Cyber Security Energia Focus 21/2018
Cyber Crimine e protezione delle infrastrutture critiche. Il ruolo degli organi di Polizia Nunzia CIARDI
L’autrice Nunzia Ciardi è Direttore del Servizio di Polizia Postale e delle Comunicazioni
Energia Media Energia Media è un’agenzia di comunicazione e relazioni che opera, principalmente, nei settori energy, utility e smart city. Sviluppa strategie comunicative, facilita le relazioni, elabora contenuti e informazione. Sostiene le aziende migliorandone il posizionamento e creando occasioni di business. Affianca associazioni e istituzioni in programmi di comunicazione pensati per aumentare la reputazione nei confronti dei propri stakeholder. Energia Media nasce nel 2013, a Milano, dall'esperienza maturata da un gruppo di persone in oltre vent’anni di lavoro nel campo dell’informazione, delle relazioni e della consulenza strategica nei settori energy e utility. Tutte le immagini e le fotografie presenti in questo Focus sono state regolarmente acquistate su banche dati. Nel caso in cui l’autore ritenga che siano state violate le regole di copyright, è pregato di segnalarlo al seguente indirizzo: comunicazione@energiamedia.it
©Energia Media - gennaio 2018
i
Cyber Crimine e protezione delle infrastrutture critiche. Il ruolo degli organi di Polizia Nunzia CIARDI
Il presente contributo ha la sua origine nell’intervento che Nunzia CIARDI ha pronunciato durante la “IV Conferenza Nazionale Cyber Security Energia”, tenutasi a Roma, , presso il Campidoglio, il 15 novembre 2018, e realizzata in collaborazione con WEC Italia e Utilitalia.
2
Il ruolo della Polizia Postale e delle Comunicazioni nella protezione delle infrastrutture critiche da attacchi informatici
Nel 2017, nel mondo, si sono registrati oltre mille attacchi con conseguenze considerabili "gravi", ovvero che non hanno coinvolto solo un singolo utente. In particolare, se gli attacchi gravi compiuti per finalità di cybercrime sono aumentati del 9,8%, gli atti criminali riferibili ad attività di Cyber Warfare - la "guerra delle informazioni" sono addirittura saliti del 117%. In termini assoluti Cybercrime e Cyber Warfare fanno registrare il numero di attacchi più elevato degli ultimi 6 anni. La sicurezza informatica è un’attività irrinunciabile, anche per l’Italia: il 2017 è stato il peggiore anno per quantità di attacchi. Per la prima volta, il nostro Paese è entrato nella top ten globale per numero di vittime, colpite soprattutto da virus come appartenenti alla tipologia dei ransomware. Inoltre, come spiegato nel rapporto Clusit (febbraio 2017), il 32% degli attacchi viene sferrato con tecniche sconosciute, in aumento del 45% rispetto al 2015, principalmente a causa della scarsità di informazioni precise in merito tra le fonti di pubblico dominio. A preoccupare maggiormente gli esperti è la crescita a quattro cifre (+1.166%) degli attacchi compiuti con tecniche di Phishing/Social Engineering, ovvero mirati a "colpire la mente" delle vittime, inducendole a fare passi falsi che poi rendono possibile l'attacco informatico vero e proprio. A livello globale, la somma delle tecniche di attacco più banali (SQLi, DDoS, Vulnerabilità note, phishing, malware "semplice") rappresenta il 56% del totale: questo è un dato fra i più allarmanti, poiché rende evidente la facilità di azione dei cybercriminali e la possibilità di compiere attacchi con mezzi esigui e bassi costi.
