La protezione delle infrastrutture pubbliche è un nervo scoperto per la quasi totalità dei Paesi, soprattutto a seguito della digitalizzazione. Di per sé la protezione cyber è una sfida ardua, anche nell’ambito delle aziende private. Quando ad essere sotto esame è l’ambito pubblico, la dimensione delle infrastrutture fa da cassa di risonanza a una serie di problemi irrisolti, non affrontati con il giusto approccio o del tutto ignorati, che alla fine si ripercuotono negativamente sulla capacità di difesa.

La situazione ha potuto essere almeno in parte sottovalutata fino a prima della pandemia, ma la spinta alla digitalizzazione che è stata data dal Covid ha fatto emergere in maniera evidente i limiti della difesa dell’infrastruttura pubblica digitale. Soprattutto, nel momento in cui gli attaccanti hanno iniziato a muoversi a velocità supersonica, grazie a quella flessibilità e apertura mentale verso la novità che sono in gran parte avulsi all’universo pachidermico della macchina statale.

Cybersecurity traballante, le cause

Non si cerca una scusante, ma è innegabile che tutt’oggi, nonostante una maggiore consapevolezza e una elevata sensibilità verso il tema della cybersecurity, in EMEA si sia accumulato un debito di sicurezza critico. La dicitura identifica vulnerabilità che persistono non risolte per oltre un anno, accumulandosi e aumentando il rischio di compromissioni. L’ha evidenziato di recente il report State of Software Security 2024 per l’area EMEA pubblicato da Veracode, secondo cui il 68% delle imprese nell’area EMEA è alle prese con un certo grado di debito di sicurezza e quasi la metà di queste presenta falle di gravità critica.

Da che cosa deriva il debito di sicurezza? Dalla mancata comprensione di ciò che dev’essere protetto, dalla mancanza di cultura cyber, dalla mancanza di competenze, da un approccio reattivo anziché proattivo alla cybersecurity, dalla mancanza di fondi. La lista potrebbe continuare a lungo, oppure si può riassumere in un telegramma: la cybersecurity non è un costo, è un investimento che va fatto in fase di definizione dei progetti, perché apposto a posteriori non funziona. Questa è la dura realtà, difficile da far comprendere.

Restringendo il campo alla PA, è sufficiente chiamare in causa l’ISTAT per scoprire che oltre il 70% degli enti locali è a rischio cyber. Parliamo di sistemi, spesso complessi e distribuiti, che fanno capo a settori critici come la sanità, i trasporti, persino la sicurezza nazionale. Le conseguenze di un attacco informatico a tali infrastrutture possono essere devastanti per la compromissione anche solo temporanea dei servizi ai cittadini (si pensi al caso dell’attacco alla Regione Lazio), per la salute stessa dei cittadini, ma anche per la percezione di fiducia che questi ultimi hanno nei confronti delle istituzioni.

Torniamo alle cause. Uno degli aspetti fondamentali nella gestione della sicurezza delle infrastrutture pubbliche è l’identificazione degli asset critici, ossia di reti, sistemi informatici, applicazioni, dispositivi fisici e dati sensibili che, se compromessi, possono causare interruzioni significative. I sistemi di controllo del traffico, le reti energetiche e le comunicazioni sono solo alcuni esempi di componenti strategici che richiedono protezione costante. L’assenza di una mappatura accurata di questi asset comporta spesso difficoltà nella definizione delle priorità e della difesa.

Definiti gli asset chiave il lavoro non è finito. È necessaria una valutazione del rischio. In ambito pubblico, le minacce possono provenire da una varietà di fonti, tra cui attori sponsorizzati da stati nazionali (APT), gruppi criminali organizzati e, con il ritorno dei conflitti bellici alle porte dell’Europa, hacktivisti. Ciascuno di questi gruppi di criminali informatici può adottare tattiche e obiettivi diversi, complicando la protezione delle infrastrutture.

