La Cybersecurity nella Relazione Annuale sulla Politica dell’Informazione per la Sicurezza
di Andrea Strippoli Lanternini
avvocato, Studio Giuliano e Di Gravio
Come avviene dal 2007, la Presidenza del Consiglio dei Ministri – Sistema di Informazione per la Sicurezza della Repubblica, anche quest’anno, ha rilasciato la Relazione Annuale sulla Politica dell’Informazione per la Sicurezza riferita alle attività svolte dal comparto nel corso del 2020 (qui il pdf). Il documento, attraverso le varie analisi contenute al suo interno, ha trattato vari temi come la tutela degli asset strategici, la sicurezza energetica, i differenti aspetti concernenti l’attuale situazione geopolitica, il terrorismo interno ed internazionale, il fenomeno migratorio, la criminalità, la sicurezza ambientale ed infine la minaccia cibernetica.
Con riferimento a quest’ultimo tema, come si ricava dalla Relazione, il comparto intelligence ha assistito, nel corso dell’ultimo anno, ad un aumento delle azioni cyber di matrice criminale attraverso una nuova configurazione del modello di attacco consistente nel cd. Ransom-as-a-Service (RaaS). Tale modello prevede la presenza di due parti: lo sviluppatore del ransomware e colui che lo acquista per poi utilizzarlo nei confronti dell’obiettivo prescelto. Si tratta, quindi, di un processo orientato a fornire un prodotto che il cliente può scegliere in base alle proprie esigenze. Oltre alla tradizionale pratica consistente nella crittografia dei dati, ad oggi è emersa anche la dinamica concernente la divulgazione dei dati stessi all’interno del dark web facendo così emergere la cd. minaccia double extortion o E+E technique, ossia tecniche di Exfiltration & Encryption che permettono all’autore di conseguire un doppio profitto derivante sia dalla possibilità di crittografare i dati, e successivamente richiedere un riscatto, sia dalla potenziale divulgazione dei dati nel dark web.
Secondo la Relazione, proprio la risonanza relativa alle campagne ransomware ha permesso agli attori di matrice statuale di acquisire particolari vantaggi distogliendo l’attenzione di apparati governativi e società di cybersecurity dalle attività di spionaggio da loro condotte, sia sfruttando il volume di traffico generato dalle azioni ransomware per nascondere le attività di raccolta informativa e disruption. Si rileva, inoltre, come anche questi attori abbiano utilizzato lo strumento del ransomware non per finalità estorsive ma per bloccare attività produttive o occultare le tracce di precedenti azioni illecite. Da quanto emerge, alcune operazioni di spionaggio, nonché lo sviluppo di alcune armi digitali, risultano essere state delegate a gruppi cyber-criminali al fine di rendere ancora più difficile l’attività di attribuzione grazie al più alto grado di anonimizzazione che questi attori riescono a garantire.
Per quanto riguarda l’attivismo cibernetico, il cd. Hacktivism, si registra una riduzione degli attacchi diretti contro strutture e organizzazioni sanitarie mentre aumentano quelli orientati a colpire i portali istituzionali di enti locali.
Gli attacchi e gli effetti alla supply-chain risultano essere stati particolarmente monitorati anche a causa del recente caso SolarWinds. Secondo la Relazione, i fornitori di servizi ICT, nonché i soggetti che erogano servizi in Cloud, hanno subito un’intensificazione delle azioni nei loro confronti vedendo compromettere utenze dotate di privilegi amministrativi con lo scopo di eseguire movimenti laterali all’interno dei sistemi clienti ottenendo, grazie al rapporto fiduciario tra le parti, l’accesso alle relative risorse.
