Intervista all’Amministratore Unico DigitalPA – Oscar Pitzanti
Le minacce di Cybercrime sono in crescita? Come avvengono gli attacchi hacker?
“Quanto successo alla Regione Lazio nei giorni scorsi, così come sta avvenendo in Olanda ed altri paesi del mondo, non è una novità in senso assoluto in ambito informatico. Ciò che i media indicano come attacchi hacker altro non sono che l’aggravarsi della piaga dei “ransomware” ovvero dei “virus” informatici che criptano il contenuto dei computer e dei server, rendendone inutilizzabili i dati.
Di norma appare sul desktop un’immagine o un file in cui sono indicate le condizioni di pagamento, in genere in moneta elettronica non tracciabile, come i bitcoin, con una tempistica sui pagamenti del riscatto punitiva ovvero con costi di “favore” se pagati nelle prime 24 ore per poi duplicarsi e triplicarsi nei giorni.
I malcapitati talvolta pagano e ottengono, se fortunati, i codici di decriptazione generando e alimentando questi crimini informatici che altro non sono che un sequestro di dati e relative richieste di riscatto. Un tempo le richieste si limitavano a qualche centina di euro mentre ora salgono anche a svariati milioni di euro. Le autorità sconsigliano il pagamento, sarebbe infatti auspicabile una legge nazionale e transnazionale che proibisca e renda illegali i pagamenti di tali riscatti da parte di aziende e di enti pubblici, si disincentiverebbe l’uso e la propagazione di questi virus e si ridurrebbe sicuramente il fenomeno che ormai ha dimensioni abnormi e fuori controllo.
Tutto ciò fa riflettere molto seriamente sull’importanza e la sicurezza dei dati digitali, che ormai sono nella gran parte in Cloud o in SaaS. La vita digitale al giorno d’oggi riveste una grandissima e vitale importanza. Tutto è digitale, dai dati sanitari, anagrafici (per quanto riguarda la PA) a quelli economici gestionali in genere. Senza il digitale ormai tutto si ferma! La maggior parte degli applicativi che le aziende ed i cittadini utilizzano quotidianamente sono accessibili con un semplice browser e molti ignorano siano applicativi in SaaS (Software as a Service, ovvero software come servizio) i cui dati dovrebbero essere al sicuro, blindati, ma ahimè spesso così non è.
La criminalità si è evoluta molto più velocemente del legislatore e lenti ed inefficaci sono i meccanismi di repressione messi in atto. Da troppi anni la percezione di una rapina in banca da poche migliaia di euro fa più notizia di un furto telematico. Vi è ancora l’erronea percezione di una minore gravità di un reato rispetto all’altro mentre i reati informatici sono immensamente più numerosi. Basti pensare a come è composto l’organico delle forze dell’ordine e di quanto numericamente conti la polizia postale in Italia. Vero è che i reati informatici sono spesso transnazionali e ci si scontra con procure estere del tutto inadeguate a livello legislativo, per non parlare di paesi che schermano e proteggono tali reati.”
Chi sono gli Hacker e come possono introdursi all’interno dei sistemi di Aziende e Amministrazioni?
“Questa figura va smitizzata, altro non sono che esperti informatici che sfruttano le loro abilità per introdursi in sistemi terzi. Non sempre sono delinquenti informatici, esiste anche una categoria di hackers “buoni” che lavora per aziende e strutture governative e che presidiano e difendono i sistemi informatici dai malintenzionati. Nelle categorie degli hackers “cattivi”, esistono gli hacker economici e gli hacker con scopi politici/ideologici. La prima categoria è ovviamente la più numerosa, la quasi totalità, singoli criminali che sfruttano la loro abilità informatiche per lucrare illegalmente, mentre la seconda categoria anch’essa molto pericolosa e molto più strutturata è costituita da team di informatici ed hackers al soldo di agenzie torbide, talvolta governative di stati esteri. È pur vero che i servizi di intelligence di tutti i paesi usano il digitale per lo spionaggio spesso in modalità al limite del legale. La guerra digitale tra stati è una realtà quotidiana non raccontata se non raramente per fatti eclatanti: boicottaggi di infrastrutture di paesi nemici o inquinamento di elezioni politiche, o anche il danneggiamento economico di stati nemici e di singole aziende sono all’ordine del giorno.”
Esiste una “linea di difesa” a livello nazionale contro i crimini informatici?
“La guerra digitale che si delinea e di cui raramente si parla è in atto da moltissimi anni. I paesi più industrializzati si sono dotati da anni di strutture nazionali di cybersecurity, l’Italia, ahimè, solo ieri con tempi di operatività della neonata struttura ancora sconosciuti.
Siamo sicuri che un’Agenzia di sicurezza potrà cambiare lo stato delle cose e innalzare la sicurezza e prevenire gli eventi degli ultimi giorni? Forse, ne dubitiamo, ma dobbiamo essere ottimisti e tenere alta la guardia. Un’agenzia, auspicatamente e congiuntamente all’AGID, per quanto riguarda la Pubblica Amministrazione, dovrebbe imporre misure di sicurezza chiare e non interpretabili sia sulla gestione dei dati che dei CED, fino all’ultimo dei software utilizzati in ogni Pubblica Amministrazione.
Si auspica che i software utilizzati, presenti e futuri abbiano una certificazione di sicurezza vera con audit seri, e penetration test reali e attendibili e non inutili questionari autodichiarativi, il tutto monitorato dalle stesse agenzie.
