2. “In this digital age, we're experiencing
the weaponization of everything.”
― JAMES SCOTT, SENIOR FELLOW, INSTITUTE FOR CRITICAL INFRASTRUCTURE
3. IL DOMINIO CIBERNETICO
ECOSISTEMA DEL CYBERSPAZIO
- LO SPAZIO CIBERNETICO E’ UN NUOVO DOMINIO OPERATIVO DI
NATURA ARTIFICIALE
- AMBIENTE VIRTUALE, PRIVO DI CONFINI FISICI, UNO SPAZIO
INDEFINITO NEL CUI AMBITO NON PUO’ ESISTERE DIVISIONE
TRA PUBBLICO E PRIVATO, TRA LA SFERA MILITARE E CIVILE
- LO SPAZIO VIRTUALE DOVE OGGI, GRAZIE AL PROGRESSO
TECNOLOGICO OGNI GIORNO SI SCAMBIANO MILIARDI DI
INFORMAZIONI E’ UNO SPAZIO DI COMPETIZIONE ECONOMICA
E GEOPOLITICA
- IL CYBERSPAZIO E’ UN COMPLESSO ECOSISTEMA CHE VIAGGIA
SU TRE LIVELLI
- A) FISICO – INFRASTRUTTURALE
- B) LOGICO-INFORMATIVO
- C) SOCIALE – COGNITIVO
4. Non esiste “un settore in questo momento – anche
molto lontano, come l'agricoltura o altri – che non si
poggi pesantemente sul cyber space”
VULNERABILITA’
5. La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture
critiche vitali di un Paese (trasporti, energia, sanità, etc.).
Critical Infrastructures are systems and assets, whether physical or virtual, so vital
for a state that the incapacity or destruction of such systems and assets would have
a debilitating impact on security, national economic security, national public health
or safety, or any combination of those matters.
US PATRIOT ACTS 2001
INFRASTRUTTURE CRITICHE
6. Costruire lo spazio cibernetico nazionale non è tuttavia
sufficiente. È essenziale proteggerlo dall’incursione di
terzi malintenzionati, per impedire che diventi una terra
di nessuno dove è difficile imporre il rispetto della legge e
dei valori costitutivi dello stato di diritto. Oggi lo spazio
cibernetico è un mare reso pericoloso dalla pirateria.”
DOCUMENTO CONCLUSIVO DELL’INDAGINE
CONOSCITIVA SULLA SICUREZZA E LA DIFESA NELLO
SPAZIO CIBERNETICO
20.12.2017
7. LE MINACCE ALLA SICUREZZA NAZIONALE
Potenziale attacco ai processi democratici: es. elezioni o banche dati PA
Inquinamento opinione pubblica con fake news
sabotaggio a distanza di macchine e dispositivi (centrali elettriche, dicembre nucleari, dighe,
torri di controllo aeroportuali, sistemi di navigazione aerea, nonché fabbriche
altamente automatizzate, che impieghino robot interconnessi, etc.).
Attacchi ad assetti critici nazionali possono produrre danni materiali ad esempio attraverso la
paralisi o l’alterazione di sistemi che regolano il trasporto civile o le reti energetiche o dei
sistemi di comando e controllo militari.
Es. malware “Energetic Bear”, che qualche anno fa colpì più di un migliaio di aziende statunitensi
ed europee attive in campo energetico con l’obiettivo di compromettere il corretto
funzionamento di centrali elettriche, reti di distribuzione del gas e turbine eoliche.
8. Direttiva2008/114/CE sull’identificazione e designazione delle Infrastrutture Critiche Europee e sulla verifica della
necessità di migliorare la loro protezione, attuata in italia con D.Lgs 11 aprile 2011, n 61, prime definizioni di
Infrastruttura Critica e dei Soggetti ricompresi
Gennaio 2013, Decreto Monti (DPCM 24 gennaio 2013), si definiscono le molteplici competenze di settore tra i
diversi attori istituzionali delineando la governance nazionale in materia di cyber security
Febbraio 2017 Direttiva in materia protezione cibernetica e sicurezza informatica nazionali” (cd.“Decreto
Gentiloni”) ove si assicura un maggiore coordinamento tra le diverse strutture istituzionali previste nel nuovo
quadro strategico
maggio 2018 con il D.Lgs. 65/2018 di recepimento della Direttiva 2016/1148 (c.d. “Direttiva NIS”) sono stati
delineati ulteriori interventi di rafforzamento del sistema di sicurezza cibernetica del Paese gli OSE (operatori di
servizi essenziali.
Aprile 2019 Regolamento (UE) 2019/881 d Cybersecurity Act introduce una certificazione europea della sicurezza
cibernetica di hardware e software trasponendo in campo informatico gli stringenti standard già applicati alla
sicurezza fisica dei beni prodotti nella UE. Responsabile delle certificazioni è l’Agenzia europea per la sicurezza delle
reti e dell’informazione (European Network and Information Security Agency, ENISA).
9. 13 Novembre 2019: approvato il Decreto Legge che istituisce il "Perimetro Nazionale della Sicurezza
Cibernetica" (Decreto-legge 105 del 2019)
Nel perimetro saranno presenti tutte le Pubbliche Amministrazioni e tutte le aziende privati che offrono servizi
strategici (telefonia, trasporti ferroviari, fornitura di elettricità ecc).
Gli enti saranno identificati da un Decreto della Presidenza del Consiglio su indicazioni del CISR (Comitato
Interministeriale per la Sicurezza della Repubblica).