L’analisi del comparto intelligence prosegue descrivendo il trend della minaccia evidenziando come le azioni contro obiettivi pubblici si attestino al 69%, con una riduzione di 14 punti percentuali rispetto al 2020. I soggetti pubblici più colpiti risultano essere le Amministrazioni statali (56%) e le e infrastrutture IT riferibili a enti locali e strutture sanitarie (30%). Per quanto riguarda i soggetti privati, invece, in generale gli attacchi rilevano per il 24%, in crescita rispetto al 17% del 2020, e hanno interessato principalmente i settori energetico, dei trasporti e delle telecomunicazioni, tutti con percentuali in aumento rispetto allo scorso anno.
Il trend 2021 relativo alle tipologie di attori ostili, ponendo sempre attenzione alla complessità relativa ad attribuire con certezza un attacco ad un determinato soggetto, vede un calo delle attività poste in essere da gruppi hacktivist (23% nel 2021 rispetto al 71% nel 2020) i quali, anche a causa dei possibili mutamenti che hanno interessato l’organizzazione interna di Anonymous Italia, non hanno fatto registrare campagne strutturate. Un incremento delle attività, invece, è stato registrato con riferimento ad azioni di matrice statuale (23% nel 2021 rispetto al 5% nel 2020). In aumento anche le azioni non riconducibili ad alcun attore in particolare (40% nel 2021 rispetto al 20% nel 2020) portate avanti attraverso strumenti offensivi acquisibili nei mercati digitali paralleli o nel deep/dark web.
Per quanto riguarda le tecniche utilizzate è stato registrato un elevato ricorso alla registrazione di domini malevoli (36.7%), seguita da azioni di SQL Injection (23%) e da Bug Hunting (20.1%).
Con riferimento alle finalità degli attacchi, il 67% di queste risultano essere non note, mentre il 23% pare riconducibile ad attività di spionaggio condotte da gruppi strutturati, spesso guidati da apparati governativi i quali provvedono al loro supporto finanziario nonché a stabilire le linee di indirizzo strategico da seguire.
Per ciò che concerne gli esiti delle azioni ostili, nel 2021 si è registrata una prevalenza di azioni funzionali alla realizzazione di potenziali e successivi attacchi (circa 42% del totale, rispetto al 53% del 2022), seguite da quelle volte alla sottrazione di informazioni da assetti effettivamente compromessi (circa il 34%, stabile rispetto al 2020).
Infine, la Relazione, evidenzia come, con la costituzione della nuova Agenzia per la Cybersicurezza Nazionale (ACN), abbia ridisegnato le attribuzioni dei vari soggetti coinvolti nella comunità di sicurezza. Viene opportunamente rilevato come la collocazione dell’Agenzia al di fuori del perimetro del sistema di informazione per la sicurezza abbia tracciato una linea di demarcazione tra le attività di cyber-intelligence, intese come monitoraggio, prevenzione e contrasto delle minacce più pericolose, e quelle di cyber-resilience volte ad implementare le capacità nazionali di difesa cibernetica; le prime ancora attribuite agli Organismi di informazione e sicurezza, ai sensi della legge n.124/2007 (modificata dalla legge n.133/2012), mentre le seconde affidate alla nuova Agenzia all’interno della quale è stato collocato il CSIRT-Italia ed il Nucleo di Sicurezza Cibernetica.