Soluzioni: un percorso a ostacoli

La threat intelligence si è dimostrata uno strumento essenziale per comprendere e anticipare le minacce emergenti. L’aggiornamento continuo dei dati relativi agli attacchi in corso permette alle organizzazioni di migliorare la propria capacità di risposta e di adattare le misure di difesa ai nuovi rischi. Tuttavia, la soluzione di threat intelligence da sola serve a poco. Occorrono risorse e competenze adeguate nelle pubbliche amministrazioni. Vari studi, alcuni citati anche dagli esperti che hanno partecipato a questo Speciale, testimoniano che la maggior parte degli enti locali italiani non dispone di un team di sicurezza specializzato e molti non seguono nemmeno procedure codificate per gestire gli eventi di sicurezza. L’assenza di strategie proattive di cybersecurity, pertanto, è da imputare in primis alla carenza di professionisti qualificati nella pubblica amministrazione.

Un altro aspetto centrale nella protezione delle infrastrutture pubbliche è la gestione delle vulnerabilità. Le architetture informatiche delle PA spesso includono sistemi datati e sovrapposti che non sono stati progettati tenendo conto delle moderne minacce cyber. Questa, che gli esperti chiamano stratificazione tecnologica, complica l’identificazione e la chiusura delle vulnerabilità. Le scansioni regolari per identificare i punti deboli e l’implementazione di processi di aggiornamento automatizzati sono cruciali per ridurre il tempo di esposizione alle vulnerabilità. Tuttavia, uno dei problemi principali è proprio la lentezza con cui vengono applicati gli aggiornamenti di sicurezza.

Il penetration testing (pentest), ovvero la simulazione di attacchi informatici per testare la resistenza dei sistemi, è un altro strumento molto utile per valutare l’efficacia delle misure di sicurezza esistenti. Si tratta di un processo che permette di identificare le lacune nella difesa delle infrastrutture e di rimediare correggendole prima che gli attaccanti possano sfruttarle. Il problema è che questo tipo di test non è abituale, e anche quando eseguito spesso non sfocia nell’adozione tempestiva delle contromisure necessarie.

Tornando per un attimo al telegramma, quello che ci vorrebbe e che gli esperti invocano ormai da anni è l’approccio "secure by design" per le nuove architetture. Significa che, nel progettare nuovi sistemi, soprattutto in contesti cloud, vengono ideati fin dall'inizio e implementati meccanismi di difesa capaci di rendere la sicurezza parte integrante del ciclo di vita del prodotto. È l’approccio ideale per ottenere resilienza, ma a tutt’oggi se ne vede l’applicazione solo di rado.

La protezione delle identità digitali è un altro pilastro fondamentale nella difesa delle infrastrutture pubbliche. Gli attacchi di phishing e l'ingegneria sociale sono spesso utilizzati per compromettere le credenziali degli utenti e ottenere l'accesso ai sistemi. In contesti pubblici, dove decine di utenti accedono quotidianamente a sistemi sensibili, proteggere le identità è essenziale. Un’adeguata protezione delle identità digitali può più che dimezzare il numero degli attacchi andati a buon fine, soprattutto se associato a tecnologie come il rilevamento delle anomalie basato sull'intelligenza artificiale. Spesso questo dato di fatto si scontra con limiti di budget, di personale, con procedimenti di approvazione tediosi e con una mancata comprensione del rischio cyber.

Tutto questo per dire che la protezione delle infrastrutture pubbliche richiede un approccio olistico e multidisciplinare, con una valutazione proattiva del rischio, una gestione efficace delle vulnerabilità, l’uso dell’intelligenza artificiale e un forte focus sulla protezione delle identità e degli accessi. Non è fantascienza, è semplicemente l’ABC security moderna, che spesso si scontra con limiti che di tecnologico hanno ben poco, ma che devono essere rimossi, perché come ha sottolineato al Cybertech Alfredo Mantovano, Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri, il Governo italiano adesso ha come obiettivi la resilienza delle infrastrutture digitali e una maggiore consapevolezza in tema cyber delle aziende e dei cittadini. Speriamo.