I criteri di inclusione nel perimetro sono i seguenti:
◦ il soggetto esercita una funzione essenziale dello Stato;
◦ l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici;
l'interruzione del normale servizio può rappresentare un problema per la sicurezza nazionale.
10. .
LA PRESIDENZA DEL CONSIGLIO DEI MINISTRI E IL MISE INOLTRANO GLI ELENCHI
DIS Dipartimento delle informazioni per la sicurezza, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate
al Nucleo per la sicurezza cibernetica, nonche' all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di
telecomunicazione
ENTRO 6 MESI I SOGGETTI INCLUSI NEL PERIMETRO CIBERNETICO
TRASMETTONO TALI ELENCHI, RISPETTIVAMENTE, ALLA PRESIDENZA DEL CONSIGLIO DEI MINISTRI E AL MINISTERO DELLO SVILUPPO
ECONOMICO
ENTRO 4 MESI SONO DEFINITI I CRITERI CON I QUALI I SOGGETTI INCLUSI NEL PERIMETRO PREDISPONGONO E AGGIORNANO CON
CADENZA ALMENO ANNUALE UN ELENCO DELLE RETI, DEI SISTEMI INFORMATIVI E DEI SERVIZI INFORMATICI
sono definiti , sulla base di un'analisi del rischio e di un criterio di
gradualita' che tenga conto delle specificita' dei diversi settori di
attivita',
all'elaborazione di tali criteri provvede, adottando opportuni moduli
organizzativi, l'organismo tecnico di supporto al CISR, integrato con un
rappresentante della Presidenza del Consiglio dei ministri
11. ENTRO 10 MESI SEMPRE CON DPCM VERRANNO INDIVIDUATE LE
PROCEDURE DI NOTIFICA DEGLI INCIDENTI AVENTI IMPATTO SU
RETI, SISTEMI INFORMATIVI E SERVIZI INFORMATICI
Violazione di
sicurezza
Comunicazione al CSIRT
Computer Security Incident Response Team
Gruppo di intervento per la sicurezza
informatica in caso di incidente
Comunicazione al
DIS
Ministero dell'interno
Presidenza del Consiglio dei Ministri
(se da soggetto pubblico o certificatore
accreditato)
Mise
(se da soggetto privato del perimetro
cibernetico)
12. MISURE DI SICUREZZA
VOLTE A GARANTIRE ELEVATI LIVELLI DI SICUREZZA DELLE RETI, DEI SISTEMI
INFORMATIVI E DEI SERVIZI INFORMATICI
il Ministero dello sviluppo
economico
la Presidenza del Consiglio dei
ministri, d'intesa
con il Ministero della difesa, il
Ministero dell'interno, il
Ministero dell'economia e delle
finanze e il Dipartimento delle
informazioni per la sicurezza
ALLA STRUTTURA ORGANIZZATIVA PREPOSTA ALLA GESTIONE DELLA SICUREZZA, ALLE POLITICHE DI SICUREZZA E ALLA GESTIONE
DEL RISCHIO
MITIGAZIONE E PREVENZIONE DEGLI INCIDENTI
PROTEZIONE DEI DATI
MONITORAGGIO, TEST E CONTROLLO
FORMAZIONE E CONSAPEVOLEZZA
GESTIONE OPERATIVA IVI COMPRESA LA CONTINUITA’ DEL SERVIZIO
LL'AFFIDAMENTO DI FORNITURE DI BENI, SISTEMI E SERVIZI DI INFORMATION AND COMMUNICATION TECHNOLOGY (ICT
13. AFFIDAMENTO
DI FORNITURE BENI E SERVIZI ICT DESTINATI AD ESSERE IMPIEGATI
NELLE RETI, SUI SISTEMI INFORMATIVI E PER L’ESPLETAMENTO DI
SERVIZI INFORMATICI INDIVIDUATI NELL’ELENCO TRASMESSO DALLA
PRESIDENZA E DAL MISE
PROCEDURE MODALITA’ E TERMINI SARANNO INDIVIDUATI CON REGOLAMENTO DCPM ENTRO
10 MESI
COMMITTENTI sono tenuti a dare comunicazione NOTFICA al Centro di valutazione e certificazione
nazionale (CVCN), istituito presso il Ministero dello sviluppo economico
IN 45 GIORNI ( PROGRABILI DI 15 ) IL CVCN PUO’ EFFETTUARE VERIFICHE
PRELIMINARI DA COMPIERE ANCHE IN COLLABORAZIONE CON I
SOGGETTI INCLUSI NEL PERIMETRO CIBERNETICO
14. I COMPITI DEL CVCN
CENTRO DI VALUTAZIONE E CERTIFICAZIONE
NAZIONALE
a) contribuisce all'elaborazione delle misure di sicurezza per l'affidamento di forniture di beni, sistemi e
servizi ICT;
b) , definisce le metodologie di verifica e di test preliminari in caso di affidamento, si potrà avvalere
anche di laboratori dallo stesso accreditati
c) elabora e adotta, previo conforme avviso dell'organismo tecnico di supporto al CISR, schemi di
certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell'Unione
europea, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano
ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica
15. IL SISTEMA SANZIONATORIO
VIENE INSERITO UN ARTICOLATO SISTEMA SANZIONATORIO
PER I CASI DI VIOLAZIONE DEGLI OBBLIGHI PREVISTI
LE SANZIONI VENGONO IRROGATE DALLA PRESIDENZA DEL CONSIGLIO PER I SOGGETTI
PUBBLICI, DAL MINISTERO DELLO SVILUPPO ECONOMICO SE I TRASGRESSORI SONO PRIVATI.
