Gli attacchi informatici sono per la Pubblica Amministrazione italiana una minaccia reale, imponente, non trascurabile. Casi di cronaca, tra ransomware ed espisodi DDoS, negli ultimi anni ne sono stata chiara dimostrazione. Certo, lo scenario sta cambiando, basti pensare alla prospettata migrazione dei sistemi informatici della PA sul cloud del Polo Strategico Nazionale, fatto che dovrebbe almeno mitigare gli attuali problemi di cybersicurezza dovuti a infrastrutture obsolete o mal configurate. Ma lo scenario è più complesso, come ci ha spiegato Aldo Di Mattia, manager systems engineering Centre/South Italy di Fortinet, in questa intervista.
Quali debolezze tecnologiche, dal punto di vista della cybersicurezza, caratterizzano ancora la PA italiana?
La Pubblica Amministrazione italiana è caratterizzata da un numero elevato di debolezze che in alcuni casi cresce nel tempo, anziché diminuire. Esiste una differenza sostanziale tra i tempi che determinano l’evoluzione delle minacce informatiche e il processo di studio, acquisizione, installazione e configurazione da parte della Pubblica Amministrazione per adottare soluzioni appropriate per reagire a queste minacce o, nel caso migliore, per agire in maniera proattiva. Esiste altresì spesso una differenza sostanziale tra gli investimenti fatti da alcuni gruppi di criminali informatici per produrre attacchi nuovi e innovativi rispetto agli investimenti fatti dalle PA per difendersi dagli stessi.
Questa differenza è in continua evoluzione, aumenta e diminuisce nel tempo ma purtroppo resta, per molte PA (e molti privati), concreta. Oggi, ad esempio, i cybercriminali utilizzano algoritmi di intelligenza artificiale per creare nuove minacce e individuare più rapidamente nuove vulnerabilità ma non tutte le amministrazioni pubbliche già utilizzano strumenti di sicurezza basati su AI, fondamentali per bilanciare l’evoluzione tecnologica dei criminali informatici. Esistono ormai da tempo diverse soluzioni che sfruttano l’AI per individuare attacchi sconosciuti o favorire la visibilità e la risposta da parte dei nuclei di sicurezza informatica. L’intelligenza artificiale è alla base di molti prodotti Fortinet, quali Waf (Web Application Firewall), Siem (Security Information and Event Management), Soar (Security Orchestration, Automation and Response), Ndr (Network Detection and Response), Edr/Xdr (Endpoint/Extended Detection and Response) e sandbox. Essa è inoltre il tratto caratterizzante dei FortiGuard Labs, in cui vengono prodotte le signature per tutte le soluzioni.
E le amministrazioni pubbliche italiane hanno tutto questo arsenale difensivo?
Una soluzione di sicurezza completa, basata sulla somma delle soluzioni di sicurezza tradizionale e di quelle indicate sopra, è presente solo in pochissime PA. Alle debolezze elencate si aggiungono le criticità specifiche per ambienti di OT (Operational Technology) e Industrial IoT. Si tratta di ambienti critici e purtroppo le aziende pensano prima a sfruttare i benefici di OT e IIoT e poi con più calma a predisporre un’adeguata sicurezza informatica. Anche in questo caso, ci sono delle soluzioni che possono essere d’aiuto: Fortinet ha un framework completo che riunisce switch, access point, Ngfw (Next Generation Firewall), sandbox, deception, Siem, Soar, e interagisce automaticamente con soluzioni esterne di analisi dei flussi dati OT. Stesso discorso per l’adozione di ambienti multi-cloud, l’utilizzo di sistemi necessari a favorire il remote working, l’uso di device privati (Byod) e molte altre innovazioni che sono andate in produzione pur non avendo da subito un’infrastruttura di sicurezza adeguata.
Aldo Di Mattia, manager systems engineering Centre/South Italy di Fortinet
A quali minacce, in particolare, risultano esposti gli enti della PA?
Ogni azienda connessa, pubblica o privata che sia, è esposta a tutte le minacce informatiche. La frequenza con cui ciascuna realtà può subire degli attacchi cambia in maniera dinamica e dipende dalle logiche dei cybercriminali, che solitamente sfruttano vulnerabilità del momento o criticità specifiche, come ad esempio le paure generate dalla pandemia di covid-19 che hanno facilitato attacchi di tipo phishing e la conseguente installazione di malware di varia natura da parte degli ignari utenti.
