NESSUNO È AL SICURO
Hacker che catturano informazioni per rivenderle. Attacchi mirati ai computer di privati e aziende per ottenere un riscatto. Ormai le intrusioni digitali sono all’ordine del giorno, l’ultima a Unicredit. E per salvarsi serve un fronte comune.
Un attacco perenne, asfissiante, aggressivo. Un assedio costante a scuole, atenei, ospedali, istituzioni, imprese. Nessuno è immune, qualsiasi ente pubblico o privato connesso a internet è un possibile bersaglio per i cyber criminali, che cercano di entrare nei computer altrui per catturare informazioni preziose rivendibili sul mercato nero virtuale. Com’è successo a Unicredit, oggetto di un maxi attacco di hacker che hanno rubato alla banca milanese i dati dei prestiti personali di 400 mila clienti. Dati che possono diventare anche armi di ricatto contro i loro legittimi proprietari, minacciandoli di cancellarli per sempre se non pagano un «riscat-
to». Non è una novità, ma a crescere è l’intensità, a moltiplicarsi la frequenza: secondo il rapporto Clusit 2017 realizzato dall’Associazione italiana per la sicurezza informatica, in 12 mesi alcune tipologie d’intrusione hanno fatto registrare incrementi vicini al 1.200 per cento. A pagina 5 del rapporto, senza nessun giro di parole, si legge: «Stiamo vivendo dentro uno scenario da incubo».
Un incubo quantificabile: considerando un campione di 25 società tricolore, si scopre che da gennaio a giugno 2017 hanno subito quasi 3,4 milioni di tentativi di login fallito. Uno tsunami di combinazioni sbagliate di username e password digitate da chi provava a introdursi in account altrui. Oltre 400 mila i casi di phishing, cioè mail ingannatrici che rimandavano a siti contraffatti utili solo a fare razzia di dati; 162 mila le scansioni dall’esterno delle infrastrutture aziendali a caccia di falle, di vulnerabilità da sfruttare a proprio vantaggio. Non c’è tregua: ogni ingenuità è punita.
Ecco, in sintesi, le conclusioni di una ricerca esclusiva che Panorama è in grado di anticipare. A condurla è stata Yarix, cyber division di Var Group, tra le principali realtà italiane nel settore Ict. Eccellenza di Montebelluna, nel trevigiano, con sede anche a Tel Aviv, Yarix ha più di 15 anni d’esperienza e gestisce un Soc, un Security operation center, un centro operativo 24 ore su 24 allenato a sorvegliare su tali minacce. «A bloccare campagne dalle conseguenze altrimenti disastrose, a evitare che le imprese finiscano paralizzate senza riuscire a ripartire. Difendersi è ormai una priorità, un valore imprescindibile» sottolinea il ceo di Yarix Mirko Gatto in un incontro organizzato a Roma assieme ad Allea, agenzia di consulenza strategica di comunicazione e relazioni pubbliche e istituzionali.
L’idea, ambiziosa quanto centrata, è creare un «think tank» per la cybersecurity, un pensatoio, un tavolo comune per ragionare di questi temi con i protagonisti del mondo dell’università, dell’industria, delle realtà internazionali attive su scala locale. «Divulgando il più possibile quanto sia elevato il livello del rischio per aumentare il grado di consapevolezza generale ed evidenziando la necessità indifferibile della prevenzione» ragiona Alessandro Beulcke, presidente di Allea.
Ne va della tenuta del made in Italy, della sua unicità. Yarix ha calcolato che il 38 per cento delle informazioni sensibili rubate proviene dal settore della moda, roccaforte della creatività, dello stile, della redditività tricolore. Ben più colpita delle banche (22 per cento), vittime di solito privilegiate perché custodi di valore immediatamente misurabile e monetizzabile, della galassia dei motori (18 per cento), del cibo (12 per cento), della farmaceutica (10 per cento). Il complesso della proprietà intellettuale che ci distingue nel mercato globale poggia dunque su un terreno friabile. Esporla a chi vuole appropriarsene è un lusso impensabile, anche perché gli scudi classici zoppicano, le sanzioni non
disincentivano: «Il crimine informatico lavora con i tempi istantanei della rete. La giustizia tradizionale è lenta, cartacea» fa notaree Francesco Teodonno, security unit leader di Ibm. «Non si arriva lontano» aggiunge «senza una cultura della protezione».