VIENE INTRODOTTA UNA NUOVA FATTISPECIE DI
RESPONSABILITA PENALE EX ART. 231/2011
16. il mancato adempimento degli obblighi di predisposizione e di aggiornamento dell'elenco delle reti, dei sistemi informativi e dei servizi informatici è punito
con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000;
il mancato adempimento dell'obbligo di notifica relative agli incidenti con impatto sulle reti nei termini prescritti, è punito con la sanzione amministrativa
pecuniaria da euro 250.000 a euro 1.500.000;
l'inosservanza delle misure predisposte per garantire elevati livelli di sicurezza delle reti dei sistemi informativi e informatici è punita con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
la mancata comunicazione da parte dei soggetti che intendono procedere all'affidamento di forniture di beni e servizi ITC nei termini prescritti, è punita con la
sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;
l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in violazione delle
condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione, è punito con la sanzione amministrativa pecuniaria da
euro 300.000 a euro 1.800.000;
la mancata collaborazione per l'effettuazione delle attività di test è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attività di
ispezione e verifica è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
il mancato rispetto delle prescrizioni relative alle metodologie di test e di verifica, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro
1.500.000;
l'impiego di prodotti e di servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici in assenza della
comunicazione o del superamento dei test o nel mancato rispetto delle condizioni previste comporta anche l'applicazione
della sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle
persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione.
Sanzioni amministrative
17. NUOVA FATTISPECIE DI REATO
Chiunque,
allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2,
lettera b) (trasmissione e formazione dei criteri di inclusione nel perimetro e di predisposizione
degli elenchi), o al comma 6, lettera a), o delle attivita' ispettive e di vigilanza previste dal
comma 6, lettera c),
fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la
predisposizione o l'aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle
comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attivita' ispettive e di
vigilanza di cui al comma 6), lettera c)
od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di
fatto, e' punito con la reclusione da uno a tre anni [e all'ente, responsabile ai sensi del decreto
legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a quattrocento quote]
18. DISCIPLINA DI RACCORDO CON I
SOGGETTI DELLA NORMATIVA NIS
In ipotesi di sovrapposizione degli operatori dei servizi essenziali già soggetti alla Direttiva NIS,
essi dovranno continuare a ottemperare alle disposizioni previste dalla Direttiva stessa, integrando,
ove previsto le disposizioni individuate dal perimetro di sicurezza nazionale cibernetica.
La responsabilità di attuazione e vigilanza, per quanto riguarda il perimetro, sono condivise dal
Ministero per lo Sviluppo economico (per quanto concerne le attività che coinvolgono attori privati)
e dalla Presidenza del Consiglio (per le attività che coinvolgono il settore pubblico).
Lo “spazio cibernetico” rappresenta un nuovo dominio operativo di natura artificiale, trasversale agli altri quattro domini tradizionali (dominio terrestre, dominio aereo, dominio marittimo, dominio spaziale), nel quale gli esseri umani, e nel prossimo futuro verosimilmente anche le intelligenze artificiali, possono agire e interagire a distanza.
Un dominio di importanza strategica per lo sviluppo economico, sociale e culturale dei diversi Paesi ma al contempo un nuovo “spazio virtuale” di competizione economica e geopolitica per l’ampiezza dei settori che ne sono coinvolti.
Grazie ai progressi delle tecnologie di comunicazione e l’impiego diffuso di dispositivi elettronici e di monitoraggio si intrecciano quotidianamente nello spazio cibernetico miliardi di interconnessioni, si scambiano conoscenze a livello globale e viene raccolto un gigantesco numero di dati e di informazioni compresi quelli di natura personale e sensibile (c.d. big data).
La dimensione cibernetica è pertanto generata dalla ramificatissima rete di infrastrutture materiali di collegamento e di comunicazione che, attraverso la tecnologia informatica, mettono in contatto tra loro un crescente numero di esseri umani e permettono loro di attivare e controllare da ubicazioni remote macchine e apparati in tutto il mondo.
Un ecosistema complesso nel cui ambito gli esperti della materia[1] sono soliti distinguere i seguenti tre livelli essenziali: : il livello fisico infrastrutturale, rappresentato dalle macchine (le architetture delle reti, i computer, i router...); il livello logico informativo rappresentato dal volume dei dati gestiti dalle macchine (database, file, ma anche software gestiti dalle macchine); il livello sociale cognitivo, ovvero l’insieme delle relazioni umane e delle caratteristiche socio-cognitive che possono costituire le identità virtuali (l’indirizzo e-mail, il profilo nei social network, gli indirizzi IP delle macchine).
ervizi economici e finanziari, sistemi di comando e controllo militare, sistemi di fornitura di energia elettrica o acqua, l’assistenza sanitaria, le telecomunicazioni, dispositivi fisici con cui interagiamo giornalmente sono controllati da sistemi informatici.
Nello scenario di un futuro prossimo, osservano inoltre gli analisti, la diffusione di registri distribuiti in grado di registrare e gestire transazioni di vario tipo (Blockchain), di criptovalute (come Bitcoin, LiteCoin, Ether e Ripple), di sistemi di Artificial Intelligence (AI) e di smart cities (o città intelligenti) contribuirà ad un ulteriore ampliamento del dominio cibernetico e di conseguenza della superficie di attacco.
In quanto dominio artificiale il dominio cibernetico presenta, delle “vulnerabilità” ovvero dei punti di debolezza attraverso i quali è possibile acquisire illegalmente dati e informazioni che “transitano” nello spazio cibernetico ovvero compromettere in tutto o in parte il funzionamento di servizi e sistemi digitali.
