La concretezza della minaccia di una guerra cibernetica dovrebbe ormai essere conclamata. A chi avesse ancora dubbi, l’attacco hacker di ieri, firmato dal collettivo di hacker filorusso Killnet, ha rinfrescato la memoria. Eppure, andando a guardare le caratteristiche dell’attacco, forse non è ancora il caso di parlare di vera cyberwar, dice Carlo Mauceli, esperto di cybersecurity e Chief Technology Officer di Microsoft Italia.
Tra gli obiettivi dell’attacco DDos (che sovraccarica i server di una rete cercando di farla crollare attraverso le richieste inviate da una rete di computer): i siti di Senato e Difesa (che ha avvisato come l’impossibilità di raggiungere il sito sia stata dovuta a un’ordinaria attività di manutenzione), l’Istituto superiore di Sanità, l’Aci. Tra i nomi circolati anche quello di Compass Banca, che però non avrebbe subito “alcun attacco informatico”, ha comunicato Mediobanca. La società informa che la presenza di Compass Banca nell’elenco dei siti attaccati “è destituita di fondamento e potrebbe derivare dalla somiglianza del nome con un portale online che non ha alcun legame con Compass Banca”. In realtà infatti il sito colpito dovrebbe essere quello del portale Kompass.
“Gli attacchi di tipo Ddos come quello di ieri sono quasi a scopo dimostrativo, perché da questi tipi di attacchi si riparte velocemente. Per fare un paragone, non sono attacchi distruttivi come potrebbero essere gli attacchi ransomware, sono attacchi che hanno una fine ben precisa e il lasso di tempo di down del servizio è legato a come è stato realizzato il sito e alla sua resilienza. Io sono abbastanza restio a legare in maniera forte questo tipo di attacco alla guerra in corso”, spiega Mauceli. Insomma, il collettivo Killnet è innegabilmente filorusso, e la lista degli obiettivi più recenti (oltre a Italia e Spagna, anche Romania, Polonia, Usa, Germania) lo dimostra. Ma non c’è ancora un’azione largamente coordinata tra gruppi criminali e volontà politica. E la definizione di stessa di guerra cibernetica dipende anche dagli effetti dell’attacco, dice Mauceli.
Le conseguenze dell’attacco hacker
La fonte dell’elenco di obiettivi attaccati è lo stesso Killnet, che ha rivendicato l’azione su Telegram. Da quanto risulta finora non dovrebbero esserci danni permanenti, e i siti sono tornati online. L’Acn, Agenzia per la Cybersicurezza Nazionale, ha dichiarato che sta lavorando “a stretto contatto con le amministrazioni colpite per ripristinare i loro siti web, analizzando il fenomeno, e suggerendo nel contempo le prime idonee contromisure tecniche”.
In un tweet la presidente del Senato, Maria Elisabetta Alberti Casellati, ha scritto che l’attacco non ha provocato danni a palazzo Madama. Ma resta la gravità dell’episodio, sul quale indagano i pm dell’Antiterrorismo della procura di Roma, coordinati dal procuratore aggiunto Michele Prestipino. Ad occuparsi delle indagini sull’attacco sono gli esperti del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic) della Polizia Postale. Gli atti verranno esaminati dagli inquirenti che già indagano per accesso abusivo a sistema informatico.
“L’attacco hacker a diversi siti, tra cui alcuni istituzionali, conferma le nostre preoccupazioni: gli attacchi hacker rappresentano un elemento della guerra cibernetica che dobbiamo comunque fronteggiare. Lo abbiamo detto più volte al Parlamento e quindi al Paese sin dalla prima Relazione in questa legislatura, che affrontava proprio il tema della sicurezza cibernetica. Guerra cibernetica e macchina della disinformazione sono strumenti della penetrazione straniera, in particolare dei regimi autocratici, che tendono a condizionare e soggiogare le democrazie occidentali”, ha dichiarato all’Adnkronos il presidente del Copasir, il senatore Adolfo Urso.
Quando saremo in cyberwar?
Le istituzioni, insomma, non sono rimaste immobili: il numero di obiettivi degli attacchi è giustamente motivo d’allarme.
La domanda da farsi, allora, rimane la stessa: quando ci accorgeremo di essere entrati in una vera guerra cibernetica? Secondo Mauceli non c’è ancora una vera e propria cyberwar, e per il momento azioni come quelle di Killnet rientrano più in una sorta di ‘corollario’ della situazione geopolitica.
“Secondo me la cyberwar non è iniziata: se si vuole fare veramente del male si vanno ad attaccare le infrastrutture critiche e i servizi essenziali di un Paese, creando anche fenomeni di disagio sociale”. Bloccando le attività delle strutture sanitarie, ad esempio.
Secondo Mauceli, quindi, non è ancora individuabile in Italia un legame forte con il conflitto ucraino e l’azione russa, e sicuramente non ci sono le caratteristiche che hanno colpito in particolare l’Ucraina. A Kyev, secondo un report speciale di Microsoft, già il giorno precedente l’attacco militare alcuni attori associati al GRU, il servizio di intelligence militare della Russia, hanno lanciato attacchi distruttivi su centinaia di sistemi al governo, al settore energetico, e alle organizzazioni finanziarie di Kiev.
Lo stesso report però lancia un avvertimento: con il conflitto che si allunga e con i Paesi che forniscono più assistenza militare all’Ucraina, gli attori coinvolte negli attacchi cyber in Ucraina potrebbero avere il compito di espandere le loro azioni distruttive di ritorsione contro obiettivi al di fuori dell’Ucraina stessa.
Le minacce non mancano quindi: da una parte la situazione geopolitica, dall’altra il ransomware, che secondo gli esperti peggiorerà. Mauceli parla di circolo vizioso. I gruppi criminali organizzati vanno a colpire “dove c’è più possibilità di pescare facilmente. E le infrastrutture non sono adeguatamente protette, questa gente trova vita facile. Inoltre, più guadagnano e più i ransomware migliorano, quindi è un’evoluzione della specie”.
Le richieste di riscatto cibernetiche continuano “a far male per le stesse ragioni per cui facevano male due anni fa: tante realtà non sono protette adeguatamente. A volte per mancanza di investimenti, a volte li distribuiscono in aree diverse senza pensare che cosa potrebbe succedere. C’è un gap clamoroso di competenze, e oltretutto il nostro tessuto economico e sociale è fatto di Pmi, che non hanno questa capacità di comprendere e difendersi adeguatamente”.
Cosa bisogna fare, allora, per proteggerle? “Auspicherei che a livello di governo le imprese si possano mettere in condizione di investire nell’ambito della sicurezza e di una trasformazione digitale sicura attraverso investimenti o sgravi fiscali. È vero che abbiamo fatti passi avanti dal punto di vista delle normative e del framework nazionale, ma mi chiedo: chi controlla che le aziende poi si mettano a posto da questo punto di vista? E siamo sicuri che lo sappiano fare? Cominciamo a proteggere l’identità, implementiamo la strong authentication e nuove policy aziendali, aggiorniamo i sistemi e dismettiamo quelli obsoleti. Dobbiamo partire dalle basi”.
