23 Mar Guerra ibrida e resilienza delle infrastrutture IT

Il conflitto russo-ucraino

L’invasione dell’Ucraina da parte della Federazione Russa non è “un’operazione militare speciale”, ma un atto di guerra. E come tutte le guerre, anch’essa porta con sé un’inevitabile scia di morte e distruzione. Il conflitto si caratterizza tuttavia – e questa è una novità relativamente recente – per l’affiancarsi di operazioni di cyber warfare a sostegno di operazioni militari più propriamente convenzionali. Basti pensare agli attacchi informatici (in particolare, DDoS) di cui sono state vittima diverse istituzioni ed organizzazioni ucraine, che, unitamente a campagne di disinformazione mediatica, hanno contribuito a generare un clima di profonda confusione nell’imminenza dell’ingresso delle truppe russe su suolo ucraino.

È dunque evidente, ormai da giorni, che i campi di battaglia sono due. Il primo è fatto di bombe, sangue e “boots on the ground”; il secondo è più silenzioso e vede contrapposti da un lato, seppur non ufficialmente, organizzazioni cyber governative russe e bielorusse (e gruppi APT ad esse collegati) e dall’altro gruppi hacker internazionali – Anonymous fra gli altri – e l’insieme delle strutture governative di cybersecurity dei Paesi del blocco NATO, che attaccano ma soprattutto non voglio essere compromesse. Del resto, già nel summit di Varsavia del 2016 la NATO aveva definito il cyber spazio il “quinto dominio di guerra” dopo aria, terra, mare e spazio.

Il Perimetro di Sicurezza Nazionale Cibernetica e il ruolo dell’ACN

In questo scenario critico internazionale, sale la preoccupazione dei governi europei nei confronti di possibili attacchi informatici alle loro infrastrutture essenziali, come ripercussione da parte della Federazione Russa in risposta alle pesantissime sanzioni alle quali quest’ultima è stata sottoposta.

Si è in più occasioni ribadita l’esigenza di un rafforzamento dell’accountability di tutte le organizzazioni private, sulle quali permane, oggi più che mai, l’onere di proteggere le proprie infrastrutture informatiche ponendo in essere adeguate misure di sicurezza tecniche ed organizzative. Accanto a ciò, a livello nazionale, i vari Governi dell’asse occidentale hanno messo in campo, già da qualche anno, una serie di strumenti che gli consentissero di svolgere un ruolo di coordinamento nella gestione di potenziali crisi causate da cyber attacchi ad ampio raggio.

In particolare, per l’Italia, il Perimetro di Sicurezza Nazionale Cibernetica ha rappresentato la principale novità nel settore della sicurezza informatica del sistema-Paese. La sua principale fonte normativa è costituita, a livello europeo, dalla c.d. Direttiva (UE) 2016/1148 del 6 luglio 2016 (c.d. NIS – Network and Information Security), la cui principale finalità è quella di garantire un “livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea”.

La Direttiva NIS ha poi trovato attuazione in Italia con il decreto legislativo n. 65 del 18 maggio 2018, cui ha fatto seguito il decreto-legge n. 105 del 2019 (convertito con modifiche in Legge 18 novembre 2019, n. 133), con il quale si è formalmente istituito il suddetto Perimetro di Sicurezza Nazionale Cibernetica.

I criteri dei soggetti da includere nel Perimetro sono stati definiti con il successivo DPCM 30 luglio 2020, n. 131. In generale, vi rientrano tutti quei soggetti pubblici o privati che forniscono un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”. In questo contesto, è definibile “essenziale” un servizio che realizzi:

• • • • attivitàstrumentali all’esercizio di funzioni essenziali dello Stato;
      • attività necessarie per l’esercizio e il godimento dei diritti fondamentali;
      • attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica;
      • attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore di rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale[1].

Si tratta, in buona sostanza, di organizzazioni operanti in svariati settori ritenuti essenziali per l’economia di un Paese (energia, trasporti, telecomunicazioni, ecc.), tenuti a comunicare quali tra i loro asset ICT vengono utilizzati per l’erogazione di quei servizi essenziali che lo Stato ha inteso includere nel Perimetro, con un conseguente innalzamento del livello di resilienza cyber a livello nazionale. A ciò si aggiunge l’obbligo di notificare al CSIRT (Computer Security Incident Response Team – Italia) eventuali incidenti verificatesi, sulla base dell’individuazione e classificazione degli stessi, in termini di gravità, contenuta nell’Allegato A del DPCM di cui si discute (i più gravi da notificare entro un’ora, i meno gravi entro sei ore) ed un sistema di notifica volontaria per le altre tipologie di incidenti.

Ad ulteriore potenziamento di quanto appena descritto, lo scorso giugno è stato pubblica in G.U. il D.L. 82/2021 – “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”, istitutiva dell’ACN.

