la resilienza informatica nelle infrastrutture critiche e le minacce ransomware che colpiscono la società digitalizzata

Oltre la privacy: perché la resilienza informatica è la vera sfida del 2025

La resilienza informatica è diventata il parametro cruciale per valutare la sicurezza di una società digitalizzata, eppure continuiamo a concentrarci principalmente sulla protezione dei dati personali. Mentre le gang criminali perfezionano tecniche di doppia estorsione e le botnet crescono fino a milioni di nodi compromessi, il dibattito pubblico rimane ancorato alla privacy, trascurando vulnerabilità sistemiche che potrebbero paralizzare intere infrastrutture critiche. Dal caso dei supermercati britannici agli attacchi agli ospedali europei, emerge un quadro preoccupante: non è solo questione di dati rubati, ma di tenuta complessiva del sistema-paese di fronte a minacce sempre più sofisticate e coordinate.

La crescente minaccia degli attacchi informatici

Inizio ripetendo una considerazione quasi banale e sicuramente noiosa. In questi anni stiamo assistendo, non solo in Italia ma in tutti i paesi occidentali, ad un crescendo di attacchi a sistemi informativi. Buona parte di questi attacchi sono Distributed Denial of Service, che vengono classificati, e spesso sono, come azioni da dilettanti, poiché hanno impatti, anche sensibili per le vittime di cui paralizzano le attività, ma che terminano non appena l’attacco termina.

L’altra classe predominante di attacchi sono quelli ransomware, dove l’attaccante cifra tutti i dati sul sistema vittima e rivela la chiave di cifratura dopo il pagamento di un riscatto, di solito rilevante e stabilito in base al fatturato dell’organizzazione vittima. Alcune stime prevedono un aumento superiore al 50% del numero di intrusioni ransomware nel 2025 rispetto a quelle del 2024.

La tecnica della doppia estorsione

Attualmente, buona parte delle gang criminali che lanciano intrusioni ransomware usano la tecnica della doppia estorsione. La tecnica prevede che i dati del sistema vittima non vengano solo criptati in loco, ma anche esfiltrati, cioè trasferiti su un sistema informativo controllato dalla gang. Se la vittima dell’intrusione ransomware non paga il riscatto, non solo non riceve la chiave per decifrare, ma corre anche il rischio che i dati esfiltrati vengano resi pubblici su un sito gestito dalla gang criminale o affidato in outsourcing ad altri.

I possibili danni includono quindi non solo i costi per ricreare le informazioni cifrate, ma anche eventuali multe o danni di immagine provocati dalla pubblicazione di informazioni personali o anche, come nel caso degli ospedali, sensibili. La double extortion è nata per evitare che la disponibilità di copie di backup dei dati cifrati permetta alle organizzazioni vittime di non pagare il riscatto richiesto.

Il focus limitato sulla privacy

In tutta questa situazione, la principale preoccupazione di cui sentiamo parlare è quella della perdita della privacy delle persone i cui dati sono gestiti dalle organizzazioni vittime. Per quanto riguarda i DDoS, nemmeno vengono considerati perché i danni, tra cui l’impossibilità di fornire alcuni servizi, terminano con l’attacco.

Una prospettiva diversa: dai dati ai sistemi

Se però adottiamo una prospettiva diversa e passiamo da parlare di dati a parlare di sistemi, le cose possono cambiare. Ad esempio, se ci chiediamo da dove provengono tutti i messaggi, le connessioni http o altro che sono necessarie per implementare un DDoS, scopriamo che le sorgenti sono i nodi di una botnet.

Una botnet è una rete nascosta ed illegale in reti gestite da organizzazioni legali, creata attaccando nodi connessi in rete ed allocando su ogni nodo un malware controllato da remoto che permette di usare le risorse del nodo per altri fini. I nodi di una botnet possono appartenere ad organizzazioni diverse, ed il numero di nodi della singola botnet può arrivare fino a milioni di nodi, anche se stimare le dimensioni di una botnet è comunque un esercizio pericoloso.

Una botnet può vivere per molti anni. Ad esempio, la botnet Mirai, scoperta nel 2016, è ancora viva ed alcune varianti sono state scoperte quest’anno. Chi controlla da remoto una botnet può lanciare le comunicazioni per realizzare un DDoS oppure per guidare o coordinare attacchi contro altri nodi, o anche installare software per il mining di criptovalute.

