Per l’intelligence è necessario investire nelle competenze, servono più unità esperte in sicurezza cibernetica e maggiore formazione. La sfida che deriva dalla nuova architettura istituzionale del comparto
Il rafforzamento delle capacità italiane nell’universo cyber “deve essere costante e incisivo”, perché “lo stesso futuro” del Paese “si basa in larga misura sull’efficacia in questo settore che, nelle sue svariate applicazioni, è trasversale” a tutti gli altri.
È questo uno dei moniti contenuti nella nuova Relazione annuale sulla politica dell’informazione per la sicurezza, realizzata a cura del Dipartimento delle informazioni per la sicurezza (Dis). Il documento è stato presentato oggi a Palazzo Chigi dal presidente del Consiglio, Paolo Gentiloni, e dal direttore generale del Dis, il prefetto Alessandro Pansa.
LE MAGGIORI MINACCE
Per quanto concerne i pericoli riscontrati nel cyber spazio, la minaccia più significativa nel 2017 rilevata dai nostri 007, spiega il paper, “è stata rappresentata ancora una volta dallo spionaggio digitale, appannaggio quasi esclusivo di attori strutturati, che hanno colpito target critici per sottrarre loro know-how pregiato ed informazioni sensibili da impiegare in sede di negoziazione di accordi di natura politico-strategica”.
Altro filone d’interesse, si rileva, è quello connesso con la minaccia ibrida, “che si traduce in campagne di influenza che, prendendo avvio con la diffusione online di informazioni trafugate mediante attacchi cyber, mirano a condizionare l’orientamento ed il sentiment delle opinioni pubbliche, specie quando quest’ultime sono chiamate alle urne” (un’attività che negli Stati Uniti è stata più volte attribuita a gruppi collegati al Cremlino – sia nel cosiddetto Russiagate sia in altre occasioni – e che anche in Italia viene seguita con grande attenzione).
In particolare, si rimarca, “tali campagne hanno dimostrato di saper sfruttare, con l’impiego di tecniche sofisticate e di ingenti risorse finanziarie, sia gli attributi fondanti delle democrazie liberali (dalle libertà civili agli strumenti tecnologici più avanzati), sia le divisioni politiche, economiche e sociali dei contesti d’interesse, con l’obiettivo di introdurre, all’interno degli stessi, elementi di destabilizzazione e di minarne la coesione”.
LA PROSPETTIVA FUTURA
In prospettiva, l’intelligence ritiene possibile un aumento tanto delle campagne di spionaggio digitale da parte di attori statuali, con l’impiego di modalità operative di offuscamento per rendere più difficoltosa l’identificazione dell’attaccante (in gergo tecnico detta ‘attribution’), quanto delle minacce ibride, specie in prossimità di passaggi cruciali per i sistemi democratici.
GLI ATTORI OSTILI
Per quanto riguarda invece la tipologia di attori ostili, anche nel 2017 ha trovato conferma il trend che vede nei gruppi hacktivisti la minaccia più rilevante in termini percentuali, con il 50% degli attacchi a fronte del 14% riferibili a gruppi di cyber-espionage. Entrambe le categorie hanno fatto registrare una flessione (rispettivamente, pari al -2% ed al -5%), a fronte di un aumento dei cosiddetti “attori non meglio identificati”, che si sono attestati al 36% delle incursioni cyber. Elevato si è mantenuto, infatti, il numero complessivo di eventi per i quali non è stato possibile disporre di elementi univoci in termini di attribuzione e che, pertanto, sono stati inseriti sotto tale categoria.
LE TATTICHE UTILIZZATE
Approfondito anche il focus sulle tattiche utilizzate dagli attaccanti che, secondo l’intelligence italiana, hanno conosciuto significativa evoluzione. Tra queste vanno annoverate le email di spear-phishing, confermatesi quale principale vettore d’attacco. Qui, il dato emergente è costituito dal fatto che – mentre in passato, l’inoculazione del malware prevedeva l’interazione con il titolare dell’account di posta elettronica (che veniva spinto a cliccare su un link o ad accedere ad un allegato infetto) – oggi, la sola apertura dell’email è in grado di infettare la postazione colpita in modalità completamente stealth.
Di particolare interesse sono risultate anche le tecniche di impersonation, che hanno consentito all’attaccante di acquisire credenziali di accesso a caselle di posta elettronica (sia istituzionali che private), riferibili spesso a figure apicali di aziende e Amministrazioni di rilevanza strategica. L’attaccante ha fatto leva sul trust generato nel destinatario dalla ricezione di messaggistica proveniente da mittente noto o, ancorché non noto, di rango istituzionale.
Sempre al fine di rendere le email credibili, sono stati usati indirizzi di posta elettronica e domini simili a quelli legittimi (cosiddetti bitsquatting o typosquatting), correlati al contesto professionale della vittima, ovvero analoghi a quelli impiegati da media, email provider o società, specie dei settori IT.