Energia Media
4
Focus n. 21/ 2018 - Cyber Security Energia
E quest’ultima evidenza costituisce, di fatto, il dato probabilmente più penalizzante per chi – aziende, organizzazioni e singoli cittadini – per proteggersi in maniera adeguata deve investire importanti quantità di risorse economiche. La geografia di vittime e crimine va di pari passo con lo sviluppo cyber delle stesse società interessate: i bersagli americani ed europei sono quindi in testa (entrambi al 28%), seguiti da asiatici (26%) e multinazionali (17%). Per quanto riguarda la natura di queste attività criminali, una porzione nettamente maggioritaria è legata al cybercrime (70%), stabili invece le percentuali più vicine allo spionaggio e alla cyber war, mentre diminuisce – e perde il primo posto – la motivazione riconducibile al cosiddetto “hacktivism” (azioni di protesta e disobbedienza civile). Per le realtà produttive (aziende e organizzazioni economiche), il rischio più grande e concreto è rappresentato proprio dal cyber crime. Pertanto, la necessità di aumentare il livello di sicurezza delle medie, piccole e micro imprese, per limitare le vulnerabilità presenti nei loro sistemi informatici e aumentare la consapevolezza del personale interno, ha indotto Università ed esperti nel settore a stilare una serie di misure minime di sicurezza da rispettare a livello aziendale per incrementare i livelli di difesa. Considerando che la cybersecurity è un settore in cui non esistono (né esisteranno in futuro) soluzioni onnicomprensive in grado di azzerare il rischio, è fondamentale la presa di coscienza del problema. La messa in sicurezza di una impresa deve divenire un processo interno all’azienda, entrando di fatto nel DNA aziendale, in modo che tutti siano preparati ad affrontare la minaccia. E le piccole imprese sono l’anello debole in questa difesa dagli attacchi cibernetici. Molti degli attacchi più devastanti per le grandi aziende (capo-filiera) sono partiti da piccole realtà imprenditoriali, aventi livelli di sicurezza inferiori ma dotate di accessi privilegiati a dati e infrastrutture delle società capo-filiera. Con l’avvento di programmi di trasformazione digitale le interazioni digitali tra aziende della stessa filiera aumenteranno esponenzialmente e le vulnerabilità di una singola azienda si estenderanno a tutte le altre aziende collegate. È quindi fondamentale che le imprese inizino a pensare a se stesse non come delle elementi disgiunti, solitari, ma come parte di una rete fortemente interconnessa. Se poi si considerano obiettivi strategici come le reti informatiche che gestiscono la distribuzione elettrica o i trasporti, è facile immaginare quanto duramente un attacco cyber possa colpire, mettendo in crisi un intero sistema-Paese (quasi o più di un attacco fisico o terroristico).
5
Energia Media
6
Focus n. 21/ 2018 - Cyber Security Energia
In tale scenario, qual è il ruolo della Polizia Postale e delle Comunicazioni? Reparto specialistico della Polizia di Stato, la Polizia Postale opera in prima linea nella prevenzione e nel contrasto della criminalità informatica, a garanzia dei valori costituzionali della segretezza della corrispondenza e della libertà di ogni forma di comunicazione. Il Servizio Centrale, vertice della struttura, è punto di riferimento nel coordinamento, nella programmazione e nella pianificazione operativa degli uffici periferici della specialità. L’attività di prevenzione e contrasto viene supportata da un sistematico coinvolgimento degli organismi di cooperazione internazionale giudiziaria e di polizia attraverso la condivisione di strategie di monitoraggio e contrasto dei fenomeni concernenti il cybercrime. Le aree di competenza sono: pedopornografia online, hacking, protezione delle infr strutture critiche, financial cybercrime, cyberterrorismo, reati postali,e-commerce,copyright, giochi e scommesse online. A livello centrale, all’interno del Servizio, sono istituiti tre centri, che operano 24ore su 24: il CNCPO (ovvero il Centro nazionale per il contrasto alla pedopornografia on line), il Commissariato di PS on line, che rappresenta un vero e proprio sportello di polizia on line per cittadini ed enti, ed infine il CNAIPIC, cioè il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche. Istituito con l’art. 7-bis, comma 1 del DPR 144/2005, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche – CNAIPIC è in via esclusiva incaricato della prevenzione e della repressione dei crimini informatici, di matrice comune, organizzata o terroristica, che hanno per obiettivo le infrastrutture informatizzate di natura critica e di rilevanza nazionale. Il Centro è dotato di una sala operativa che funziona da punto di contatto e di scambio informativo con le infrastrutture critiche del Paese. Inoltre svolge compiti di intelligence (raccolta informazioni prevenzione condivisione informativa con altri organi di polizia, enti e aziende), di analisi e investigazione. I servizi di protezione informatica sono