In generale, solo in Italia, «nel 2016 gli attacchi informatici avrebbero causato alle imprese italiane danni per nove miliardi di euro ma nemmeno il 20% delle aziende farebbe investimenti adeguati per la protezione del proprio patrimonio informativo», ha detto Antonello Soro, garante privacy nella Relazione annuale al Parlamento.
L’Italia è salita al quarto posto al mondo per numero di vittime di attacchi informatici. E molti sono per estorcere denaro. Si chiamano ransomware, sono quei malware che criptano i file dell’hard disk chiedendo un riscatto all’utente per sbloccarli e stanno aumentando, secondo il Rapporto Clusit 2017, l’associazione per la sicurezza informatica italiana.
Ma la questione viaggia ben al di là dei confini nazionali. Secondo l’agenzia governativa americana Cccips(computer crime and intellectual property section,), da inizio 2016 ogni giorno ci sono più di 4.000 attacchi ransomware con un incremento del 300% sul 2015. A essere colpiti sono aziende, ospedali, banche, governi.
Alcune varianti visualizzano messaggi intimidatori, per esempio: «il tuo computer è stato usato per visitare siti web dai contenuti illegali. Per sbloccarlo, devi pagare 100 dollari». E poi: «hai solo 96 ore per procedere con il pagamento. Se non invii denaro entro il tempo previsto, tutti i tuoi file saranno criptati in modo permanente e nessuno sarà in grado di recuperarli». Esempio recente è WannaCry, il ransomware che ha provocato in 99 Paesi gravissimi danni a 200mila computer. Il virus ha criptato i file chiedendo un riscatto di centinaia di dollari per decriptarli.
E un altro allarme arriva anche da Stefano Mele, presidente della Commissione sicurezza cibernetica del Comitato Atlantico Italiano e esperto di diritto delle tecnologie, privacy e cybersecurity. Ecco che cosa ci ha detto:
Cosa sta succedendo?
Come si legge nella Relazione sulla politica dell’informazione per la sicurezza 2016 del Dipartimento Informazioni per la Sicurezza, gli attacchi cyber hanno innovato il panorama della minaccia: dalla tipologia dei target colpiti all’impatto conseguito, dalle gravi vulnerabilità sfruttate fino alla sempre più elevata sofisticazione delle capacità degli attaccanti. Dal punto di vista delle aziende, il dato più preoccupante di questi attacchi è la progressiva saldatura tra le finalità economiche della cyber-criminalità con quelle di comuni player di mercato, interessati, questi ultimi, a compromettere la competitività dei rispettivi concorrentie la loro reputazione. La realtà è che il cyberspace sta crescendo in termini di pervasività sociale a fronte di uno scarso livello di consapevolezza in merito ai rischi e di potenziamento dei presidi di sicurezza.
Quello del crimine informatico è stato indicato dall’Ocse come il rischio più sentito dalle aziende di cinque dei sette Paesi più industrializzati…
Sì, tanto che è stata imposta la creazione di un nuovo segmento assicurativo, dedicato ad abbattere il più possibile il rischio informatico dall’attività di impresa. È bene chiarire, poi, che non si tratta solo di cybercrime ma anche e soprattutto di attività di spionaggio informatico e che queste non avvengono solo attraverso attacchi dall’esterno, ma anche agganciando soggetti interni all’azienda con attività di spionaggio e reclutamento più tradizionali, aspetto da non sottovalutare.
Come selezionano gli obiettivi i pirati informatici?
Le organizzazioni criminali sempre più spesso studiano con precisione i propri obiettivi di riferimento, andando a personalizzare i malware anche in considerazione delle capacità di spesa di blocchi omogenei di computer bersaglio. Un cyberattacco ideato per prendere in ostaggio il computer di utenti privati prevede la richiesta di un riscatto di poche centinaia di euro. I criminali sanno che un cittadino è disposto a spendere 200-300 euro al massimo per avere indietro i suoi documenti. È diverso il caso delle aziende.
Come funziona il pagamento?
Sempre in moneta virtuale. Semplificando molto, in genere funziona così: per avere il codice di sblocco del computer, gli utenti devono creare un portafoglio Bitcoine versare l’importo sul conto Bitcoin indicato dall’organizzazione criminale. Seppure tutte le transazioni su scala mondiale siano tracciate e rese pubbliche sul portale www.blockchain.com, è molto difficile, se non impossibile vedere chi ci sia realmente dietro ai singoli portafogli.
Le aziende italiane pare non si stiano attrezzando a sufficienza. Le risulta?
Sì, sono ancora molto lontane dall’affrontare il problema del cybercrime e dello spionaggio industriale informatico, soprattutto le pmi. Mentre le grandi o quelle classificabili come infrastrutture critiche nazionali si stanno muovendo. In Italia prevale ancora, purtroppo, la cultura della reazione al danno subìto piuttosto che quella della prevenzione. Tutti i settori sono colpiti: secondo i dati della Relazione sulla politica dell’informazione per la sicurezza della presidenza del nostro comparto intelligence, nel 2015 i target principali erano le imprese nella difesa, tlc, aerospazio, energia. L’anno scorso, invece, ai primi posti sono saliti il settore bancario, le agenzie di stampa e le testate giornalistiche.
Cosa dovrebbero fare, invece?
Le aziende dovrebbero prevenire l’uso non autorizzato e la trasmissione di informazioni aziendali riservate attraverso politiche di data loss prevention e controllare l’uso dei supporti di memoria rimovibili (chiavette Usb, hard disk esterni, cd-rom esterni e memory card). Fare una politica di backup, utile soprattutto ad arginare il problema dei ransomware. Configurare in maniera sicura tutto l’hardware e il software all’interno del parco dei dispositivi aziendali, aggiornare sistemi operativi e programmi al massimo entro 48 ore dal rilascio delle patch.
È arrivata la pubblicazione in Gazzetta Ufficiale del DPCM del 17 febbraio 2017, nuovo approccio strategico del governo italiano in materia. Ce lo spiega?
Attraverso questo nuovo Decreto del Presidente del Consiglio dei Ministri, il governo italiano ha sostituito il Dpcm del 24 gennaio 2013 (c.d. Decreto Monti) dando il via alla seconda fase del programma volto a rendere più efficiente il sistema di sicurezza nazionale nel campo della cybersecurity. Si sta razionalizzando e agevolando un più diretto ed efficace collegamento tra le funzioni deputate alle attività di prevenzione, preparazione e gestione di eventuali situazioni di crisi cibernetica e il Comitato Interministeriale per la Sicurezza della Repubblica, organo istituzionale di raccordo politico-strategico sul tema. Ma il vero elemento di novità introdotto dal nuovo Decreto è il ruolo sempre più centrale e preponderante del Dipartimento delle Informazioni per la Sicurezza (DIS). Da ora in poi sarà il vero e proprio braccio operativo sul piano strategico del Presidente del Consiglio, nonché il collante tra il CISR e l’intera pubblica amministrazione e il settore privato. Un ulteriore elemento di novità e di evidente rafforzamento del ruolo del DIS è rintracciabile anche nella decisione di trasportare il Nucleo Sicurezza Cibernetica dalla competenza dell’Ufficio del Consigliere Militare a quella, appunto, del DIS stesso, che lo presiede attraverso l’azione di un suo vice direttore generale. Nucleo Sicurezza Cibernetica, che, così facendo, sarà finalmente posto al centro dell’azione strategica del governo italiano. Non si sarebbe potuto fare di meglio, almeno considerando le attuali peculiarità ed esigenze della pubblica amministrazione italiana.