GEOPOLITICA DEL MONDO MODERNO

Tag archive

eu cybersecurity

Dossier Cybersecurity, contromisure in atto per la sicurezza cyber

Defence/INNOVAZIONE/Report di

Di estrema attualità è la Relazione Annuale al Parlamento redatta dal comparto di Intelligence italiano (Sistema di Informazione per la Sicurezza della Repubblica). Allegato al suddetto, riveste particolare importanza in ambito cyber il Documento di Sicurezza Nazionale, il cui scopo è, da una parte, un’analisi retrospettiva dei principali progressi compiuti e delle persistenti minacce con riferimento all’anno 2016, dall’altra una prospettiva di sviluppo nei prossimi anni di fronte alle nuove minacce. Secondo il rapporto, il 2016 ha costituito un significativo punto di svolta in ambito cyber per il nostro paese, grazie all’attività di due tavoli tecnici, il primo, il TAVOLO TECNICO CYBER-TTC, per il raccordo inter istituzionale, il secondo, il TAVOLO TECNICO IMPRESE-TTI, per la partnership pubblico-privata. Questi due tavoli sono stati capaci di recepire l’orientamento espresso nei principali aggiornamenti internazionali in materia cyber, tra cui:

  • La DIRETTIVA EUROPEA NIS (Network and Information Systems), il cui obiettivo è stato rendere più efficace la definizione degli strumenti per l’attuazione degli indirizzi strategici europei e la valutazione degli esiti delle azioni.
  • Le CMBs (Confidence Building Measures) prodotte dall’OSCE per ridurre i rischi di un conflitto eventuale che faccia uso di tecniche legate all’ICT.
  • Il nuovo orientamento sancito al SUMMIT di VARSAVIA della NATO (luglio 2016) per cui si rimanda al report settimanale precedente.
  • Lo sviluppo dei lavori nell’ambito dei CYBER EXPERT GROUP MEETING del G7 Finanza ed Energia.
  • Le interlocuzioni tra il Comparto e la BANCA D’ITALIA per la costituzione di un CERT (Computer Emergency Response Team).
  • Una serie di eventi internazionali tra cui: 17° NATO Cyber Defence Workshop, l’incontro sulla “contractual Partnership Private-Public” (cPPP), la terza edizione dell’ICT4INTEL 2020.

Gli attacchi cyber verificatisi in Italia nel 2016 hanno segnato un ulteriore cambio di passo sotto molteplici profili: dal rango dei target colpiti, alla sensibilità rive­stita dagli stessi nei rispettivi contesti di rife­rimento; dal forte impatto conseguito, alle gravi vulnerabilità sfruttate sino alla sempre più elevata sofisticazione delle capacità degli attaccanti.

ATTORI OSTILI: i gruppi hacktivisti (52% delle minacce cyber) continuano a costituire la minaccia più rilevante, in termini percentuali, benché la valenza del loro impatto sia inversamente proporzionale. I gruppi di cyber-espionage invece risultano più pericolosi anche se percentualmente meno rappresentativi (19%). Ai gruppi islamisti è imputato il 6% degli attac­chi cyber perpetrati in Italia nel corso del 2016. Da evidenziare come per le tre categorie si sia registrato, rispetto al 2015, un incremento degli attacchi pari al 5% per i gruppi hacktivisti e quelli islamisti e del 2% per quelli di cyber-espionage. A tale aumento ha corrisposto un decremento, pari al 12%, dei cd. “attori non meglio identificati” che si attestano nel complesso al 23% delle incursioni cyber.

TARGET: le minacce contro i soggetti pubblici costituiscono la maggioranza con il 71% degli attacchi, e quelle in direzione di soggetti privati si attestano attorno al 27%. Questa divaricazio­ne è riconducibile verosimilmente alle difficoltà di notifica degli attacchi subiti in ragione del c.d rischio reputazionale. In merito ai soggetti pubblici si attesta che pur permanendo una netta predominanza delle Amministrazioni centra­li (87% degli attacchi cyber verso soggetti pubblici) rispetto agli Enti locali (13%), nel 2016 si è assistito ad una inversione di tale trend, per cui gli attacchi contro le Pubbliche Amministrazioni Centrali (PAC) risultano in lieve diminuzione (-2%) mentre quelli avverso le Pubbliche Ammini­strazioni Locali (PAL) sono in aumento (+5%). Per quanto riguarda i soggetti privati si nota che se nel 2015 target principali degli attacchi cyber risultavano quelli operanti nei settori della difesa, delle telecomunicazioni, dell’aerospa­zio e dell’energia, nel 2016 figurano ai primi posti il settore bancario con il 17% delle minacce a soggetti privati (+14% rispetto al 2015), le Agenzie di stampa e le testate giornalistiche che, insieme alle associa­zioni industriali, si attestano sull’11%.