Riguardo la dannosità di un attacco, bisogna determinare se sia più critica una minaccia che si manifesta subito con conseguenze distruttive oppure se siano più pericolosi gli attacchi latenti e invisibili che producono danni o perdita di dati costanti nel tempo. Nel primo caso l’attacco che attualmente risulta più critico per tutte le PA è il ransomware. Questo tipo di minaccia in ambiente OT e IIoT è probabilmente il più temuto in assoluto, perché il riscatto non viene richiesto decifrare i dati ma per il rilascio di servizi essenziali per la collettività (energia, acqua, trasporti, ecc) o addirittura per il rilascio di sistemi utilizzati in ambito ospedaliero a tutela diretta della vita umana. Nel secondo caso sicuramente lo spyware è tra le minacce più temute, soprattutto per gli organi della PA che gestiscono dati estremamente sensibili, come ad esempio Difesa, Giustizia, Presidenza del consiglio, Parlamento, Senato, eccetera.
Quale potrebbe essere una strategia di cybersicurezza efficace?
L’unica strategia efficace attuabile è la “security by design”. La sicurezza deve essere alla base dei servizi informatici attualmente erogati o fruiti e dev’essere il primo aspetto da considerare nell’evoluzione architetturale. Bisogna, ad esempio, chiedersi se si acquisterebbe mai una macchina senza freni per poi comprarli in un secondo momento. Sicuramente no, non ha alcun senso, ci ritroveremmo con una macchina distrutta alla prima manovra. La sicurezza informatica deve essere percepita esattamente come la sicurezza fisica o i sistemi di sicurezza presenti nei veicoli, che sono chiaramente alla base del progetto stesso.
In questo momento la maggior parte della PA ha introdotto, o sta introducendo, sistemi di remote working, multi-cloud, IIoT-IoT ed SD-Wan, per cui nella maggior parte dei casi si rende necessario ridefinire completamente la sicurezza. In precedenza, gli utenti lavoravano all’interno di edifici specifici, ora invece sono localizzati ovunque. Prima i dati erano custoditi all’interno di data center propri e ora sono sparsi in vari cloud provider e nei servizi SaaS. Prima ad essere utilizzati erano soprattutto i dispositivi aziendali, mentre oggi vengono sfruttati i device Byod. La sicurezza in questo caso non va perfezionata: va ridefinita completamente, chiaramente ottimizzando gli investimenti già fatti. Conclusa questa fase, si deve adottare il nuovo approccio descritto sopra. Se ci decide di modificare qualcosa riguardo erogazione, fruizione o adozione di servizi informatici, è necessario farlo iniziando proprio dalla sicurezza.
In ultimo, bisogna unire le forze. Nella Pubblica Amministrazione centrale e in alcune PA locali ci sono poche persone che, con elevate competenze e passione, combattano quotidianamente contro i cybercriminali. Nelle singole PA questi individui sono pochi, ma se vengono sommati diventano un nucleo di sicurezza centralizzata per la PA italiana che nessuna azienda privata potrà mai vantare. Chiaramente lo Stato italiano ha già avviato un processo di cambiamento importante in tal senso e siamo tutti in attesa di vederne i benefici. Sarebbe utile però, mettere al centro di questo cambiamento, le eccellenze già presenti nella PA, che hanno competenze consolidate e una forte esperienza.
Quali richieste vi giungono dalla PA? Osservate delle nuove tendenze?
La PA deve sfruttare tutte le evoluzioni tecnologiche, che definirei irrinunciabili, come il multi-cloud, il remote working, il dispositivi Byod (più potenti di quelli aziendali), le reti SD-Wan(che permettono di aumentare la connettività e la resilienza anche nelle sedi periferiche, spesso in posti tecnologicamente disagiati), l’OT e l’IIoT-IoT. Si tratta di strumenti che possono determinare l’aumento delle prestazioni e della produttività e una migliore esperienza utente, oltre a favorire al contempo l’ottimizzazione o la riduzione dei costi (nel caso di SD-Wan, cloud, lavoro remoto e Internet of Things), oppure addirittura il loro azzeramento (con il Byod). I vantaggi economico-evolutivi sono assoluti ed evidenti, ma sono tali solo se viene applicata una sicurezza adeguata, altrimenti i rischi ne prendono il posto. Dato ciò, direi senza alcun dubbio che è meglio non sfruttare l’innovazione che farlo in maniera inadeguata.
Quali tecnologie Fortinet rivolge in modo particolare alla PA?
Fortinet ha sempre lavorato energicamente per essere presente nelle convenzioni Consip che permettono alle PA di acquisire prodotti di sicurezza quali FortiGate (Next Generation Firewall), FortiMail (protezione della posta elettronica), FortiSandbox (sandboxing). Nuove convenzioni Consip che stanno diventando efficaci proprio in questo periodo permetteranno nel prossimo futuro di far acquisire alle amministrazioni pubbliche anche soluzioni innovative come Siem, Soar, Waf, Nac e contiamo di sostenere la PA anche in questa importante evoluzione.