Relazione DIS 2019, cresce la complessità degli attacchi cyber

Relazione DIS 2019, cresce la complessità degli attacchi cyber

Relazione DIS 2019, cresce la complessità degli attacchi cyber

Crescita della qualità e della complessità delle attività cyber ostili rivolte alle infrastrutture critiche nazionali; maggiore orientamento verso operazioni preparatorie per successivi attacchi; rilevazione di numerose attività di matrice statuale con obiettivi di tipo strategico e geopolitico. È quanto emerge dal punto sullo Stato della minaccia cibernetica in Italia nel 2019, all’interno della Relazione annuale del DIS, il Dipartimento delle informazioni per la sicurezza, presentata a Palazzo Chigi lo scorso 2 marzo. L’ambito cibernetico si conferma anche quest’anno come ambiente privilegiato per la conduzione di manovre ostili in danno di target, sia pubblici che privati, di rilevanza strategica per il Paese.

Come riportato nella Relazione, il costante monitoraggio dell’intelligence sulle Tecniche, Tattiche e Procedure adottate dagli attaccanti, ha consentito al DIS di rilevare durante lo scorso anno il progressivo innalzamento della qualità e della complessità di alcune operazioni. Si è confermato il crescente riutilizzo tanto di oggetti malevoli quanto di intere infrastrutture di attacco, le cui risorse sono state, talora, impiegate contestualmente, in modo più o meno consapevole, da diversi attori ostili. Ad esempio, alcuni gruppi Advance Persistent Threat (APT) hanno acquisito elementi sulle capacità offensive dei “competitor”, portandoli a effettuare interventi sulle loro infrastrutture per minarne l’operatività ovvero per impiegarle per proprie attività intrusive, riuscendo così da occultare la reale provenienza dell’attacco.

Obiettivo primario dell’intelligence ha continuato ad essere nel 2019 il contrasto delle campagne di spionaggio digitale, gran parte delle quali riconducibili a gruppi strutturati di cui è stata ritenuta probabile – alla luce sia delle ingenti risorse dispiegate, sia della selezione dei target, quasi sempre funzionale al conseguimento di obiettivi strategici e geopolitici – la matrice statuale. La principale finalità di tali campagne è stata l’esfiltrazione di informazioni dalle infrastrutture informatiche riferibili ad Amministrazioni pubbliche centrali, volta a meglio comprendere la postura del nostro Paese sui dossier d’interesse per l’attaccante. Ripetuti tentativi di intrusione sono stati effettuati anche nei confronti degli assetti cibernetici di operatori del settore petrolchimico, pure italiani, in quanto parte integrante della catena del valore di primarie realtà internazionali afferenti all’ambito Oil & Gas. Nello sviluppo delle accennate operazioni, i gruppi APT hanno continuato a privilegiare la compromissione dei sistemi di posta elettronica, in cui sono state inoculate sofisticate ed inedite versioni di artefatti malevoli.

Le manovre di matrice hacktivista, operate prevalentemente da formazioni minori contigue al collettivo digitale “Anonymous Italia” (su tutte, AnonPlus ITA, AntiSec ITA e LulzSec_ITA), hanno fatto registrare – in un contesto di complessiva contrazione delle attività di tali sodalizi – l’avvio delle campagne “#OpLavoro” ed “#OpAngelieDemoni”: la prima, contro le cosiddette “morti bianche”, con azioni in danno di enti pubblici ed organizzazioni operanti nel mondo del lavoro; la seconda, tesa ad evidenziare presunte illiceità nel sistema di affido dei minori da parte di amministratori locali ed operatori dei servizi sociali. Si è confermato invece marginale l’attivismo di individui e gruppi di matrice cyberterrorista.

Andamento delle minacce cyber nella Relazione del DIS

Nella Relazione sono riportate le elaborazioni statistiche concernenti le attività ostili perpetrate, attraverso il dominio cibernetico, ai danni degli assetti informatici rilevanti per la sicurezza nazionale. Nel 2019 tali dati – espressivi dunque delle sole manifestazioni “critiche” del fenomeno – evidenziano un numero complessivo di azioni ostili quasi dimezzato rispetto al 2018, con ciò riportando, dopo il picco registrato nel raffronto 2017-2018, lo sviluppo tendenziale su valori maggiormente in linea con l’osservazione complessiva dell’andamento della minaccia.

relazione

Tra i target privilegiati si sono confermati i sistemi informatici di Pubbliche Amministrazioni centrali e locali (73%). La ripartizione degli attacchi in ambito pubblico ha visto in leggero aumento quelli diretti verso i principali Ministeri (+10%) ed in diminuzione quelli in danno di assetti IT di enti locali, che sono scesi al 16% del totale, facendo registrare una contrazione di oltre 20 punti percentuali.

