Il pizzo viaggia online colloquio con Roberto Baldoni di Giancarlo Capozzoli

Next Article

Noi e voi

Un server sottoposto ad attacco hacker

ONLINE

ve sostenere per penetrare la vittima e questo la rende meno appetibile».

L’Agenzia che lei dirige compie un anno il 6 agosto. Un primo bilancio?

«Un anno fa ero l’unico dipendente, ora siamo 100 e saremo 300 alla fine del 2023. È stato un anno fondamentale in cui abbiamo corso parecchio. Pandemia e guerra hanno avuto un forte impatto sul numero degli attacchi cyber. E le cyber gang criminali sono in costante crescita. Tutto questo ha dato una accelerazione formidabile alla nostra crescita. Se lo smart working non è configurato e gestito adeguatamente dai gestori dei sistemi aziendali può creare vulneralbilità in più e le cyber gang le hanno sfruttate per le loro attività di ransomware».

E sul versante bellico?

«Oltre agli attacchi meno evidenti che riceviamo costantemente, ci sono state le tre ondate di attacchi che abbiamo ricevuto nel maggio scorso, di tipo Ddos (Distributed denial of service) con lo scopo di rende-

re non accessibili siti nazionali rilevanti, da parte del gruppo di matrice russa Killnet. Farci trovare operativi e reattivi mentre creavamo l’Agenzia da zero è stata una sfida affascinante. Nella prima ondata sono stati attaccati i siti di grandi organizzazioni statali e diversi sono stati messi offline. Abbiamo studiato questi attacchi e nel giro di 20 ore abbiamo stabilito delle regole per poterci difendere. Regole che hanno fatto sì che alla seconda ondata di attacchi, il numero di siti di organizzazioni governative primarie andati offline siano diminuiti fortemente. Alla terza ondata, nessun sito governativo di una certa rilevanza è andato offline».

Più ci evolviamo, più diventiamo vulnerabili. Scenari che ci apparivano fantascientifici si realizzano. Che contromisure abbiamo a disposizione?

«Più diventa grande la massa del software utilizzata, più diventa difficile mantenere tutto il software stesso aggiornato e ben configurato. Siamo passati dalle 6.500 vulnerabilità scoperte nel mondo e raccolte dal Cve (Common vulnerabilities and exposures) nel 2016 alle oltre ventimila del 2021. I software andrebbero immediatamente aggiornati quando i produttori intervengono. I ritardi creano finestre di vulnerabilità. Dobbiamo imparare a gestire questo rischio come cittadini, come impiegati, come dirigenti d’azienda. Le vulnerabilità cibernetiche saranno sempre in continuo aumento. Se ne aggiungeranno di nuove che si aggiungeranno a quelle del passato. Se non opportunamente mantenuti, i software aumentano nel tempo le loro stesse vulnerabilità. A questo va aggiunto che più pezzi di software facciamo più bisogna montarli assieme, interfacciarli, in quelle che si chiamano configurazioni».

Proprio come per la configurazione dei sistemi di smart working durante la pandemia?

«Esattamente: si portano fuori, delle connessioni a delle applicazioni che prima erano all’interno del firewall e se non viene configurato bene il sistema, si creano delle aperture da dove l’ hacker può entrare».

È difficile stabilire il numero esatto delle vulnerabilità potenziali?

«Si stima con le stesse tecniche matematiche per quantificare il numero dei pesci in un lago. Sappiamo che è in continua crescita. Detto ciò, deve essere altrettanto chiaro che dal mondo digitale in cui siamo immersi non è possibile tornare indietro».

Anche perché ha vantaggi straordinari.

«Di efficienza, di conoscenza e di velocità. Non avremmo più una economia competitiva. Andare avanti significa saper gestire il rischio, proprio come accaduto con la diffusione dell’automobile. Non attraverseremmo mai una strada trafficata senza guardare a destra e a sinistra. Questa consapevolezza che pur non azzera il rischio, rende il pericolo di essere investiti poco probabile. Questa è la mentalità che dovremo avere ciascuno per il proprio ruolo. Se un Giancarlo cittadino deve stare attento a non aprire gli allegati sospetCapozzoli ti delle mail e ai siti che visita, il Ceo di un’azienda deve saGiornalista pere che è necessario attivare dei framework di gestione

del rischio cyber che deve governare in linea con le migliori best practices internazionali».

Un salto di qualità nella nostra cultura digitale?

