La sfida (in salita) dell'Agenzia per la Cyber Security

Qualche giorno fa il Consiglio dei Ministri ha approvato il decreto legge che istituisce l'Agenzia per la Cyber Security nazionale (ACN). L'approvazione del provvedimento va a completare la strategia di cyber-resilienza nazionale definita con la disciplina sul perimetro di sicurezza nazionale cibernetica, approvato dal secondo DPCM.

L'agenzia, come si legge nel comunicato di Palazzo Chigi, si occuperà:

• esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
• sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l'avvio operativo del Centro di valutazione e certificazione nazionale;
• contribuire all'innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
• supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l'innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un'ottica di autonomia strategica nazionale nel settore;
• assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.

Il nuovo organismo nazionale avrà inizialmente 300 dipendenti, che potrebbero diventare 1000 nei prossimi anni (si parla di una previsione per il 2027). Da questo punto di vista sarà importante il reclutamento e la formazione del personale

Un'iniziativa che sicuramente rispecchia quelli che sono i trend del momento e riflette la necessità di tutelare le istituzioni.

La questione, in attesa dell'approvazione ufficiale del Governo, è se 300 dipendenti saranno sufficienti per affrontare le sfide cyber che l'Italia sta già fronteggiando al momento e soprattutto quelle che inevitabilmente sorgeranno nel futuro.

Un percorso già in salita?

È di questo weekend la notizia relativa alla vendita di un database che apparentemente contiene i dati di oltre 7 milioni di italiani Vaccinati contro il Covid19.

Siamo sempre nel regno dell'incerto, ma secondo l'autore del "furto" si tratta di 7.395.688 record che includono nomi, indirizzi, numeri di telefono, codici fiscali, date di nascita e altre informazioni e, appunto, dati sulla vaccinazione.

In questo database, sembra siano presenti 6.583.199 (89%) indirizzi e-mail univoci e 5.324.895 (72%) password.

Un Criminal Hacker – che si fa conoscere con il nome di Mastiff – in un post che è stato pubblicato su https://raidforums.com/ dichiara di aver esfiltrato questi dati attraverso alcune vulnerabilità ancora presenti su alcuni sistemi tuttora online.

I sample che i Criminal Hacker ha messo a disposizione fanno riferimento unicamente a diverse ASL e CAP di residenza relative a regioni del Centro/Sud Italia e contengono la voce "data invio richiesta".

Voce che contiene date comprese in un periodo di tempo tra il 27 febbraio e l'8 marzo del 2021.

Per ciascuna data è indicato anche un orario, il che fa ipotizzare si tratti di una lista automatica di iscrizioni e che potrebbe proprio riferirsi proprio all'iscrizione per l'ottenimento del vaccino.

In un secondo file, che contiene oltre 800 identità, si legge invece la dicitura "già positivo", come ha riportato anche italian.tech.

Dal file esempio pubblicato da Mastiff, inoltre, sono presenti i dati di 891 persone con il loro nome, cognome, data di nascita, codice fiscale, numero di cellulare e indirizzo email. Con una semplice ricerca – come riportato anche da open.it -, partendo dai primi cinque e a campione i restanti 886, queste persone risultano essere medici, psicologi e psicoterapeuti del Sud Italia.

Persone che però – non tutti ovviamente – potrebbero anche aver deciso per motivi professionali di rendere pubbliche queste informazioni.

Stiamo comunque parlando di sample e non abbiamo al momento visibilità completa dei 7.4 milioni di dati compromessi. Anche perché poco si sa sull'origine dei dati trafugati, dal momento che il Criminal Hacker non ha voluto rivelare i dettagli tecnici delle vulnerabilità usate per acquisirli

Qui si apre la speculazione; il Criminal Hacker sostiene di avere dati sensibili, il sample che viene mostrato, invece è riconducibile per il momento a un elenco di vari medici e psicologi…

Una questione d'integrità

Il caso Mastiff è l'emblema del tipo di problematiche che la nuova agenzia dovrà affrontare.

Se il Criminal Hacker, come sostiene, ha ottenuto accesso a questi database in cui erano contenuti i dati dei vaccini, è assolutamente necessario verificare che l'integrità degli stessi.

Per ogni singolo dato presente online, infatti, i requisiti fondamentali che se rispettati garantiscono la sicurezza dell'informazione sono la così detta triade CIA (Confidenzialità – Integrità – Disponibilità). Uniti insieme, questi tre fattori ci permettono di parlare di qualsiasi concetto legato alla sicurezza.

Nel caso di Mastiff è apparentemente venuta meno la confidenzialità, ovvero quella caratteristica che garantisce che soltanto entità autorizzate (identificate ed autenticate) possano accedere all'informazione (in lettura e/o scrittura).

Se è stato possibile scaricare questi dati, però, come facciamo ad essere sicuri che non siano stati alterati in alcun modo andando a modificarne l'integrità?

Soprattutto alla luce dell'introduzione del Green Pass per i vaccinati contro il COVID-19, come possiamo assicurare all'Unione Europea che i dati da noi inseriti siano effettivamente affidabili?

L'ACN infatti è anche nato per il coordinamento con l'Europa su questioni come questa, come gestirà questi rapporti?

La parola d'ordine è resilienza

Il compito che l'ACN è quindi sicuramente impegnativo, in particolare, questo passaggio è significativo: "(l'agenzia)…tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche".

Questo significa che ai 300 "prescelti" verrà affidato il compito di rendere "l'anima" online delle istituzioni sicure così come quello di proteggere i singoli cittadini.

È questo, in breve, il significato di cyber resilienza: evitare che si ripetano casi come quello di Mastiff.

Come metterla in atto? Assicurandosi che i tre pilastri della sicurezza informatica (Sicurezza Predittiva, Preventiva e Sicurezza Proattiva) poggino su solide basi.

Tre pilastri fondamentali che devono appoggiarsi su competenze, tecnologie e processi.

Ma non sarà un compito facile, come sottolineato anche da Franco Gabrielli, nel nostro Paese c'è una certa debolezza insita: "per mancanza della consapevolezza dei rischi, per un deficit di cultura su questi temi. Purtroppo siamo molto in ritardo e dobbiamo camminare a passi molto svelti ".

E qui torna la domanda, 300 persone saranno sufficienti?

Difficile dare una risposta certa al momento e si parla già di un incremento sostanziale di personale a breve termine.

Certo, il tempo sarà giudice, ma sicuramente la spinta che ha portato alla creazione dell'ACN è un chiaro segnale che difesa dalle minacce cyber non è più da considerare argomento di nicchia, ma un chiaro pilastro per la difesa di tutto il sistema Paese.

Non abbassiamo la guardia!