Attacco ai sistemi informatici dello Stato: ardua un’efficace strategia difensiva

Ritorna estremamente elevato il livello di attenzione in materia di sicurezza informatica della pubblica amministrazione a seguito del recente grave attacco informatico che ha esposto 500.000 caselle di posta elettronica certificata causata dalla violazione dei server di un noto fornitore del servizio.

Le conseguenze di tale attacco potrebbero essere considerevoli visto che, secondo le prime indagini, gli hacker avrebbero in mano gli identificativi Pec di 98.000 utenti tra magistrati, militari e funzionari del Cisr, il Comitato Interministeriale per la sicurezza della Repubblica che comprende i ministeri della Giustizia, degli Interni, della Difesa, degli Esteri, dell'Economia e dello Sviluppo Economico, la stessa Presidenza del consiglio dei ministri e dell'Autorità delegata.

Purtroppo negli ultimi tempi stiamo assistendo ad una rapida evoluzione delle minacce in campo informatico (o minacce cibernetiche) ed in particolare per quelle incombenti sulla pubblica amministrazione, che è divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi.

Se da un lato la PA continua ad essere oggetto di attacchi dimostrativi, provenienti da soggetti spinti da motivazioni politiche ed ideologiche, sono divenuti importanti e pericolose le attività condotte da gruppi organizzati, non solo di stampo propriamente criminale.

Le pubbliche amministrazioni, dal punto di vista sicurezza, possono essere considerate come organizzazioni fortemente regolate, in considerazione del fatto che la loro attività si svolge nell’ambito e nei limiti di norme che hanno valore di legge. Il problema è che fino ad oggi sono state poche le norme giuridiche che si siano occupate di cyber security.

In effetti le norme di maggiore rilevanza sono quelle contenute nel Codice dell’Amministrazione Digitale (CAD - D.Lgs. 7 marzo 2005 s.m.i.), che all’art. 17 al fine di garantire l’attuazione delle linee strategiche per la riorganizzazione e digitalizzazione dell’amministrazione definite dal Governo, prevede che le pubbliche amministrazioni individuino mediante propri atti organizzativi, un unico ufficio dirigenziale generale responsabile della transizione digitale.

Questo Ufficio sostituisce il Centro di competenza previsto dalla normativa previgente e il responsabile dei sistemi informativi automatizzati di cui all’articolo 10 del decreto legislativo 12 febbraio 1993, n. 39. Inoltre alla luce delle recenti riforme del CAD lo stesso ufficio deve assicurare la transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un'amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità.

Naturalmente anche l'Agenzia per l'Italia Digitale (AgID) deve assicurare il coordinamento delle iniziative nell’ambito delle attività di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica con particolare riferimento al Sistema Pubblico di Connettività.

Nei successivi articoli 50 e 51 del CAD si parla rispettivamente di disponibilità ed accessibilità dei dati al di fuori dei limiti di carattere normativo come nel caso della protezione dei dati personali, di sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni, oggi regolamentati dalle misure minime di sicurezza previste dalla normativa sulla protezione dei dati personali.

In materia, difatti, occorrono ulteriori regole tecniche che in coerenza con la disciplina in materia di tutela della privacy introducano elementi utili per riconoscere l’esattezza, la disponibilità, l’integrità e per verificare l’accessibilità e la riservatezza dei dati.

Proprio per questi motivi è stata pubblicata sulla G.U. (Serie Generale n. 79 del 04/04/2017) la Circolare AgID del 17 marzo 2017, n. 1 contenente le “Misure minime di sicurezza ICT per le pubbliche amministrazioni” successivamente sostituita dalla circolare n. 2/2017 del 18 aprile 2017 (sebbene ormai superata dalle disposizioni del GDPR).

Le stesse misure sono parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione, emesso come previsto dalla Direttiva 1° agosto 2015 del Presidente del Consiglio dei Ministri, che assegna all’Agenzia per l’Italia Digitale il compito di sviluppare gli standard di riferimento per le amministrazioni.

Tale Direttiva in considerazione dell’esigenza di consolidare un sistema di reazione efficiente, che raccordi le capacità di risposta delle singole Amministrazioni, a fronte di eventi quali incidenti o azioni ostili che possono compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli stessi, sollecita tutte le Amministrazioni e gli Organi chiamati ad intervenire nell’ambito degli assetti nazionali di reazione ad eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel più breve tempo possibile, di standard minimi di prevenzione e reazione ad eventi cibernetici.

In tale ottica assume rilevanza anche la nuova direttiva sulla protezione cibernetica  e  la sicurezza informatica nazionale emanata con DPCM del 17 febbraio 2017 (pubblicato sulla GU n. 87 del 13-4-2017) che si pone l’obiettivo di aggiornare la precedente direttiva del 24 gennaio 2013 e di conseguenza anche la relativa architettura di sicurezza cibernetica nazionale e di protezione delle infrastrutture critiche.

L’esigenza di un nuovo provvedimento nasce innanzitutto dall’emanazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (c.d. Direttiva NIS), recepita con il d.lgs. 18 maggio 2018, n. 65, nonché da quanto previsto dall'art. 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge n. 198 del 2015, al fine di ricondurre a sistema e unitarietà le diverse competenze coinvolte nella gestione della situazione di crisi, in relazione al grado di pregiudizio alla sicurezza della Repubblica e delle Istituzioni democratiche poste dalla Costituzione a suo fondamento.

Del resto lo stesso art. 51 del CAD specifica che l’AgID attui, per quanto di competenza e in raccordo con le altre autorità competenti in materia, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica.

Nonostante questi recenti interventi normativi ed il nuovo assetto organizzativo dello Stato per far fronte a questi attacchi informatici attraverso la creazione di centri specialistici, bisogna ammettere che si rimane ancora molto esposti ed i recenti avvenimenti lo dimostrano.

D’altronde i pericoli legati a questo genere di minaccia sono particolarmente gravi per due ordini di motivi:

• il primo è la quantità di risorse che gli attaccanti possono mettere in campo, che si riflette sulla sofisticazione delle strategie e degli strumenti utilizzati;
• il secondo è rappresentato dal fatto che il primo obiettivo perseguito è il mascheramento dell’attività, in modo tale che questa possa procedere senza destare sospetti.

La combinazione di questi due fattori fa sì che misure tecniche adeguate, pur tenendo nella massima considerazione le difese tradizionali, quali gli antivirus e la difesa perimetrale, pongano l’accento sulle misure rivolte ad assicurare che le attività degli utenti rimangano sempre all’interno dei limiti previsti.

Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi.

Naturalmente le misure preventive, destinate ad impedire il successo dell’attacco, devono essere affiancate da efficaci strumenti di rilevazione, in grado di abbreviare i tempi, oggi pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte.

Questo è lo spirito dello stesso regolamento europeo n. 2016/679 che in materia di sicurezza informatica attribuisce grande rilevanza alla resilienza dei sistemi informativi ed alla continuità operativa degli stessi (E-LEARNING GDPR - Il Regolamento Generale europeo sulla Protezione dei dati per il Dipartimento Information Technology, Prof. Avv. Giovanni Ziccardi).

L’obiettivo da realizzare sarebbe quello di avere un livello di sicurezza tale che possa garantire una reazione immediata ad attacchi informatici attraverso specifici sistemi di allarme. Ciò consentirebbe di intervenire subito ed evitare danni come accaduto nel caso specifico, dove comunque sono state carpite le credenziali di numerose caselle di pec istituzionali.

(Altalex, 20 novembre 2018. Articolo di Michele Iaselli)