Di recente sono state argomento di cronaca la pandemia (informatica) provocata da NotPetya – una variante più complessa del tradizionale Petya, divenuto noto qualche anno addietro – e le importanti conseguenze da essa procurate. Queste, registrate prevalentemente, ma non esclusivamente, sul territorio Ucraino, hanno riguardato, seppur in modo lieve, anche alcune infrastrutture critiche. Ed è proprio questo l’elemento che rende straordinaria la vicenda: persino i sensori di controllo sui livelli di radioattività della centrale nucleare di Chernobyl sono andati fuori uso e l’infrastruttura è risultata inaccessibile.
Non è mia intenzione soffermarmi ulteriormente sugli effetti dell’attacco, né tentare di approfondire le questioni tecniche o cercare di individuare i colpevoli. La stampa ha già fornito un quadro molto articolato al riguardo. Piuttosto mi interessa ragionare su alcuni elementi della vicenda che denotano in modo chiaro un trend preoccupante.
Innanzi tutto bisogna constatare che i codici malevoli sviluppati e messi in circolazione esprimono una crescente complessità. NotPetya è infatti un virus mutato che coniuga tre minacce di natura differente. Per spiegarlo in un linguaggio comune è innanzi tutto difficilmente riconoscibile, in quanto inizialmente si deposita nel computer un elemento leggero che poi provvede a scaricare dalla rete in modo autonomo e silente gli altri componenti.
Applica una cifratura ad elevata sicurezza (la cui chiave potrebbe essere fornita previo pagamento di un riscatto) che coinvolge non solo i documenti ma anche alcune funzioni del sistema operativo. Si diffonde in modo autonomo ed efficace, infettando la rete a grande velocità. Sebbene la maggior parte dei vettori di attacco utilizzati siano ancora identificabili in strumenti semplici (ricordiamo che il phishing è in vetta alla classifica), bisogna però tenere bene a mente che alcuni nuovi vettori sono in grado di provocare impatti devastanti, come in questo caso.
Il secondo elemento che caratterizza quest’escalation preoccupante è costituito dalla scelta dei bersagli, dall’accuratezza con cui vengono colpiti e soprattutto dall’effetto domino che possono generare. Il che conduce a spostare sempre più l’attenzione dal classico cybercrime, finalizzato alla truffa e a cui siamo ormai tristemente abituati, verso il cyberwarfare: la guerra che senza armi tangibili è potenzialmente in grado di mettere in ginocchio in un colpo solo un popolo, compromettendo le infrastrutture critiche, ed un paese, devastandone l’economia. Sembra catastrofico? Sì, effettivamente lo è. Ma abbiamo ben realizzato che è stata colpita, seppur limitatamente agli strati più superficiali, una centrale nucleare?
Il terzo elemento riguarda il divario sempre più profondo che si sta demarcando tra i due fattori di cui abbiamo parlato sopra e la capacità di reazione a questi fenomeni da parte delle strutture preposte. Vorrei ricordare ancora una volta che l’approccio alla sicurezza è di molto cambiato negli ultimi anni. La prevenzione è fondamentale ma la capacità di reagire è diventata una questione di sopravvivenza. Statisticamente è cosa quasi certa, vista la mole massiccia di attacchi sferrati, che almeno uno di questi vada in porto. Ora bisogna governare bene la reazione.
Che cosa si fa per rimettersi in piedi? In quanto tempo bisogna farlo? Ecco perché la business continuity – così come ha spiegato il Presidente ANSSAIF nel suo “Come si ‘sposa’ la business continuity con il cybercrime?“ pubblicato in questa rubrica – è sempre più parte integrante del tema. Ed è anche motivo di preoccupazione il fatto che gli uomini che si occupano di information technology, pur avendo acquisito una notevole familiarità con i test per valutare l’efficacia dei sistemi di sicurezza, dimostrino scarso interesse per le esercitazioni finalizzate a simulare un incidente.
Da una parte è comprensibile: bisogna mantenere un ambiente di test ad hoc, con i costi annessi, ed il rischio che la situazione sfugga di mano e un incidente simulato possa avere impatti reali, anche se inattesi ed insperati, è dietro l’angolo. Ma del resto le variabili che determinano ciò che può accadere in un’infrastruttura IT sono talmente tante e mutevoli nelle relazioni. L’unico modo per individuarne e saperne gestire il maggior numero possibile è quello di simulare praticamente distinti scenari.
Il quarto e ultimo elemento, strettamente correlato al terzo, riguarda l’adeguatezza dell’offerta formativa. E non mi riferisco a quella specialistica. Piuttosto parlo di quella basilare, il cui percorso comincia da piccoli. Così come l’alfabeto e le prime regole di grammatica, non sarebbe il caso di cominciare a fare nelle scuole un po’ di educazione civica digitale? Eppure nel nostro Paese siamo fermi, come se fossimo colpiti da una cronica abitudine a restare a guardare. Magari anche un po’ riluttanti ad ammettere che così è troppo poco, che non basta. Di questo passo, ci sarà qualcuno pronto per affrontare uno scenario infinite volte più complesso e mutevole di quello attuale, in grado di evitare possibili catastrofi?
