Operazione “Eye Pyramid”: riflessioni sullo stato del sistema Italia a livello Cybersecurity…

[This blog post has been republished as-is on February 2019]

Rispetto alla notizia del giorno sull’operazione “Eye Pyramid” ci si sta ponendo diverse, legittime, domande sul livello di protezione di identità, dati e dispositivi di personaggi così eccellenti da considerare minacciata la sicurezza nazionale e su come sia stato possibile effettuare tali attività di spionaggio per così tanto tempo (mi pare si parli di 4-5 anni…) senza che il “sistema” si sia accorto di tali attacchi, sistematici e su tale scala – censite circa 18.327 identità (username), di cui circa 1.793 complete delle relative credenziali (password).

Come giudicare lo stato di salute del sistema Paese rispetto ai rischi Cyber in base a quanto accaduto?

Utilizzando per un attimo uno dei modelli attuali di possibile approccio alla sicurezza, “Protect/Detect/Respond“, possiamo dire che abbiamo 2 notizie cattive ed 1 buona… 2 a 1 per le notizie cattive…, mi sa che non c’è tanto da essere ottimisti…

Ma io sono ottimista di natura e quindi inizio dalla buona notizia: la capacità di investigazione dimostrata dalla Polizia Postale e dal CNAIPIC (plauso a loro!) sono un brillante esempio di capacità reattiva (“Respond“) rispetto alla segnalazione iniziale della mail anomala notata dal responsabile di sicurezza dell’ENAV e della lunga, non facile, attvità di indagine (tradizionale+Cyber) che ne è seguita. Notevole anche aver appreso della costante collaborazione con la Cyber Division dell’FBI per una rapida azione di intervento di sequestro oltreoceano ed evitare la distruzione dei dati salvati sui provider statunitensi.

Cosa dire invece delle capacità di “Protect” & “Detect” ? Ahia, temo si debba ammettere l’incapacità del “sistema” di sicurezza (ammesso che ve ne sia uno organico e strutturato… ) di 1) proteggere identità/dati/dispositivi, per quanto possibile preventivamente, da questo tipo di rischi e 2), in ogni caso, di rilevare in modo tempestivo i possibili attacchi in corso.

E’ il solito approccio all’italiana, vedi l’esempio del terremoto, come parallelo quasi perfettamente calzante: nessuna prevenzione nelle costruzioni antisismiche per minimizzare gli impatti da eventi ineluttabili, ma nella capacità di reazione e solidarietà a disastro avvenuto non ci batte nessuno al mondo…

Idem per la Cybersecurity nazionale e quanto dimostra l’evento in oggetto: investire a priori per adottare soluzioni di protection & detection ? … Devo dedurre che non sia stato fatto, o non in modo adeguato rispetto alla criticità delle identità/dati di tali personaggi istituzionali… Per fortuna c’è una capacità di reazione con i contro-fiocchi (…tralasciando il tema della mancata catena di informazione che a quanto pare ha scatenato la rimozione del direttore della Polizia Postale titolare dell’indagine…).

Non mi resta che sperare che questo evento faccia riflettere chi di dovere e riesca ad incidere su come si debba investire a livello di sistema Paese sul tema Cybersecurity.

Non voglio però limitarmi a questa riflessione, purtroppo amara, e vorrei riuscire a spiegarvi in modo semplice come possano esserci delle soluzioni in grado di offrire un livello adeguato di contromisure di sicurezza rispetto a questo moderno contesto di rischio: arrivederci al prossimo post!

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)