In generale, i nodi della botnet vengono affittati dal creatore della botnet a varie gang criminali che le usano per le loro attività. Il costo di affitto è basso, per cui un DDoS che costa, come affitto dei nodi che lanciano le comunicazioni, poche centinaia di dollari, può provocare danni, dovuti alla forzata inattività del bersaglio, quantificabili in decine di migliaia di dollari.

Esempi concreti: gli attacchi ai supermercati britannici

Anche gli attacchi ransomware possono provocare la perdita di dati personali e sensibili. Consideriamo come rappresentativi due di questi attacchi che hanno coinvolto alcuni supermercati inglesi in poche settimane. In particolare, M&S, Co-op e Harrods sono stati bersaglio di ransomware, ed i dati sui loro clienti sono stati esfiltrati prima di cifrare le informazioni sui vari sistemi per renderli inservibili.

Il fatto che gli attacchi siano venuti in sequenza ha permesso di evitare carenze di merci e cibi, ma se gli attacchi fossero avvenuti contemporaneamente, forse le cose sarebbero andate in modo diverso, ed avremmo assistito ad assalti ai supermercati. Attacchi simultanei non sono impossibili, visto che i sistemi informativi di più del 60% delle aziende del settore logistico ed alimentare non adottano meccanismi adeguati di difesa.

Il vero problema: la resilienza sociale

Ora, focalizzarsi sulla pur importante perdita di privacy fa dimenticare il vero problema di fondo: la resilienza di una società informatizzata rispetto ad attacchi informatici. La perdita di privacy è dovuta alla esfiltrazione dei dati, ma questo implica che l’attaccante si è mosso liberamente nei sistemi ed ha scelto le informazioni di interesse, le ha raccolte e le ha trasmesse ai suoi sistemi.

Parlare solo di privacy non è solo riduttivo, è pericoloso perché trascura i problemi ben più seri che i molti gradi di libertà dell’attaccante evidenziano. Non dimentichiamo che più ricerche hanno evidenziato i legami strutturali esistenti fra alcune gang criminali ed organi statali delle Big Four (Russia, Cina, Corea del Nord e Iran) che si scambiano informazioni e condividono i guadagni delle estorsioni.

Quindi, le intrusioni che oggi hanno come obiettivo il guadagno, potrebbero domani mirare a spargere paura, incertezza e dubbio in una vasta parte della popolazione. Una importante lezione della invasione russa dell’Ucraina è che gli attacchi informatici sono spesso associati a quelli cinetici più tradizionali per aumentarne l’efficacia.

Rendere i sistemi informativi robusti rispetto agli attacchi è una condizione irrinunciabile per la resilienza di una qualsiasi società informatizzata, ed ogni aumento della robustezza dei sistemi aumenta automaticamente la protezione dei dati e, quindi, la privacy. L’inverso non è necessariamente vero. Possiamo aumentare la privacy senza migliorare la robustezza complessiva.

Il caso del sistema sanitario

Considerazioni simili valgono per gli attacchi ransomware ad ospedali ed al sistema sanitario in tutta Europa, a partire da quello del 2021 al sistema sanitario irlandese. Certo, queste intrusioni hanno provocato la perdita di informazioni sensibili sullo stato di salute, le opinioni ed altro di tante persone. Ma i ricercatori hanno anche evidenziato che nei periodi in cui un ospedale è stato bloccato da un ransomware si è avuto un aumento della mortalità nello stesso ospedale. Senza dimenticare i problemi che nascono quando visite e diagnosi sono ritardate o deviate ad altri ospedali.

Anche qui la resilienza della società è in crisi, ed il primo punto da considerare è come migliorarla attraverso una migliore robustezza dei sistemi informatici. Di nuovo, la privacy aumenterebbe in maniera automatica.

Le botnet: un indicatore della vulnerabilità sistemica

Infine, torniamo alle botnet. La dimensione delle singole botnet e quella complessiva delle varie botnet, sono una ulteriore conferma della facilità di penetrare nei sistemi ICT ed IoT e ibridi e di usare a fini malevoli risorse che dovrebbero essere gestite da altre organizzazioni.

