ISAC (Information Sharing and Analysis Center): la condivisione delle minacce organizzata per settore
Gli ISAC sono le organizzazioni che rendono ordinaria, e non occasionale, la condivisione delle informazioni sulle minacce tra aziende dello stesso settore. Un Information Sharing and Analysis Center è un punto di raccolta fidato in cui banche, ospedali, operatori energetici o di trasporto mettono in comune ciò che osservano, lo fanno analizzare e ricevono in cambio un quadro che nessuno di loro, da solo, riuscirebbe a costruire. Rispondono a un problema strutturale della sicurezza informatica: nessuna organizzazione vede l’intero panorama delle minacce, ma chi appartiene allo stesso settore tende ad affrontare gli stessi avversari, e un attacco subito da uno è quasi sempre un avvertimento per tutti gli altri.
L’idea non è recente. Gli ISAC nascono negli Stati Uniti con una direttiva presidenziale del 1998, la PDD-63, che invitò ciascun settore di infrastruttura critica a dotarsi di un’organizzazione dedicata allo scambio di informazioni su minacce e vulnerabilità, in una logica di collaborazione tra pubblico e privato. La stessa direttiva ne immaginava il funzionamento sul modello dei Centers for Disease Control, i centri statunitensi per il controllo delle malattie: come per un’epidemia, riconoscere presto un focolaio e diffondere l’allerta è ciò che limita il contagio. I primi ISAC presero forma già nel 1999, a partire dal settore finanziario, e oggi negli Stati Uniti si coordinano tra loro attraverso il National Council of ISACs, che mantiene una visione d’insieme tra i diversi comparti.
Che cosa fa un ISAC
Il compito di un ISAC si riassume in tre verbi: raccogliere, analizzare, distribuire. Raccoglie dai propri membri segnalazioni su incidenti, indicatori di compromissione e tecniche d’attacco osservate; le analizza e le arricchisce di contesto, separando il rumore dai segnali rilevanti; e restituisce ai membri intelligence utilizzabile, spesso accompagnata da indicazioni pratiche di mitigazione. Non è un fornitore commerciale che vende un prodotto, ma una struttura senza scopo di lucro alimentata dai suoi stessi aderenti: il suo valore dipende da quanto i membri vi immettono.
Un esempio rende concreto il meccanismo. Una banca aderente individua una nuova campagna di phishing che imita il proprio portale e ne ricava gli indirizzi e i domini coinvolti. Invece di tenere l’informazione per sé, la trasmette all’ISAC del settore finanziario, che la verifica, la mette in relazione con segnalazioni simili arrivate da altri membri e la ridistribuisce all’intera comunità. Nel giro di poche ore, decine di altre banche possono bloccare quei domini prima ancora di essere colpite. La stessa minaccia, vista una volta sola, diventa una difesa per molti, ed è esattamente questo moltiplicatore a giustificare l’esistenza di un ISAC.
Per far circolare quelle informazioni, un ISAC si appoggia agli stessi standard che governano la condivisione tecnica. Le asserzioni viaggiano in formati strutturati e leggibili dalle macchine, e ogni informazione porta con sé un’etichetta di riservatezza che ne stabilisce il raggio di diffusione, secondo convenzioni come il Traffic Light Protocol. È questa infrastruttura comune a permettere che ciò che un membro condivide arrivi agli altri in forma immediatamente azionabile, senza rinegoziare ogni volta le regole.
Perché il settore è la giusta unità di condivisione
La scelta del settore come perimetro non è casuale. Le organizzazioni che operano nello stesso comparto condividono tecnologie simili, gli stessi obblighi normativi e, soprattutto, gli stessi avversari: i gruppi che colpiscono le banche studiano le banche, quelli che prendono di mira la sanità conoscono i sistemi sanitari. In questo contesto, una minaccia rilevata da un’organizzazione è informazione preziosa per tutte le altre, perché con ogni probabilità saranno le prossime sulla lista. Il settore diventa così il cerchio di fiducia naturale, abbastanza ristretto perché ci si possa fidare, abbastanza ampio perché la condivisione produca un vantaggio reale.
Non sorprende che il terreno d’origine degli ISAC siano le infrastrutture critiche: energia, finanza, trasporti, sanità, comunicazioni. Sono i settori in cui un attacco non danneggia soltanto un’azienda, ma può avere conseguenze sull’intera collettività, e in cui quindi la cooperazione tra concorrenti, su questo specifico fronte, smette di essere un paradosso e diventa una necessità.
Gli ISAC in Europa
Anche l’Europa ha adottato il modello, con un percorso più recente ma in rapida crescita. L’ENISA, l’agenzia dell’Unione per la cybersicurezza, sostiene la nascita e il funzionamento degli ISAC settoriali, ne studia i modelli di cooperazione e ne favorisce il coordinamento attraverso una piattaforma comune e incontri periodici tra i centri dei diversi Paesi. Esistono ormai ISAC europei dedicati a comparti come l’energia e la finanza, e la spinta normativa verso lo scambio di informazioni, rafforzata dalla direttiva NIS2, ne sta accelerando la diffusione. La NIS2 incoraggia esplicitamente i soggetti che rientrano nel suo perimetro a scambiarsi informazioni su minacce, vulnerabilità e incidenti, e gli ISAC offrono la cornice organizzata entro cui quello scambio può avvenire in modo continuativo e fidato, anziché episodico.
In questo quadro, gli ISAC si inseriscono nella più ampia costruzione di una resilienza cibernetica europea fondata sulla cooperazione: la convinzione che, di fronte ad avversari che agiscono su scala continentale, la difesa non possa restare confinata dentro i confini di una singola organizzazione o di un singolo Stato. La condivisione settoriale è uno dei modi concreti in cui questa convinzione prende forma operativa.
Il vero ostacolo non è tecnico, è la fiducia
Accanto agli ISAC, negli Stati Uniti è nato il concetto più ampio di Information Sharing and Analysis Organization, le ISAO, pensato per consentire la condivisione anche a gruppi non legati a un singolo settore, con una struttura più flessibile. Ma, al di là delle forme organizzative, la sfida di fondo resta sempre la stessa, e non è di natura tecnologica. Gli standard per scambiare informazioni esistono e funzionano; ciò che è difficile è convincere le organizzazioni a condividere i propri incidenti.
Ammettere di essere stati colpiti, anche solo all’interno di un cerchio ristretto di pari, richiede la certezza che quell’informazione non venga usata contro chi la fornisce, né a fini concorrenziali né reputazionali. È per questo che gli ISAC investono tanto nella fiducia quanto nella tecnologia: regole chiare di riservatezza, possibilità di condividere in forma anonima, una cultura in cui contribuire è la norma e non l’eccezione. È un equilibrio fragile, perché basta qualche membro che riceve senza mai dare per erodere la reciprocità su cui tutto si regge. Un ISAC, in fondo, vale esattamente quanto la disponibilità dei suoi membri a parlare di ciò che preferirebbero tacere.
Gli ISAC non eliminano le minacce, ma cambiano i termini con cui un intero settore le affronta, trasformando l’esperienza isolata di ciascuno in un patrimonio comune. In un panorama in cui gli attaccanti collaborano e si scambiano strumenti con disinvoltura, la capacità dei difensori di fare altrettanto, in modo strutturato e fidato, non è un lusso ma una condizione di sopravvivenza. È questa la promessa degli ISAC: che nessuna organizzazione debba affrontare da sola una minaccia che qualcun altro, nello stesso settore, ha già visto.

