Sicurezza delle Infrastrutture Critiche – Intervista a Luisa Franchina

A cura di:Redazione Ore

Intervista a Luisa Franchina, presidente dell’Associazione italiana esperti in infrastrutture critiche (AIIC)

Lei è un’esperta di infrastrutture critiche e lavora da anni con istituzioni sia nazionali sia sovranazionali. Ritiene che l’attuale quadro normativo – italiano e comunitario – garantisca un adeguato livello di protezione? Esistono differenze rilevanti tra l’approccio italiano ed estero?

L’approccio comunitario si basa su una direttiva del 2008, volta a individuare le infrastrutture critiche, seguita di recente dalla Direttiva NIS – che amplia le tutele e ridefinisce le infrastrutture critiche come “servizi essenziali” – prevedendo per questi il compito di comunicare eventuali problemi di tipo cibernetico. In conseguenza di questi interventi, i singoli Paesi si sono attrezzati istituendo organi e agenzie ad hoc; l’Italia ha compiuto una serie di passi a partire dalla legge Pisanu fino ai recenti decreti sulla architettura cyber, soprattutto sul piano del dominio cibernetico, ma non ha emanato norme sulla protezione (genericamente intesa) delle infrastrutture critiche nazionali. Questa non è necessariamente una mancanza, dal momento che esistono molteplici forme di azione attivabili su necessità (come avviene, ad esempio, per le attività di protezione civile). In questo campo non esistono formule magiche e le soluzioni attualmente in campo sono senz’altro migliorabili, ma esistono delle best practice  nelle quali – tutto sommato – ritengo si stia tenendo il passo con l’estero.

Aver reso accessibili attraverso internet sistemi di controllo complessi, come quelli legati all’industria (Industrial Computer Systems – ICS) fino alle più sofisticate ed articolate reti elettriche e sistemi di distribuzione di gas ed acqua (Supervisory Control And Data Acquisition – SCADA), quanto ha aumentato il rischio sicurezza e quanto l’efficienza o la produttività?

L’informatizzazione ha sicuramente incrementato in modo esponenziale produttività ed efficienza (lo sviluppo dell’industria 4.0 ne è la prova) aumentando anche le opportunità di commercializzazione di questi sistemi, tanto che gli SCADA – un tempo soluzioni self-managed che chi aveva le competenze si approntava “in casa” – sono ormai prodotti commerciali a tutti gli effetti.

Ai domini prettamente fisici si sono affiancati i domini cibernetici con i loro rischi specifici: è il prezzo dell’innovazione tecnologica, che tuttavia per me equivale sempre a un aumento di opportunità.

Considerate le numerose e autorevoli voci che ci mettono in guardia da un incremento degli attacchi alle reti strategiche – che, come testimoniato dagli effetti devastanti del ransomware WanaCrypt0r (variante di WannaCry) sulla sanità inglese, possono colpire al cuore di strutture e servizi fondamentali – quali sono i miglioramenti auspicabili in termini di gestione e protezione?

Credo occorrano una serie di interventi. Innanzitutto adottare una visione altrettanto strategica: come in una partita di scacchi, bisogna imparare a tenere il passo con l’avversario. È poi fondamentale la condivisione delle informazioni – sulle minacce e sulle contromisure – sia a livello nazionale che internazionale. Questo scambio andrebbe visto come un vero e proprio lavoro di squadra, anche con (e tra) privati; in questo senso servono regole d’ingaggio che garantiscano la comunicazione tra aziende senza lederne la competitività. Ultima – ma non per importanza la consapevolezza: è necessario formare (e informare) costantemente utenti e operatori affinché le minacce non li colgano impreparati.

Oltre ad attrarre cyber criminali interessati a un ritorno economico, le infrastrutture critiche possono naturalmente essere bersaglio anche di attacchi di natura terroristica. Ritiene che attualmente esista un pericolo di questo tipo in Europa? Come prevenirlo?

I terroristi hanno dimostrato di disporre di strumenti sofisticati, ma al momento non credo abbiano intenzione di usarli sul nostro territorio. Finora sono state scelte modalità di attacco più “scenografiche” (che richiedono anche strumenti meno complessi, come per gli attacchi con esplosivo o tramite veicoli su strada) che garantiscono un’immediata attenzione mediatica. Le maggiori vulnerabilità si annidano, anche qui, nella componente umana: non è un caso che i nostri avversari stiano investendo sempre più in strumenti di social engineering, che permettono di spostare gli attacchi all’interno delle strutture servendosi delle debolezze, anche psicologiche, degli operatori per violare un contesto ritenuto affidabile e sicuro. Quanto alla prevenzione, non serve allarmismo ma consapevolezza: bisogna essere preparati all’imprevisto, tenendo sempre conto di tutte le variabili in campo, tra cui il fattore umano che – ripeto – risulta sicuramente il più vulnerabile.

