AGI - Sono state settimane di lavoro intense per i tecnici dell’Agenzia per la cybersicurezza nazionale. Gli hacker del gruppo filorusso ‘NoName057’ (il più famoso, non l’unico) si sono fatti vivi quasi tutti i giorni in questo inizio d’agosto. Hanno preso di mira banche, aziende di trasporto pubblico locale, siti di istituzioni. Annunciano i loro ‘target’ alle prime luci dell’alba e poi partono con gli attacchi DDoS (Distributed Denial-of-Service): in sostanza, sovraccaricano la banda che fa funzionare il traffico web con grandi quantità di accessi nocivi che, di fatto, bloccano le pagine dei siti presi di mira. Li ‘intasano’ per renderli inaccessibili.
Attacchi che i tecnici dell’Acn intercettano sul nascere, così da consentire agli amministratori di bloccarli o pararli, con azioni di ‘mitigazione’ del danno. Contrasto agli attacchi hacker. Questo fa l’Agenzia guidata da Bruno Frattasi: si mette a disposizione di strutture informatiche pubbliche e private per combattere i terroristi del web, che spesso hanno obiettivi meramente economici: sono in cerca di riscatti in denaro per mollare la presa, consentire ai siti attaccati di tornare a funzionare, salvando se possibile anche la reputazione delle aziende. Che non è poco: a una banca non fa per niente piacere che si sappia di essere stata vittima di un attacco hacker. Lo stesso vale per una istituzione, una compagnia telefonica, la lista è lunga.
L’Acn è a disposizione di tutti e molti – nelle ultime settimane - si sono segnati il numero degli operatori di via di Santa Susanna. Perché non solo prevenire è meglio che curare, ma intervenire subito, nei primi minuti in cui l’attacco informatico si realizza, può rivelarsi decisivo per bloccarlo e neutralizzarlo. E se in ballo c’è il funzionamento di una infrastruttura informatica delicata per la sicurezza nazionale, capite bene come il tempo non sia solo denaro.
È stata recentemente la stessa presidenza del Consiglio, con una direttiva, a invitare i soggetti a rischio incidente informatico a collaborare con il Csirt Acn, la struttura di intervento nelle crisi cibernetiche che ha sede presso l’Agenzia. La direttiva ribadisce il ruolo del personale dell’agenzia di pubblici ufficiali nel corso degli interventi di contrasto: a loro è assicurato, nel pieno esercizio delle proprie competenze, l'accesso ai locali, ai sistemi informativi e alle reti informatiche di pertinenza delle amministrazioni “impattate” dagli attacchi, compatibilmente con i limiti e i vincoli derivanti dalle prerogative dell'autorità giudiziaria.
Le nuove linee guida per la realizzazione di un Computer Security Incident Response Team presso ogni organizzazione che ne abbia la possibilità - linee guida messe a punto da via di Santa Susanna - rappresentano la summa dell’innovazione tecnica di settore e fa riferimento alle migliori pratiche conosciute a livello internazionale.
Il 31 luglio scorso, d’intesa con il Dipartimento per la trasformazione digitale, l’agenzia ha contribuito a definire ulteriormente modalità e tempistiche della qualificazione Cloud, quel processo di accreditamento delle strutture dedicate a conservare e gestire i dati della pubblica amministrazione, in una direzione più favorevole agli operatori che avranno più tempo per adeguarsi alle indicazioni normative necessarie per diventare interlocutori dei grandi produttori pubblici di dati. Dati che andranno gestiti in sicurezza e senza il timore che possano essere consultati senza un consenso formale da parte dei titolari. Le amministrazioni dovranno sottoscrivere, entro il 18 gennaio 2024, una relazione di conformità e adozione dei requisiti, con possibilità di ulteriore estensione, fino al 18 ottobre 2024, qualora siano già stati avviati interventi connotati da particolare complessità.
Il 2022 ha visto a livello globale un deciso aumento di attività malevole ai danni di settori governativi e infrastrutture critiche. L'Italia è risultata tra i Paesi maggiormente interessati dalla diffusione generalizzata di malware e da attacchi cibernetici mirati, specie in danno del comparto sanitario e di quello energetico.
L'ultima relazione annuale al Parlamento curata dall’Acn ricorda che l'anno scorso i tecnici sono intervenuti in 1.094 eventi cyber. Di questi 126 hanno avuto un impatto confermato dalla vittima.
Dall'analisi e dalla successiva classificazione dei 1.094 eventi cyber - spiegano i curatori del report - è stato possibile individuare le tipologie più ricorrenti: diffusione di malware tramite email (517), brand abuse (204), phishing (203), ransomware (130), sfruttamento di vulnerabilità (126), information disclosure (103), sfruttamento vulnerabilità verso web server (87), scansioni (74), esposizione di dati (67), tentativi di intrusione tramite credenziali (64), Ddos (44), smishing (41).
A fronte dei 1.094 eventi cyber trattati dal Csirt Italia, per una media di circa 90 al mese, il picco c'è stato a febbraio 2022 (118). Di questi, 126 hanno avuto un impatto confermato dalla vittima, per una media di 10,5 incidenti al mese. E il 2023, c’è da scommetterci, non andrà meglio. O forse sì?