Una malattia sistemica raramente si manifesta all’improvviso. E i sintomi di una debolezza diffusa nel perimetro di sicurezza informatico di Pmi e Pa italiane negli ultimi anni non sono di certo mancati. C’è il report del 2019 di Verizon, che attribuisce a soggetti interni la maggior parte delle violazioni della sicurezza informatica nel settore sanitario, ancora oggi il più colpito secondo Exprivia. Ci sono i 22,5 milioni di malware intercettati in Italia nel 2020 e il danno medio per azienda stimato nel 2022 intorno ai 3,3 milioni di euro. C’è l’incremento del 65% — il più alto al mondo — nel 2023 dei cyberattacchi globali avvenuti con successo sul nostro territorio. E c’è l’ultimo report di Clusit, che parla per il 2024 di «una situazione di allerta in Italia». Oggi siamo nella fase acuta di quella malattia.
Già fiaccata da un quinquennio di record negativi e dal dilagare del phishing (un «rischio ancora elevato» per il 95% delle aziende), la cybersecurity italiana si trova adesso a fronteggiare la sua sfida più importante in casa, dove dai lupi solitari Carmelo Miano e Vincenzo Coviello siamo passati, nel giro di pochissimo, a un «sistema criminale interconnesso che abbraccia la storia recente d’Italia», come si legge nell’informativa depositata in procura dai Carabinieri di Varese nell’ambito dell’inchiesta su Equalize, la società accusata di aver confezionato e rivenduto dossier attingendo alle più importanti banche dati dello Stato.
LA NORMA
Ironico e amaro il fatto che lo scandalo sia deflagrato pochi giorni dopo il recepimento in Italia della Direttiva NIS2, pensata proprio per potenziare la sicurezza informatica a livello europeo. Secondo l’ultima indagine di Tig – The Innovation Group, solo il 7% delle aziende italiane sarebbe conforme alle nuove disposizioni. «La NIS2 porta diversi requisiti aggiuntivi, servirà del tempo prima che le aziende si adeguino. Molte delle realtà che abbiamo intervistato non sapevano neanche di essere investite dalla norma», spiega Elena Vaciago, Research Manager di Tig intervenuta a Roma nell’ambito della nona edizione del Digital Italy Summit, l’appuntamento annuale di Tig che riunisce i maggiori esperti del settore. Il fatto è che la NIS2, pur rappresentando un passo nella giusta direzione, non punta — né è nata per farlo — al cuore del problema: chi controlla i controllori? Consideriamo questo: gli “hacker” di Equalize non hanno “sfondato” i sistemi ma sono entrati con la chiave.
Sempre grazie a quella chiave sono riusciti a iniettare un malware nello Sdi, il database delle Forze dell’Ordine al cui interno sono custoditi alcuni fra i dati più sensibili dello Stato. Per aggirare gli alert che registravano gli accessi, gli operatori hanno lavorato su un backup, cioè una copia del database reindirizzata su un server all’estero. L’esfiltrazione e la consultazione avvenivano perciò in maniera silenziosa, tanto che la banda di via Pattari è entrata nel mirino degli inquirenti quasi per caso, nell’ambito di un’indagine parallel. Fino a quel momento, nessuno si era accorto di nulla.
Il punto quindi non è più tanto doversi difendere dai grandi collettivi hacker o dal dilagare del phishing – tutti fenomeni che la NIS 2 dovrebbe idealmente mitigare — ma prevenire quegli “inside job” perpetrati da chi ha il potere di sottrarre i dati con una mano e cancellare ogni traccia con l’altra.
LA SVOLTA
Ed ecco perché la crescita del 9% degli investimenti aziendali in sicurezza informatica rilevata nel 2024 (nel 2023 era il 7,2%) è un segnale sì importante ma non risolutivo. Nuovi software e team più preparati non cureranno mai la natura umana, specie in un settore “grigio” come quello della cyber. Un settore che, per dirla con Nietzsche, passa tanto di quel tempo a scrutare nell’abisso dei crimini informatici da sentirne prima o poi il richiamo. E allora forse, più che di sicurezza informatica, è arrivato il momento di parlare di sicurezza delle informazioni.
La progressiva concentrazione della vita digitale dei cittadini in poche banche dati pone una sfida che riguarda, prima ancora che la tecnologia, il concetto stesso di democrazia. Perché chi ha accesso a quei database, sottolineano gli inquirenti, può «tenere in pugno cittadini e istituzioni». E diventa quindi vitale per lo Stato stringerne la sorveglianza. Per Ginevra Cerrina Feroni, Vicepresidente del Garante per la Privacy, gli strumenti per farlo ci sono. «È un falso mito che la privacy ostacoli i controlli sui dipendenti. In presenza di attività ritenute sospette, il datore di lavoro può restringere il raggio d’azione dei controlli fino a individuare il dipendente responsabile e procedere con le azioni necessarie del caso (di natura disciplinare, contenziosa, penale)».
C’è chi già invoca nuove “agenzie del dato” con poteri di controllo straordinari su Sdi e altri database sensibili. Attenzione però a non decentralizzare troppo, perché «frazionare le competenze comporta il rischio di inefficienze», precisa Feroni, che auspica piuttosto «un rafforzamento del ruolo di vigilanza del Garante Privacy, una realtà sottodimensionata rispetto alle imponenti sfide che la attendono». In attesa che il governo detti le linee, possiamo intanto ragionare su approcci più trasversali. «Nelle realtà più grandi – spiega Vaciago – ci sono team di intelligence che monitorano i dati rivenduti sul dark web, per controllare che non provengano dalla loro stessa azienda». Parliamo chiaramente di privati con budget importanti, che assoldano esperti di sicurezza informatica per fare controspionaggio. «Questi controlli per le banche esistono già – spiega l’esperto di cybersecurity Stefano Fratepietro – perché non applicarli anche alla pubblica amministrazione?». In fondo «gestiscono il patrimonio dello Stato, dovrebbero comportarsi come privati».
© RIPRODUZIONE RISERVATA
Leave feedback about this