Da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani

Ministero degli Esteri, Consiglio Superiore della Magistratura, Senato e Ministero della Difesa sono alcuni dei siti web istituzionali italiani che hanno sofferto momenti di grande rallentamento, con anche brevi down, e un’altalena di disservizi diffusi, a causa di una serie di attacchi DDoS (che saturano le risorse del target in modo da farlo andare offline) partiti dal collettivo russo Killnet. “È nella serata di ieri (19 maggio) che i cyber criminali di Legion, costola di attivismo nata per lo più da membri del gruppo KillNet, hanno lanciato delle precise minacce contro l’Italia sul loro canale Telegram”. ha scritto Cybersecurity360.

Il giorno dopo è stata la volta dei siti di alcuni aeroporti: Linate e Malpensa a Milano, Bergamo, Rimini, Genova e Olbia. “Indicato ancora anche il ministero della Difesa e l’agenzia coreana che rivende i biglietti di Trenitalia, forse un errore del gruppo che voleva in realtà aggredire il gruppo ferroviario italiano”, scrive Wired Italia.

Ho raccontato il gruppo Killnet la scorsa settimana. Aggiungo solo una riflessione che ho già espresso su Twitter. La conflittualità cyber è in crescita e resterà tale fino a una stabilizzazione del quadro internazionale, al momento purtroppo ancora lontana.

Ci saranno una varietà di attacchi, di natura ed entità diversa, provenienti da gruppi diversi, ognuno di questi impegnato in modo più o meno efficace in attività di depistaggio e propaganda. Sarà uno stillicidio di DDoS più o meno dimostrativi, phishing, malware, ma peggio saranno i ransomware che già colpiscono gli ospedali, questi in genere di natura solo criminale. Con un diluvio di proclami di hacktivisti più o meno organizzati e sconclusionati, criminali che si riciclano, e hacker militari inquadrati in azioni di ben più alto profilo.

Per cui ora più di prima serve tanta umile cronaca, ma anche precisione tecnica (per quanto possibile coi pochi elementi a disposizione a volte), e freddezza di fronte ai proclami e ai comunicati di tutte le parti. Soprattutto, non serve fare allarmismo. Grande è la confusione sotto il cielo, e la situazione è eccellente al momento solo per quelli a cui fa gioco operare nell’ombra e per i propri interessi.

Italia, arrivano la Strategia di cybersicurezza (e i soldi)

In questa temperie, il Governo ha appena varato la Strategia nazionale di cybersicurezza 2022-2026. “Un’ottantina di azioni per rafforzare la resilienza nella transizione digitale del sistema Paese; conseguire l’autonomia strategica in questa dimensione; anticipare l’evoluzione della minaccia; gestire le crisi e contrastare la disinformazione online”, scrive Ansa. “Sarà l’Agenzia per la cybersicurezza nazionale a garantire l’implementazione della Strategia”.

“Accanto alla strategia, che definirà le linee guida per mettere in sicurezza tecnologie strategiche come il 5G, il Cloud o l’intelligenza artificiale, sarà pubblicato nei prossimi giorni un documento di implementazione con 85 obiettivi da raggiungere nei prossimi quattro anni e il riferimento alle Pubbliche amministrazioni che dovranno occuparsene”, scrive Formiche.

In particolare, scrive Il Sole 24 Ore del 19 maggio, con la “Strategia Nazionale di cybersicurezza 2022-2026”, il “governo destina alla lotta contro gli attacchi cibernetici, ogni anno, l’1,2% degli investimenti nazionali lordi”. Sono finanziamenti per progetti specifici che “devono portare all’autonomia tecnologica in ambito digitale. E all’innalzamento dei livelli di cybersicurezza”. Previsti anche sgravi fiscali per le aziende, e aree a tassazione agevolata. C’è anche l’obiettivo di un parco nazionale della cybersicurezza e relativi hub delocalizzati.

Europa, accordo sulla direttiva sulla cyber (NIS 2)

Qualche giorno prima l’Unione europea aveva trovato un accordo sulla rivisitazione della direttiva NIS, la NIS 2, per rafforzare la cybersicurezza delle proprie infrastrutture critiche. La legislazione impone una lunga lista di requisiti ad aziende, organizzazioni e PA – scrive Politico – incluso il patching delle vulnerabilità software, la preparazione di misure della gestione del rischio, la condivisione di informazioni e la segnalazione alle autorità di incidenti entro 24 ore, così come la consegna di un report entro tre giorni. “Le organizzazioni rischiano multe fino al 2 per cento del turnover per operatori di servizi essenziali, 1,4 per cento per i fornitori di servizi importanti”.

“Mentre ai sensi della precedente direttiva NIS la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva NIS 2 introduce la regola della soglia di dimensione”, scrive il comunicato del Consiglio europeo. “Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione. (…)

Il testo chiarisce inoltre che la direttiva non si applicherà ai soggetti operanti in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, l’attività di contrasto e la giustizia. Anche i parlamenti e le banche centrali sono esclusi dall’ambito di applicazione. Poiché anche le pubbliche amministrazioni sono spesso bersaglio di attacchi informatici, la NIS 2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale. Inoltre, gli Stati membri possono decidere che si applichi a tali enti anche a livello locale”.

Come ha segnalato su Twitter Gianluca Varisco (nella security di Google, già membro del Team per la Trasformazione Digitale italiano) la NIS 2 introduce anche l’importanza di stabilire delle policy di Coordinated Vulnerability Disclosure (CVD)  e dei processi per segnalare e gestire vulnerabilità, e invita gli Stati Membri a prendere misure per facilitare una segnalazione coordinata delle vulnerabilità, stabilendo policy nazionali ad hoc. Inoltre spinge affinché gli Stati si occupino di gestire i rischi legali ancora oggi affrontati dai ricercatori che segnalano vulnerabilità.

Nel mentre in Europa sta per andare in onda un film già visto, Big Telecom contro Big Tech. In particolare le telco europee ritengono che le piattaforme abbiano beneficiato della crescita della rete fissa e mobile in Europa senza partecipare alle spese per la sua infrastruttura. E ora potrebbero trovare una Commissione Ue più solidale con le proprie posizioni che in passato, scrive Politico.