Negli ultimi anni, abbiamo assistito a un’accelerazione dello sviluppo di entità destinate a combattere le minacce cibernetiche e a gestire gli incidenti di sicurezza cyber – note sotto l’acronimo di CERT – ma anche a una crescita, quantomeno a livello statistico, del numero di esperti in questo campo.
In modo evidente, questo fenomeno è la risposta delle nostre società a quanto avviene mediamente online, sia tenendo conto della crescita dell’uso delle tecnologie in tutte le attività della vita, sia nell’intento di frenare le evoluzioni spettacolari degli attacchi cibernetici registrati a livello planetare.
In modo prevalente nel settore statale, ma anche nel privato, la creazione di strutture di tipo CERT e l’ingaggio di personale altamente specializzato nelle discipline connesse al campo della sicurezza cibernetica dovrebbe fornire una risposta adeguata ai più sofisticati attacchi cibernetici che possono essere generati da qualsivoglia tipo di attore, indifferentemente dalle motivazioni e dalle risorse che quest’ultimo ha a sua disposizione.
Ma tutte queste strutture e la loro pleiade di esperti, presenti nello spazio pubblico, hanno davvero le capacità di fornire i risultati attesi?
Se ci atteniamo ai messaggi proposti in quasi tutte le ricerche, articoli o conferenze di settore dell’ultimo periodo, personalmente considero che siano in maggioranza mancanti di proporzionalità rispetto al reale livello di rischio: sovente troppo allarmanti e quasi sempre sprovvisti di soluzioni adatte al grande pubblico oppure alle nicchie di pubblico alle quali sono indirizzati.
Secondo la mia esperienza, posso affermare che il livello di pericolo generato oggi dagli attacchi cibernetici è ancora ben al di sotto del livello critico che potrebbe generare effetti devastanti, mentre è proprio con questo ultimo vocabolo che spesso ci viene presentato il quadro d’insieme della sicurezza della rete e delle tecnologie in generale.
Per sostenere la mia tesi, mi rapporto semplicemente alla crescita evidente e sempre più rapida dei diversi servizi online proposti, sia da parte dei governi, sia dal mondo degli affari. Ora, semplicemente, se i rischi fossero davvero più grandi delle opportunità, gli investimenti di sviluppo di nuovi servizi online sarebbero completamente inefficienti.
Nello stesso tempo, l’evoluzione costante delle complessità degli attacchi cibernetici, così come dei risultati ottenuti dagli attaccanti, pongono seri problemi alle comunità specializzate nel campo della sicurezza cibernetica, sia dal punto di vista della tutela della sicurezza del cittadino utilizzatore di tecnologie e di servizi online, sia dal punto di vista dei governi che devono assicurare le condizioni necessarie al funzionamento delle infrastrutture critiche in condizioni di sicurezza, senza dimenticare il punto di vista delle compagnie private fornitrici di tecnologie o di servizi in questo campo.
Non è mia intenzione in questa sede sostenere le mie affermazioni riproponendo dati statistici o descrizioni di attacchi cibernetici estremamente distruttivi degli ultimi mesi, perché vi sono sufficienti risorse online specializzate in questo campo al quale il lettore può fare riferimento. In cambio vorrei cercare di sintetizzare quelle che considero le gravi mancanze di oggi al livello globale, per continuare a far prevalere un’attitudine di sicurezza e di trust nelle tecnologie sulle minacce di qualsivoglia natura e soprattutto sul panico generale che si avverte ogni volta che avviene un fatto pericoloso online, spesso senza essere stato previsto da nessuno.
Non sostengo qui una visione messianica su quello che dovrebbe essere messo in atto nel campo della sicurezza cibernetica, bensì tento di mettere in evidenza il fatto che, pur facendo passi avanti in questa direzione come l’adozione di regolamentazioni, la costituzione di strutture specializzate ecc., i risultati reali si lasciano ancora aspettare mentre il potenziale che un’Armageddon cibernetico possa manifestarsi in un contesto generale di crisi globale diventa sempre più probabile.
In questo testo, vorrei soffermarmi sulle strutture di tipo CERT e sulle ragioni per le quali considero che, in generale, non abbiano raggiunto un grado di maturità necessario per rispondere alla situazione reale con la quale essi si confrontano online.
E qui parliamo sia di entità di tipo CERT governativi, sia private, tutte create con un singolo obiettivo generico: elevare il grado di resilienza delle infrastrutture ed assicurare la sicurezza delle informazioni veicolate dalle stesse, includendo anche le funzionalità vitali assicurate tramite le tecnologie nel quadro delle infrastrutture critiche.
Questo tipo di entità ha una presenza sempre più visibile sul piano globale, specialmente nel contesto europeo, dove le pagine web di queste strutture abbondano di informazioni utili a tutti. Purtroppo, spesso, le attività di queste strutture è prevalentemente costituita da una componente reattivo- difensiva, pregiudicando la componente preventiva che invece è molto più importante dal punto di vista dei bisogni di sicurezza della rete.
La mia affermazione è ovviamente contestabile, pur se prevista tra le molteplici attività quotidiane che svolgo in qualità di direttore di sicurezza presso una istituzione di tipo finanziario- bancaria, ovvero la ricerca di informazioni valide su nuovi tipi di attacchi cibernetici (indicatori di compromissione, indicatori di attacchi, analisi di malware, valutazioni specializzate e tentativi di attribuzione di determinati attacchi complessi ecc.), nello scopo di adattare i sistemi tecnici e procedurali dell’organizzazione, dalla quale sono stato assunto, per proteggerla contro le più recenti categorie di minacce.
