Cyber Risk: nasce lo scudo difensivo dell'Italia contro gli attacchi cibernetici che minacciano aziende e PA
30 Novembre 2020
Introduzione
Gli attacchi cibernetici rappresentano uno dei più gravi rischi per la sicurezza economica e nazionale che i governi del mondo abbiano mai affrontato. L'ultima edizione del Rapporto CLUSIT sulla sicurezza ICT in Italia, che classifica ed analizza i più gravi attacchi avvenuti a livello globale (Italia inclusa) negli ultimi 12 mesi, segnala che il numero degli attacchi cibernetici aumenta ogni anno in maniera esponenziale e che, dopo il settore salute, tradizionalmente oggetto di aggressioni da parte degli hackers, quello governativo si conferma come uno dei più colpiti, con un aumento del 40,8% degli attacchi tra il 2017 ed il 2018. Cyberwarfare
Oltre a sfruttare le vulnerabilità su prodotti software comuni, gli attaccanti nel cyberspazio si dedicano sempre più ad aggredire le infrastrutture critiche degli Stati: si è dunque passati dal concetto di cyber attack a quello di cyberwarfare. Molti analisti stanno quindi concentrando la loro attenzione sulle possibili reazioni di Stato, veicolate mediante la rete globale internet, ai danni dei sistemi informativi dei vari paesi. L'elemento che rileva è il carattere di essenzialità delle strutture attaccate rispetto al mantenimento delle funzioni vitali della società civile, declinate sul piano della salute e della sicurezza pubblica e della salvaguardia del benessere economico e sociale dei cittadini. Tra i settori produttivi interessati, troveremo quindi quelli relativi all'energia ed ai trasporti, come gli impianti per la produzione e la trasmissione di energia elettrica, e le infrastrutture come porti ed aeroporti. Tra le azioni offensive dolose o riconducibili a condotte “colpose” ai danni di infrastrutture critiche si possono annoverare vari esempi.
C'è da chiedersi quali sarebbero le conseguenze di un simile tipo di attacco oggi, con la maggior parte dei servizi in condizioni già critiche per la pandemia.
In generale, il cosiddetto cyberwarfare viene ricondotto a quattro categorie di fattispecie delittuose, riconducibili alla categoria generale dei cyber attacchi, ovvero:
Le categorie sopra indicate distinguono gli attacchi informatici sul piano delle finalità degli attaccanti all'interno del peculiare ambiente operativo nel quale si sviluppano, che è rappresentato dal cyberspazio. In questo senso gli attacchi rappresentano le minacce principali rispetto all'integrità delle infrastrutture critiche e delle aziende private, le quali sono sempre più dipendenti dalle reti informatiche: un cyber attacco si definisce infatti come “un'azione ostile finalizzata a danneggiare la riservatezza, integrità e disponibilità di dati memorizzati o elaborati dai sistemi informatici”. Nasce pertanto la necessità di sviluppare norme internazionali idonee a disciplinare queste specifiche attività, riconducendole nell'alveo di una normativa cogente e tenendo conto che difficilmente un attacco di questo tipo potrebbe assumere la connotazione di una dichiarazione di guerra, mancando il momento materiale della sua condotta offensiva e potendosi solo configurare una lesione del principio di non ingerenza negli affari interni dello Stato. Nasce il Perimetro di sicurezza nazionale cibernetica
Da qualunque lato la si guardi, comunque, proteggere le reti ed i sistemi connessi al WEB è diventato una priorità non più rimandabile. In questo contesto si inquadrano i numerosi provvedimenti che nel corso degli ultimi anni hanno condotto l'Italia, analogamente a quanto avviene negli altri paesi, alla definizione di un programma nazionale per la sicurezza informatica. Tra questi, ricorderemo:
