Ecco la relazione dei Servizi segreti italiani sulla minaccia cyber

“Per quanto riguarda il cyber-espionage, è stato pressoché costante l’andamento dei ‘data breach‘ in danno di Istituzioni pubbliche ed imprese private, incluse le piccole e medie imprese, con finalità di acquisizione di know-how ed informazioni di business e/o strategiche, anche attraverso manovre di carattere persistente (Advanced Persistent Threat – Apt”. È quanto emerge dalla nuova Relazione annuale sulla politica dell’informazione per la sicurezza, realizzata a cura del Dipartimento delle informazioni per la sicurezza (Dis). Il documento è stato presentato il 27 febbraio a Palazzo Chigi dal presidente del Consiglio, Paolo Gentiloni, e dal direttore generale del Dis, il prefetto Alessandro Pansa.

“È stato rilevato”, prosegue il report, “il ricorso sempre più strutturato a server rinvenibili nel mercato nero digitale come ordinari prodotti di e-commerce, previamente compromessi dall’offerente mediante trojan così da garantire all’attaccante l’accesso ad un prodotto utilizzabile per la conduzione di attacchi, preservando l’anonimato”.

LA RACCOLTA DI INFORMAZIONI

“L’attività degli attori ostili”, si legge ancora, “è stata finalizzata, sul piano strategico, alla raccolta di informazioni tese a comprendere il posizionamento del Paese target su eventi geo-politici di interesse per l’attore statuale ostile (laddove obiettivo dell’attacco cyber sia un soggetto pubblico), ovvero ad acquisire informazioni industriali, commerciali o relative al know-how (qualora si tratti, invece, di un obiettivo privato)”.

“Sul piano tattico”, aggiunge la relazione, “l’attaccante è parso interessato a minare la reputazione ed il vantaggio commerciale sul mercato dei target privati. In relazione al modus operandi impiegato dall’attaccante per il conseguimento di obiettivi, si sono registrati, quali elementi di novità, il ricorso a parole-chiave in lingua italiana per ricercare documenti di interesse da esfiltrare, ad ulteriore conferma dell’elevato grado di profilazione delle attività ostili sui target nazionali, e la ricerca di singoli individui ritenuti di particolare interesse in ragione dell’attività professionale svolta, ovvero sulla base dell’incarico e della sede di servizio ricoperti, nonché delle informazioni cui hanno accesso”.

LA DIVERSIFICAZIONE DEI TARGET

Si è continuato inoltre “a rilevare una diversificazione dei target, delle modalità attuative e delle finalità degli attacchi in base alla matrice della minaccia: da quelle più rilevanti per gli asset critici e strategici connesse al cybercrime, al cyber-espionage ed alla cyberwarfare, a quella terroristica ed hacktivista, più stabili nella condotta e negli obiettivi”.

In particolare, “sono emersi elementi di novità in relazione ai target privati. Se nel 2015 target principali degli attacchi cyber risultavano quelli operanti nei settori della difesa, delle telecomunicazioni, dell’aerospazio e dell’energia, nel 2016 figurano ai primi posti il settore bancario con il 17% delle minacce a soggetti privati (+14% rispetto al 2015), le Agenzie di stampa e le testate giornalistiche che, insieme alle associazioni industriali, si attestano sull’11%. Queste ultime”, prosegue il report, “costituiscono una ‘new entry’, insieme al settore farmaceutico che, con il suo 5% degli attacchi verso target privati, si posiziona al fianco di settori “tradizionali” come quelli della difesa, dell’aerospazio e dell’energia. Tra questi ultimi, solo quello energetico ha fatto registrare un aumento, pari al 2%, rispetto all’anno precedente, mentre quelli di difesa e dell’aerospazio hanno fatto segnare un decremento, rispettivamente, del 13% e del 7%”.

