Di recente molti quotidiani a larga tiratura hanno parlato di spionaggio e cybercrime, portando all’attenzione delle masse un argomento spesso relegato ad analisi specialistiche, o classificato come seccatura se qualche collega un po’ paranoide fa presente che forse non è una buona idea tenere la password su un post-it appiccicato al monitor.
Anche La Repubblica , oltre che i siti di informazione specializzata come Punto Informatico , ha parlato del rapporto CLUSIT, che fotografa una situazione non troppo incoraggiante relativamente alla situazione della sicurezza informatica in Italia, e che ci vede, per la prima volta, entrare nella lista dei primi dieci Paesi sotto attacco.
A ben vedere, però, si tratta di una notizia positiva: il fatto che risultiamo così appetibili agli hacker implica che l’utilizzo delle nuove tecnologie è cresciuto, per cui noi Italiani non risultiamo più così insignificanti come prima. Lo stesso si può dire per il Ministero degli Esteri a guida Gentiloni, che sarebbe stato attaccato da hacker russi. La notizia, rimbalzata su tutti i giornali, mi ha reso fiero del mio Paese: il fatto che in Russia sappiano chi è Gentiloni e che si interessino all’Italia non può che riempire di orgoglio patrio! Battute a parte, il primo concetto che si insegna in una scuola di giornalismo è che un cane che morde un uomo non fa notizia, un uomo che morde un cane sì. Ora, lo scopo per cui i servizi di intelligence esistono è precisamente quello di fornire informazioni a chi deve prendere decisioni. Mi sembra dunque assolutamente normale che la CIA, il FSB (come si chiama ora il KGB) e gli altri grandi servizi delle varie nazioni cerchino di spiare il nostro Stato, come – spero – i nostri apparati cercano di fare con i loro rispettivi governi. È così da millenni e ritengo ipocrita far finta di indignarsi quando qualcuno viene pescato con le mani nella marmellata.
Il rumore attorno agli attacchi informatici, veri o presunti, è però l’occasione per fare il punto sulla sicurezza degli Enti Pubblici, più o meno esposti ad un attacco. Normalmente gli attacchi informatici si possono distinguere in varie tipologie:
-Attacchi mirati, per ottenere informazioni.
-Attacchi mirati, per ottenere denaro.
-Attacchi “a strascico”, di solito per ottenere denaro.
-Attacchi, di solito mirati, per mostrare di essere in grado di violare le difese o per azioni dimostrative.
Da questa lista appare chiaro che nessun Ente può sentirsi al riparo: un piccolo Comune difficilmente potrà essere oggetto delle attenzioni di un’agenzia di spionaggio, ma più di un collega si è trovato col sistema bloccato da un ransomware. Né i dati conservati dall’anagrafe o dell’ufficio tecnico sono da considerarsi totalmente disprezzabili da parte di qualche malintenzionato. Pensiamo poi a cosa potrebbe significare un attacco riuscito ad un Ente più grande, ad esempio al sistema di pagamento dell’INPS: se un hacker riuscisse a sostituire gli IBAN dei milioni di pensionati con il proprio, magari di una banca alle Cayman, potrebbe tranquillamente sparire e sistemarsi per la vita prima che le rogatorie internazionali possano raggiungerlo.
Occorre dunque fare il possibile per proteggersi, ma questo richiede conoscenza, prima ancora che denaro. Molti Comuni utilizzano antivirus gratuiti: la scelta non è solo di tipo economico, dato che, per quanto i bilanci siano sempre critici, i pochi euro di un prodotto a pagamento si possono di solito trovare, quanto perché l’hardware non è potentissimo ed i software più blasonati tarpano il sistema, mentre gli altri sono più leggeri. Il che significa, per contro, che sono anche meno performanti.
Il secondo problema deriva dal fatto che un Ente Pubblico riceve qualunque tipo di richiesta, e non è quindi possibile escludere a priori determinati mittenti o aree geografiche: spesso, soprattutto dal Brasile e dall’Argentina, privati cittadini residenti all’estero, con account Gmail, Hotmail o altri gestori locali, chiedono informazioni sui loro avi, e non è quindi insolito ricevere messaggi sospetti, con l’oggetto in italiano approssimativo, che in realtà si rivelano richieste assolutamente legittime, alle quali occorre dare corso.