Le vulnerabilità del dominio cibernetico rappresentano pertanto il rovescio della medaglia del progresso tecnologico ed informatico.
Di difficile individuazione e classificazione tali “fratture” del sistema informatico possono dipendere sia da fattori tecnici congeniti al software applicativo, sia dal mancato o non corretto funzionamento dei sistemi di protezione.
Al riguardo, nel Documento conclusivo dell’indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico, condotta dalla Commissione difesa della Camera dei Deputati nella XVII legislatura si analizzano le cause delle diverse vulnerabilità e al contempo si sottolinea l’esigenza di disporre di materiali tecnologicamente certificati più facilmente controllabili e monitorabili, con particolare riferimento alla fornitura di materiale militare
La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). In generale, la stessa stabilità e sicurezza di un Paese possono essere gravemente pregiudicate da attacchi malevoli nello spazio cibernetico che colpiscano gangli o procedimenti vitali dell’amministrazione o della vita democratica: si pensi a cosa accadrebbe in caso di manipolazione di anagrafi elettorali interamente informatizzate o di programmi software di elaborazione dei risultati elettorali comunicati dai seggi al Ministero
dell’interno. In generale, si pensi a cosa comporterebbe in termini di ordine pubblico la distruzione o perfino l’alterazione profonda ma impercettibile delle memorie giuridiche custodite nelle banche dati di amministrazioni pubbliche e private (anagrafi, catasti, banche, casellari giudiziari, etc.).
Tra le infrastrutture strategiche va compreso il sistema delle comunicazioni private (viamail, telefono, network di relazioni sociali) e dell’informazione, che sono vitali per la formazione delle opinioni individuali e dell’opinione pubblica, le quali a loro volta sono il motore dei comportamenti individuali, compresi quelli che stanno al cuore di una società democratica: le scelte elettorali. La diffusione di notizie o documenti riservati se non addirittura classificati carpiti e divulgati da pirati informatici (magari al soldo di potenze straniere ostili) può interferire nella vita pubblica di un Paese, in ipotesi anche alterando il risultato di competizioni elettorali. Effetti simili
potrebbe avere in teoria il sistematico inquinamento dei siti di informazione pubblica o di relazioni sociali (tipo Facebook) attraverso l’immissione di fandonie, notizie false e tendenziose (fake news).
Basti pensare alle sospettate interferenze di Paesi stranieri nello spazio dei media di relazionesociale attraverso la diffusione a pioggia di notizie false concepite ad arte per condizionare i votantiverso determinate scelte di voto oppure alle notizie classificate carpite e poi divulgate da pirati informatici dietro ai quali potrebbero nascondersi centri di intelligence di Paesi ostili. Oppure si pensi alle potenzialità del cosiddetto dossieraggio: è oggi tecnicamente possibile perlustrare la reteinternet per rinvenirvi in modo sistematico ogni informazione disponibile su una data persona, così da creare un profilo individuale in cui la conoscenza di ogni dettaglio illumina quella degli altri.
A parte i disservizi, l’aggressione cibernetica è atta a provocare danni materiali paragonabili a quelli di guerra, mediante il sabotaggio a distanza di macchine e dispositivi (centrali elettriche La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). In generale, la stessa stabilità e sicurezza di un Paese possono essere gravemente pregiudicate da attacchi malevoli nello spazio cibernetico che colpiscano gangli o procedimenti vitali dell’amministrazione o della vita democratica: si pensi a
cosa accadrebbe in caso di manipolazione di anagrafi elettorali interamente informatizzate o di programmi software di elaborazione dei risultati elettorali comunicati dai seggi al Ministero dell’interno. In generale, si pensi a cosa comporterebbe in termini di ordine pubblico la distruzione o perfino l’alterazione profonda ma impercettibile delle memorie giuridiche custodite nelle banche
dati di amministrazioni pubbliche e private (anagrafi, catasti, banche, casellari giudiziari, etc.).
Tra le infrastrutture strategiche va compreso il sistema delle comunicazioni private (viamail, telefono, network di relazioni sociali) e dell’informazione, che sono vitali per la formazione delle opinioni individuali e dell’opinione pubblica, le quali a loro volta sono il motore dei comportamenti individuali, compresi quelli che stanno al cuore di una società democratica: le scelte elettorali. La diffusione di notizie o documenti riservati se non addirittura classificati carpiti e divulgati da pirati informatici (magari al soldo di potenze straniere ostili) può interferire nella vita pubblica di un Paese, in ipotesi anche alterando il risultato di competizioni elettorali. Effetti simili
potrebbe avere in teoria il sistematico inquinamento dei siti di informazione pubblica o di relazioni sociali (tipo Facebook) attraverso l’immissione di fandonie, notizie false e tendenziose (fake news).
Basti pensare alle sospettate interferenze di Paesi stranieri nello spazio dei media di relazione
sociale attraverso la diffusione a pioggia di notizie false concepite ad arte per condizionare i votanti
verso determinate scelte di voto oppure alle notizie classificate carpite e poi divulgate da pirati
informatici dietro ai quali potrebbero nascondersi centri di intelligence di Paesi ostili. Oppure si
pensi alle potenzialità del cosiddetto dossieraggio: è oggi tecnicamente possibile perlustrare la rete
internet per rinvenirvi in modo sistematico ogni informazione disponibile su una data persona, così
da creare un profilo individuale in cui la conoscenza di ogni dettaglio illumina quella degli altri.