INGEGNERIA SOCIALE

In parallelo “allo spionaggio di stampo tradizionale ha continuato a registrarsi la forte crescita della minaccia facente uso del cyber in alcuni casi favorita dall’utilizzo di tecniche di ingegneria sociale. Trattasi”, dice ancora il testo, “di modalità di manipolazione consistenti in espedienti sempre nuovi volti a catturare informazioni sensibili, quali, ad esempio credenziali di accesso a sistemi informatici. Il che evidenzia come il fattore umano, anche in relazione all’uso dell’informatica, continui ad essere elemento decisivo e discriminante ai fini della sicurezza”.

SOGGETTI PUBBLICI TRA I PIÙ COLPITI

Quanto “ai dati sugli attacchi cyber in base ai soggetti target persiste il notevole divario tra le minacce contro i soggetti pubblici, che costituiscono la maggioranza con il 71% degli attacchi, e quelli in direzione di soggetti privati, che si attestano attorno al 27%, divaricazione, questa, riconducibile verosimilmente alle difficoltà di notifica degli attacchi subiti in ragione del richiamato rischio reputazionale. In entrambi i casi si registra un aumento pari, rispettivamente, al 2% ed al 4%”.

GRUPPI HACKTIVISTI TRA GLI ATTORI PIÙ RILEVANTI

“Per quel che concerne la tipologia di attori ostili i gruppi hacktivisti (52% delle minacce cyber) continuano a costituire la minaccia più rilevante, in termini percentuali, benché la valenza del suo impatto sia inversamente proporzionale, rispetto al livello quantitativo riferito ai gruppi di cyber-espionage, più pericolosi anche se percentualmente meno rappresentativi (19%). Ai gruppi islamisti è imputato il 6% degli attacchi cyber perpetrati in Italia nel corso del 2016. Da evidenziare come per le tre categorie si sia registrato, rispetto al 2015, un incremento degli attacchi pari al 5% per i gruppi hacktivisti e quelli islamisti e del 2% per quelli di cyber-espionage”.

La minaccia terroristica nell’ambiente digitale dunque “permane”, caratterizzata “dalle finalità di proselitismo, reclutamento e finanziamento, mentre le attività ostili in danno di infrastrutture IT sono consistite principalmente in attività di Web-defacement”.

LE TIPOLOGIE DI ATTACCO

Con riguardo “alle tipologie di attacco si è registrata un’inversione di tendenza. Se, infatti, nel 2015, poco più della metà delle minacce cyber era costituita dalla diffusione di malware, nel 2016 è stata registrata una maggiore presenza di altre tipologie di attività ostili, che ha comportato una contrazione (-42%) del dato relativo ai malware, attestatosi intorno all’11%”. Tale dato, prosegue il report, “non va letto come una riduzione della pericolosità della minaccia Advanced Persistent Threat (APT), bensì come il fatto che gli APT registrati si sono caratterizzati, più che per la consistenza numerica, per la loro estrema persistenza. Tra le minacce che hanno registrato un maggior numero di ricorrenze vanno annoverate: l’SQL Injection (28% del totale; +8% rispetto al 2015), i Distributed Denial of Service (19%; +14%), i Web-defacement (13%; -1%) ed il DNS poisoning (2%), impiegati sia dai gruppi hacktivisti che islamisti”.

DINAMISMO TECNOLOGICO

“La minaccia nei confronti delle infrastrutture del dominio cibernetico nazionale è stata caratterizzata da un elevato grado di eterogeneità e dinamismo tecnologico”, rimarca il documento. “Anche nel 2016”, prosegue, “il monitoraggio dei fenomeni di minaccia collegati con il cyberspace ha evidenziato un costante trend di crescita in termini di sofisticazione, pervasività e persistenza a fronte di un livello non sempre adeguato di consapevolezza in merito ai rischi e di potenziamento dei presidi di sicurezza. Una tendenza, questa, cui si è associata anche la persistente vulnerabilità di piattaforme web istituzionali e private, erogatrici in qualche caso di servizi essenziali e/o strategici, che incidono sulla sicurezza nazionale, e la presenza di un sostanziale sbilanciamento del rischio, generalmente contenuto, in capo agli attori della minaccia rispetto a quello dei target, derivante dalle perduranti difficoltà di detection, response ed attribution di un evento”.