TIPOLOGIE DI ATTACCO: rispetto al 2015, nel 2016 si è registrata un’inversione di tendenza. Se, infatti, nel 2015, poco più della metà delle minacce cyber era costituita dalla diffusione di software malevolo (malware), nel 2016 è stata registrata una maggiore presenza di altre tipologie di attività ostili, che ha comportato una contrazione (-42%) del dato relativo ai malware, at­testatosi intorno all’11%. Tale dato non va letto come una riduzione della pericolosità della minaccia Advanced Persistent Threat (APT), bensì come il fatto che gli APT registrati si sono caratterizzati, più che per la consistenza numerica, per la loro estrema persistenza. Tra le minacce che hanno registrato un maggior numero di ricor­renze vanno annoverate: l’SQL Injection (28% del totale; +8% rispetto al 2015), i Distributed Denial of Service (19%; +14%), i Web-defacement (13%; -1%) ed il DNS poisoning (2%).

In prospettiva, si assiste ad una crescita della minaccia cibernetica ad opera di attori statuali e gruppo connessi alla criminalità organizzata, nonché di potenziali insider. Per questo si potrebbe assistere nei prossimi anni, ad una allocazione di risorse crescenti finalizzate alla costitu­zione/consolidamento di asset cibernetici a connotazione sia difensiva, sia offensiva, impiegabili nella prosecuzione di campagne di cyber-espio­nage, nonché in innovativi contesti di conflittualità ibrida e asimmetrica (cyberwarfare), anche attraverso attività di disruption di sistemi critici in combinazione con operazioni di guerra psicologica.

Un altro contributo importante prodotto durante le ultime settimane è il Cyber Strategy & Policy Brief (numero di gennaio e febbraio 2017) curato da Stefano Mele, avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza delle Informazioni e Intelligence, e Key Opinion Leader nel settore Cyber secondo la NATO. Gli ambiti di analisi di questo numero sono 3:

  • Mele cita i recenti sviluppi in materia cyber in Brasile. Infatti l’orientamento strategico brasiliano si è tramutato in una decisione esecutiva del presidente Temer per la creazione di un Cyber Command centrale incardinato all’interno del Dipartimento Scienza e Tecnologia dell’Esercito e che avrà finalmente il compito di sovraintendere, coordinare e guidare sia sul piano tecnico che regolamentare l’intera difesa cibernetica della nazione.
  • L’autore si sofferma inoltre sul quadro cyber italiano commentando la Relazione sulla politica dell’informazione per la sicurezza del Comparto Intelligence (analizzato nelle pagine precedenti). Pur apprezzando gli sforzi compiuti dai servizi di informazione italiani, Mele ha voluto aggiungere alcune chiose necessarie. Ciò che pare ancora mancare nel dibattito italiano è, da un lato, una riflessione strutturata – in ottica evolutiva – tesa alla nascita di una vera e propria politica di cybersecurity nazionale. Dall’altro lato, invece, emerge con forza la necessità che in questo settore il governo italiano muti nel più breve tempo possibile l’approccio strategico da meramente difensivo
  • Punto più importante della riflessione di Mele è quello legato alla lotta al cyber-terrorismo. Partendo da un’analisi dell’approccio strategico seguito finora, l’autore sottolinea la necessità di passare ad una strategia olistica, capace di operare contemporaneamente su più livelli. In particolare questo nuovo approccio dovrebbe:

comprendere la peculiarità della minaccia e degli obiettivi dell’ISIS nel cyber-spazio, nonché le caratteristiche dei soggetti coinvolti

attivare le procedure atte a creare deterrenza nei militanti dell’ISIS, riferendosi alle tradizionali azioni di rimozione, infiltrazione e avvio immediato di azioni penali

–  svolgere attività di contro-propaganda e promozione di messaggi positivi all’interno dei network jihadisti

– aumentare la sensibilità di ISP e utenti verso la minaccia

– svolgere maggiori e più mirate attività di cooperazione con gli alleati

– tagliare i fondi dell’ISIS, magari colpendo le strutture cibernetiche che ospitano la ricchezza dell’ISIS

 

Lorenzo Termine

2016: Direttiva Europea sulla CyberSecurity. O nel 2018?

