Puntata 4 della nostra inchiesta: cosa possiamo fare per non essere vittime? Cosa fa o non fa il Governo?
Dove sbagliano utenti privati e istituzioni pubbliche. Vedi, nel 90% dei casi l’attacco ha successo a causa dell’errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche in chi lo ha impostato, sostiene il Clusit. “Non c’è la percezione della minaccia, dei rischi di esposizione agli agenti malevoli – spiega Pierluigi Paganini – a peggiorare la situazione poi vi è l’operato superficiale di alcuni tecnici. Mi spiego: è assurdo lasciare che un sistema informatico sia configurato con le impostazioni di fabbrica, che sono quindi note anche agli attaccanti. Lo scenario è molto comune, la situazione è frequente in ambienti in cui sistemi di differenti produttori convivono ed in cui i tecnici installano sistemi senza preoccuparsi di proteggere opportunamente le interfacce tra i vari sistemi”. Esempio: viene segnalata alla Polizia Postale una grande quantità di accessi anomali alle banche dati di Inps e Inpdap. Si scopre che un gruppo criminale aveva bucato le difese e vendeva a studi legali, agenzie di investigazione, società di recupero crediti, un servizio on line (ovviamente illegale) con cui interrogare questi database. Eccolo, il problema: gli enti pubblici usano software non aggiornati, facili da superare. Oppure frammentano le informazioni che custodiscono tra troppi database: moltiplicando, di fatto, la superficie d’attacco. “Non ci sono standard governativi per la sicurezza e ogni amministrazione è lasciata libera di impostare i propri programmi come ritiene, questo è quello che accade oggi: non c’è nessuna regola valida per tutti, che dica come custodire i dati” commenta Paganini. In questo fai-da-te della sicurezza i tuoi dati non sono affatto al sicuro, anche se non dipende da te. E anche dal punto legislativo c’è da fare: sul furto d’identità, ad esempio, un decreto-legge, un articolo di codice penale (il 494) e la legge 12 del 2012 che confisca i beni usati per i reati informatici sono quello che abbiamo. Tutto il resto è il vuoto…
Come sta reagendo il Governo? L’Italia si sta cominciando, infatti, a preoccupare solo adesso della faccenda. A luglio 2012 il Parlamento ha approvato la legge n. 133, che organizza così le nostre difese: c’è un livello politico che elabora gli indirizzi strategici (vale a dire il Comitato interministeriale per la sicurezza della Repubblica), uno di supporto operativo (il Nucleo per la Sicurezza Cibernetica), uno di gestione di crisi (il Tavolo interministeriale di crisi cibernetica). Il 23 gennaio 2013 è arrivato il Governo Monti, che ha realizzato un provvedimento in materia di “sicurezza cibernetica”, che è un buon inizio per incominciare a parlare. Per la prima volta si parla di un’architettura di sicurezza cibernetica nazionale, di proteggere le infrastrutture critiche. Il 18 dicembre 2013, invece, il Governo Letta ha approvato il “Piano nazionale per la protezione cibernetica e la sicurezza informatica” . Paganini, però, è dubbioso: “E’ solo un piccolo passo, ma rischia di essere una cattedrale nel deserto. Certo, queste strutture in Italia esistono. Ma se mi chiedi che risultati hanno nel concreto, sono perplesso. Avrei molto da dire sull’argomento, ne ho discusso con esponenti del Governo e spero che le mie parole non vadano via come foglie al vento”. Ma ci vuol più di tre di leggi. Manca che la consapevolezza del problema sia diffusa come la coscienza che esiste l’Aids. A tappeto. Mancano gli investimenti e soprattutto manca la visione. Che succede se il Paese fosse sottoposto ad un attacco serio? Avremmo tempi di reazione rapidissimi? Possediamo quelle soluzioni che uno degli strumenti più completi, il Rapporto Clusit, definisce “soluzioni multidisciplinari, coordinate, sofisticate, a fronte di un assalto continuo, su tutti i fronti, che va avanti 24 ore su 24 e che ormai costa alla nazione miliardi di euro all’anno di danni diretti ed indiretti?”. Riducendo queste perdite si potrebbe recuperare quasi un punto di Pil: possiamo permetterci di non farlo?
Perché non tutti investono in sicurezza? Dal 2011 al 2012 la percentuale di investimenti in sicurezza informatica è cresciuta del 23% in Italia, segno di un comparto in forte crescita. Tuttavia, se tra i grossi investitori eccellono telecomunicazioni e società di servizi informatici, Pubblica Amministrazione e Manufatturiero rimangono a metà classifica. Fanalini di coda il mondo dei trasporti, della difesa e del commercio. Come mai alcuni settori non investono? Paganini: “Sono carenze culturali: non è chiara l’importanza di investire in sicurezza. Alcuni settori in Italia sono a mio giudizio soffocati da politiche assistenzialistiche, penso ai trasporti che vivono di finanziamenti governativi ed operano in una situazione disastrosa di esercizio. Figuriamoci poi se si pensa alla sicurezza … almeno fino a quando un gruppo di hacker non causerà un danno significativo a qualche componente critica del settore”.
E l’Europa, invece? Non è un caso che, per contrastare tutti i reati commessi via web, l’Europa abbia istituito lo European Cyber Crime Center, un centro di controllo composto da 43 esperti di sicurezza che presidiano la rete e trovano i criminali. “Ho profonda stima di loro – dice Paganini – è gente che lavora bene, in gamba, strutturata. Vorrei che un simile modello si applicasse anche qui da noi. Considera poi che dialogo senza problema alcuno con le massime autorità mondiali nel settore cyber security, mentre confrontarsi con esponenti della sicurezza italiana è impresa ardua. Evidente che selezioniamo le persone con criteri differenti ed a mio giudizio profondamente sbagliati. I migliori, quelli che si distinguono a livello internazionale, stanno invece in tribuna”. (continua)
