"L'Italia è indietro: ecco perché gli hacker ci hanno bersagliato"

Gianni Cuozzo, fondatore ed amministratore delegato di Exein S.p.A ed esperto internazionale di cyber security che ha collaborato con alcuni Paesi dell'ambito Nato su attività di cyber intelligence, spiega cos'è avvenuto ieri, con l'attacco hacker rivendicato da un gruppo russo vicino al Cremlino (Killnet), soffermandosi su come si stia comportando l'Italia in materia di sicurezza informatica. Ma Cuozzo analizza anche quali potrebbero essere le prospettive di questo che è un nuovo campo di confronto internazionale che investe giocoforza la geopolitica. Nel pomeriggio, si era diffusa la voce di un doppio attacco all'Italia: uno al sito del Senato, l'altro al sito del ministero della Difesa, che ha tuttavia parlato di attività di manutenzione.

Cos'è successo ieri?

"C'è stata la rivendicazione di un gruppo legato a Mosca. Non sono passate manco quarantotto ore e, come sempre, nel caso di un attacco informatico, l'attribution è la cosa più difficile da fare".

Di che gruppo si tratta?

"Di uno dei tanti gruppi che opera vicino al Cremlino. Di solito anche le realtà che annunciano le attività, a dire il vero, non sono per forza i gruppi che le hanno condotte. Esiste anche la tendenza a mischiare le carte il più possibile per rendere ancora più complesso attribuire l'attacco. Il Cremlino da anni collabora con diversi gruppi che a volte sono solo operatori d'intelligence riferiti al Gru, al servizio intelligence esterna, al Svr o all'Fsb. Ognuno di questi gruppi ha una componente informatica. In questo caso, è utile segnalare le tempistiche: il tutto è avvenuto a margine dell'incontro tra Biden e Draghi. Sono segnali. Comunque, i gruppi conosciuti tra quelli con cui collabora la Russia sono una ventina. Principalmente sono russi, bielorussi, kazaki e gruppi misti iraniano-russi".

Qual è il significato di queste operazioni?

"Beh, l'attacco, se si dimostra che di attacco si è trattato, è stato dimostrativo. L'obiettivo è impedire che un determinato servizio possa essere utilizzato. Non si è trattato di un attacco volto alla distruzione totale del servizio ma a dimostrare la capacità di essere in grado di farlo".

Cosa ci dobbiamo attendere in prospettiva?

"Un aumento di queste tipologie di attività. Dipende molto da come evolverà il conflitto sul suolo, e quindi la geopolitica alla base del conflitto. Se si entrasse in una spirale di guerra di logoramento economico-finanziario tra due blocchi, occidentale ed orientale, allora potremmo assistere ad attacchi rivolti ad attività produttive aziendali ed infrastrutturali. Potrebbero voler creare problemi per bloccare o rallentare la fase economica".

Come si replica in questi casi?

"Esistono sistemi che dirottano il traffico. Se parliamo di un attacco classico Ddos in cui si satura di richieste un singolo servizio, quest'ultimo non riesce a gestire tutte le richieste e va offline. Esistono diverse contromisure: la più utilizzata è lo "scambiatore di traffico" o reindirizzatore di traffico che evita che tutto il traffico vada su un singolo richiesto. Poi esistono altre contromisure".

Qual è lo stato di salute dell'Italia in materia di cyber security?

"Facciamo dei grandi passi ma siamo in ritardo come nella digitalizzazione. In materia di sicurezza informatica, seguiamo il ritardo dell'apparato di digitalizzazione. Con un aggravante: la sicurezza informatica ha un budget speso male. Quello che viene investito più per consulenze strategiche che per attività tecniche reali. Un ritardo, dunque, che si somma ad altro ritardo. Così richiamo che, quando la sicurezza informatica serve, sia troppo tardi. Lo abbiamo visto in altri settori. Il problema è che manca la cultura della prevenzione. Un deficit culturale endemico in tutto il Paese".

Come ci stiamo organizzando?

"Attraverso alcune agenzie specifiche. Il mio personale pensiero è che una decentralizzazione di troppe attività ha creato confusione. Adesso esistono troppe strutture che, in maniera obiettiva, si sono dovute spartire quel poco budget che c'è. E questo ha prodotto ancora più ritardo. Se l'Italia volesse davvero abbracciare l'impegno per la sicurezza informatica, le risorse non ci sarebbero. Esistono troppe unità cyber negli apparati dello Stato e ancora troppa poca centralizzazione. Alle spalle abbiamo cinque anni persi, nel mercato privato le cose iniziando ad andare meglio e la consapevolezza è sempre maggiore, ma abbiamo ancora tanta strada da fare".

Le scelte geopolitiche dei governi precedenti hanno influito in qualche modo sullo stato di salute della nostra cyber-security?

"L'Italia paga, come l'Europa, una mancanza di produzione tecnologica. E questo ci rende totalmente dipendenti dall'Estero. Questo non cambierà nel breve periodo, quindi è una questione che va gestita e bilanciata. Non ha molto senso parlare di "algoritmi nazionali" et similia poiché ha poco senso tecnico né strategico, meglio concentrarsi nel far ripartire la ricerca e governare il processo d'integrazione. La dipendenza dall’estero non è solo verso Cina e Russia, ma anche verso Israele, Stati Uniti e Gran Bretagna. Purtroppo siamo un Paese importatore netto. Siamo molto fragili. Poi sono state compiute alcune leggerezze nelle politiche d'acquisto di apparati hardware e software. Abbiamo reti che lavorano al 90% con sistemi di gestione della rete di origine cinese che sono prodotti da aziende che hanno, come azionista di maggioranza nel capitale sociale, lo Stato".

E i russi?

"La questione Kaspersky è particolare perché Kasperksy ha centri di ricerca localizzati in Russia ma ormai è una società globale. Non si può escludere un collegamento tra Kaspersky e lo Stato russo ma per ora non sono state provate attività svolte da Kaspersky in favore dello Stato. Tuttavia è impossibile pensare che non ci siano collegamenti.