È questo il primo dei quattro decreti attuativi previsti dalla legge 18 novembre 2019, n. 133, che ha provveduto alla costituzione del Perimetro di Sicurezza Nazionale Cibernetica, un vero e proprio scudo difensivo italiano contro i cyber attacchiche minacciano le aziende e la pubblica amministrazione. Il decreto è entrato in vigore il 5 novembre scorso e definisce le regole basilari per il funzionamento del Perimetro, stabilendo i parametri con cui verranno individuati tutti i soggetti che si occupano di funzioni ritenute vitali per il nostro paese. Categorie cui si rivolge il Perimetro Il Perimetro di Sicurezza Nazionale Cibernetica si rivolge principalmente a due categorie di soggetti: a) quelli che esercitano una funzione essenziale dello Stato, ovvero coloro che sono destinati ad assicurare la continuità dell'azione di Governo e degli Organi istituzionali, la sicurezza interna ed esterna, la difesa, le relazioni internazionali, l'ordine pubblico, l'amministrazione della giustizia e la funzionalità del sistema economico, finanziario e dei trasporti; b) quelli che prestano un servizio essenziale per gli interessi dello Stato, ovvero tutti i soggetti (siano essi pubblici o privati), che assicurano il mantenimento delle attività civili, sociali ed economiche fondamentali, esercitando attività necessarie per l'esercizio e la salvaguardia dei diritti fondamentali dei cittadini (come garantire la continuità degli approvvigionamenti e l'efficienza delle infrastrutture e della logistica, ad esempio) o esperiscono attività di ricerca che presentino particolare rilievo ai fini dello sviluppo del sistema economico nazionale. Scopo del decreto è chiarire i criteri che guideranno l'Esecutivo nell'individuazione dei soggetti pubblici e privati che di tale perimetro faranno parte, nonché definire come predisporre, comunicare e aggiornare periodicamente l'elenco delle reti, dei sistemi informativi e dei servizi informatici rilevanti per la sicurezza del nostro paese, in quanto indispensabili per l'esercizio dei servizi essenziali per lo stato. Il provvedimento affida alle amministrazioni statali il compito di individuare tutti i soggetti, pubblici o privati, operanti nei settori dell'interno, della difesa, dello spazio e aerospazio, dell'energia, delle telecomunicazioni, dell'economia e finanza, dei trasporti, dei servizi digitali, delle tecnologie critiche, degli enti previdenziali e del lavoro, per identificare le funzioni ed i servizi essenziali, la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale. Viene definito tale qualsiasi danno all'indipendenza, integrità e sicurezza della Repubblica e delle istituzioni democratiche, agli interessi politici, militari, economici, scientifici e industriali del paese, conseguenti all'interruzione o alla compromissione di una funzione o di un servizio essenziale per lo Stato stesso. È anche compito delle amministrazioni dedicate graduare in una scala crescente le funzioni ed i servizi per i quali, in caso di interruzione o compromissione, il pregiudizio per la sicurezza nazionale sia ritenuto massimo e le possibilità di mitigazione minime, individuando i soggetti che li erogano, sempre con le modalità ed i criteri dettati dal DPCM. In questo senso, verrà predisposta una lista di tali operatori, da sottoporre al Comitato Interministeriale per la Sicurezza della Repubblica (CISR). L'elencazione dei soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica sarà infine contenuta in un atto amministrativo, adottato e periodicamente aggiornato dal Presidente del Consiglio dei ministri, su proposta del CISR. Il DPCM 131/2020 istituisce anche il Tavolo interministeriale per la sua attuazione, con l'obiettivo di supportare ogni attività attribuita dal DPCM stesso al CISR. Il Dipartimento delle Informazioni per la Sicurezza (DIS) avrà il compito di comunicare ai soggetti pubblici e privati la loro eventuale inclusione nel Perimetro, entro trenta giorni dalla loro iscrizione nel relativo elenco. Dell'avvenuta iscrizione è data comunicazione da parte del DIS alla struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la digitalizzazione (per i soggetti pubblici) ed al Ministero dello sviluppo economico (per quelli privati). L'elenco dei soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica verrà infine comunicato dal DIS anche alla Polizia postale e delle comunicazioni. Fermo restando il rischio di pregiudizio per la sicurezza nazionale e le specificità dei singoli settori di attività, le amministrazioni deputate all'individuazione dei soggetti inclusi nel Perimento dovranno quindi valutare gli effetti di un'interruzione della funzione o del servizio previsti, utilizzando come criteri:
Il primo adempimento per i soggetti inclusi nel Perimetro è quello di predisporre e aggiornare con cadenza annuale l'elenco dei beni ICT di rispettiva pertinenza. Sono definiti tali le reti ed i sistemi informativi e servizi informatici di qualunque natura, utili all'erogazione dei servizi essenziali dello Stato. Per adempiere a tale obbligo, i soggetti in questione dovranno anzitutto effettuare un'analisi del rischio, al fine di identificare i fattori di pericolo di un incidente, valutandone la probabilità e l'impatto potenziale sulla continuità ed efficacia della funzione erogata, individuando e implementando idonee misure di sicurezza. Il principio non è diverso da quanto previsto dalla General Data Protection Regulation (GDPR), entrata definitivamente in vigore il 25 maggio 2018. In base ad essa, ogni azienda che trattasse dati doveva elaborare un sistema documentale di gestione della privacy contenente tutti gli atti elaborati per soddisfare i requisiti di conformità al Regolamento stesso, individuando al suo interno i ruoli chiave destinati alla gestione e protezione dei dati trattati. Si trattò allora di una piccola rivoluzione, perché fino a quel momento erano state le istituzioni ad indicare alle aziende le modalità necessarie per la protezione dei dati trattati. Ora la questione veniva capovolta e sarebbero state le aziende stesse, assai più in grado di comprendere la portata dei dati gestiti e dei rischi legati al loro trattamento, ad elaborare un piano per la loro protezione. Ogni ente coinvolto, una volta effettuata l'analisi del proprio rischio, dovrà individuare per ogni funzione o servizio essenziale i beni ICT necessari a svolgerli, valutando l'impatto potenziale di un incidente, sia in termini di limitazione dell'operatività del bene stesso, che relativamente alla compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati. Il DPCM fornisce una definizione precisa di “incidente”, qualificandolo come ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione (anche parziale) e l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici. Il termine “compromissione” si sostanzia per il legislatore nella perdita di sicurezza o di efficacia dello svolgimento di una funzione o di un servizio essenziale dello Stato, connessa all'incidente così definito. Ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica viene anche richiesto di verificare le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione. Il secondo adempimento richiesto ai soggetti inclusi nel Perimetro è descrivere l'architettura e la componentistica relative ai beni ICT individuati, ovvero l'insieme delle architetture realizzate e dei componenti usati a livello di rete, dati e software, ivi inclusi la distribuzione su piattaforme di cloud computing, nonché le procedure e i flussi informativi per l'accesso, acquisizione, trasmissione, conservazione, elaborazione e recupero dei dati necessari all'espletamento dei servizi informatici espletati. Tale descrizione dovrà avvenire in conformità con il contenuto di uno specifico modello predisposto dal DIS, che lo invierà ai soggetti interessati unitamente alla comunicazione di essere stati inclusi nell'elenco. Tale modello verrà periodicamente aggiornato dal DIS, sentito il parere del CISR tecnico. Entro sei mesi dal ricevimento della comunicazione di avvenuta inclusione nel Perimetro di Sicurezza Nazionale Cibernetica, i soggetti interessati dovranno trasmettere i documenti richiesti alle strutture dedicate (Presidenza del Consiglio o Ministero dello Sviluppo Economico, a seconda che si tratti di enti pubblici o aziende private). La loro trasmissione dovrà essere fatta per mezzo della piattaforma digitale appositamente messa a disposizione dal DIS e dall'NSC, il nucleo dedicato allo svolgimento delle attività di prevenzione, preparazione e gestione delle crisi cibernetiche. L'elenco dei soggetti inclusi nel Perimetro e tutta la documentazione da questi ricevuta saranno trattati, conservati e trasmessi con modalità idonee a garantirne la sicurezza, nelle more dell'adozione del decreto del Presidente del Consiglio, in conformità al disposto dell'articolo 1, comma 3, del decreto-legge 21 settembre 2019, n. 105, convertito con modificazioni dalla legge 18 novembre 2019, n. 