Una previsione, in qualità di docente presso numerose Università ed enti di ricerca, sulle strategie e sugli strumenti di sicurezza indispensabili nel 2018

Per quanto riguarda i prossimi trend di minaccia, come dicevo, fronteggeremo attacchi sempre più mirati e sofisticati: emblematica la vicenda del direttore della CIA, riportato anche nel rapporto Clusit dello scorso anno, le cui credenziali sono state ottenute dagli attaccanti tramite il suo gestore telefonico, con effetti disastrosi sul piano reputazionale (e non solo) per la sua agenzia. Di conseguenza la difesa dovrà spostarsi sul piano dell’attaccante, imparando ad anticiparne le mosse e tenendosi sempre pronta a fronteggiare nuove forme di “fantasiose” soluzioni.

Sul piano della prevenzione, invece, insisto sull’importanza della formazione e più specificamente ritengo che dovremmo curare tre aspetti: innanzitutto formare, sin dalla scuola superiore, tecnici altamente specializzati destinati anche a ruoli tattici e operativi; parallelamente, continuare a specializzare l’offerta formativa “alta” (universitaria e post-universitaria) dedicata alla creazione di operatori strategici. Utilissimo sarebbe, poi, prevedere figure intermedie che lavorino come “interpreti” tra tecnici e non, per costruire un lessico comune che veicoli contenuti complessi in un linguaggio naturale e aiuti così il pubblico – spesso confuso dal linguaggio di settore – ad avvicinarsi a questi temi. Non possiamo certo diventare tutti hacker ma tutti, non soltanto gli addetti ai lavori, dovremmo essere in grado di utilizzare consapevolmente la tecnologia; proprio come tutti impariamo a guidare la macchina anche se non aspiriamo a diventare piloti di Formula 1 e sappiamo di dover andare dal meccanico quando si presentano problemi di funzionamento.

A cura della Redazione

Condividi sui Social Network:

Articoli simili

Blockchain Security, un paradigma multilayer

Blockchain Security, un paradigma multilayer

A cura di:Maria Letizia Perugini e Marco Carlo Spada Ore Pubblicato il

Security technologies and products may be improving, but they’re not improving quickly enough. We’re forced to run the Red Queen’s race, where it takes all the running you can do just to stay in one place. As a result, today computer security is at a crossroads. It’s failing, regularly, and with increasingly serious results[1]. Bruce…

Le polizze assicurative cyber: un tassello del complesso mosaico di Risk Management

Le polizze assicurative cyber: un tassello del complesso mosaico di Risk Management

A cura di:Redazione Ore Pubblicato il

Le conseguenze di un attacco informatico spaziano dal furto di segreti industriali e informazioni riservate, ai danni reputazionali e la conseguente perdita di business, fino a deterioramenti finanziari o sanzioni amministrative. In risposta a questi sinistri il mondo assicurativo ha creato dei prodotti ad hoc. Le polizze cyber risk sono presenti sul mercato da almeno…

Steganografia di rete: come implementare un canale nascosto su una macchina Windows

Steganografia di rete: come implementare un canale nascosto su una macchina Windows

A cura di:Francesco Santini Ore Pubblicato il

Introduzione La steganografia consiste nella scienza di nascondere il trasferimento e l’archiviazione delle informazioni [1]. Essa non deve essere confusa con la crittografia: entrambe condividono l’obiettivo finale di proteggere le informazioni, ma la prima tenta di renderle “difficili da notare”, mentre la seconda cerca di confondere il messaggio per renderlo “difficile da leggere”. I dati…

WebAnon con Proxychain e Firefox

WebAnon con Proxychain e Firefox

A cura di:Fabio Carletti aka Ryuw Ore Pubblicato il

Negli ultimi anni la profilazione degli utenti di internet è sempre più invasiva da parte di siti web, e-commerce e social network. I dati degli utenti sono diventati preziosi per creare pubblicità mirate e inserzioni di siti o prodotti pertinenti agli interessi del navigatore. Sarà capitato a tutti di comprare qualcosa su sito web e…

Operazione Blockbuster: caccia ai cyber criminali di Lazarus Group che attaccarono la Sony

Operazione Blockbuster: caccia ai cyber criminali di Lazarus Group che attaccarono la Sony

A cura di:Redazione Ore Pubblicato il

31L’operazione Blockbuster, un’indagine approfondita condotta in maniera congiunta da parte di una serie di importanti società attive nel settore della sicurezza, connette diversi cyber attacchi che fecero tremare grandi industrie di varie nazioni. Come molti ricorderanno, il novembre del 2014 vide tra i più eclatanti attacchi informatici quello lanciato alla Sony Pictures Entertainment, la casa cinematografica…

Il consenso digitale del minore alla luce dell’art. 8 del GDPR

Il consenso digitale del minore alla luce dell’art. 8 del GDPR

A cura di:Ginevra Scalcione Ore Pubblicato il

Introduzione Tra i tratti più innovativi introdotti dal nuovo Regolamento europeo n. 2016/679 in materia di protezione dei dati personali (nel prosieguo “GDPR”) in tema di manifestazione del consenso al trattamento dei dati vi rientra la previsione, di cui all’art. 8, paragrafo 1, del GDPR, relativa alla capacità del minore sedicenne e ultra-sedicenne di prestare…