All’interno del Documento di Sicurezza Nazionale, viene descritta l’attività svolta dal DIS per garantire una continua opera di rafforzamento delle policy per incrementare la sicurezza cibernetica del Paese. In attuazione delle norme relative all’applicazione del Perimetro di Sicurezza Cibernetica, istituito con il decreto-legge 21 settembre 2019, n. 105, convertito con modificazioni dalla Legge 18 novembre 2019, n. 133, dopo l’adozione, nel luglio 2020, del primo DPCM n. 131/2020 riguardante i criteri per l’identificazione dei soggetti da includere nel perimetro e dei connessi “beni ICT perimetro”, sono stati adottati, nel 2021, ulteriori due DPCM e un Decreto del Presidente della Repubblica, relativi, in particolare, a notifiche degli incidenti (DPCM 14 aprile 2021, n. 81), scrutinio tecnologico (DPR 5 febbraio 2021, n. 54) e categorie di prodotti ICT sottoposte a scrutinio tecnologico (DPCM 15 giugno 2021). Si attende ancora l’emanazione dell’ultimo DPCM relativo all’accreditamento dei laboratori presso il CVCN (Centro di Valutazione e Certificazione Nazionale). Viene, inoltre, comunicato l’avvio della prima fase di operatività del Perimetro di Sicurezza Cibernetica a seguito della comunicazione da parte dei soggetti inclusi nello stesso degli elenchi dei propri beni ICT che, in caso di incidente, causerebbero l’interruzione della funzione o del servizio essenziale fornito o, comunque, la loro compromissione in modo irreversibile. Oltre all’elenco dei beni, come previsto dalle norme, è stata trasmessa anche la relativa architettura e componentistica al fine di consentire la verifica della loro rispondenza alle misure di sicurezza disposte dal DPCM 14 aprile 2021, n. 81.
Nella sua veste di Punto di Contatto Unico NIS, il DIS ha proceduto ad intrattenere rapporti con le Autorità competenti per il completamento dell’attuazione della Direttiva NIS in Italia, nonché per avviare i negoziati che dovranno condurre all’adozione della cd. NIS II volta ad aggiornare la precedente Direttiva.
Sul piano internazionale, il DIS ha seguito, in costante raccordo con il MAECI, i lavori dei principali tavoli a livello UE, NATO e OSCE tra cui si menzionano quelli relativi alle politiche in materia di divulgazione coordinata delle vulnerabilità di prodotti e servizi ICT, di innalzamento del livello di consapevolezza cyber della società civile e di difesa cibernetica, nonché quelli per la creazione del Centro europeo di Competenza per la Cybersicurezza nell’ambito industriale, tecnologico e della ricerca. Infine, il DIS, in un’ottica di rafforzamento della capacità di resilienza cibernetica del Paese ha provveduto designando, in ambito OSCE, lo CSIRT italiano quale punto di contatto (PoC) “tecnico” nazionale in materia di cyber/ICT security.
Nel Documento di Sicurezza Nazionale viene poi descritta l’attività del Nucleo per la Sicurezza Cibernetica nell’ambito delle situazioni di crisi cibernetica, affrontando e mitigando gli eventi cyber che hanno avuto riflessi su scala nazionale contribuito a rafforzare la resilienza cyber del Paese. Si segnala poi la partecipazione della segreteria NSC alla prima edizione di “Cyber SOPEx”, volta a testare il funzionamento, il valore aggiunto della rete attraverso un tempestivo scambio di informazioni e un’efficace cooperazione tra i partecipanti., voltasi nell’ambito del Cyber Crisis Liason Organisation Network (CyCLONE).
Per quanto riguarda le attività svolte dal CSIRT (Computer Security Incident Response Team) il Documento riporta il trattamento di oltre 29.000 segnalazioni originate sia da società di sicurezza e omologhe articolazioni tecniche estere, sia da soggetti nazionali. Di tali segnalazioni, circa 3.100 sono state classificate quali incidenti e, tra queste, 30 sono stati catalogati come incidenti critici e 191 come vulnerabilità critiche.
Per quanto concerne gli incidenti rilevati, il Documento evidenzia la prevalenza di malware (38.6%) e phishing (24%), seguiti dalle vulnerabilità individuate in prodotti e sistemi e altre casistiche che includono, a esempio, data-breach e attacchi di negazione distribuita del servizio (DDoS). Nell’ambito della gestione dei suddetti eventi sono state fornite indicazioni puntuali ai soggetti interessati, per finalità preventive e di allertamento, mediante l’inoltro di un totale di circa 9.100 comunicazioni tese a elevare il livello di conoscenza dei rischi.
Fonte: “Relazione sulla politica dell’informazione per la sicurezza” relativa all’anno 2021 – Sistema di Informazione per la Sicurezza della Repubblica