L’operazione è possibile anche su scala nazionale. È cioè possibile delineare il profilo di ogni
cittadino di un intero Paese. Farlo per 56 milioni di italiani – come emerso dall’indagine conoscitiva
– non sarebbe un problema. Non servirebbe né grande capacità computazionale, né uno storage
particolare.
A parte i disservizi, l’aggressione cibernetica è atta a provocare danni materiali paragonabili
a quelli di guerra, mediante il sabotaggio a distanza di macchine e dispositivi (centrali elettriche,
dicembre 2017 – 51 –
7
nucleari, dighe, torri di controllo aeroportuali, sistemi di navigazione aerea, nonché fabbriche
altamente automatizzate, che impieghino robot interconnessi, etc.). Attacchi ad assetti critici
nazionali possono produrre danni materiali ad esempio attraverso la paralisi o l’alterazione di
sistemi che regolano il trasporto civile o le reti energetiche o dei sistemi di comando e controllo
militari. Un esempio in tal senso è il malware “Energetic Bear”, che qualche anno fa colpì più di un
migliaio di aziende statunitensi ed europee attive in campo energetico con l’obiettivo di
compromettere il corretto funzionamento di centrali elettriche, reti di distribuzione del gas e turbine
eoliche. L’attacco fu portato attraverso l’intrusione da remoto nei sistemi di controllo industriale
(ICS).
Ciò significa che, dal punto di vista militare, la tecnologia ITC (Information and
Communications Technology), potendo essere utilizzata per scopi offensivi assimilabili a quelli
dell’attacco armato convenzionale, deve essere guardata come una possibile arma. Occorre in altre
parole cominciare a considerare le dinamiche del mondo cibernetico dal punto di vista militare. Una
volta chiarito che è possibile usare la cibernetica come arma, si pongono per essa le stesse questioni
che riguardano ogni altra tipologia di arma (carri armati, navi, aerei): servono regole di ingaggio per
il suo utilizzo e cornici normative per stabilire chi, quando e come può decidere di impiegarla.
Anche quando non attacchi infrastrutture critiche, ma, per motivazioni di mero lucro
criminale, punti su imprese e famiglie, l’aggressione cibernetica - se massiccia e sistematica -
investe l’intero sistema Paese, assurgendo al grado di minaccia alla sicurezza nazionale. Senza
protezione, le aziende sono esposte - oltre che a truffe e a ricatti, con conseguente aggravio dei costi
d’impresa - a spionaggio industriale, che sfrutta le vulnerabilità dei sistemi informatici per sottrarre,
spesso senza che l’attaccato ne abbia consapevolezza, il frutto del lavoro di ricerca aziendale. La
singola impresa non può d’altra parte difendersi da sola. L’azienda che opera su internet entra in
relazione con altri soggetti: clienti, fornitori, etc. Oltre un certo livello, le relazioni sono mediate
dalle macchine, avvengono cioè da macchina a macchina, con la conseguenza che è sufficiente
attaccare con successo una piccola società fornitrice per arrivare a colpire la società grande. Non
solo singoli attacchi di massicce proporzioni ad aziende nazionali, ma anche plurimi e continui
attacchi di piccola scala a cittadini e aziende di un Paese rappresentano un attacco al sistema Paese,
in quanto ostacolano il passaggio e la trasformazione tecnologica dell’economia e spingono quanti
vogliono innovare e rapportarsi ai mercati mondiali ad abbandonare il Paese o a non mettervi piede.
La resilienza del sistema Paese può essere ottenuta solo con uno sforzo diffuso e congiunto. Come
per i vaccini, la difesa della comunità passa attraverso l’immunizzazione dei singoli: in questo caso,
attraverso la protezione delle famiglie, delle imprese, delle pubbliche amministrazioni e di tutti i
soggetti attivi in rete. L’onere di trovare risposte alle sfide del ciberspazio non può ricadere sulle
sole istituzioni pubbliche. Non può essere lo Stato a proteggere famiglie e imprese. Spetta però allo
Stato rendere la popolazione consapevole del rischio, promuovere e stimolare l’adozione di
comportamenti virtuosi di protezione cibernetica e istituire architetture istituzionali preposte. Se un
Paese non protegge il suo spazio cibernetico anche privato è destinato a venire emarginato dal
mercato del futuro.
È chiaro, quindi, che la protezione dello spazio cibernetico è presupposto indefettibile non
solo della prosperità economica, ma più in generale dell’indipendenza non solo economica ma
anche politica di un Paese. Che, come tale, deve essere considerata una priorità strategica assoluta
del sistema Paese. Per questo non è immaginabile che la protezione dello spazio cibernetico sia
affidata a privati o a stranieri. Discorso analogo può farsi per la produzione di hardware e software.
Chi mette in sicurezza i sistemi informatici o li produce ha le chiavi di accesso a quei sistemi o a
quei prodotti. La protezione dello spazio cibernetico nazionale è quindi una responsabilità
necessariamente pubblica, che nessuno Stato può delegare. Non per nulla praticamente tutti i Paesi
avanzati stanno portando avanti una strategia nazionale nel campo di sicurezza e difesa
cibernetiche.