La vita quasi decennale di alcune botnet, nonostante i numerosi e lodevoli tentativi di smantellarle e i successi ottenuti, sono un importante indicatore della scarsa sicurezza di molte infrastrutture e dell’esistenza di un grande numero di sistemi dietro cui un attaccante può nascondersi ed utilizzare a suo vantaggio.

Come nel Medioevo, il basso livello di igiene collettivo facilita la diffusione di malattie e pestilenze. Dovremmo decidere se il vero problema di avere migliaia di telecamere IP infettate è il rischio che le immagini siano rubate o che le telecamere vengano usate per attaccare il controllo del traffico in una città che potrebbe essere smart ma anche debole.

Inoltre, può essere utile ricordare che smantellare una botnet o un sito nel dark web è inutile se non si ostacola il loro riformarsi, rimediando alla scarsa robustezza delle infrastrutture ICT.

Normative per la resilienza informatica: NIS2, DORA e Cyber Resilience Act

È ampiamente riconosciuto che la resilienza di una società informatizzata richiede un approccio sistemico alla sicurezza informatica. Le nuove normative come NIS2, DORA e Cyber Resilience Act rappresentano passi importanti in questa direzione e meritano il sostegno dell’intera comunità professionale.

Tuttavia, l’esperienza maturata negli ultimi anni suggerisce l’importanza di monitorare attentamente l’efficacia pratica di questi strumenti normativi. La transizione dalla NIS alla NIS2, pur rappresentando un naturale processo di miglioramento, evidenzia come sia cruciale valutare i risultati concreti ottenuti, oltre alle intenzioni dichiarate.

Un aspetto che emerge frequentemente nelle discussioni settoriali è la tendenza a privilegiare la conformità formale rispetto all’effettivo rafforzamento della sicurezza. Questo approccio, seppur giustificabile dal punto di vista economico, rischia di limitare pesantemente l’impatto reale delle normative sulla robustezza complessiva dei sistemi.

L’obiettivo finale deve rimanere il miglioramento sostanziale della resilienza informatica. In questo contesto, le normative dovrebbero essere valutate non solo per la loro capacità di creare un mercato per i servizi di cybersecurity, ma soprattutto per la loro efficacia nel ridurre concretamente le vulnerabilità sistemiche che abbiamo analizzato in questo contributo.

Sviluppi normativi promettenti

Nel panorama normativo attuale si stanno delineando alcuni approcci che appaiono particolarmente interessanti per il rafforzamento della resilienza informatica.

La proposta di legge italiana sulle intrusioni ransomware introduce elementi di trasparenza che potrebbero migliorare la consapevolezza collettiva del fenomeno. Analogamente, le normative australiane che prevedono l’obbligo di disclosure per le vittime di ransomware rappresentano un passo significativo verso una maggiore accountability del settore.

A livello europeo, le discussioni in corso sul divieto di pagamento dei riscatti e la ridefinizione delle infrastrutture critiche dimostrano una crescente attenzione agli impatti sistemici degli attacchi informatici, andando oltre la semplice protezione dei dati personali.

Particolarmente rilevante appare anche la tendenza verso l’attribuzione esplicita delle responsabilità per le intrusioni, come evidenziato dalle iniziative di alcuni paesi europei e degli Stati Uniti⁵. Questo approccio potrebbe contribuire a una migliore comprensione delle dinamiche geopolitiche che caratterizzano il panorama delle minacce informatiche.

È tuttavia preoccupante osservare alcune decisioni che vanno in direzione opposta, come i tagli ai finanziamenti per agenzie specializzate nella protezione delle infrastrutture critiche, che rischiano di indebolire proprio nel momento in cui sarebbe necessario rafforzare le capacità difensive.

 

Profilo Autore

Full Professor, Università di Pisa
E' attualmente è professore ordinario di Informatica presso l'Università di Pisa dove coordina il gruppo di ricerca su ICT risk assessment and management. La sua attività di ricerca è focalizzata su strumenti e metodi formali l'automazione dell'analisi e la gestione del rischio.

Condividi sui Social Network:

Ultimi Articoli