Un articolo di Gianluca Di Feo su Repubblica del 13 agosto ha lanciato l’allarme sulla vulnerabilità delle reti informatiche strategiche italiane. La risposta dello Stato Maggiore della Difesa.

Cybersicurezza, anno zero ora assumiamo i pirati buoni

da La Repubblica del 13 agosto 2017

Ogni giorno l’Italia cammina su un cavo sospeso sul baratro, senza nessuna rete di protezione. Un cavo dove scorrono tutte le informazioni vitali dell’intero Paese ma che chiunque può tagliare. Siamo un cyber-colabrodo, con l’intera architettura di computer pubblici alla portata dei predatori del web, che si tratti di banditi o di soldati, di mercenari o di idealisti. Se la prima linea della Difesa, quella che dovrebbe puntellare i bastioni digitali degli altri ministeri, è affidata a un sistema vecchio, non aggiornato e con software in saldo fallimentare, allora siamo obbligati a renderci conto dell’incoscienza istituzionale su questo fronte. Le brecce che possono permettere a qualunque hacker di penetrare nei segreti militari o in quelli della ricerca universitaria, nei database degli appalti o nelle chat degli uffici tecnici, sono praticamente ovunque.

E anche gli organismi delegati alla vigilanza sono sentinelle disarmate e disarmanti, spesso attive solo in orario d’ufficio come se i sabotatori si astenessero dai raid notturni o riposassero nei weekend. Mancano fondi, personale e leggi. I soldi sono veramente pochi rispetto alla vastità della minaccia. Ci sono stati tentativi massicci per manipolare le elezioni negli Usa e in Francia; ci sono razzie telematiche che depredano i database di industrie ma l’Italia è ancora ferma all’era degli antivirus, con stanziamenti ridicoli e sempre tardivi per blindare le sue reti. Il finanziamento d’emergenza di 150 milioni deciso dal precedente governo è rimasto insabbiato per quasi diciotto mesi nel dibattito sulla nomina di Marco Carrai, l’amico del cuore dell’allora premier, al vertice della sicurezza cibernetica nazionale. I militari hanno piani ambiziosi e idee chiare, ma il loro cybercomando non sarà operativo prima del 2019 e il bilancio della Difesa continua a trascurare questa priorità, destinando pochi spiccioli rispetto alle spese per supercaccia e navi: si confida nei fondi extra varati da Gentiloni, un miraggio da 800 milioni in quindici anni, ossia un tempo biblico rispetto alla rapidità dell’evoluzione tecnologica. Ma in questo settore gli uomini contano più delle macchine: nei documenti Nato il rapporto viene stimato in 70 a 30.

Il comandante delle forze armate Claudio Graziano ha spiegato che bisognerà arruolare hacker già esperti. Lo stesso problema che hanno tutti, enti pubblici e società private, facendo decollare le quotazioni di queste figure. Infine c’è la questione delle regole. Pochi mesi fa il governo ha affidato a una nuova struttura dei servizi segreti il coordinamento della difesa informatica. Una scelta diversa da quella di altri paesi europei, che hanno preferito affidarsi ai militari o creare unità miste Interni-Difesa e tenere l’intelligence fuori da una partita così delicata. Per difendere i server, infatti, bisogna entrarci e vigilare, scoprendo gli intrusi: in estrema sintesi, questo significa che gli 007 del web dovrebbero poter circolare nei computer di governo e ministeri. E inoltre devono poter contrattaccare gli apparati di chi aggredisce. Oggi però in Italia non ci sono leggi che regolino queste attività e definiscano diritti e doveri dei controllori. Insomma, siamo all’anno zero. E continuiamo a perdere tempo prezioso.

La replica dello Stato Maggiore della Difesa in un comunicato: nessun problema di sicurezza sulle reti dell’Esercito

In merito a quanto riportato oggi da un quotidiano sul tema della sicurezza cibernetica, è opportuno affermare che non corrisponde a realtà e riferisce una situazione ingenerosa nei confronti della Difesa, invece pienamente impegnata in un nuovo dominio, quello cibernetico, in cui molto si sta investendo, in linea con il dettato del Libro Bianco e delle successive direttive ministeriali.

Innanzi tutto, la problematica riguarda il controllo delle reti “aperte” (per capire meglio, quelle con accesso ad internet), che, per quanto attiene alla Difesa, sono fisicamente separate da quei sistemi informatici, dedicati alla trattazione degli argomenti classificati, i quali sono invece collegati tra loro tramite “reti chiuse”. Pertanto, non esiste alcun rischio di compromissione di dati e informazioni di natura riservata.

Il software obsoleto dall’Esercito citato in un articolo è, di fatto, una sorta di “sentinella” che rileva eventuali anomalie nel traffico dati. Il suo mancato aggiornamento non è un problema, perché si sta già provvedendo alla sua sostituzione nel pieno rispetto dei tempi tecnico-amministrativi necessari, ma soprattutto perché nella sua attività è affiancato da altre “sentinelle” (altri software e applicativi) che svolgono appieno il loro compito in maniera ridondante. Tutti questi sistemi devono essere costantemente rivisti e, quando necessario, cambiati per poter fronteggiare efficacemente una minaccia, quella cibernetica, che è mutevole e in continua evoluzione.

Con le direttive impartite dal Libro Bianco, la Difesa sta realizzando un ambizioso progetto di governance di sicurezza unica delle reti con il potenziamento del C4 Difesa (il Comando preposto alla gestione e alla sicurezza delle reti informatiche della Difesa) e con la creazione del Comando Interforze per le Operazioni Cibernetiche. Stupisce perciò leggere l’affermazione che tale comando sarà operativo solo nel 2019. La struttura è già in funzione e opera con pienezza già da tempo, come peraltro documentato in numerose attività mediatiche di cui è stato protagonista. Nel 2019, invece, gli saranno affiancate due strutture: il cyber-range, un poligono virtuale in cui addestrare il personale non solo della Difesa ma anche di altre Amministrazioni dello stato che ne faranno richiesta, e il cyber-lab, un laboratorio in cui studiare le minacce e mettere a punto le relative contromisure. Tale progetto consentirà, infatti, di gestire e controllare unitariamente tutte le reti della Difesa e delle singole Forze Armate, andando ad eliminare proprio quelle possibili problematiche che potrebbero insorgere dall’impiego di sistemi e software differenti.

Peraltro, vale la pena ricordare che il software citato nell’articolo nulla ha a che vedere con le capacità di risposta cibernetica alle minacce in senso stretto, affidata invece al giusto mix di tecnologia – attraverso programmi antivirus costantemente aggiornati e pienamente validi, come testimonia il fatto che ormai da molto tempo pur a fronte di numerosi tentativi, le reti della Difesa non hanno registrato alcuna intrusione – e di professionalità del personale tecnico. In quest’ultimo settore, la Difesa sta investendo particolarmente anche attraverso specifici bandi di concorso, per avere sempre le migliori risorse, umane e materiali, al fine di garantire al meglio la sicurezza delle proprie reti e, con essa, di quelle del Paese.

È anche utile sottolineare che le reti della Difesa non sono in connessione con le altre reti ministeriali e pertanto non esiste alcun rischio di compromissione di dati e di informazioni di natura riservata.

Foto: Formiche.net