Tutto ciò ovviamente si scontra con il livello medio di informatizzazione del nostro paese. Non possiamo concepire che anche in futuro le Stazioni Appaltanti redigano capitolati al massimo ribasso senza imporre requisiti di sicurezza e requisiti qualitativi sia sui software che sulle aziende che li sviluppano e rivendono e che erogano servizi in Cloud o Saas. Giornalmente, vengono bandite gare al massimo ribasso, aggiudicate da software house non strutturate, con assenti professionalità in tema di sicurezza, magari con alla base applicativi open source incerottati alla meno peggio pur di sbarcare il lunario, con commissioni di gara del tutto inadeguate a selezionare le soluzioni migliori e più sicure. Ecco perché regole certe e certificazioni obbligatorie sono il primo passo per innalzare il livello qualitativo e di sicurezza.”
Quali misure adottare per scongiurare un attacco?
“Per le Aziende che di per sé sono molto più sensibili in tema di sicurezza, le certificazioni internazionali sono già una patente di garanzia, certificazioni che ancora nella PA appaiono quasi come un orpello.
Un primo baluardo è la formazione degli operatori, unita ad un innalzamento della sicurezza, due fattori che possono fare già tanto e subito.
Uno dei talloni d’Achille, sono gli operatori scarsamente informatizzati e formati. I “virus ransomware” di cui si parlava precedentemente sono software di criptazione che funzionano solo se lanciati su un pc o un server, pertanto in qualche modo devono giungere nei nostri pc e qualcuno deve attivarli tranne rari casi in cui c’è un hackeraggio vero e proprio dei sistemi e l’hacker riesce a penetrare le misure di sicurezza e attivare direttamente il virus.
Il cavallo di troia nella maggior parte dei casi sono proprio gli utenti interni della rete, utenti inconsapevoli che aprono per curiosità un allegato dannoso anche se dalla dubbia estensione e da un mittente non attendibile; oppure la navigazione in siti non consoni o l’uso di pen drive promiscue sono i vettori più frequenti di queste infezioni. È certamente grave che dei CED strutturati non abbiano sistemi di backup sicuri, anche ridondanti in modo da prevenire tali sciagure ed essere in grado di ripristinare i dati compromessi. Esistono efficaci strumenti di difesa e pianificazione di disaster recovery, che comportano spese infrastrutturali e alte professionalità spesso non adottati o volutamente ignorati per i costi che comportano, costi sicuramente inferiori ai gravi e irrimediabili danni che un attacco hacker possono causare.”
Cosa ci riserva il futuro?
“Sicuramente un mondo ancor più interconnesso. L’IOT o “Internet delle cose” invaderà le nostre case e gli oggetti di maggiore utilizzo quotidiano. Senza il funzionamento dei sistemi e dei nostri dati tutto si fermerà. Pensate al rilascio dei Green Pass nel Lazio per chi si sta vaccinando senza dei database interconnessi e software funzionanti, sarebbe impossibile.
Ecco il futuro sarà più automatizzato a vantaggio dei cittadini e delle imprese. Nessuno di noi vorrebbe certamente tornare indietro e non utilizzare la tecnologia.
Gli utenti e le istituzioni e le aziende dovranno in futuro come standard, attuare politiche di sicurezza ed efficientare i propri sistemi. La sicurezza informatica deve e dovrà essere al primo posto e non si dovrà agire sull’emergenza ma coltivare a monte la cultura della sicurezza. Non me ne vogliano le giovani startup e chi si affaccia al mondo digitale ma l’era del “realizzo un app o un software e lo vendo” senza aver seguito stringenti verifiche di sicurezza sia sul codice sviluppato che nelle modalità di erogazione e tenuta dei dati dovrà necessariamente sparire.”
In tutto questo, cosa fa DigitalPA per tutelare i propri Clienti?
“Facciamo tanto, in modo costante e silenzioso erogando servizi di qualità con uptime che sfiorano il 100% e senza mai aver avuto un hackeraggio dei propri sistemi.
La DigitalPA è costantemente ed incessantemente impegnata in tema di sicurezza con un reparto software dedicato all’analisi sulla sicurezza ed ottimizzazione delle applicazioni, un reparto sistemistico d’eccellenza dedicato nell’innalzare i livelli di sicurezza, ed i reparti privacy e sicurezza regolarmente impegnati in continui audit e test anti-intrusione sia da parte dei Clienti che dei nostri partner a cui è stata ulteriormente affidata la verifica sulla sicurezza dei nostri software e sistemi.
Non basta quindi la sola certificazione ISO 27001 sulla sicurezza delle informazioni e ISO 22301 sulla Business Continuity, ulteriori e migliori best practice vanno adottate nel quotidiano.
Sono sempre più numerose le Pubbliche Amministrazioni e società partecipate che si rivolgono a noi perché provenienti da pessime esperienze e intrusioni e hackeraggi che ne hanno leso l’immagine e/o compromesso i dati. Dispiace però che le stesse aziende o PA spesso ignorino e non comprendano che alti livelli di qualità e sicurezza si debbano accompagnare ad un costo ed erogazione di servizi che non possono certamente competere con piccole realtà che per necessità o scarsa cultura e mezzi, molto promettono e poco mantengono. La qualità del servizio non può andare di pari passo con questo sistema di bandi al massimo ribasso senza alcun tipo di garanzia di affidabilità e qualità dei prodotti e dei servizi.
In conclusione è palese che questi eventi non possano che sensibilizzare ancor più gli addetti ai lavori e con positività auspichiamo che i nostri legislatori e le nuove strutture possano rendere più sicuro ed affidabile un futuro sicuramente sempre più digitale.”
Contatta DigitalPA per maggiori informazioni sui protocolli di sicurezza applicati
Approfondimenti:
Whistleblowing: nei Principi Guida AgID si ribadisce l’importanza della sicurezza