Le procedure, le politiche e i consigli utili – specialmente quelli che riguardano l’adeguatezza della risposta a un attacco cibernetico che ha già prodotto effetti – le pagine web ed i feeds di sicurezza sono generati da diversi organismi di tipo CERT e considerate di valore (Es: https://first.org/, http://cert.org/, https:// www.cert.pl/en/, https://cert.europa.eu/cert/plainedition/en/ cert_about.html, https://www.ncsc.gov.uk/, https://cert.ro/).
Invece, se cerco informazioni sulle azioni (con utilità immediata) relative ad attacchi nuovi, complessi, sofisticati e che generano un impatto significativo sulle infrastrutture target, devo andarle a cercare quasi sempre sulle risorse messe a disposizione (in modo pubblico o a pagamento) dalle compagnie specializzate nel campo della sicurezza cibernetica.
Per alcuni, ciò potrebbe sembrare normale, perché queste compagnie sono state fondate proprio per questo scopo … tuttavia se analizziamo gli obiettivi e le ingenti risorse finanziarie investite da governi e settori privati in strutture di tipo CERT, capiamo bene che qualcosa non gira per il verso giusto…
Tenterò di presentare alcune azioni che considero come priorità di grado zero per la comunità, facendo sì che la funzione
di prevenzione di una struttura di tipo CERT prevalga sulla reattività manifestata in presente, quali:
– il paradigma del partenariato pubblico-privato deve essere cambiato con azioni concrete e non per forza tramite legislazione. Anche se può sembrare un’affermazione azzardata, non esiste una legislazione che proibisca la cooperazione reale tra il settore pubblico e quello privato, esistono soltanto dei decisori poco convinti (da ambo le parti) che non capiscono i benefici delle diverse forme di cooperazione;
– ad affiancare sia le campagne pubbliche di informazione sui pericoli online, che spesso sono peraltro indirizzate ad un pubblico già consapevole, sia la ricerca permanente delle responsabilità di chi deve occuparsi dell’educazione del cittadino, una vera e propria azione reale deve ormai consistere nell’elaborazione di materiali educativi semplici, facili da capire e personalizzati, da mettere a disposizione delle diverse categorie di pubblico, ed infine l’introduzione rapida di questi materiali nel quadro dell’insegnamento scolastico obbligatorio, in tutte le classi di età;
– svolgere campagne di educazione destinate ai manager del settore privato e ai dirigenti del settore pubblico. Tra queste élites, una persona scorrettamente informata è destinata a prendere continuamente decisioni contro-produttive o tantomeno a non prendere le decisioni giuste;
– elaborazione di curricula per formare nuove competenze nel quadro della risposta degli incidenti di sicurezza cibernetica – accessibili sia dal punto di vista dei costi ma anche dal punto di vista dell’attualizzazione del contenuto ogni volta che nuovi elementi della realtà lo rendono necessario – questo accanto alle certificazioni di valore (costose ed inaccessibili alla grande maggioranza) che propongono le diverse entità private e il mondo accademico. Questi nuovi programmi risponderebbero perfettamente al bisogno reale di expertise richiesta dal mercato;
– effettuare scambi di informazioni in tempo reale – non esistono scuse e motivazioni reali per non mettere a disposizione, in tempo reale, indicatori di attacco o di compromissione, nel caso di un attacco cibernetico con impatto significativo.
Una standardizzazione più rapida del formato degli scambi al livello della comunità condurrebbe velocemente a far scadere il tempo di risposta nonché la crescita della compatibilità dei sistemi tecnologici utilizzati dalle diverse entità di tipo CERT;
– creazione di strutture adatte alla detenzione, alla risposta e all’analisi degli attacchi cibernetici efficienti, tramite l’adozione di buone pratiche utilizzate dalle compagnie private (selezione dei manager e degli esperti tramite criteri di competenza, stipendi adatti all’importanza ed alla criticità delle attività svolte, accesso continuo a informazioni di rilievo ed all’uso di strumenti tecnologici competitivi, ecc.);
– assumersi il ruolo di arbitro tra le diverse entità statali e i vari settori economici che sinora non scambiano informazioni per motivi che appartengono a strategie concorrenziali;
– assumersi il ruolo di fornitori di fiducia attraverso la validazione di diverse tecnologie fornite dal mercato specializzato;
– assumersi gli errori e valorizzare in modo più attivo le lezioni tratte da questi;
– fornire periodicamente dei prodotti del tipo Cyber Threat Intelligence, che dovrebbero contenere, accanto alla componente tecnica d’azione (sulla quale sono orientate la maggioranza delle piattaforme e dei fornitori privati attuali), analisi e valutazioni professionali riguardanti l’evoluzione della prospettiva della sicurezza online al fine di consolidare le componenti di prevenzione e di sostegno alle informazioni nell’atto decisionale (e questo a favore sia del settore pubblico, sia di quello privato).
Senza avere la presunzione di aver coperto tutti i problemi delle comunità di tipo CERT, e nemmeno di aver proposto delle soluzioni speciali, ho la certezza che gli aspetti presentati creeranno non poche controversie.
Ma dalla mia esperienza, è quasi sempre dalle contraddizioni e dalle critiche costruttive che viene generata un’evoluzione.
