di Cristiana Era
Giugno e luglio sono stati due mesi di fuoco per la sicurezza cibernetica. Da diversi anni analisti ed esperti denunciano la crescita esponenziale degli attacchi informatici ma forse mai come in questo ultimo periodo si sono fatti così numerosi e soprattutto così pericolosi, tanto da trovare maggiore spazio anche sui media italiani, che generalmente non si occupano di approfondire un argomento che ha forti ripercussioni sulla vita quotidiana di tutti, anche se la stragrande maggioranza dei cittadini non ne è ancora pienamente consapevole. A partire dalla fine del 2014 fino ad oggi, gli Stati Uniti hanno registrato il maggior numero di violazioni a forte impatto mediatico, con danni incalcolabili non solo economici ma anche politici e di immagine. A cominciare dall’attacco alla Sony Pictures dello scorso novembre, seguito dall’azione di hacker pro-ISIS che hanno postato la bandiera nera del Califfato sui social network dello US Central Command e infine - ultimo caso eclatante in ordine temporale - la violazione del sistema informatico dell’Office of Personnel Management federale (OPM).
Quest’ultimo incidente è probabilmente quello che dà all’opinione pubblica internazionale un’idea di quanto critica sia la questione della difesa cibernetica e fino a che punto la minaccia sia reale. In aprile l’OPM ha reso nota l’intrusione di hacker (qualcuno punta il dito sui cinesi, ma l’attribuzione non è certa) nel proprio sistema; hacker che avrebbero spiato una mole impressionante di dati relativi agli impiegati governativi: si è parlato inizialmente di 4,2 milioni di documenti, tra cui record sanitari personali, log-in, dati relativi ad impronte digitali, social security numbers, ed altre informazioni sensibili. A seguito dell’attacco, in giugno il National Institute of Standards and Technology (NIST) del Dipartimento al Commercio ha pubblicato le linee guida per la protezione del Controlled Unclassified Information (CUI), dati considerati confidenziali. Si tratta di raccomandazioni, e quindi non sono vincolanti, che si applicano a tutte le organizzazioni o sistemi informatici non federali che processano, immagazzinano e trasmettono i CUI o che forniscono servizi di sicurezza a protezione degli stessi. Troppo poco e troppo tardi, verrebbe da dire. La scorsa settimana, una nuova bufera sull’amministrazione americana: l’OPM ha rivelato la reale entità dell’attacco cibernetico. La violazione ha riguardato i dati di ben 22,1 milioni di cittadini americani, tra impiegati governativi, familiari e individui che avevano fatto domanda per posizioni che richiedono accesso a informazioni sensibili. E’ stato definito il più grosso attacco di pirateria informatica della storia degli Stati Uniti ed è costato il posto al Direttore dell’OPM, Katherine Archuleta, costretta a dimettersi venerdì scorso a seguito delle pressioni ricevute a livello politico sia da parte repubblicana che democratica.
Ma le dimissioni di Archuleta non serviranno da sole a rimettere in sicurezza il sistema informatico dell’OPM che risulta talmente fragile da far ammettere ai funzionari governativi che ci vorranno mesi e forse addirittura anni per ridurne le vulnerabilità. E purtroppo il problema non riguarda solo l’OPM. Il rapporto Veracode 2015 sullo stato della sicurezza dei software indica che le applicazioni per web e cellulari prodotti od usati da agenzie governative hanno degli standard di sicurezza inferiori rispetto a quelli dell’industria privata e oltretutto le agenzie rimediano a solo il 27% delle vulnerabilità individuate. Gli esperti imputano queste vulnerabilità in gran parte all’utilizzo di un linguaggio di programmazione obsoleto che è più facilmente attaccabile dagli hacker. Questo dà comunque un’idea di quanto sia cruciale aggiornare – e subito – i sistemi informatici in uso nel settore pubblico. Ma anche il settore privato sta avendo delle difficoltà. L’industria non è disposta a sostenere da sola i costi elevati che l’aumento del livello di sicurezza cibernetica comporta, con il risultato che negli ultimi anni i maggiori contractor della Difesa statunitense - come Boeing, General Dynamics e Raytheon per citarne alcuni - sono stati oggetto di attacchi che hanno inferto un duro colpo al dominio tecnologico degli Stati Uniti. Molti ricorderanno, infatti, il furto dei progetti top secret per l’F-35 Joint Strike Fighter, ancora una volta da parte di hacker cinesi.
Manca, da parte dell’amministrazione, una politica di sicurezza cibernetica più incisiva e determinata. A livello legislativo, ma anche a livello economico. Al momento mancano dei finanziamenti pubblici destinati ai privati che possano incentivare adeguatamente il settore ad aumentare gli standard di sicurezza, e non si vede come in assenza di questi, così come in assenza di norme sull’information sharing, gli Stati Uniti possano mantenere la propria supremazia tecnologica. Che in realtà, alla luce dei fatti, stanno già perdendo.
In Italia non va meglio. Anzi, va decisamente peggio. Le nostre imprese hanno poca consapevolezza delle minacce, non esiste una cultura informatica a livello generale e la classe politica continua a sottovalutare la questione nonostante l’allarme lanciato ormai da tempo dagli ambienti accademici e dagli esperti di settore. Certo, ci sono organismi interni alle istituzioni (civili e militari) che si occupano di sicurezza cibernetica, ma manca coordinamento e non esiste un’autorità con poteri decisionali che in situazione di attacco possa reagire immediatamente senza passare attraverso la farraginosa macchina burocratica italiana. E come è noto, lo spazio cibernetico è dinamico, gli attacchi sono immediati come i danni che causano, mentre le minacce si evolvono rapidamente. Non c’è coordinamento e collaborazione neanche tra pubblico e privato, qualche sporadica eccezione esiste in riferimento ad alcuni settori accademici. Non dovrebbe dunque stupire il caso della violazione del sistema dell’Hacking Team di qualche giorno fa. Dovrebbe invece meravigliare che non sia successo prima, e può darsi che questo sia il primo di una lunga serie a cui assisteremo nel prossimo futuro.
| Succ. > |
|---|