«Veniamo da un mondo prettamente fisico e stiamo entrando in un mondo che ibrida il fisico con il digitale. Nel mondo fisico ci sono delle regole di sicurezza chiare e stabili e che derivano dalla conoscenza che ci tramandiamo tra le generazioni. In questo mondo ibrido le regole di sicurezza cambiano nel tempo e dipendono dalle tecnologie e dai tipi di attacchi».

E dagli alert dell’Agenzia?

«L’Agenzia dovrà essere un faro che ricava le regole di sicurezza da adottare studiando l’attacco in corso o dando misure di sicurezza a scopo preventivo».

Che sono in costante aggiornamento?

«L’avvento del quantum computing renderà lo scenario tecnologico molto diverso da quello attuale. Si supereranno alcuni problemi di sicurezza attuale, ma se ne creeranno di nuovi a cui dovremo trovare delle risposte lungo la strada. Cosa che abbiamo cominciato a fare a livello internazionale definendo algoritmi di cifratura che sono in grado di resistere ad attacchi portati da computer quantistici. Ma contemporaneamente il quantum porterà immense opportunità economiche e di conoscenza per la società. Quindi gestire il rischio e cogliere le opportunità, questo sarà il nostro futuro di società».

Con una partecipazione attiva della vigilanza da parte di tutti, è così?

«Nella cyber security non si delega. Nel mondo fisico il cittadino delega la difesa dei propri confini nazionali alle forze armate: in questo ambito non si può delegare. Bisogna seguire le indicazioni che dà l’Agenzia ed implementare queste indicazioni nei propri sistemi. Dallo smartphone o dal pc dell’utente domestico al sistema informativo aziendale».

Quanto l’Italia è indietro?

«Siamo partiti tardi rispetto alle altre esperienze europee: trent’anni dopo la Germania, 15 dopo la Francia, 20 anni dopo Israele. Nel 2013 il Dpcm Monti ha dato una prima organizzazione. Nel 2017, è stata fatta una revisione con il Dpcm Gentiloni, con il quale veniva posto, al centro di questa architettura cyber nazionale, il Dis. Dal 2018 abbiamo iniziato a creare una certa capacità di resilienza a livello nazionale anche in termini di acquisizione di personale specializzato. Siamo in cento anche se con prospettive di crescita fino ad ottocento entro il 2027. Numeri comunque inferiori agli oltre 1000 impiegati nelle agenzie dei nostri colleghi francesi e tedeschi. Ma questo ritardo ci ha dato la possibilità di studiare le esperienze dei nostri colleghi europei, israeliani e americani e creare un’Agenzia che già a livello normativo superasse certe problematiche».

Quali?

«La prima e più importante, quella del coordinamento: il premier è il capo della cyber security. Significa aver compreso a fondo che è strategica per il nostro futuro. In Germania, l’Agenzia dipende dal ministero degli Interni. È

“SIAMO PARTITI TARDI MA LA NOSTRA CATENA DI COMANDO È CORTA. PRESTO ALTRE ASSUNZIONI”

complesso coordinare giganti come il ministero della Difesa o quello dell’Economia. Tanto che stanno studiando una legge che riprende i principi della nostra agenzia creando una catena di comando corta come la nostra».

Il mondo cyber non ha confini, vale in termini di dominio su uno spazio dentro al quale i singoli Paesi si muovono. Una condizione che i criminali informatici conoscono bene. La territorialità della risposta è un limite, invece?

«Nel cyber spazio tutti confinano con tutti: una cyber gang può aver il suo capo agli antipodi ma può attaccare senza problemi una nostra infrastruttura. Parliamo di organizzazioni che per definizione sono distribuite in varie nazioni e a più livelli. Che permettono di attaccare da più parti. Gli attacchi Ddos di maggio scorso sono arrivati da server ospitati in oltre 40 Paesi diversi».

Come si regola la risposta transnazionale?

«La Nato ha già definito il cyber come un dominio di guerra al pari degli altri domini. La differenza fondamentale è che nel mondo fisico tutto può essere molto più palese, evidente come l’attribuzione di una certa azione. Certamente la

Roberto Baldoni. A sinistra la ricostruzione di un attacco informatico

Russia ha attaccato l’Ucraina. Nel mondo virtuale queste certezze sono molto più difficili da raggiungere. Arrivare ad una attribuzione di un attacco cyber, a meno che non ci sia una chiara rivendicazione, può essere molto complesso».

Con quello che comporta in termini di controattacco?

