in-the-Middle, anche note come CEO Fraud o Business Email Compromise (BEC).

“Abbiamo registrato un considerevole incremento di denunce per danni economici di spessore con tecniche man-in-the-middle – ha detto Nunzia Ciardi – Con malware semplici gli attaccanti entrano nel sistema di email, quindi, con tecniche di social engineering si sostituiscono a chi ha la titolarità di chiedere i pagamenti, e si fanno accreditare importi elevati su IBAN fasulli. I danni possono essere enormi: in un caso abbiamo visto un pagamento di questo tipo per 5 milioni di euro!”

Inoltre, secondo Ciardi, questo tipo di truffa potrebbe dare luogo in futuro a contenziosi importanti su di chi è la responsabilità del danno. Potrebbe succedere anche a privati cittadini, ad esempio dopo una ristrutturazione della casa, di ricevere una fattura falsa, e dopo il pagamento, scoprire che i soldi sono finiti all’espero. Chi è responsabile in caso di contenzioso? se viene attribuito il dolo all’azienda (che si è lasciata “bucare” i server) può essere un danno grave.

E all’estero? La situazione del Regno Unito conferma le stesse dinamiche

“Osserviamo che gli attacchi cyber sono causa di danno economico, spesso difficile da quantificare – ha detto Paula Walsh, Head of Cyber Policy, FCO Foreign & Commonwealth Office – Invadono la privacy delle persone; danneggiano la reputazione; interrompono l’operatività mettendo a rischio sicurezza e benessere del nostro Paese.

Il 24% di tutte le aziende ha subito negli ultimi 12 mesi uno o più data breach di cyber security. Gli attacchi vengono da attori state sponsored (in un numero basso di casi, ma con tecniche molto evolute); da gruppi di criminalità organizzata (nella stragrande maggioranza dei casi); da hacktivist. Anche persone con skill limitati possono comprare online strumenti per realizzarli: un teenager di 15 anni di Belfast è stato arrestato perché coinvolto nel grave attacco all’operatore TLC Talk Talk. Riteniamo che almeno l’80% degli attacchi cyber andati a segno avrebbero potuto essere fermati con delle misure basilari di cybersecurity”.

Nel 2017 per la prima volta nel Regno Unito si è osservato che oltre il 50% delle attività criminali totali comprendeva elementi cyber – un tema che sta diventando uno sfida notevole per la polizia inglese (ma non solo), che deve dotarsi di skill di digital forensic per poter rispondere in modo corretto alle nuove esigenze investigative.

Come rispondono le istituzioni internazionali e nazionali

Intervenendo al Cybersecurity Summit, Jill Morris, Ambasciatore britannico a Roma, ha dichiarato che “la sicurezza dell’Europa è la nostra sicurezza”, e che la Brexit non fermerà la collaborazione con gli altri Stati per difendersi dalle nuove minacce cyber.

Londra ha stanziato 1,9 miliardi di sterline (il doppio di quanto fatto in precedenza) per il Piano quinquennale per la Cybersecurity Nazionale che va dal 2016 al 2021.  Tra le azioni la nascita del National Cyber Security Centre (NCSC), centro di eccellenza operativo da ottobre 2016. Obiettivi della UK National Cyber Security Strategy sono “difendersi dalle minacce cyber, dissuadere gli avversari, sviluppare skill competenze”.

“Vogliamo fare del Regno Unito uno dei posti più sicuri dove investire nel settore digitale o dove trovare imprese con una forte sicurezza informatica” ha aggiunto Jill Morris. Importante anche potersi fidare e condividere le informazioni necessarie ad anticipare e contrastare al meglio le crescenti minacce nel cyber spazio. Dello stesso avviso l’Ambasciatore USA Lewis Michael Eisenberg: “Serve scambiare informazioni meglio e il più velocemente possibile”. Accademia, industria e governi devono lavorare assieme, nell’ottica di partnership pubblico-private sempre più efficaci. Del resto già in passato Italia e USA hanno cooperato in modo intenso ed efficace su questi temi, l’FBI e la Polizia Postale italiana hanno scoperto e sventato negli anni diverse centinaia di milioni di dollari di frodi.

In Italia l’information sharing per la cybersecurity è alla base del lavoro del CNAIPIC della Polizia Postale, che dal 2005, attraverso convenzioni con le realtà più significative tra le infrastrutture critiche del paese, facilita le attività di risposta e anche di prevenzione di diffusione degli attacchi. Di fatto abilita una collaborazione continua e costante tra le diverse realtà, tramite uno scambio di informazioni particolarmente qualificate. Oltre a permettere di conoscere meglio l’evoluzione del fenomeno, abilita un circuito chiuso all’interno del quale chi subisce un attacco mette a disposizione (in piena sicurezza) indicazioni critiche, IoC, tecniche di attacco, che il CNAIPIC riversa sugli altri partner, contribuendo così a innalzare la consapevolezza a livello di sistema e a prevenire altri danni.

Emerge quindi prioritaria l’esigenza per l’Italia di estendere il modello virtuoso del CNAIPIC a più aziende, e soprattutto alle PMI: un obiettivo che potrebbe essere raggiunto, grazie alla proposta di Ciardi di aprire entro l’anno nuovi centri del CNAIPIC a livello regionale, centri più piccoli collegati all’attuale CNAIPIC, abilitanti un controllo più capillare del territorio.

Infine, dal confronto con UK invece appare evidente l’enorme distanza tra gli investimenti stanziati per la risposta a livello Paese: da un lato gli 1,9 miliardi di sterline (più di 2 miliardi di euro) su 5 anni – 400 milioni all’anno – per il Regno Unito. In Italia invece, il recente decreto legislativo di attuazione della Direttiva NIS (uno degli ultimi atti del Governo Gentiloni), ora in attesa del parere del futuro Parlamento, ha stanziato complessivamente 5 milioni di euro nel 2018 (3 milioni l’anno a partire dal 2019) – quindi pari allo 1,25% dello stanziamento UK – per le attività delle Autorità Nis e del nascente CSIRT, il centro italiano originato  dalla fusione di CERT IT e CERT PA che sarà deputato a fornire servizi di reazione e gestione di incidenti informatici a livello nazionale.