Sicurezza delle Infrastrutture Critiche – Intervista a Luisa Franchina
Intervista a Luisa Franchina, presidente dell’Associazione italiana esperti in infrastrutture critiche (AIIC)
Lei è un’esperta di infrastrutture critiche e lavora da anni con istituzioni sia nazionali sia sovranazionali. Ritiene che l’attuale quadro normativo – italiano e comunitario – garantisca un adeguato livello di protezione? Esistono differenze rilevanti tra l’approccio italiano ed estero?
L’approccio comunitario si basa su una direttiva del 2008, volta a individuare le infrastrutture critiche, seguita di recente dalla Direttiva NIS – che amplia le tutele e ridefinisce le infrastrutture critiche come “servizi essenziali” – prevedendo per questi il compito di comunicare eventuali problemi di tipo cibernetico. In conseguenza di questi interventi, i singoli Paesi si sono attrezzati istituendo organi e agenzie ad hoc; l’Italia ha compiuto una serie di passi a partire dalla legge Pisanu fino ai recenti decreti sulla architettura cyber, soprattutto sul piano del dominio cibernetico, ma non ha emanato norme sulla protezione (genericamente intesa) delle infrastrutture critiche nazionali. Questa non è necessariamente una mancanza, dal momento che esistono molteplici forme di azione attivabili su necessità (come avviene, ad esempio, per le attività di protezione civile). In questo campo non esistono formule magiche e le soluzioni attualmente in campo sono senz’altro migliorabili, ma esistono delle best practice nelle quali – tutto sommato – ritengo si stia tenendo il passo con l’estero.
Aver reso accessibili attraverso internet sistemi di controllo complessi, come quelli legati all’industria (Industrial Computer Systems – ICS) fino alle più sofisticate ed articolate reti elettriche e sistemi di distribuzione di gas ed acqua (Supervisory Control And Data Acquisition – SCADA), quanto ha aumentato il rischio sicurezza e quanto l’efficienza o la produttività?
L’informatizzazione ha sicuramente incrementato in modo esponenziale produttività ed efficienza (lo sviluppo dell’industria 4.0 ne è la prova) aumentando anche le opportunità di commercializzazione di questi sistemi, tanto che gli SCADA – un tempo soluzioni self-managed che chi aveva le competenze si approntava “in casa” – sono ormai prodotti commerciali a tutti gli effetti.
Ai domini prettamente fisici si sono affiancati i domini cibernetici con i loro rischi specifici: è il prezzo dell’innovazione tecnologica, che tuttavia per me equivale sempre a un aumento di opportunità.
Considerate le numerose e autorevoli voci che ci mettono in guardia da un incremento degli attacchi alle reti strategiche – che, come testimoniato dagli effetti devastanti del ransomware WanaCrypt0r (variante di WannaCry) sulla sanità inglese, possono colpire al cuore di strutture e servizi fondamentali – quali sono i miglioramenti auspicabili in termini di gestione e protezione?
Credo occorrano una serie di interventi. Innanzitutto adottare una visione altrettanto strategica: come in una partita di scacchi, bisogna imparare a tenere il passo con l’avversario. È poi fondamentale la condivisione delle informazioni – sulle minacce e sulle contromisure – sia a livello nazionale che internazionale. Questo scambio andrebbe visto come un vero e proprio lavoro di squadra, anche con (e tra) privati; in questo senso servono regole d’ingaggio che garantiscano la comunicazione tra aziende senza lederne la competitività. Ultima – ma non per importanza – la consapevolezza: è necessario formare (e informare) costantemente utenti e operatori affinché le minacce non li colgano impreparati.
Oltre ad attrarre cyber criminali interessati a un ritorno economico, le infrastrutture critiche possono naturalmente essere bersaglio anche di attacchi di natura terroristica. Ritiene che attualmente esista un pericolo di questo tipo in Europa? Come prevenirlo?
I terroristi hanno dimostrato di disporre di strumenti sofisticati, ma al momento non credo abbiano intenzione di usarli sul nostro territorio. Finora sono state scelte modalità di attacco più “scenografiche” (che richiedono anche strumenti meno complessi, come per gli attacchi con esplosivo o tramite veicoli su strada) che garantiscono un’immediata attenzione mediatica. Le maggiori vulnerabilità si annidano, anche qui, nella componente umana: non è un caso che i nostri avversari stiano investendo sempre più in strumenti di social engineering, che permettono di spostare gli attacchi all’interno delle strutture servendosi delle debolezze, anche psicologiche, degli operatori per violare un contesto ritenuto affidabile e sicuro. Quanto alla prevenzione, non serve allarmismo ma consapevolezza: bisogna essere preparati all’imprevisto, tenendo sempre conto di tutte le variabili in campo, tra cui il fattore umano che – ripeto – risulta sicuramente il più vulnerabile.
Una previsione, in qualità di docente presso numerose Università ed enti di ricerca, sulle strategie e sugli strumenti di sicurezza indispensabili nel 2018
Per quanto riguarda i prossimi trend di minaccia, come dicevo, fronteggeremo attacchi sempre più mirati e sofisticati: emblematica la vicenda del direttore della CIA, riportato anche nel rapporto Clusit dello scorso anno, le cui credenziali sono state ottenute dagli attaccanti tramite il suo gestore telefonico, con effetti disastrosi sul piano reputazionale (e non solo) per la sua agenzia. Di conseguenza la difesa dovrà spostarsi sul piano dell’attaccante, imparando ad anticiparne le mosse e tenendosi sempre pronta a fronteggiare nuove forme di “fantasiose” soluzioni.
Sul piano della prevenzione, invece, insisto sull’importanza della formazione e più specificamente ritengo che dovremmo curare tre aspetti: innanzitutto formare, sin dalla scuola superiore, tecnici altamente specializzati destinati anche a ruoli tattici e operativi; parallelamente, continuare a specializzare l’offerta formativa “alta” (universitaria e post-universitaria) dedicata alla creazione di operatori strategici. Utilissimo sarebbe, poi, prevedere figure intermedie che lavorino come “interpreti” tra tecnici e non, per costruire un lessico comune che veicoli contenuti complessi in un linguaggio naturale e aiuti così il pubblico – spesso confuso dal linguaggio di settore – ad avvicinarsi a questi temi. Non possiamo certo diventare tutti hacker ma tutti, non soltanto gli addetti ai lavori, dovremmo essere in grado di utilizzare consapevolmente la tecnologia; proprio come tutti impariamo a guidare la macchina anche se non aspiriamo a diventare piloti di Formula 1 e sappiamo di dover andare dal meccanico quando si presentano problemi di funzionamento.
A cura della Redazione