133. Quest'ultimo provvedimento, infatti, servirà a definire le misure di sicurezza e notifica degli incidenti. La struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la digitalizzazione e il Ministero dello sviluppo economico, come pure l'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione (la Polizia postale e delle comunicazioni) accederanno alla piattaforma ai fini dello svolgimento delle attività di ispezione e verifica di loro competenza. Come si è visto, si tratta di un progetto assai complesso che, oltre a stabilire i criteri secondo i quali le autorità delegate dovranno identificare i soggetti da includere nel Perimetro, definisce le modalità con cui questi ultimi dovranno assolvere ai compiti loro assegnati (come censire le proprie infrastrutture di servizio e notificarle alle autorità) ed istituisce le strutture di supporto alla gestione dei processi e dei flussi operativi, per segnalare eventuali incidenti significativi. I soggetti da includere nel Perimetro, secondo le indicazioni previste dal DPCM, dovrebbero essere circa 150 e verranno elencati in una lista che resterà segretata e verrà completata a breve. Secondo il Regolamento, qualora uno di questi soggetti dovesse rimanere vittima di un attacco cyber sarà obbligato ad informare entro 6 ore il CSIRT (Computer Security Incident Response Team – Italia) e il gruppo di esperti istituito presso il DIS. In caso di grave violazione, verrà attivato l'NSC, il Nucleo per la sicurezza cibernetica, attualmente presieduto dal professor Roberto Baldoni, il cui compito è quello di proporre al Presidente del Consiglio una possibile risposta all'attacco e coordinare il ripristino del servizio. Dopo un primo anno di gestazione, che prevedrà l'approvazione del NIS (gruppo di cooperazione europeo), il Perimetro di sicurezza nazionale cibernetica inizierà quindi a prendere forma, nonostante il ritardo causato dalla pandemia, che ha inevitabilmente rallentato la formazione dei Centri di valutazione e certificazione nazionale (CVCN), necessari a valutare la componentistica tecnologica delle aziende pubbliche e private coinvolte. Gli effetti non saranno certo immediati, ma andranno valutati nel tempo: si ritiene che difficilmente l'intero sistema riuscirà ad entrare a regime per la primavera del 2021, com'era inizialmente previsto. Mancano non solo i decreti attuativi che ancora attendiamo, infatti, ma saranno necessarie risorse non ancora individuate, come il personale competente, sia all'interno della pubblica amministrazione che nelle aziende private interessate. Con i prossimi DPCM, il primo dei quali è atteso entro sei mesi, verranno inoltre delineati gli aspetti operativi connessi all'attuazione del Perimetro, tra cui le misure di sicurezza che gli operatori dovranno adottare per rendere affidabile la loro tecnologia. La questione di eventuali carichi di responsabilità è controversa, innanzi tutto perché la lista delle società che rientreranno nel Perimetro sarà segretata, e poi perché non risulta che il provvedimento comporti sanzioni nei confronti di quelle che non dovessero allinearsi ai criteri richiesti o che non rispettino le scadenze previste, come accade ad esempio per l'attuazione del GDPR. I costi connessi ai cyber attacchi possono essere comunque assai cospicui e c'è da chiedersi se si possa configurare la possibilità di richiedere un risarcimento per le eventuali vittime dell'attività svolta dai soggetti pubblici e privati che del Perimetro saranno scelti a fare parte e in che misura tale responsabilità potrà essere attribuita ad essi, come verrebbe eventualmente distribuito l'onere probatorio e come verrebbe quantificato il danno che ne potrebbe derivare. Non si tratta di questioni di poco conto, perché i casi che abbiamo indicato quali esempi di attacchi perpetrati, soprattutto per quanto attiene alle aziende private coinvolte, potrebbero comportare risarcimenti di una certa levatura. E dunque, se un soggetto dovesse subire un danno in seguito all'inadeguatezza dei sistemi di prevenzione o per inadempienza di un ente incluso nel Perimetro, in che termini sarebbe configurabile una sua responsabilità ed in quale misura la stessa potrebbe determinare un eventuale risarcimento?
|