Data Breach, Cyberfrauds e Information Forensics – Intervista a Gerardo Costabile
Intervista a Gerardo Costabile, CEO di Deepcyber e Presidente dell’International Information System Forensics Association (IISFA) Italian Chapter
Lei è presidente del Capitolo italiano dell’associazione IISFA, che da oltre 10 anni ha come mission la promozione e diffusione della information forensics, ed ha collaborato a lungo con le forze dell’ordine. In base a queste esperienze, come valuta il livello di preparazione e consapevolezza sui temi della sicurezza informatica nel nostro Paese? Che ruolo ha oggi l’informatica forense nelle indagini contro il crimine, sia comune sia organizzato?
Negli ultimi anni sono molto cresciute sia il ricorso all’informatica forense sia la consapevolezza in materia; IISFA Italia consta di oltre 500 soci e si occupa di promozione, cultura, pubblicistica ed attività formativa, oltre che di essere un baricentro professionale e indipendente tra gli addetti ai lavori. L’informatica forense è materia complessa ed in costante evoluzione, tanto da richiedere formazione e aggiornamento continui: per questo fare parte di una rete e condividere strumenti è fondamentale. Bisogna segnalare che, secondo le nostre percezioni, in Italia c’è maggiore consapevolezza e competenza nelle grandi città – particolarmente, com’è ovvio, Milano e Roma – mentre la provincia tende a restare parzialmente indietro, salvo eccezioni particolari, come in una sorta di “digital divide” anche sul piano investigativo.
Secondo molti esperti, nel settore privato la compliance rispetto al rischio cyber – analogamente, potremmo suggerire, a quanto avviene in campo di sicurezza ambientale – è ancora vista più come un obbligo che come un’opportunità di business. È d’accordo? Cosa ritiene dovrebbe cambiare?
C’è sicuramente da lavorare sul piano culturale partendo dalle scuole – magari con la previsione di un’educazione cyber per bambini e ragazzi – per promuovere la percezione della sicurezza come interesse collettivo. Sul piano aziendale, di contro, il tessuto economico italiano è di fatto condizionante: esistono poche realtà industriali di grandi dimensioni – per lo più concentrate al Nord ed intorno alle grandi città-, per il resto ci sono una miriade di piccole e medie imprese che spesso mancano del budget necessario per investire adeguatamente nella sicurezza e/o nella formazione dei dipendenti. Trovo che sarebbe opportuno ed interessante prevedere profondi sgravi di tipo fiscale per agevolare le imprese negli investimenti in questo settore, incentivando in tal modo anche la crescita del Paese sul piano dell’innovazione. È un lavoro complesso perché, proprio come in campo ambientale, gli sforzi di oggi non si traducono in un beneficio immediatamente visibile ma in un miglioramento di medio-lungo periodo, che non tutti riescono a vedere concretamente o considerano appetibile: dobbiamo ricordare, quando parliamo di security, che “quando va tutto bene, non succede niente”, perché un adeguato apparato di sicurezza si attiva prima che gli eventi dannosi si verifichino e questo rende talvolta complesso trasmettere il valore di questa sicurezza “silenziosa”. D’altronde è stato dimostrato con WannaCry quanto possano essere disastrosi gli effetti di un attacco imprevisto, anche per chi, non lavorando direttamente in ambito tecnologico, è abituato a sentirsi al sicuro. A mio avviso, l’industria 4.0 ed IoT devono investire massicciamente in sicurezza perché tutto ciò che è in rete offre una superficie d’attacco sempre crescente – e gli interessi coinvolti sono tali che non ci si può più permettere di rimandare.
Ultimamente si è molto parlato di Data Breach, una tipologia di minaccia che mette a rischio tanto aziende e privati quanto istituzioni pubbliche: emblematico, ma non isolato, il caso della National Security Agency (NSA) statunitense. Solitamente con quale fine e per quale scopo vengono messi in atto attacchi di questo tipo?
Esistono varie tipologie di Data Breach, i cui scopi vanno dalla criminalità economica (pensiamo a quelli che prendono di mira carte di credito e servizi di home banking) allo spionaggio, di tipo industriale e non, alla preparazione di attacchi futuri. Nel 2017, sul piano internazionale, le maggiori 10 violazioni hanno riguardato 5,6 miliardi dei 6 miliardi totali di record compromessi ed il 35,4% delle violazioni dei dati è avvenuto nel settore medico e sanitario. Lo stesso WannaCry sfruttava vulnerabilità rubate alle Agenzie di intelligence USA ed esistono trojan di ultima generazione che mettono a sistema informazioni e codici depredati dai database governativi per organizzare successivi attacchi a scopo di lucro. Secondo le statistiche, circa il 60% dei malware sono ransomware ed il 71% delle aziende colpite da attacchi ransomware sono state infettate. Secondo ENISA, i danni economici degli attacchi ransomware hanno superato i 5 miliardi di dollari nel 2017. Anche le criptomonete giocano ormai un ruolo importante, sia direttamente come oggetto di attacchi sia come driver per attacchi di tipo ransomware; I maggiori trend del 2017 sono stati l’aumento della complessità e la sofisticazione degli attacchi, la motivazione finanziaria sta diventando uno dei «moventi» principali degli agenti di minaccia ed i «bad actor» sponsorizzati dagli Stati sono sempre più numerosi e pervasivi.