Lo spazio cibernetico è la dimensione globale nella quale opera ormai tutta l’economia
avanzata. Non c’è settore economico che non si stia spostando sulla rete. Il movente è l’enorme
incremento di efficienza e produttività. La tecnologia internet provider (IP), basata su internet, ha
fruttato alle aziende al contempo fortissime contrazioni dei costi di produzione e allargamento dei
mercati. È facilmente prevedibile che il dominio dell’informatica nelle attività economiche si
rafforzerà nel futuro e che le società che non sapranno trasformare le proprie economie al passo con
questa rivoluzione saranno destinate a restare isolate, emarginate dal mondo più industrializzato, e a
diventare “il terzo mondo del terzo millennio”. Se l’Italia non si terrà al passo con la rivoluzione
informatica inevitabilmente andrà incontro a un processo di deindustrializzazione e a una fuga di
aziende e di cervelli. La costruzione dello spazio cibernetico – cioè dell’infrastruttura che permette
a cittadini, imprese, enti pubblici, organizzazioni private, di agire (azionando dispositivi e
macchine) e di interagire a distanza mediante la tecnologia informatica – deve essere quindi
considerata una delle massime priorità strategiche del sistema Paese.
Costruire lo spazio cibernetico nazionale non è tuttavia sufficiente. È essenziale proteggerlo
dall’incursione di terzi malintenzionati, per impedire che diventi una terra di nessuno dove è
difficile imporre il rispetto della legge e dei valori costitutivi dello stato di diritto. Oggi lo spazio
cibernetico è un mare reso pericoloso dalla pirateria. Il 2004 è stato, sotto quest’aspetto, l’anno di
svolta. Prima di allora la pirateria informatica consisteva soprattutto in uno sfoggio di abilità fine a
se stesso da parte di esperti che non miravano al profitto; negli anni seguenti si è assistito invece a
una crescita esponenziale di azioni malevole per scopi criminali, di lotta politica, di posizionamento
geostrategico.
La rivoluzione informatica ha permesso all’economia e alla società in generale, di
beneficiare di vantaggi straordinari in termini di aumento della produttività del lavoro umano e di
allargamento della rete di comunicazione, ma nel contempo le ha anche esposte a rischi del tutto
nuovi e peculiari, a cominciare dal rischio di intrusione e manipolazione da parte di terzi, ossia di
soggetti diversi dal legittimo proprietario e principale utilizzatore di un’infrastruttura o di una
macchina. Il rischio nasce dal fatto che la tecnologia in questione presenta inevitabilmente delle
“vulnerabilità”: metaforicamente possono essere immaginate come “porte” che consentono a
estranei di penetrare all’interno dei nostri sistemi informatici, valicando le “mura” di difesa che
abbiamo eretto per assicurarcene l’uso esclusivo, e di prenderne il comando (se sono o servono
macchine) o di conoscerne e modificarne il contenuto (se sono documenti o memorie di dati). Le
vulnerabilità non sono note o riconoscibili in anticipo, anche perché chi concepisce la macchina o l’infrastruttura non si cura principalmente di proteggerla dall’intromissione di terzi. Non può
nemmeno escludersi che “porte” di questo tipo vengano applicate intenzionalmente, di nascosto
all’acquirente, dal produttore di un software o di un componente hardware impiegati nella
fabbricazione del prodotto finito. Di qui il problema strategico della sicurezza degli
approvvigionamenti.
La protezione del proprio spazio cibernetico (la cyber-sicurezza) è essenziale per un Paese e
deve procedere di pari passo con la costruzione di quello spazio. Nessuno, infatti, è immune dal
rischio. Sfruttando i dispositivi con collegamento in rete – sempre più diffusi anche nelle case (dai
televisori di ultima generazione a certi giocattoli per bambini, passando per le telecamere di
sorveglianza attivabili da remoto) – è possibile a terzi ostili non solo spiare quel che avviene nello
spazio privato domestico o lavorativo, ma anche prendere il controllo di dispositivi e macchinari
altrui, dirottandone l’azione, visionare dati riservati (telefonici, di posta elettronica, etc.) oppure
distruggere memorie o sequestrarle a scopo di ricatto (rendendole indisponibili al legittimo titolare).
Non è indispensabile che un dispositivo sia connesso a internet. È sufficiente che utilizzi una
tecnologia IP: così un computer portatile scollegato dalla rete è attaccabile se viene connesso a una
memoria esterna (memory stick) o a un’interfaccia USB (Universal Serial Bus) che sia stata a sua
volta “infettata” da software maligno, magari all’insaputa del proprietario, dopo essere stata
collegata a una rete. In generale, con l’espansione della cosiddetta “internet delle cose”, nello
scenario di un futuro prossimo nel quale sempre più oggetti di uso comune saranno interconnessi, il
livello di esposizione alla minaccia cresce a dismisura.
In allegato si riporta un approfondimento delle richiamate definizioni
In quanto dominio artificiale il dominio cibernetico presenta, delle “vulnerabilità” ovvero dei punti di debolezza attraverso i quali è possibile acquisire illegalmente dati e informazioni che “transitano” nello spazio cibernetico ovvero compromettere in tutto o in parte il funzionamento di servizi e sistemi digitali.
Le vulnerabilità del dominio cibernetico rappresentano pertanto il rovescio della medaglia del progresso tecnologico ed informatico.
Di difficile individuazione e classificazione tali “fratture” del sistema informatico possono dipendere sia da fattori tecnici congeniti al software applicativo, sia dal mancato o non corretto funzionamento dei sistemi di protezione.
Al riguardo, nel Documento conclusivo dell’indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico, condotta dalla Commissione difesa della Camera dei Deputati nella XVII legislatura si analizzano le cause delle diverse vulnerabilità e al contempo si sottolinea l’esigenza di disporre di materiali tecnologicamente certificati più facilmente controllabili e monitorabili, con particolare riferimento alla fornitura di materiale militare
La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). In generale, la stessa stabilità e sicurezza di un Paese possono essere gravemente pregiudicate da attacchi malevoli nello spazio cibernetico che colpiscano gangli o procedimenti vitali dell’amministrazione o della vita democratica: si pensi a cosa accadrebbe in caso di manipolazione di anagrafi elettorali interamente informatizzate o di programmi software di elaborazione dei risultati elettorali comunicati dai seggi al Ministero
dell’interno. In generale, si pensi a cosa comporterebbe in termini di ordine pubblico la distruzione o perfino l’alterazione profonda ma impercettibile delle memorie giuridiche custodite nelle banche dati di amministrazioni pubbliche e private (anagrafi, catasti, banche, casellari giudiziari, etc.).