L’Agenzia è l’Autorità nazionale con competenza in materia di cybersecurity per le finalità di cui al decreto NIS, con funzioni ispettive e di irrogazione delle sanzioni ai sensi del decreto attuativo della direttiva suddetta, nonché competente al rilascio delle certificazioni ai sensi del Regolamento 2019/881. Più in generale, essa concentra su se stessa numerose competenze in precedenza affidate ad altri organi (MISE, DIS, AGID), a cui si aggiungono una serie di compiti funzionali, tra l’altro, all’implementazione di politiche di prevenzione e monitoraggio dei pericoli, la partecipazione ad esercitazioni internazionali per valutare l’idoneità delle misure di sicurezza, la redazione del piano annuale di sicurezza cibernetica nazionale, un ruolo attivo per la definizione di un impianto normativo di settore in collaborazione con il mondo accademico e della ricerca.

I bollettini del CSIRT

Con la nascita dell’ACN, il nostro Paese si è dunque dotato di un organismo importantissimo per il coordinamento delle organizzazioni pubbliche e private, nonché per la promozione di azioni volte al consolidamento della postura cyber di queste ultime.

L’Agenzia incorpora al suo interno, oltre al Nucleo per la cybersicurezza[2], il già citato CSIRT (Computer Security Incident Response Team – Italia), a cui sono demandati una serie di compiti, tra cui:

• • • • • monitoraggio degli incidenti cyber a livello nazionale, gestendo la comunicazione con le parti coinvolte in eventi di compromissione della sicurezza di reti e servizi;
        • dialogo costante con la rete europea di CSIRT nazionali;
        • comunicazione al Nucleo per la Cybersicurezza degli eventi monitorati.

Il CSIRT, di concerto con l’Agenzia, svolge altresì un’attività di diffusione di messaggi di allerta – attraverso l’utilizzo dei canali social e la produzione di c.d. “bollettini” – funzionali a rendere noti i principali indicatori di compromissione riferibili ad eventi di cybersicurezza con conseguenze ad ampio raggio. Tali comunicazioni sono costanti, in quanto legate all’evoluzione delle minacce nello spazio cyber.

Ebbene, con l’acuirsi dell’emergenza internazionale conseguente al conflitto russo-ucraino, i cui impatti in termini di cybersicurezza potrebbero coinvolgere il nostro Paese, l’ACN ha recentemente segnalato un aumento de “i rischi cibernetici ai quali sono esposti le imprese italiane che intrattengono rapporti con operatori situati in territorio ucraino, derivanti da possibili danni a obiettivi digitali di quel Paese”, raccomandando ai soggetti inseriti nel campo di applicazione del Perimetro di aumentare i livelli di sicurezza cyber delle proprie infrastrutture digitali. A tale riguardo, diventa interessante analizzare alcuni bollettini di sicurezza pubblicati dal CSIRT, recanti nuove misure urgenti funzionali alla mitigazione dei rischi.

Lo scorso 14 febbraio è stato rilasciato il BL01/220214/CSIRT-ITA – Misure di protezione delle infrastrutture digitali nazionali dai possibili rischi cyber derivanti dalla situazione Ucraina – in cui si sottolinea “il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche”.

Partendo da tali considerazioni, l’ACN/CSIRT raccomanda a tutti i soggetti coinvolti di implementare, in aggiunta alle misure già in essere, ulteriori soluzioni di mitigazione dei rischi, elevando di conseguenza il livello generale di attenzione.

Nello specifico, vengono individuate 13 misure organizzative/procedurali (tra cui la verifica della consistenza e disponibilità offline dei backup, l’implementazione di DMZ per le connettività B2B, l’applicazione del principio di least privilege per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto, ecc.) e 9 misure tecniche (tra cui la prioritizzazione delle attività di patching dei sistemi internet-facing, il monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale, il monitoraggio dei Domain Controller)[3]. A ben vedere, si tratta di soluzioni per nulla inedite nel panorama delle misure tecniche e organizzative di un’azienda, sulle quali tuttavia l’ACN raccomanda una maggiore attenzione ed un maggiore sforzo nella loro implementazione, in considerazione di un maggior rischio di esposizione ad attacchi informatici conseguenti alla situazione di crisi geopolitica attuale.

Interessante risulta, infine, fare un accenno al bollettino di sicurezza del 28 febbraio 2022, con il quale si raccomanda a tutti gli operatori di infrastrutture digitali nazionali di “adottare una postura di massima difesa cibernetica”. Questo alert del CSIRT esordisce avvertendo che “L’acuirsi delle attività malevole nello spazio cibernetico incrementa la possibilità che le stesse possano generare fenomeni di ‘spillover’ al di fuori degli assetti direttamente oggetto delle campagne”, sul presupposto di una possibile “cyber escalation” conseguente all’invasione militare dell’Ucraina.

