La Romania e la presidenza dell’UE: uno stato sotto assedio. Sei mesi di attacchi, non un secondo di indisponibilità dei sistemi e delle reti.
Alla data in cui leggerete questo numero di Cybersecurity Trends, la Romania avrà appena concluso il suo semestre di presidenza dell’Unione europea. In questo contesto, un ruolo centrale è stato svolto con successo dal Servizio di Telecomunicazioni Speciali (STS), l’organismo specializzato dello Stato centrale rumeno incaricato di sviluppare, organizzare, condurre, svolgere, controllare e coordinare tutte le attività nel campo delle telecomunicazioni speciali ad uso delle autorità pubbliche in Romania. In questa intervista, il Direttore Generale dell’Istituzione, il Lt.-Generale Ing. Sorin Vasilca, “summus artifex et custos” di tutti i servizi e sistemi comunicazioni di Stato del semestre di presidenza rumena dell’Unione Europea (1 gennaio- 30 giugno), ci svela i dettagli delle misure di contrasto preventive e reattive alle diverse tipologie di attacchi subite durante questo periodo. 
Queste rivelazioni rappresentano una première dopo la presidenza estone (2° semestre del 2017), poiché tali dati sono, nella maggior parte dei casi, confidenziali o comunque lo restano per almeno sei mesi o un anno in funzione dei paesi che hanno assunto questa carica.
Lt.-Generale Vasilca, la sua Istituzione ha una struttura militare e fa parte del sistema di difesa nazionale. Quali sono i principali compiti che ha dovuto svolgere per la presidenza rumena dell’UE, oltre a quelli svolti dal Suo Servizio in un anno “normale”?
Lt.-Generale Vasilca: in primo luogo, ben prima del 1 gennaio 2019, l’intera direzione del STS è stata coinvolta nel Comitato interministeriale per la sicurezza “ROMANIA-EU 2019”, costituito dagli dirigenti di tutti gli attori statali attivi nel settore della difesa, ossia il Ministero della Difesa, il Ministero dell’Interno, i Servizi di intelligence interna ed esterna (SRI e SIE) e il Servizio di Protezione e Guardia (SPP). Nell’ambito di questo gruppo di lavoro permanente, al STS è stata affidata la responsabilità di due compiti primari.
Il primo quello principale, sotto la direzione del Ministero degli Affari Esteri, è stato quello di sviluppare, implementare e mantenere la continuità del perfetto funzionamento 24/7 di tutti i sistemi e servizi di comunicazione specificamente progettati per la presidenza dell’UE.
Infatti, a parte le comunicazioni stricto sensu, il sito web e le app connesse Romania2019.eu, sono state progettate con un user end dedicato per il visitatore con tutte le informazioni necessarie su ogni evento, mentre il back end è stato ideato ed implementato con requisiti di sicurezza elevata per il Ministero degli Affari Esteri al fine di fornire tutti i flussi di informazioni e dati ufficiali ed anche, in collaborazione con il Servizio di Protezione e Guardia, per gestire ogni singolo accreditamento ad ogni evento.
Il secondo, anch’esso vitale, è stato quello di garantire il trasporto e il buon funzionamento della trasmissione ufficiale ad opera della televisione pubblica nazionale (TVR), di tutti gli eventi della presidenza dell’UE.
Allora, cos’è successo a partire dal 1 gennaio?
Lt.-Generale Vasilca: abbiamo dovuto assicurare e garantire una comunicazione perfetta per più di 300 eventi, tra i quali solo un terzo si è svolto nella capitale, Bucarest. Per questo, abbiamo elaborato una scala di importanza suddivisa in 5 gruppi: il primo, il più alto, per la riunione di tutti i capi di Stato dell’Unione europea, tenutasi a Sibiu il 9 maggio scorso. Al secondo posto troviamo le 23 riunioni dell’UE di livello ministeriale e, dal terzo al quinto posto in ordine di importanza strategica, i restanti 275+ eventi (riunioni interministeriali / tecniche).
Inoltre, l’STS ha avuto il ruolo primario nel fornire e garantire 24/7 tutti i servizi Internet e di comunicazione in tre punti principali: il Palazzo del Parlamento – sede della Presidenza Europea –, la Biblioteca Nazionale – sede dei grandi meeting – e la Banca Nazionale – sede dei gruppi di lavoro in materia di finanze. Un compito questo, che siamo stati in grado di raggiungere grazie a potenti gruppi di server situati a Bucarest e vicino a Brasov, una delocalizzazione parziale decisa nei fini di aumentare l’efficienza dei servizi disponibili a livello di tutto il territorio nazionale.
Su quest’ultimo aspetto, suppongo che lei sia stato particolarmente scrupoloso per quanto riguarda la quantità di dati, mantenendo al contempo la sicurezza totale di tutte le comunicazioni.