Le tipologie di attacco rilevate hanno confermato il predominante ricorso dei gruppi antagonisti a tecniche di SQL Injection per violare le infrastrutture delle vittime (64% del totale), solitamente precedute da attività di scansione di reti e sistemi (cd. Bug Hunting, circa il 22%) alla ricerca di vulnerabilità da sfruttare nelle fasi successive dell’attacco. A tali tecniche si sono affiancate massive campagne di spear-phishing (4,1%), tese verosimilmente all’inoculazione di impianti malevoli (3,2%), quali web-shell e rootkit, di norma impiegati per acquisire il controllo remoto delle risorse compromesse. In termini di esiti, si è assistito ad un’inversione di tendenza che ha decretato un rilevante incremento di azioni prodromiche a potenziali, successivi attacchi (54% del totale, in aumento di 30 punti percentuali) rispetto alle offensive tese a sottrarre informazioni da assetti informatici effettivamente compromessi (34%).

relazione

Sul fronte della minaccia ibrida – caratterizzatasi, anche nel 2019, per il prevalente impiego di strumenti cyber per indebolire la tenuta dei sistemi democratici occidentali – è proseguita l’azione di coordinamento del Comparto a livello sia nazionale (con l’avvio di dedicati raccordi interistituzionali volti a mettere a sistema e potenziare le capacità di risposta del nostro Paese) sia internazionale.

Potenziamento della resilienza cibernetica del Paese

  • Reti di nuova generazione (5G)

Hanno confermato la portata globale della sfida del 5G alla sicurezza gli interventi posti in essere dalla Commissione Europea con l’emanazione, il 26 marzo, di una Raccomandazione che ha chiamato gli Stati Membri ad effettuare un’analisi dei rischi di sicurezza del 5G a livello nazionale. Nel risk assessment nazionale – elaborato dal Comparto, in raccordo con Ministero dello Sviluppo Economico-MiSE ed AGCOM e con il rilevante ausilio degli operatori assegnatari di frequenze – sono stati prima identificati gli asset più rilevanti dell’architettura 5G e poi analizzati i profili di rischio rispetto a intenzioni, mezzi e capacità degli attori ostili.

relazione

Nel nostro Paese si è quindi esteso al 5G l’ambito dei poteri speciali attribuiti al Governo nei settori strategici (cd. Golden Power), prescrivendo agli operatori di notificare i contratti per l’acquisizione di beni e servizi connessi a quelle reti conclusi con fornitori extra-europei, inclusi quelli che, pur avendo sede legale in Europa, sono controllati da società site al di fuori dell’UE. Oggi il Governo può opporre il veto all’acquisizione o imporre prescrizioni di sicurezza, la cui attuazione è oggetto di specifico monitoraggio.

L’esperienza maturata in questo breve lasso di tempo ha visto diversi operatori effettuare notifiche, rispetto alle quali sono state prescritte stringenti misure di sicurezza. In base alla disciplina dettata dalla legge istitutiva del “Perimetro di sicurezza nazionale cibernetica” (vedi sotto), tali prescrizioni potranno essere aggiornate a seguito dell’entrata in vigore dei regolamenti attuativi della predetta normativa, laddove fosse necessario adeguarne il contenuto rispetto alle nuove disposizioni e ai livelli di sicurezza da queste previsti.

  • Perimetro di sicurezza nazionale cibernetica

Lo sviluppo più significativo registrato dall’ecosistema cyber nazionale è stato l’istituzione del cd. “Perimetro di sicurezza nazionale cibernetica” (Legge 18 novembre 2019, n. 133), iniziativa promossa dal Comparto al fine di consentire al Paese di fronteggiare adeguatamente le sfide poste dall’evolversi della minaccia cibernetica nelle sue molteplici forme, a partire da quelle di matrice statuale.

Una minaccia accresciuta dalla sempre maggiore interconnessione dei sistemi e dall’avvento di nuove tecnologie – in primis il 5G e quelle rispetto alle quali il 5G sarà, come detto, fattore abilitante, inclusa l’Intelligenza Artificiale – che, se da un lato forniranno soluzioni native in grado di proteggere in modo ancora più incisivo i dati e le comunicazioni, dall’altro pongono delicati problemi sul fronte della sicurezza, e non solo sul versante tecnico.

relazione

  • Computer Security Incident Response Team (CSIRT) italiano

Un ulteriore, significativo sviluppo si è poi registrato con la costituzione presso il DIS – disposta dal DPCM 8 agosto 2019 – del Computer Security Incident Response Team (CSIRT) italiano, struttura che si affianca al Nucleo per la Sicurezza Cibernetica (NSC) e al punto di contatto unico NIS, anch’essi istituiti presso il Dipartimento e con i quali il suddetto Team è chiamato ad interfacciarsi.

Il DPCM prevede che la nuova struttura inizi ad operare entro maggio 2020, assumendo i compiti sin qui assolti da CERT-N e CERT-PA rispetto a cittadini, imprese e amministrazioni pubbliche. A tal fine, sono state intraprese le opportune iniziative per assicurare in tempi contenuti l’operatività del CSIRT a partire dalla definizione delle procedure per la prevenzione e la gestione degli incidenti informatici, la ricezione delle relative notifiche e la partecipazione alla rete UE dei CSIRT.

relazione

Accedi alla Presentazione della Relazione 2019 sulla politica dell’informazione per la sicurezza del DIS.