Ministeri, Consiglio superiore della magistratura, aziende, autorità di garanzia: sono una cinquantina in tutto le vittime dell’attacco hacker lanciato, ai danni di siti italiani, dal collettivo filorusso Killnet. “Fuoco a tutto”, hanno scritto su Telegram, prima di dare il via a questo attacco che era stato progettato per durare 48 ore. La Polizia postale è al lavoro sulla rivendicazione fatta dal collettivo.
Si è trattato di un attacco cosiddetto Ddos, che crea disservizi ma non danni veri. In sostanza i siti presi di mira vengono sovraccaricati da una quantità notevole di utenti che chiedono loro informazioni. E così vanno in tilt. Dopodiché, però, finito (o sconfitto) l’attacco, non ci sono altre conseguenze. E, in effetti, disservizi a parte, pare che il pericolo sia stato scampato. “Un tentativo c’è stato, con qualche rallentamento, ma sembra che grandi danni non ci siano stati”, ha detto il vicepresidente del Csm David Ermini. Anche al Ministero dell’Istruzione non risultano problemi gravi. Ma ciò, per l’appunto, è dovuto alla natura dell’azione degli hacker più che alla capacità di reazione di chi lo subisce.
“Gli attacchi Ddos, come quello ai danni dell’Eurovision o quello che è stato lanciato nelle scorse ore, sono più che altro dimostrativi – spiega ad Huffpost Stefano Quintarelli, informatico, partner della società di Cybersecurity Rexilience e ideatore di Spid – Dobbiamo immaginarli come un grande flash mob davanti a un ufficio pubblico: una serie di soggetti (gli hacker spesso sono accomunati dallo stesso riferimento ideologico e valoriale) si organizzano e si ‘trovano’ tutti sul sito che vogliono attaccare. Il danno, in questo caso, può essere reputazionale. Ma gli effetti dell’attacco sono semplici da gestire. Non ci sono violazioni di sistema. L’esito, per usare un paragone con le manifestazioni, è lo stesso che si ottiene lanciando i sassi contro le vetrine”. Si può prevenire questo tipo di attacchi? Poco, in realtà. Ci sono dei sistemi di mitigazione e, se chi gestisce il sito se ne accorge in tempo, può mandare il portale offline fin quando l’attacco non finisce, così da ridurre i disservizi.
I problemi sorgono quando gli attacchi sono di altra natura, come quello ransomware che ha riguardato il sistema sanitario della Regione Lazio nell’estate del 2021. Perché, in quel caso, l’hacker accede ai sistemi, può rubare dati, sottrarre password, ricattare chi viene colpito.
“Gli attacchi che, invece, devono preoccupare, sono quelli che causano vulnerabilità e consentono di mettere in ginocchio un’azienda, o un’istituzione”, spiega ancora Quintarelli, che sottolinea comunque l’importanza dei comportamenti individuali per arginare questi fenomeni.
Forse proprio ai rischi di attacchi più incisivi, potenzialmente devastanti, si riferisce il presidente del Copasir, Adolfo Urso, quando dice: “Il nuovo e più vasto attacco conferma quanto da tempo denunciamo sulla minaccia russa e sulla necessità di alzare le difese del paese”. Il comitato si è attivato per approfondire la questione: “Proprio ieri – ha continuato Urso – abbiamo deliberato una nuova indagine conoscitiva ‘sulla forme di disinformazione e di ingerenza straniere, anche in riferimento alle minacce ibride e di natura cibernetica’”. Perché, ha spiegato ancora: “Disinformazione e cyber-attacchi sono infatti due strumenti della stessa ‘guerra ibrida’. Dobbiamo esserne consapevoli, aumentare la resilienza del paese, aggiornare i nostri strumenti, come da tempo sollecitiamo nei nostri interventi sin dall’inizio di legislatura quando realizzammo una apposita relazione al parlamento sulla sicurezza cibernetica”.
Ma, al di là delle indagini del Copasir, cosa si può fare per mitigare il pericolo? “Nessuna attività umana è esente da rischi. E lo stesso vale per i computer. Quando si parla di rischio di attacchi alla cybersicurezza, l’anello debole della catena non sono prevalentemente i computer, ma le persone”, premette Quintarelli. “I problemi spesso derivano, oltre che da una disattenzione delle persone, da sistemi e software non aggiornati. La questione è: chi sfrutta questi rischi?”. I soggetti che possono farlo sono vari, e delle distinzioni sono necessarie: “A volte – continua Quintarelli – qualcuno per goliardia, altre volte dei ricercatori. In questi due casi il problema è minimo. Le criticità sorgono quando entra in gioco la criminalità, e ciò accade spesso, perché gli attacchi informatici costano meno degli attacchi fisici, o ancora, quando l’attacco parte da attori statali, da Paesi terzi che non vogliono, diciamo così, il nostro bene”. Questi ultimi attori sono i più pericolosi, perché riescono a progettare attacchi sofisticati, che richiedono anche anni di preparazione. E che possono creare danni ben più gravi di qualche ora di blackout di un sito.
Sulla vicenda è intervenuto anche il ministro della Difesa, Lorenzo Guerini: “Anche questa volta c’è stata attenzione e reazione, la soglia è alta è un tema fondamentale che dà comunque il senso di tentativi di ingerenza e destabilizzazione anche nei messaggi che vengono dati all’opinione pubblica, però gli strumenti e gli anticorpi sono elevati e la reazione fino a questo momento è stata molto pronta e attenta”.
Per quanto anche questa volta i danni non siano stati eccessivi e le contromisure abbiano funzionato, è importante una sensibilità maggiore sul tema. Soprattutto perché, visto il momento storico, non si può sperare che il fenomeno vada via da solo: “Quale lezione possiamo trarre? Innanzitutto – conclude Quintarelli – che il tema della sicurezza informatica non è solo un tema da tecnici, ma investe direttamente la direzione aziendale. Perché bisogna valutare il rischio e stabilire cosa fare nel momento in cui l’attacco si verifica. Tutte le aziende, e tutte le istituzioni, dovrebbero dotarsi di un Ciso (Chief information security officer), dipendente non dal responsabile dei sistemi, ma dalla dirigenza aziendale”.