Qualcuno l’ha definita la prima guerra mondiale cibernetica: di fatto, l’Italia e diversi altri Paesi sono stati oggetto domenica di un attacco che avrebbe potuto mettere davvero in difficoltà la fornitura di servizi strategici ed essenziali per la vita di tutti noi. Ma, in concreto, che cosa è successo? L’Adige lo ha chiesto a Michele Mantovani, ingegnere, classe 1962, fondatore ed amministratore di Arcas, una società fondata a Padova, ora veronese per sede ed azionariato, che è una delle realtà in “prima linea” per combattere i cyber-attacchi come quello di domenica e che proprio a Verona sta realizzando una struttura che richiamerà ed assumerà ingegneri informatici e giovani smanettoni per combattere questa “guerra” .
«Lo scorso fine settimana – spiega l’ingegner Mantovani – l’Italia insieme ad altri 120 Paesi nel mondo sono stati oggetto di un attacco hacker basato su una vulnerabilità relativa ai server virtuali esposti in rete, largamente diffusi nelle infrastrutture informatiche delle aziende, vulnerabilità che era nota da tempo e per la quale esisteva dal febbraio 2021 un rimedio che numerose organizzazioni non hanno implementato, prestando il fianco ad un attacco hacker. Nel gergo informatico l’evento dello scorso fine settimana si classifica come un attacco ransomware».
Quali sono i motivi di questa azione criminosa?
«I motivi sono prevalentemente economici in quanto l’attacco aveva lo scopo di chiedere un riscatto alle aziende colpite per consentire loro di riprendere la normale operatività. Da quanto si è appreso sembra che la richiesta fosse di due bitcoin, quindi di circa 42.000€, per ogni vittima dell’attacco. Inoltre non bisogna trascurare che il malware utilizzato per l’attacco può comportare il furto di dati in quanto consente di eseguire operazioni su computer remoti ed i dati oggi hanno un valore economico concreto».
Che impatto ha avuto questo attacco in Italia?
«Pur non essendo trascurabile, l’attacco è stato di portata abbastanza limitata ed ha colpito alcune migliaia di server nel mondo di cui solo alcuni in Italia e, come riferito da Palazzo Chigi, nessuno appartenente a servizi nevralgici per il nostro Paese».
In una scala di gravità come si può classificare questo attacco?
«Grave anche se sembra non aver avuto effetti devastanti come in passato altri attacchi (ad esempio WannaCry nel 2017 infettò centinaia di migliaia di computer in oltre 150 Paesi). La gravità del recente attacco sta nel fatto che ha colpito un sistema molto diffuso tra i server nel mondo la cui carenza di aggiornamento ha permesso il successo dell’attacco».
Si ha evidenza di danni a siti istituzionali?
«Palazzo Chigi, per il tramite del sottosegretario con delega alla cybersicurezza Alfredo Mantovano, ha comunicato che l’attacco hacker non ha colpito alcuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale».
Come è organizzata l’Italia per fronteggiare queste aggressioni?
«Nell’agosto del 2021 è stata creata l’Agenzia per la Cybersicurezza Nazionale (ACN) che ha l’obiettivo “di promuovere la realizzazione di azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese”. Il nostro Paese si è quindi allineato ai nostri vicini europei come la Francia dove c’è l’ANSSI e la Germania dove opera da tempo il BSI».
Questo attacco era prevedibile?
«Si può affermare che senza alcun dubbio i server virtuali che presentavano la vulnerabilità utilizzata per l’attacco lo scorso fine settimana rappresentavano una interessante preda per i cyber criminali; in questo senso, quindi, possiamo dire che si poteva supporre che prima o poi qualche criminale informatico avrebbe agito per estorcere denaro e dati d informazioni ad aziende ed organizzazioni che non avevano adottato alcun rimedio alla vulnerabilità legata al mondo della virtualizzazione. In generale questo è vero per ogni vulnerabilità grave che viene individuata ed è per questo motivo che è necessario analizzare con continuità e attenzione lo stato di ogni infrastruttura informatica».
Cosa ha insegnato questo evento?
«In primis che è necessario tenere aggiornati i sistemi e tenere in debita considerazione gli avvertimenti dell’ACN che, proseguendo nella disamina dell’attacco recente, aveva allertato tutte le organizzazioni critiche già nel 2021 perché aggiornassero i sistemi vulnerabili. Ha inoltre insegnato che è necessaria una maggiore cooperazione tra le agenzie dei vari Paesi almeno a livello europeo; infatti è grave pensare che il CERT francese (il centro di risposta agli allarmi cyber) aveva lanciato l’allarme alcuni giorni prima del manifestarsi dell’attacco su scala globale e questo è stato per lo più ignorato. Infine quello che dobbiamo imparare è che tutte le aziende e le organizzazioni pubbliche e private devono prestare più attenzione alla sicurezza delle informazioni e dei sistemi dedicati alla loro gestione perché oggi gran parte degli aspetti produttivi e della nostra vita è basato su procedure digitali: dalla automazione delle macchine in fabbrica all’approvvigionamento delle materie prime per la produzione di manufatti, dalla erogazione dell’acqua a quella della energia, dalla raccolta e smaltimento rifiuti alla logistica, dalla erogazione di servizi finanziari alla gestione dei trasporti pubblici e tanto altro ancora, tutto o quasi è strettamente dipendente da infrastrutture informatiche».
E’ possibile difendersi da questi attacchi?
«E’ senz’altro possibile attivare una serie di soluzioni e servizi per creare barriere difensive in grado di disincentivare criminali informatici alla ricerca di prede cui estorcere denaro e procurare danni anche di notevole entità. È indispensabile avere la consapevolezza del proprio livello di esposizione ai rischi che si ottiene solamente con esami approfonditi della propria infrastruttura informatica che devono essere eseguiti da tecnici esperti di aziende specializzate nella cyber sicurezza. Successivamente, in base ai risultati dello stato della infrastruttura e delle applicazioni ed in funzione del livello di rischio ritenuto accettabile da una organizzazione, si devono implementare le procedure interne e le soluzioni informatiche opportune e misurare la loro efficacia nel tempo perché, come molti sanno, le infrastrutture informatiche cambiano molto frequentemente per molteplici motivi e quindi si prestano a presentare nuove vulnerabilità sfruttabili per attacchi malevoli».
La sicurezza informatica è un ambito dedicato solo alle grandi aziende o può essere accessibile anche alle piccole realtà?
«A partire dal singolo individuo fino alla grande azienda, ognuno ha la possibilità e la necessità di adottare strumenti e procedure di difesa dagli attacchi cyber; è ovvio che la capacità di investimento di una grande azienda è nettamente superiore a quella di un singolo individuo ma di contro la grande azienda è una preda normalmente molto più interessante di quanto può essere un singolo e quindi richiama maggiormente l’interesse del cyber crime. Per i singoli esistono soluzioni open source e di mercato che non richiedono investimenti elevati. La complessità delle reti aziendali, la molteplicità delle applicazioni, l’organizzazione del lavoro che include sempre più collegamenti remoti comporta ragionamenti ed investimenti di altro tipo che è necessario affrontare con esperti del settore se non si vuole rischiare danni operativi, normativi e reputazionali di notevole entità».