L’ultimo biennio registra anche un significativo aumento dei casi di phishing e cyberfrauds, come è possibile prevenire e contrastare simili crimini?
Il 2017 ha segnato, in particolare, la prevalenza dello spear phishing: anche la Polizia Postale registra un forte aumento delle frodi informatiche originate da attacchi personalizzati. L’enorme quantità di dati che tutti immettiamo quotidianamente online, in particolare sulle piattaforme social, facilita infatti la raccolta di informazioni dei cyber criminali che le sfruttano poi per impersonare una conoscenza reale del bersaglio e convincerlo a trasferire denaro – o a compiere altre operazioni – a proprio vantaggio. Secondo le statistiche di settore, nel 2017 ogni mese sono stati creati in media oltre 1,3 milioni di siti di phishing con un sorprendente record di 2,3 milioni a maggio 2017.
Per difenderci credo serva un approccio multidisciplinare e differenziato, articolato su tre filoni: innanzitutto formazione a tutti i livelli e testing (esistono ormai eccellenti piattaforme di simulazione per sperimentare attacchi sui propri dipendenti, così da migliorarne la reattività e prevedere aggiornamenti mirati); c’è poi naturalmente la componente tecnologica, intesa come adozione di filtri avanzati e di un monitoraggio costante su comunicazioni e transazioni aziendali. Infine, un approccio intelligence driven, nel quale sono cruciali la comunicazione e condivisione di informazioni (utilissimo, ad esempio, creare blacklist di indirizzi sospetti da condividere tra aziende) anche a livello internazionale.
Più in generale, prevedo entro 5 anni una forte riduzione dell’uso della password come mezzo di protezione, proprio a causa dall’elevato numero di violazioni dei dati basato su password deboli o rubate.
Un breve identikit del criminale informatico. Quali skills ha e che tipologia di reati predilige?
Molto dipende dal contesto: esistono singoli cybercriminali ma anche, sempre più spesso, gruppi organizzati di cosiddetti “bad actors” che operano con un medesimo obiettivo, che sia puramente economico o finalizzato allo spionaggio (in molti casi State sponsored) senza necessariamente conoscersi tra loro. Anche per quanto riguarda le tipologie di reati esiste una grande varietà, ma le principali tendenze sono quelle di cui abbiamo parlato – furto di dati con successiva richiesta di riscatto o loro impiego per attacchi futuri, coadiuvati da strumenti di ingegneria sociale sempre più sofisticati e veicolando malware. È un quadro complesso, fatto di strutture estremamente ramificate a livello transnazionale; a volte assistiamo ad attacchi “frazionati” in cui ci sono centinaia di chilometri di distanza tra chi crea (e vende) il malware e chi, in un secondo momento, lo sperimenta lanciando l’attacco a livello locale. In presenza di questo schema, molto frequente nei reati contro istituti bancari, la ricostruzione del crimine può risultare complessa.
A questo proposito gli strumenti digitali a disposizione delle indagini forensi sono sempre più precisi e sofisticati, come questo ha condizionato i risultati delle indagini? Se mettessimo a confronto i numeri di reati commessi con quelli delle indagini concluse, aumenterebbero i casi risolti?
Non esistono ancora statistiche in questo senso, soprattutto perché le indagini non possono mai essere solo informatiche e soltanto la giusta combinazione tra strumenti analogici e digitali garantisce i migliori risultati. Bisogna unire le competenze sapendo che spesso chi sta dietro all’attacco può commettere errori nella vita reale: per quanto sofisticati siano gli strumenti a sua disposizione si tratta pur sempre di un essere umano con le sue distrazioni e debolezze, per cui le componenti di un’indagine tradizionale – come pedinamenti o intercettazioni telefoniche – restano fondamentali.
Chiaramente l’approccio investigativo varia moltissimo a seconda che si tratti di Forze dell’ordine (che cercano i colpevoli da sottoporre a processo), privati (che hanno a cuore l’interesse aziendale) o, infine, operatori di sicurezza nazionale (a cui preme soprattutto la raccolta di informazioni ai fini dell’intelligence e della strategia di protezione degli asset nazionali). Questa è un’ulteriore complessità, ma può diventare un punto di forza in presenza di un corretto scambio di informazioni. Al riguardo in Italia scontiamo un significativo gap culturale dato dalla diversità di forma mentis tra operatori pubblici e privati: qualcosa sta già cambiando, ma ci vorrà del tempo per diffondere un nuovo mindset in cui la sicurezza sia davvero un interesse – e una responsabilità – di tutti.
A cura della Redazione