Nello specifico, al fine di proteggersi da attacchi provenienti dall’esterno del perimetro delle reti aziendali, risulta opportuno concentrarsi sui possibili vettori di exploit – tra cui l’utilizzo di piattaforme di comunicazione pubbliche, l’invio di e-mail di phishing e spam, lo sfruttamento di vulnerabilità note, le campagne di tipo watering hole – senza comunque dimenticare l’esigenza di un rapido rilevamento delle anomalie nei sistemi di gestione e di networking interni (sistemi di gestione delle patch, di asset management, di logging, ecc.).

Vengono successivamente indicate una serie di misure da adottarsi in via prioritaria, con riferimento a diversi ambiti/finalità, che appare opportuno elencare in dettaglio:

1. 1. 1. 1. Riduzione della superficie di attacco esterna (attraverso l’esecuzione di asset management approfondito di tutti i sistemi direttamente o indirettamente esposti su Internet, l’implementazione delle best practices più restrittive in termini di sicurezza, la bonifica di tutti i record DNS non più utilizzati, ecc.);
         2. Riduzione della superficie di attacco interna (attraverso un’opportuna segmentazione della rete, la corretta gestione e censimento di tutte le componenti della rete, la formazione del personale, ecc.);
         3. Controllo degli accessi (attraverso l’implementazione dell’autenticazione multifattoriale, di password e lockdown policy, ecc.);
         4. Monitoraggio (attraverso un’attenzione particolare per gli account dotati di privilegi amministrativi e per gli account di servizio, il controllo dei flussi di rete, ecc.)[4].

Vengono poi richiamati gli ambiti di “organizzazione” e “pianificazione”. In questo contesto, tutte le organizzazioni vengono incentivate ad analizzare la propria struttura organizzativa in relazione all’adeguatezza del proprio piano interno di gestione di un incidente informatico d’impatto elevato.

A tal fine, diventa necessario una continua revisione dell’Incident Response Plan, del Disaster Recovery Plan e del Business Continuity Plan, secondo un approccio Zero Trust che innalzi il grado di resilienza di tutte le infrastrutture IT. Si tratta, in buona sostanza, di adottare modelli che superino il concetto di perimetro di rete sicuro ed affidabile, prevedendo autorizzazioni e autenticazioni di ogni singolo accesso ai servizi IT, l’isolamento delle componenti di rete e riducendo il livello di esposizione esterno all’essenziale.

Il CSIRT, infine, individua l’infosharing come ulteriore strumento di protezione, dando la possibilità a tutti gli operatori con infrastrutture digitali – in particolare quelli in connessione diretta con lo spazio cibernetico ucraino – di condividere segnalazioni e ogni informazione ritenuta d’interesse ad uno specifico indirizzo e-mail.

Conclusioni

Sulla base di quanto descritto, appare evidente come tutte le organizzazioni rientranti nel Perimetro Nazionale di Sicurezza Cibernetica siano tenute ad un costante e attento controllo in relazione alla protezione dei loro asset ICT, al fine di assicurare un’adeguata resilienza all’intera infrastruttura cyber del nostro Paese.

In questo senso, la normativa sul Perimetro pone certamente il nostro Paese all’avanguardia nel campo della sicurezza e difesa cibernetica – nonché della continuità operativa – dei settori economici ritenuti vitali per l’intera Nazione. Da ciò, conseguono inevitabilmente nuove sfide di cybersecurity per i compliance officer delle aziende italiane strategiche e dei loro fornitori, chiamati ad uno sforzo di adeguamento necessario per non perdere competitività, potere di mercato e, in ultima istanza, per garantire la sopravvivenza stessa delle organizzazioni.

[1] Così, l’art. 2, comma 1, lettera b), DPCM 131/2020.

[2]  Il Nucleo per la cybersicurezza svolge un ruolo di supporto del Presidente del Consiglio dei Ministri nella gestione della prevenzione di eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento.

Presso la Presidenza del Consiglio dei Ministri è inoltre istituito il Comitato interministeriale per la cybersicurezza, che ha il compito di affiancare il CdM medesimo nelle scelte strategiche, nonché di suggerire all’esecutivo le azioni da intraprendere nell’attuazione di politiche tese a garantire la sicurezza nazionale.

[3] Per l’elenco completo, vedi BL01/220214/CSIRT-ITA, in https://csirt.gov.it/contenuti/misure-di-protezione-delle-infrastrutture-digitali-nazionali-dai-possibili-rischi-cyber-derivanti-dalla-situazione-ucraina-bl01-220214-csirt-ita

[4] Per l’elenco completo, vedi BL01/220228/CSIRT-ITA, in https://csirt.gov.it/contenuti/innalzare-la-postura-difensiva-in-relazione-alla-situazione-ucraina-bl01-220228-csirt-ita