«Il cyber è un mondo dove è molto facile lasciare “false flag” all’interno di uno scenario di attacco. Per questa ragione, bisogna stare molto attenti quando si attribuisce un attacco a qualcuno e pertanto agire sempre con estrema cautela. Il mondo anglosassone è molto più proattivo rispetto al mondo latino in termini di attribuzione. E in ambito Nato una attribuzione in ambito cyber rischia di generare risposte a livello cinetico con la possibilità di una escalation».

L’Agenzia si occupa del versante civile.

«La cyber defense è delegata al Comando operazioni in rete (Cor) per la difesa delle infrastrutture digitali militari, l’Agenzia si occupa invece della cyber resilienza del sistema Paese, dalle sue infrastrutture critiche fino ad arrivare progressivamente a tutti i cittadini».

Come ridurre la portata degli attacchi ransomware, le estorsioni del mondo cyber?

«Una vera piaga criminale. Noi stiamo cercando di capire come diminuire queste ondate di ramsonware sia trovando soluzioni tecniche adeguate sia distruggendo del tutto o in parte il modello di business associato a questo tipo di attacchi ovvero rendendo meno profittevole questa industria criminale che si sviluppa su scala globale. Su questo ultimo punto stiamo studiando delle misure con i nostri partner internazionali. Purtroppo non saranno tempi brevi così come non lo saranno i tempi di innalzamento delle difese di una qualsiasi azienda, perché l’ampiezza di questo intervallo di tempo passa anche per una questione di diffusione della cultura cyber a tutti i dipendenti. Dietro a un attacco ramsonware spesso c’è infatti un errore umano».

All’aumento del cyber crime è corrisposto una diminuzione dei crimini reali.

«I rischi a cui ci si espone perpetrando un attacco cyber sono infinitamente minori. Inoltre molte aziende pur di non perdere in credibilità e reputazione e recuperare immediatamente l’operatività preferiscono pagare i riscatti e non lasciare trapelare gli attacchi subiti. Questo sta creando un indotto che si muove in una zona grigia tra le vittima e la cyber gang».

Un po’ quello che accade per alcuni fenomeni criminali, penso ai mediatori per i sequestri di persona o al meccanismo che regola il mercato delle estorsioni nel quale tra vittima e carnefice si interpolano soggetti che svolgono una sorta di triangolazione.

«È un indotto da bloccare poiché alimenta le azioni criminali foraggiando la ricerca e lo sviluppo di sempre più sofisticate metodologie di attacco. Ricordiamoci poi che nulla garantisce che la cyber gang non lasci delle backdoor nell’azienda anche dopo averle restituito il controllo sui dati e sugli applicativi in modo da riattaccarla successivamente, magari sotto altre spoglie».

Torniamo alla Agenzia. A febbraio scorso avete fatto un concorso per assumere le prime sessanta unità di personale.

«Ne faremo un altro per cento, centoventi persone a settembre al fine di cercare diplomati con esperienza in cyber security. Poi cerchiamo, laureati con esperienza in relazioni internazionali e in questioni giuridiche, della comunicazione e analisti del mondo tecnologico. Mentre il primo è stato un concorso prettamente tecnico, perché avevamo la necessità di far partire l’Agenzia, ora apriremo a tutta questa serie di professionalità non tecniche ma certamente non meno importanti per la riuscita della missione dell’Agenzia».

Con quali obiettivi?

«Stiamo cercando persone in grado di lanciare e gestire progetti di ricerca e sviluppo innovativi in alcuni settori come il quantum, l’Intelligenza artificiale, i big data. Creeremo una struttura interna che si occuperà di organizzare partnership pubblico-private per arrivare a realizzare più tecnologia nazionale ed europea».

Fin qui dipendiamo molto dall’estero, non è così?

«Più saremo indipendenti dal punto di vista tecnologico più saremo capaci di gestire meglio il rischio cibernetico in questo nuovo mondo fisico e digitale. Con la consapevolezza che non saremo mai del tutto indipendenti. Purtuttavia esistono delle tecnologie su cui è fondamentale investire perché ci rendono più autonomi e quindi meno attaccabili. Sottolineo: meno attaccabili. La geopolitica della tecnologia è un fattore che dovremo affrontare, come Italia e come Europa, in termini di dipendenza/indipendenza da determinati Paesi. Questo è un altro aspetto determinante, correlato al rischio di attacchi cyber, per quel che riguarda la prosperità e lo sviluppo del nostro Paese nel prossimo futuro». Q