Tra le infrastrutture strategiche va compreso il sistema delle comunicazioni private (viamail, telefono, network di relazioni sociali) e dell’informazione, che sono vitali per la formazione delle opinioni individuali e dell’opinione pubblica, le quali a loro volta sono il motore dei comportamenti individuali, compresi quelli che stanno al cuore di una società democratica: le scelte elettorali. La diffusione di notizie o documenti riservati se non addirittura classificati carpiti e divulgati da pirati informatici (magari al soldo di potenze straniere ostili) può interferire nella vita pubblica di un Paese, in ipotesi anche alterando il risultato di competizioni elettorali. Effetti simili
potrebbe avere in teoria il sistematico inquinamento dei siti di informazione pubblica o di relazioni sociali (tipo Facebook) attraverso l’immissione di fandonie, notizie false e tendenziose (fake news).
Basti pensare alle sospettate interferenze di Paesi stranieri nello spazio dei media di relazionesociale attraverso la diffusione a pioggia di notizie false concepite ad arte per condizionare i votantiverso determinate scelte di voto oppure alle notizie classificate carpite e poi divulgate da pirati informatici dietro ai quali potrebbero nascondersi centri di intelligence di Paesi ostili. Oppure si pensi alle potenzialità del cosiddetto dossieraggio: è oggi tecnicamente possibile perlustrare la reteinternet per rinvenirvi in modo sistematico ogni informazione disponibile su una data persona, così da creare un profilo individuale in cui la conoscenza di ogni dettaglio illumina quella degli altri.
A parte i disservizi, l’aggressione cibernetica è atta a provocare danni materiali paragonabili a quelli di guerra, mediante il sabotaggio a distanza di macchine e dispositivi (centrali elettriche La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). In generale, la stessa stabilità e sicurezza di un Paese possono essere gravemente pregiudicate da attacchi malevoli nello spazio cibernetico che colpiscano gangli o procedimenti vitali dell’amministrazione o della vita democratica: si pensi a
cosa accadrebbe in caso di manipolazione di anagrafi elettorali interamente informatizzate o di programmi software di elaborazione dei risultati elettorali comunicati dai seggi al Ministero dell’interno. In generale, si pensi a cosa comporterebbe in termini di ordine pubblico la distruzione o perfino l’alterazione profonda ma impercettibile delle memorie giuridiche custodite nelle banche
dati di amministrazioni pubbliche e private (anagrafi, catasti, banche, casellari giudiziari, etc.).
Tra le infrastrutture strategiche va compreso il sistema delle comunicazioni private (viamail, telefono, network di relazioni sociali) e dell’informazione, che sono vitali per la formazione delle opinioni individuali e dell’opinione pubblica, le quali a loro volta sono il motore dei comportamenti individuali, compresi quelli che stanno al cuore di una società democratica: le scelte elettorali. La diffusione di notizie o documenti riservati se non addirittura classificati carpiti e divulgati da pirati informatici (magari al soldo di potenze straniere ostili) può interferire nella vita pubblica di un Paese, in ipotesi anche alterando il risultato di competizioni elettorali. Effetti simili
potrebbe avere in teoria il sistematico inquinamento dei siti di informazione pubblica o di relazioni sociali (tipo Facebook) attraverso l’immissione di fandonie, notizie false e tendenziose (fake news).
Basti pensare alle sospettate interferenze di Paesi stranieri nello spazio dei media di relazione
sociale attraverso la diffusione a pioggia di notizie false concepite ad arte per condizionare i votanti
verso determinate scelte di voto oppure alle notizie classificate carpite e poi divulgate da pirati
informatici dietro ai quali potrebbero nascondersi centri di intelligence di Paesi ostili. Oppure si
pensi alle potenzialità del cosiddetto dossieraggio: è oggi tecnicamente possibile perlustrare la rete
internet per rinvenirvi in modo sistematico ogni informazione disponibile su una data persona, così
da creare un profilo individuale in cui la conoscenza di ogni dettaglio illumina quella degli altri.
L’operazione è possibile anche su scala nazionale. È cioè possibile delineare il profilo di ogni
cittadino di un intero Paese. Farlo per 56 milioni di italiani – come emerso dall’indagine conoscitiva
– non sarebbe un problema. Non servirebbe né grande capacità computazionale, né uno storage
particolare.
A parte i disservizi, l’aggressione cibernetica è atta a provocare danni materiali paragonabili
a quelli di guerra, mediante il sabotaggio a distanza di macchine e dispositivi (centrali elettriche,
dicembre 2017 – 51 –
7
nucleari, dighe, torri di controllo aeroportuali, sistemi di navigazione aerea, nonché fabbriche
altamente automatizzate, che impieghino robot interconnessi, etc.). Attacchi ad assetti critici
nazionali possono produrre danni materiali ad esempio attraverso la paralisi o l’alterazione di
sistemi che regolano il trasporto civile o le reti energetiche o dei sistemi di comando e controllo
militari. Un esempio in tal senso è il malware “Energetic Bear”, che qualche anno fa colpì più di un
migliaio di aziende statunitensi ed europee attive in campo energetico con l’obiettivo di
compromettere il corretto funzionamento di centrali elettriche, reti di distribuzione del gas e turbine
eoliche. L’attacco fu portato attraverso l’intrusione da remoto nei sistemi di controllo industriale
(ICS).