Oltretutto i malware, o nello specifico i criptovirus, si nascondono di solito dentro messaggi apparentemente ragionevoli: ad esempio, ho scritto ad un fornitore per una richiesta di preventivo, il giorno dopo mi ha risposto con “re: richiesta di preventivo” e poche ore dopo mi è arrivata un’altra mail con lo stesso oggetto e lo stesso nominativo nella prima parte dell’indirizzo, contenente un link molto sospetto; per fortuna sono abbastanza consapevole ed attento da accorgermi che la seconda parte dell’indirizzo mail era anomala, ma fossi stato un po’ più di fretta o un po’ meno esperto ci sarei caduto abbastanza facilmente. Oltretutto significa che o il mio indirizzo o quello del mio corrispondente erano tenuti d’occhio.
Meno attento e fortunato è invece stato il mio collega del protocollo, il servizio più esposto, che ha aperto una mail apparentemente contenente una fattura e si è trovato il computer bloccato. Tuttavia il sistema è complessivamente robusto, il NAS è basato su un diverso sistema operativo ed ha un accesso limitato, il router è stato spento immediatamente per evitare la diffusione nella rete, ed alla fine l’unica perdita è stata quella di un file compilato pochi minuti prima, facilmente ricostruibile. Sul momento mi è preso un colpo ma, tutto sommato, sono stato contento di aver verificato che il sistema ha retto all’involontario stress test, pur riconoscendo che il fattore fortuna ha anche aiutato.
Non che il sistema privato sia esente da rischi: a parte tutti i malware, i ransomware e lo spam lanciati in modo massivo da quei cracker che fanno pesca a strascico, il conto bancario di una ditta ed i suoi segreti industriali sono certamente appetibili: dal progetto di un prodotto in sviluppo ai costi operativi, una qualunque impresa, anche piccola, può essere interessante per la concorrenza.
Se globale è il problema, globale deve essere la ricerca di soluzioni, per cui i sistemi operativi moderni nascono già robusti e facilmente aggiornabili, per quanto possibile, tuttavia nulla si può fare se l’utente non collabora: dall’attenzione agli aggiornamenti ad un po’ di sana diffidenza verso qualunque messaggio insolito, dalla conservazione accurata delle password al loro aggiornamento periodico. Per non parlare dei sistemi di backup, di disaster recovery, dei firewall fisici o di supporti di emergenza fisicamente disconnessi dalla rete.
Tutti oggetti che costano e che devono essere gestiti, ma che soprattutto rischiano di diventare inutili se la sicurezza non è generalizzata e se quindi il problema arriva non da un esterno anonimo, ma da un interno che inserisce una chiavetta non controllata o da un Ente “amico”, che è stato autorizzato ad accedere alle nostre banche dati in modo diretto, come auspicato dall’art. 43 D.P.R. 445/00. Per non parlare di un Comune che dalla sua PEC, regolarmente registrata presso indice PA , sta diffondendo il cryptolocker , mascherato da richiesta di certificato anagrafico, con tanto di firma del Segretario Comunale. Poiché non voglio nemmeno pensare che siano i colleghi ad aver architettato la truffa (né che, nel caso, siano così stupidi da attuarla dal proprio account di posta), devo concludere che un Comune attaccato da un malintenzionato stia creando problemi a tutta Italia. Come sempre, nessuna catena è più forte del più debole dei sui anelli.
Di tutte queste problematiche sembrano finalmente essere consapevoli anche ai piani alti, per cui il Governo è stato incaricato di varare il nuovo piano nazionale sulla cybersecurity: speriamo che tra i tanti Enti coinvolti, le crisi politiche e l’ormai consolidata abitudine di emanare tutti i decreti “senza oneri aggiuntivi per il bilancio dello Stato” non resti un monumento alle buone intenzioni.
Diego Giorio