INNOVAZIONE/POLITICA/Varie di

 

La Direttiva Network and Information Security NIS dell’Unione Europea e’ pronta al lancio. Presentata alla fine del 2013 insieme alla Cyber Strategy targata UE, dopo una lunghissima gestazione ha ricevuto due semafori verdi: all’accordo in Parlamento, e il Parlamento del 7 dicembre ha fatto seguito, il 18 Dicembre, il via libera del Comitato dei Rappresentanti Permanenti (Coreper).

[subscriptionform]
[level-european-affairs]

Il 14 Gennaio 2016 e’ arrivato anche il voto (32 favorevoli su 34) della Commissione per il Mercato Interno del Parlamento. Sembra solo una formalità adesso il voto finale del Parlamento, che dara forza esecutiva al provvedimento.

Il cui scopo e’ quello di stabilire una policy condivisa in materia, tale da garantire uniformità di approccio verso un settore strategico, e il 2015 lo ha confermato in pieno, quale quello della Cybersecurity.

La Direttiva individua e disciplina tre aspetti chiave.

Innanzitutto impone agli Stati Membri l’adozione di un regime regolamentare comune, che si deve estrinsecare nell’istituzione di un’Autorita’ dedicata, con compiti di regolamentazione, relazione e punto di contatto fra la società civile, il mondo delle imprese, i governi nazionali e le istituzioni europee.

I singoli paesi dovranno contestualmente definire il framework legale e regolamentare per la disciplina della materia, nonche promuovere la nascita di CERT (Computer Emergency Response Team) nazionali.

Il secondo pilastro della direttiva consiste nella creazione di un network europeo di cyber security. Delle ipotesi al vaglio quella che sembra aver preso piede (ma si aspetta la ratifica parlamentare prima di andare a vedere nel concreto se sara’ quella adottata), e’ la costituzione di un network duale: 1. un gruppo di cooperazione fra la Commissione, l’ENISA (European Union Agency for Network and Information Security) e i rappresentanti dei singoli stati; 2. un gruppo costituito dai rappresentanti dei CERT nazionali.

Il terzo, e discusso, pilastro concerne il risk management. La NIS sottopone alla propria disciplina tutti quei soggetti che operano nell’ambito dei cd “servizi essenziali”: energia, trasporti, banking, mercati finanziari, salute, acqua e infrastrutture digitali.

I parametri che circoscrivono i servizi essenziali sono tre:

  1. Fornire servizi essenziali;
  2. Il servizio fornito dipende dal funzionamento dei sistemi informativi;
  3. Un incidente dovuto ad un attacco cyber potrebbe generare un blocco del servizio.

Ad essi si aggiungono tutti i fornitori di servizi digitali, nonche’ marketplace quali Amazon, Ebay o motori di ricerca quali Google.

In capo a tutti questi soggetti graveranno obblighi di non poco conto, quali l’implementazione di uno standard minimo di sicurezza e la comunicazione all’Authority di tutti gli attacchi di una certa rilevanza a cui sono soggetti.

Si tratta di un effort economico e di una pubblicita’ di informazioni di non poco conto, in grado di influire pesantemente sul business o la mission di un’organizzazione.

Pertanto, e qui si intravede una prima criticita’ della direttiva, qualora uno stato membro vari un sistema sanzionatorio “leggero”, potrebbero generarsi, in tutto il sistema, effetti facilmente prevedibili.

Un altro aspetto che vale la pena di notare e’ quello relativo al timing di applicazione della direttiva stessa. Dal momento dell’entrata in vigore, i singoli Stati avranno 21 mesi per il varo di una normativa nazionale di riferimento e la creazione delle authorities. A questi si aggiungono ulteriori sei mesi per il censimento degli operatori dei servizi essenziali. Si tratta di un tempo enorme, specialmente quando si parla di minacce cyber, che evolvono con un tasso di crescita esponenziale. E mentre i governi di tutta Europa auspicano l’adozione di misure di cyber security quale mezzo necessario per la prevenzione al terrorismo, anche al prezzo della limitazione di alcune liberta’, l’Unione se la prende comoda, con la speranza che non si ripeta un’altra Parigi.

 

Leonardo Pizzuti

[/level-european-affairs]

Leonardo Pizzuti
Vai a Inizio
× Contattaci!