GLI INTERESSI IN GIOCO

“Gli incentivi all’innovazione tecnologica delle istituzioni civili e militari”, spiega il rapporto, “hanno costituito un ambito particolarmente appetibile, catalizzando gli interessi di attori privati, anche stranieri, presenti sul territorio nazionale che hanno cercato di accreditarsi, fra l’altro, attraverso condotte poco ortodosse. Tenuto conto di ciò, l’azione di tutela e prevenzione si è focalizzata sulla raccolta di informazioni utili alla profilazione degli attori ostili in termini di interessi, obiettivi, capacità e modalità di attacco, al fine di ottimizzare la difesa degli Enti della Pubblica Amministrazione, delle infrastrutture critiche, governative e non, degli operatori privati strategicamente rilevanti e, più in generale, delle reti telematiche nazionali esposte a tali minacce”.

I PASSI IN AVANTI

“In questi anni”, si pone in evidenza, “il Dis ha operato attraverso due strumenti: il Tavolo Tecnico Cyber-TTC per garantire le attività di raccordo inter-istituzionale e il Tavolo Tecnico Imprese-TTI per rafforzare il Partenariato Pubblico-Privato (PPP). Piano nazionale e Quadro strategico”, prosegue il report, “sono stati aggiornati in ragione del mutato scenario di riferimento, specie avuto riguardo alla richiamata Direttiva UE in materia di sicurezza di Network and Information Systems (NIS). Le direttrici che hanno inciso sul processo di revisione hanno riguardato lo sviluppo delle capacità di prevenzione e reazione ad eventi cibernetici, ambito nel quale si sono evidenziate nel biennio concluso le più rilevanti criticità, e l’indispensabile coinvolgimento del settore privato ai fini della protezione delle infrastrutture critiche/ strategiche nazionali e dell’erogazione di servizi essenziali”.

“Attenzione è stata posta all’individuazione e al monitoraggio delle tecnologie caratterizzanti il dominio cibernetico (social network, motori di ricerca, piattaforme di e-commerce, dark net e sistemi di anonimizzazione) e del panorama tecnologico nazionale e internazionale, che hanno evidenziato un crescente sviluppo di armi digitali e di tecnologie potenzialmente ostili, parte delle quali hanno costituito oggetto di analisi e di reverse engineering presso il Polo Tecnologico di Comparto, che opera quale centro di eccellenza nazionale in materia”.

L’OUTLOOK

Mentre, “con riferimento al binomio capacità/intenzionalità degli attori statuali”, si aggiunge, “la consapevolezza dell’entità del rischio ad opera di una moltitudine di attori della minaccia, parallelamente ai massicci investimenti in cybersecurity di alcuni Paesi occidentali, potrebbe comportare, a livello internazionale, una allocazione di risorse crescenti finalizzate alla costituzione/consolidamento di asset cibernetici a connotazione sia difensiva, sia offensiva, impiegabili nella prosecuzione di campagne di cyber-espionage, nonché in innovativi contesti di conflittualità ibrida e asimmetrica (cyberwarfare), anche attraverso attività di disruption di sistemi critici in combinazione con operazioni di guerra psicologica”.

CONSAPEVOLEZZA IN AUMENTO

“L’opinione pubblica”, prosegue il report, “sta acquisendo crescente consapevolezza delle grandi opportunità derivanti dallo sviluppo tecnologico, ma anche delle crescenti sfide securitarie e delle minacce che esso determina. Il funzionamento delle moderne società è divenuto, mai come in passato, completamente dipendente dalla tecnologia senza che, in molti casi, si siano in parallelo sviluppate adeguate difese. Strutture di governo, banche, borsa, asset strategici e quant’altro sono oggi più che mai esposti. Viviamo una fase in cui attori statali ostili, ma anche organizzazioni criminali, gruppi terroristi o antagonisti, fanatici di varia natura o anche singoli individui, beneficiano sovente nel cyberspace di un gap securitario che deve essere, in larga misura, rapidamente colmato, e che comunque sarà in futuro oggetto di una continua evoluzione, con forme di aggressione sempre più sofisticate”.

Fonte: CyberAffairs