La relazione annuale del Dipartimento delle informazioni per la sicurezza: le minacce aumentano in sofisticazione, pervasività e persistenza. A rischio “piattaforme web istituzionali e private, erogatrici di servizi essenziali o strategici”

Sulla cybersecurity l’Italia rischia grosso. Almeno stando dalla fotografia scattata dall’intelligence con la relazione annuale del Dis sulla sicurezza, presentata oggi a Palazzo Chigi. “Il monitoraggio dei fenomeni di minaccia collegati con il cyberspace – si legge nel documento – ha evidenziato un costante trend di crescita in termini di sofisticazione, pervasività e persistenza, a fronte di un livello non sempre adeguato di consapevolezza in merito ai rischi e di potenziamento dei presidi di sicurezza”. La relazione mette in evidenza “la persistente vulnerabilità di piattaforme web istituzionali e private, erogatrici in qualche caso di servizi essenziali o strategici, che incidono sulla sicurezza nazionale. Attori statali ostili ma anche organizzazioni criminali, gruppi terroristi o antagonisti, fanatici di varia natura o anche singoli individui, beneficiano sovente nel cyberspace di un gap securitario che deve essere, in larga misura, rapidamente colmato”.

La minaccia più rilevante nel 2016 è rappresentata, in termini di  quantità, dagli “hacktivisti”, che rappresentano il 52% delle minacce cyber, ma il fattore più pericoloso è in termini assoluti è il cyber-spionaggio, “anche se percentualmente meno rappresentativo” (19%). Ai gruppi islamisti è imputato il 6% degli attacchi cyber perpetrati in Italia. I soggetti pubblici costituiscono i principali bersagli con il 71% degli attacchi (amministrazioni centrali/movimenti politici), mentre i soggetti privati si attestano attorno al 27%. Ma questa differenza, osserva la relazione, è riconducibile verosimilmente alla mancata segnalazioni degli attacchi da parte dei privati.

“Abbiamo potenziato due assetti. Uno è quello dell’architettura del sistema nazionale cyber che quest’anno andrà in completa evoluzione secondo quelle che sono state le direttive maturate nel corso del 2016 e che si stanno sostanziando in questi giorni già con un primo Dpcm – ha detto il prefetto Alessandro Pansa, direttore generale del Dipartimento delle informazioni per la sicurezza (Dis) – e con altri che verranno per completare questa riforma nelle prossime settimane”. “Abbiamo dovuto sviluppare moltissimo funzioni di intelligence utilizzando per prevenire le forti azioni che si sono svolte sui nostri sistemi più importanti e sensibili, azioni che hanno diverse matrici – ha concuso – Abbiamo dovuto costantemente monitorare la minaccia in questo settore”. Il problema, nota la relazione, “è che i target aggrediti (in particolare gli Stati) devono in molti casi reagire con processi decisionali e procedure codificati, mentre molti attori ostili possono operare con azioni informali, discontinue, apparentemente occasionali, ma spesso inserite in vere e proprie campagne di guerra asimmetrica, persistente e coordinata, con attacchi seriali e tattiche operative che rendono difficile risalire agli aggressori”.

Dall’analisi dell’intelligence è emersa “una diversificazione dei target, delle modalità attuative e delle finalità degli attacchi in base alla matrice della minaccia: da quelle più rilevanti per gli asset critici e strategici connesse al cybercrime, al cyber-espionage e alla cyberwarfare, a quella terroristica ed hacktivista, più stabili nella condotta e negli obiettivi. La minaccia terroristica nell’ambiente digitale permane caratterizzata dalle finalità di proselitismo, reclutamento e finanziamento, mentre le attività ostili in danno di infrastrutture IT sono consistite principalmente in attività di web-defacement”.
Rimane costante “l’andamento dei ‘data breach’ in danno di istituzioni pubbliche e imprese private, incluse le pmi, con finalità di acquisizione di know-how ed informazioni di business e/o strategiche – rivela la relazione – anche attraverso manovre di carattere persistente. E’ stato rilevato il ricorso sempre più strutturato a server rinvenibili nel mercato nero digitale come ordinari prodotti di e-commerce, previamente compromessi dall’offerente mediante trojan così da garantire all’attaccante l’accesso a un prodotto utilizzabile per la conduzione di attacchi, preservando l’anonimato”.

“L’attività degli attori ostili – prosegue il documento – è stata finalizzata, sul piano strategico, alla raccolta di informazioni tese a comprendere il posizionamento del Paese target su eventi geo-politici di interesse per l’attore statuale ostile (laddove obiettivo dell’attacco cyber sia un soggetto pubblico), ovvero ad acquisire informazioni industriali, commerciali o relative al know-how (qualora si tratti, invece, di un obiettivo privato). In relazione al modus operandi impiegato dall’attaccante per il conseguimento di obiettivi, si sono registrati, quali elementi di novità, il ricorso a parole-chiave in lingua italiana per ricercare documenti di interesse da esfiltrare, ad ulteriore conferma dell’elevato grado di profilazione delle attività ostili sui target nazionali, e la ricerca di singoli individui ritenuti di particolare interesse in ragione dell’attività professionale svolta, ovvero sulla base dell’incarico e della sede di servizio ricoperti, nonché delle informazioni cui hanno
accesso”.