Domenica l’Agenzia per la cybersicurezza nazionale l’aveva detto: c’era un “potenziale rischio di attacco informatico ai danni di enti ed organizzazioni nazionali”. Alla fine l’attacco è arrivato, senza fare danni. Ma tra gli obiettivi c’era proprio il Csirt, il Computer Security Incident Response Team dell’Agenzia. Che si è fatto valere, combattendo per 10 ore, resistendo a tre ondate di attacchi e guadagnandosi i complimenti degli stessi hacker di Killnet, autori delle offensive Ddos alle organizzazioni italiane delle ultime settimane. “Siamo ancora nel dimostrativo”, dice a Fortune Italia Gabriele Faggioli, presidente del Clusit (Associazione italiana per la sicurezza informatica) e responsabile scientifico dell’Osservatorio cybersecurity del Politecnico di Milano. “Ma di sicuro è significativa la scelta di attaccare il Csirt”.
L’attacco Ddos si è svolto contro il sito istituzionale dello Csirt Italia e a comunicarlo è stato lo stesso Csirt in uno dei suoi bollettini, sottolineando che l’attacco è stato rivendicato dal “collettivo filo-russo KillNet”.
Secondo un’analisi preliminare sull’attacco, il Csirt rileva le “specifiche metodologie utilizzate” e sottolinea che l’attacco “è iniziato nel tardo pomeriggio di ieri (il 30 maggio, ndr) ed è durato complessivamente per un tempo superiore alle 10 ore” articolandosi in 3 fasi.
“Gli attacchi sono stati mitigati dai sistemi Anti-DDoS a protezione del portale, senza intaccare la disponibilità del sito web per gli utenti leciti”, sottolinea lo Csirt nel bollettino.
Quello che sta succedendo, spiega Faggioli, “è che questo grosso gruppo riconducibile alla federazione russa sta perpetrando questi attacchi sicuramente rilevanti”, ma che sono ancora attacchi “dimostrativi”, dice l’esperto, anche se “ovviamente se fossero riusciti nell’intento avrebbero recato un danno d’immagine importante”. Inoltre, quello al Csirt e i precedenti (dell’11 e del 21 maggio) sono attacchi Ddos, che da tutti gli esperti vengono riconosciuti come quelli, di solito, meno gravi.
Ma attaccare il Csirt dell’Agenzia per la cybersicurezza nazionale, principale muro di difesa italiano contro gli hacker, ha un significato diverso. “Di sicuro l’obiettivo è particolare”, dice Faggioli. “Attaccare direttamente lo Csirt significa dire ‘adesso vediamo se avete delle difese efficaci’”.
Non è un caso se prima del bollettino Csirt, nella sera di martedì, sono arrivati i complimenti di Killnet, dopo i messaggi, diffusi domenica su Telegram dal collettivo filorusso, che preannunciavano gli attacchi hacker contro l’Italia.
“Csirt italiano, eccellenti specialisti lavorano in questa organizzazione – si legge in un messaggio postato su Telegram – Ho effettuato migliaia di attacchi a tali organizzazioni, anche cyberpol non dispone di un tale sistema per filtrare milioni di richieste. Al momento vedo che questi ragazzi sono dei bravi professionisti! ‘Falso governo’ italiano, ti consiglio di aumentare lo stipendio di diverse migliaia di dollari a questa squadra. Csirt, accettate i miei rispetti signori”. Postata anche una gif: sullo sfondo il logo dello Csirt e un omino impiccato.
“Ho solo elogiato il sito csirt.gov.it e il loro team. Le restanti migliaia di siti italiani che non funzionano, è un peccato – si legge in un altro post – Non pubblicheremo questo elenco perché le persone devono vedere tutto da sole. Spero che il sistema di monitoraggio italiano lo faccia per noi”. E infine un altro messaggio sibillino postato da Killnet: “Ho dimenticato di dirlo ai miei Csirt preferiti, non dimenticate di correggere questo errore. Il tuo database non funziona correttamente”.
Cosa succederà ora?
Adesso che il duello è con il Csirt è (momentaneamente) perso, resta da capire cosa potrebbe ora fare il collettivo filorusso, e quali potrebbero essere gli sviluppi della tensione cyber tra Italia e Russia. Faggioli ricorda come un cyber attacco che provocasse danni seri a un Paese Nato come l’Italia, avrebbe conseguenze molto gravi. “Se ci fosse un attacco veramente violento per interrompere attività essenziali, probabilmente reagiremmo, si scatenerebbe veramente una reazione da conflitto cibernetico, e questo non conviene a nessuno, perché ognuno ha sufficiente forza per danneggiare gli altri”.
Intanto l’allerta c’è: il direttore del servizio Polizia Postale e delle comunicazioni, Ivano Gabrielli, in audizione in Commissione parlamentare di inchiesta sulla tutela dei consumatori e degli utenti, ha detto che ”per quanto riguarda i cyberattacchi di quest’ultimo periodo la soglia di attenzione è altissima da quando è cominciato il conflitto russo-ucraino. Abbiamo implementato i protocolli di attività con personale che opera 24 ore su 24 ed è attivo per attacchi di questo tipo – ha aggiunto – ci siamo muovendo con attività investigative complesse e con l’Agenzia per la cybersicurezza che è il nostro interlocutore tecnico che emana delle regole di sicurezza che devono essere rispettate”.
Non va dimenticato che non ci sono solo gli attacchi Killnet. C’è anche il cybercrime ‘ordinario’. Faggioli racconta che “tutti i dati che abbiamo ci dicono che sta salendo violentemente”. Non c’è una regia unica, dice il presidente Clusit, perché si parla in questo caso di gruppi organizzati che in parte possono avere una matrice politica ma che agiscono, fondamentalmente, per soldi. Il ransomware, dice l’ultimo report di Verizon, è un fenomeno con cui dovremo convivere ancora per parecchio tempo.
Oltre a non esserci una regia unica, poi, bisogna anche considerare che la situazione geopolitica attuale in realtà è uno svantaggio per i cyber-criminali ‘ordinari’, che devono affrontare l’innalzamento delle difese a causa della guerra “In questo momento attaccare è più difficile”, dice Faggioli.
Eppure la situazione italiana è delicata. “L’Italia sconta un deficit storico nella cybersecurity”, dice il presidente Clusit, “perché non investe adeguatamente sul settore. Sta aumentando l’attenzione, stanno aumentando gli investimenti, sta aumentando la risposta istituzionale, ma l’Italia è ancora un Paese debole, che subisce più attacchi rispetto agli altri”, anche a causa della composizione del suo tessuto imprenditoriale, in gran parte formato da Pmi, meno pronte ad affrontare gli attacchi.
È vero, anche l’attacco al Csirt non ha provocato danni, ma la preoccupazione c’è: “L’attacco è stato mitigato dai sistemi di protezione del portale, e non ha intaccato la disponibilità del sito web per gli utenti”, ha assicurato il ministro per la Pa Renato Brunetta. Ma il ministro, durante un question time alla Camera, ha anche sottolineato come questo evento evidenzia la necessità di “dotare tutte le istituzioni, a tutti i livelli di Governo, delle capacità e delle competenze per riconoscere i rischi connessi alla sicurezza cibernetica e regolamentare le attività dello spazio cibernetico nell’ambito di uno strettissimo coordinamento europeo e internazionale”.