Lt.-Generale Vasilca: Esattamente. Immaginate che il portale ufficiale “Romania2019.eu” ha avuto una media di 2,23 milioni di visite al mese, culminante con quasi il triplo, più di 6 milioni di visite, durante il mese di maggio, quando tutti i capi di Stato si sono riuniti a Sibiu.
L’uso massiccio di della tecnica di code injection ha superato di gran lunga il ricorso alla Brute Force e ella File Inclusion.
Per quanto riguarda la nostra capacità di traffico, abbiamo avuto un feedback costante da parte dei nostri colleghi bulgari e austriaci, che ci hanno aiutato molto a stimare la quantità e il numero di download e upload. Questo dato si è rivelato particolarmente importante durante gli eventi principali, in cui tutti i delegati dell’UE e i media di tutto il mondo scaricavano materiali o caricavano contenuti video da inviare in patria. Con 3 connessioni Tier 1, siamo riusciti ad offrire una velocità media di trasmissione dati fino a 30 Gb/secondo. Abbiamo anche potuto vedere statisticamente da quali paesi abbiamo avuto i più alti numeri in termini di visite e quantità di dati: la Romania e il Belgio (cioè la sede centrale dell’UE) che hanno raggiunto quasi il 60% dei flussi di dati.
E l’aspetto “cibernetico”? Come hai fatto a proteggere tutti quei servizi?
Lt.-Generale Vasilca: Per quanto riguarda la sicurezza informatica, abbiamo operato dal nostro Centro CORIS (Centrul national pentru raspuns la incidente de Securitate/ Centro nazionale di risposta agli incidenti di sicurezza), fondato nel 2008, in collaborazione con il CertMil (Esercito), il Cert-RO (Ministero delle Telecomunicazioni) e il Centro Cyberint (Servizio Interiore di Intelligence – SRI). Devo sottolineare che, grazie al duro lavoro svolto nel corso degli anni, non solo il CORIS ha ottenuto un tasso di fiducia molto alto – è accreditato da Trusted Introducer dal 2011 – ma gode di un team CERT molto stabile, molti colleghi vi lavorano sin dall’apertura del centro, più di dieci anni fa’. Ciò ha permesso di monitorare 24 ore su 24 e 7 giorni su 7 tutti i sistemi direttamente o indirettamente collegati alla presidenza dell’UE e di fornire un helpdesk 24 ore su 24, 7 giorni su 7, dedicato a tutte le istituzioni statali che necessitavano servizi o competenze.
A pochi giorni dalla fine della Presidenza rumena, quali circostanze ci può svelare?
Lt.-Generale Vasilca: prima di tutto un dato statistico: su mille “click” sul sito ufficiale, 4 erano classificati “anormali” o “errori”, cioè un rapporto estremamente ridotto. Ora, se guardiamo più in dettaglio, abbiamo osservato una crescita significativa di un nuovo tipo di incidente informatico. Questo semestre è stato infatti caratterizzato dall’uso massiccio di della tecnica di code injection, superando di gran lunga due tecniche criminali “convenzionali” ben note e utilizzate negli ultimi anni, cioè la Brute Force e la File Inclusion.
Durante il “Grande Giorno”, cioè l’incontro di tutti i Capi di Stato a Sibiu, abbiamo raggiunto un picco di attacchi che comprendevano statisticamente un 75% di malware + 18% di tentativi di spam.
Come è riuscito a gestire con successo una tale quantità di tentativi illegali?
Lt.-Generale Vasilca: in primo luogo, abbiamo creato una sandbox all’avanguardia, in totale collaborazione con Bitdefender. Grazie a questo nuovo ed unico tipo di sandbox, che filtrava i malware, li quantificava e li classificava neutralizzandoli, abbiamo potuto concentrare tutta la nostra attenzione nel monitoraggio del sito e dei suoi sottodomini e della sicurezza delle web app. Naturalmente, dovevamo garantire anche la disponibilità del servizio 24/7.
Tutto questo è stato reso possibile grazie ad una serie di strumenti costruiti “in house” dal nostro team anno dopo anno, come contromisure ai tentativi di “defacement”. Tutti questi strumenti hanno permesso di vedere “in diretta” all’interno di una precisa classificazione, sia i livelli di compromesso che i potenziali compromessi del sito e delle app, e prendere quindi le misure necessarie al caso. Inoltre, ci ha permesso di bloccare immediatamente qualsiasi tentativo illecito di modifica dei contenuti e, naturalmente, di contrastare gli attacchi volti a provocare l’indisponibilità dei servizi da noi forniti.
Quali sono le sue principali conclusioni di questo successo di resilienza mentre è sotto costante e reale attacco a un livello che il paese non ha mai saputo finora?
Lt.-Generale Vasilca: dal punto di vista delle STS, sono tre i punti chiave per una buona difesa. Il primo e la base degli altri due punti è quello di avere un team qualificato e compatto, con eccezionali capacità tecnologiche e umane. Questo permette di raggiungere un secondo punto: non dipendere mai soltanto da soluzioni già pronte, ma sviluppare in continuazione i propri strumenti, unici e su misura, adatti alla sicurezza delle particolarità di ciò che si deve difendere. E poi, naturalmente, aldilà dei due punti precedenti, non si dovrebbe mai affrontare da soli una risposta agli incidenti di sicurezza. La collaborazione perfettamente oliata con tutti gli altri enti di sicurezza è l’unica possibilità per migliorare tutte le vostre capacità.