Cultura che invoca uniformità, rinforzi a tutti livelli, non solo a quelli apicali: «Le aziende internazionali» rileva Fabio Lorenzo, director cyber security di PwC Advisory, «premiano con un bonus i top manager che sanno tutelare dagli attacchi le loro società. Inizia a succedere anche in Italia. Ma l’anello debole della catena continua a rimanere l’elemento umano». Quello che, per esempio, scivola su un caso clamoroso, un test d’ingenuità condotto da un colosso americano non svelabile (per ovvi motivi di credibilità) tra i suoi dipendenti. A tutti loro è stato inviato un messaggio di posta dall’oggetto imperativo: «Non aprire la mail. Contiene un virus». Più del 60 per cento l’ha visualizzata comunque, oltre il 50 per cento ha cliccato sull’allegato malevolo o supposto tale. Un disastro. A descriverlo è Alessandro Monforte, regional sales manager cybersecurity cloud di Cisco Italia. «L’elemento psicologico, il ruolo delle persone» dice «ha un peso specifico. È il rischio numero uno». Da qui si ripropone l’obbligo di un’infrastruttura impermeabile. O, scenario più verosimile, in grado di tamponare con rattoppi tempestivi qualsiasi falla.
All’incontro era presente anche Cristiano Tito, health and public service security portfolio lead per i mercati Italia, Europa centrale e Grecia di Accenture. La società di consulenza ha condotto uno studio su 2 mila dirigenti in 15 Paesi: il 70 per cento di loro si è detto certo che la lotta al crimine informatico sia un pilastro radicato nella cultura aziendale. Magari, dopo una rapida verifica dell’atteggiamento dei propri dipendenti, quella robusta maggioranza potrebbe correggere al ribasso tanto ottimismo.
E fin qui ci si è limitati alle minacce consuete, conosciute. Le prossime si agganciano al boom dell’industria 4.0, che secondo il Politecnico di Milano già nel 2016 valeva 1,7 miliardi di euro lungo lo Stivale: nuovi oggetti dentro la rete, dalle grandi macchine nelle fabbriche ai piccoli sensori negli uffici. Circa 20 miliardi di oggetti connessi entro il 2020: sterminate opportunità d’intrusione, un’inedita golosa frontiera per i banditi di bit. «La società digitale in cui siamo immersi» nota Marco Mayer, docente di conflict & peacebuilding all’Università Luiss di Roma, «si presenta come una realtà ricca di nuove opportunità, ma certamente molto fragile e vulnerabile, in cui si moltiplicano i rischi per la sicurezza individuale e collettiva».
Lo Stato avrebbe il compito di mantenere l’integrità di questa sicurezza, ma fa i conti con i suoi limiti: in Gazzetta ufficiale, a fine maggio è stato pubblicato il Piano nazionale per la protezione cibernetica, che ordina e sistematizza gli interventi, ma la legge di Stabilità 2016 ha stanziato 150 milioni di euro per realizzarli. «In Gran Bretagna» ricorda Gatto «hanno investito un miliardo di euro. Noi vogliamo andare in guerra con la baionetta».
Da qui ritorna l’esigenza dell’educazione, a livello aziendale, certo, ma ancora prima: «Mancano le risorse e le menti per rafforzare a dovere il nostro Paese. Alla Sapienza opera il più grande centro nazionale su questa tematica e abbiamo pochi studenti l’anno» osserva Roberto Baldoni, direttore del Centro di ricerca in cyber intelligence and information security all’Università di Roma La Sapienza e direttore del Cini, il laboratorio nazionale di cybersecurity. Eppure, l’incentivo logico che potrebbe spingere ad ampliare in maniera spontanea questa base è piuttosto evidente: la domanda di talenti è maggiore dell’offerta. I settori pubblico e privato hanno sempre più bisogno di cervelli preparati alla difesa perché il crimine informatico si sta consolidando. L’unico effetto collaterale tollerabile della sua avanzata dovrebbe coincidere con una sforbiciata alla disoccupazione giovanile.