Ciò significa che, dal punto di vista militare, la tecnologia ITC (Information and
Communications Technology), potendo essere utilizzata per scopi offensivi assimilabili a quelli
dell’attacco armato convenzionale, deve essere guardata come una possibile arma. Occorre in altre
parole cominciare a considerare le dinamiche del mondo cibernetico dal punto di vista militare. Una
volta chiarito che è possibile usare la cibernetica come arma, si pongono per essa le stesse questioni
che riguardano ogni altra tipologia di arma (carri armati, navi, aerei): servono regole di ingaggio per
il suo utilizzo e cornici normative per stabilire chi, quando e come può decidere di impiegarla.
Anche quando non attacchi infrastrutture critiche, ma, per motivazioni di mero lucro
criminale, punti su imprese e famiglie, l’aggressione cibernetica - se massiccia e sistematica -
investe l’intero sistema Paese, assurgendo al grado di minaccia alla sicurezza nazionale. Senza
protezione, le aziende sono esposte - oltre che a truffe e a ricatti, con conseguente aggravio dei costi
d’impresa - a spionaggio industriale, che sfrutta le vulnerabilità dei sistemi informatici per sottrarre,
spesso senza che l’attaccato ne abbia consapevolezza, il frutto del lavoro di ricerca aziendale. La
singola impresa non può d’altra parte difendersi da sola. L’azienda che opera su internet entra in
relazione con altri soggetti: clienti, fornitori, etc. Oltre un certo livello, le relazioni sono mediate
dalle macchine, avvengono cioè da macchina a macchina, con la conseguenza che è sufficiente
attaccare con successo una piccola società fornitrice per arrivare a colpire la società grande. Non
solo singoli attacchi di massicce proporzioni ad aziende nazionali, ma anche plurimi e continui
attacchi di piccola scala a cittadini e aziende di un Paese rappresentano un attacco al sistema Paese,
in quanto ostacolano il passaggio e la trasformazione tecnologica dell’economia e spingono quanti
vogliono innovare e rapportarsi ai mercati mondiali ad abbandonare il Paese o a non mettervi piede.
La resilienza del sistema Paese può essere ottenuta solo con uno sforzo diffuso e congiunto. Come
per i vaccini, la difesa della comunità passa attraverso l’immunizzazione dei singoli: in questo caso,
attraverso la protezione delle famiglie, delle imprese, delle pubbliche amministrazioni e di tutti i
soggetti attivi in rete. L’onere di trovare risposte alle sfide del ciberspazio non può ricadere sulle
sole istituzioni pubbliche. Non può essere lo Stato a proteggere famiglie e imprese. Spetta però allo
Stato rendere la popolazione consapevole del rischio, promuovere e stimolare l’adozione di
comportamenti virtuosi di protezione cibernetica e istituire architetture istituzionali preposte. Se un
Paese non protegge il suo spazio cibernetico anche privato è destinato a venire emarginato dal
mercato del futuro.
È chiaro, quindi, che la protezione dello spazio cibernetico è presupposto indefettibile non
solo della prosperità economica, ma più in generale dell’indipendenza non solo economica ma
anche politica di un Paese. Che, come tale, deve essere considerata una priorità strategica assoluta
del sistema Paese. Per questo non è immaginabile che la protezione dello spazio cibernetico sia
affidata a privati o a stranieri. Discorso analogo può farsi per la produzione di hardware e software.
Chi mette in sicurezza i sistemi informatici o li produce ha le chiavi di accesso a quei sistemi o a
quei prodotti. La protezione dello spazio cibernetico nazionale è quindi una responsabilità
necessariamente pubblica, che nessuno Stato può delegare. Non per nulla praticamente tutti i Paesi
avanzati stanno portando avanti una strategia nazionale nel campo di sicurezza e difesa
cibernetiche.
CSIRT: Computer Security Incident Response Team
DIS: Dipartimento Informazioni sulla Sicurezza
Ministero dell'interno: organo preposto alla regolarità dei servizi di telecomunicazione
Presidenza del Consiglio dei Ministri: se le notifiche degli incidenti giungano da un soggetto pubblico - o da un soggetto fornitore di servizi fiduciari qualificati o svolgente l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale
Mise: se le notifiche giungano da un soggetto privato del perimetro di sicurezza nazionale cibernetica
CSIRT: Computer Security Incident Response Team
DIS: Dipartimento Informazioni sulla Sicurezza
Ministero dell'interno: organo preposto alla regolarità dei servizi di telecomunicazione
Presidenza del Consiglio dei Ministri: se le notifiche degli incidenti giungano da un soggetto pubblico - o da un soggetto fornitore di servizi fiduciari qualificati o svolgente l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale
Mise: se le notifiche giungano da un soggetto privato del perimetro di sicurezza nazionale cibernetica
CSIRT: Computer Security Incident Response Team
DIS: Dipartimento Informazioni sulla Sicurezza
Ministero dell'interno: organo preposto alla regolarità dei servizi di telecomunicazione
Presidenza del Consiglio dei Ministri: se le notifiche degli incidenti giungano da un soggetto pubblico - o da un soggetto fornitore di servizi fiduciari qualificati o svolgente l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale
Mise: se le notifiche giungano da un soggetto privato del perimetro di sicurezza nazionale cibernetica