Un’ultima domanda. Molti cittadini sono spaventati e affascinati, allo stesso tempo, dall’arrivo di 5G e dai continui miglioramenti e implementazioni dell’AI e dell’internet of Things. Cosa possiamo dire allora?
Lt.-Generale Vasilca: Abbiamo imparato molto familiarizzando con l’AI, il Deep Learning, il Machine Learning. Da queste esperienze abbiamo cercato di capire perfettamente come queste tecniche funzionano e come, molto probabilmente, evolveranno a breve termine. Siamo quindi stati in grado di progettare e di costruire i nostri propri prodotti, adatti ai nostri bisogni e perfettamente funzionali.
Il cambiamento principale che abbiamo di fronte già ora, senza tralasciare il 5G, è il cambiamento simmetrico e il rapporto tra i dati caricati e quelli scaricati (upload vs. download). A differenza di una stabile e massiccia evoluzione dei download e di una lunga e lenta evoluzione degli upload, nell’ultimo anno abbiamo visto un’evoluzione esponenziale degli upload mese dopo mese. La quantità di dati caricati sta già superando la quantità di dati scaricati. Questo è il risultato dell’uso sempre più massiccio dei dispositivi dell’Internet of Things e, in generale, di tutti gli strumenti di nuova generazione, i cui sistemi di base hanno bisogno di un’alimentazione costante di dati da ogni singolo misuratore.
Il punto quindi non è tanto il cambio di modalità di trasmissione (da 4G a 5G) ma il modo in cui ogni utente si comporterà e sarà consapevole nell’utilizzare l’infinità di strumenti messi a sua disposizione, in un modo sicuro e protetto.
Come aneddoto, durante tutti gli eventi che dovevamo gestire, raccogliendo le esigenze, dai 1000 ai 5000 partecipanti, NESSUNO ha desiderato collegarsi via cavo – una delle soluzioni da noi proposta – e tutti hanno utilizzato sistematicamente il sistema wireless criptato, anch’esso da noi fornito. Questo dimostra come il 5G verrà ampiamente utilizzato fin dal suo principio. E’ inevitabile e dovremmo essere tutti pronti a prenderne atto.
Per quanto riguarda l’altra parte della sua domanda, il dialogo tra macchine esiste già quasi ovunque. La vera differenza sta e rimarrà nella misura dell’intervento umano che ogni utente o entità vorrà o richiederà, dal poter intervenire di propria iniziativa ed in ogni momento sino, all’opposto, ad essere chiamati solo quando deve essere presa una decisione finale.
Anche in questo caso, tutti possono beneficiare dei vantaggi di un uso responsabile e basato sulla conoscenza di qualsivoglia nuova tecnologia disponibile o presto disponibile, ma la sicurezza, più che mai, può essere realizzata solo comprendendo perfettamente l’ambiente digitale in continua evoluzione in cui viviamo.
Poi, scegliendo correttamente gli strumenti e le soluzioni da utilizzare in base alle specificità della propria vita quotidiana (professionale e privata), sarà facile metterle in sicurezza. Ogni essere umano, Stato, azienda è quindi chiamata a dover decidere il proprio livello di resilienza. Non c’è nessun aspetto del futuro prossimo che sia più inevitabile di quanti ce ne siano già oggi.
Come conclusione, senza una conoscenza di base che sia al passo con le novità tecnologiche e quelle di sicurezza, senza un dialogo ampio e aperto ed una collaborazione tra utenti ed esperti, nonché tra enti statali e aziende private, ogni nuova implementazione tecnologica potrà portare – e porterà – naturalmente nuovi pericoli; è proprio qui che c’è il grande cambiamento e cioè che questi pericoli ci raggiungeranno molto, molto più velocemente rispetto al passato e a livello globale.
Nota dell’editore: la sfida che il STS ha dovuto affrontare è stata ancora più grande di quanto riportato in questa intervista, poiché oltre alla presidenza rumena dell’UE, il Servizio speciale ha dovuto assicurare, il 26 maggio anche la giornata di votazioni nazionali che ha portato i cittadini alle urne non solo per le elezioni europarlamentari ma anche per due referendum nazionali sulla giustizia, tema questo, estremamente importante agli occhi della popolazione negli ultimi quattro anni. Infine, vi sono stati 3 giorni di visita (1), a Bucarest ed in Provincia, di Papa Francesco (dal 31 maggio al 2 giugno), prima visita pontificale da ben vent’anni.
(1) https://www.sts.ro/en/press-releases/inter-ministerial- committee-for-security-pope-francis-visit-2019 – Sito ufficiale: https://www.sts.ro/en