erogati a beneficio dell’intero panorama delle infrastrutture critiche nazionali. È altresì prevista la conclusione di apposite convenzioni, previste dalla stessa legge istitutiva, stipulate tra il Dipartimento della Pubblica Sicurezza e le singole infrastrutture critiche, con le quali si istituisce, in tale particolare settore un rapporto di partnership pubblico-privato tra polizia e realtà erogatrici dei servizi essenziali. Ad oggi sono 34 le infrastrutture critiche che fanno parte del circuito di sicurezza CNAIPIC. Tale attività è stata recentemente allargata, con il contributo degli Uffici territoriali di Specialità, giungendo a fornire assistenza a favore delle Aziende comunque riconosciute sensibili, in ragione del servizio fornito sul territorio nazionale. Possiamo dire che la Direttiva
7
NIS (Network Information Security) non trova impreparato il nostro ordinamento, tra i primi nel panorama internazionale ad aver manifestato una particolare sensibilità verso le tematiche di cyber sicurezza. Già il DPR 144/2005 (Decreto Pisanu) aveva previsto l’istituzione del CNAIPIC quale Centro dedicato alla protezione delle infrastrutture critiche nella loro dimensione logica e non materiale, mentre il successivo DCPM 24 gennaio 2013 (innovato dal DPCM 17 febbraio 2017) ha individuato una complessa architettura istituzionale in materia di Cyber Sicurezza Nazionale in grado di fotografare la minaccia e predisporre un’adeguata risposta (Quadro Strategico Nazionale – Piano Nazionale in materia di sicurezza cyber). La consolidata architettura delineata dal DPR 144/2005 e dal DCPM 17 febbraio 2017 consentirà non solo una più facile e pronta adesione alla Direttiva NIS, ma permetterà di attuare, con il recepimento di quest’ultima, un effettivo potenziamento delle capacità di gestione e risposta ad eventi cyber di natura critica. Alla luce della Direttiva, il DPCM 17 febbraio 2017 – recante «Indirizzi per la protezione cibernetica e la sicurezza informatica nazionali» - pone in particolare in capo agli operatori di servizi essenziali, ai fornitori di servizi digitali e soprattutto alle infrastrutture critiche la responsabilità di comunicare al NSC, «...per il tramite dei soggetti istituzionalmente competenti» gli incidenti informatici, ovvero «ogni significativa violazione della sicurezza o della integrità dei propri sistemi informatici» (art. 11).
Energia Media
8
Focus n. 21/ 2018 - Cyber Security Energia
Tale importante novità, che anticipa gli obblighi di notifica introdotti dalla NIS, riconosce un ruolo istituzionale in capo ai soggetti elencati, facilitando l’emersione di eventi cyber e di notizie rilevanti per il circuito informativo. Per comprendere le modalità di azione del CNAIPIC, si prenda il caso concreto di un virus informatico, di tipo ransomware, in grado di diffondersi in maniera epidemica in diverse parti del globo durante il 2017: WannaCry o WanaCrypt0r. Tale virus operava criptando i file presenti sul computer e chiedendo un riscatto in bitcoin di alcune centinaia di dollari per la decriptazione. Dopo l’installazione, esso infettava in automatico gli altri sistemi presenti sulla stessa rete e quelli vulnerabili esposti a internet, senza alcun intervento da parte dell'utente. Si è diffuso sfruttando una vulnerabilità del sistema operativo Windows che era già stata individuata e corretta da Microsoft il 14 marzo 2017. Il CNAIPIC aveva rilevato la minaccia già dal febbraio 2017 e, analizzato il fenomeno, aveva intensificato le attività di monitoraggio e le procedure atte a garantire la massima sicurezza delle infrastrutture informatiche del Paese. Al verificarsi della diffusione del virus a livello mondiale, dalla serata del 12 maggio la Sala Operativa del Centro è stata in costante contatto con i referenti tecnici delle infrastrutture critiche informatizzate e, tramite il Nucleo Sicurezza cibernetica, con i componenti dell’Architettura di difesa Cyber nazionale; ugualmente è stato costante il rapporto con gli organismi di cooperazione internazionale ed in particolare con il centro EC3 di Europol. Sono inoltre stati diramati numerosi «alert» di sicurezza, anche tramite il Commissariato di P.S. on-line, con gli indicatori di compromissione relativi all’attacco hacker, utili per l’innalzamento del livello di sicurezza dei sistemi informatici. La principale causa di diffusione di questo malware, tuttavia, ha riguardato ancora una volta il mancato aggiornamento di computer e sistemi informatici, che si sono dimostrati vulnerabili all’exploit sfruttato dal virus. Inevitabile tornare quindi su fattori quali la consapevolezza del rischio e la necessità di investire in sicurezza, elementi che spesso caratterizzano in negativo le piccole realtà imprenditoriali, meno attente – per ragioni di struttura, budget e cultura aziendale – al problema della sicurezza informatica.
9
FOCUS 21/2018 - CYBER SECURITY ENERGIA
Energia Media Milano / Roma comunicazione@energiamedia.it www.energiamedia.it
11