Highlights 2022, com’è andato quest’anno dal punto di vista della sicurezza digitale

Per iniziare, dobbiamo per forza di cose citare i dati di un report che non possiamo ignorare. Il Rapporto Clusit 2022 sulla sicurezza cyber rappresenta una delle fonti più attendibili, nel nostro Paese, per cercare di capire quello che sta accadendo – dal globale alla granularità italiana – nell’ecosistema digitale di aziende e istituzioni. Nell’ambito di una crescita costante, negli ultimi anni, degli attacchi informatici anche alle infrastrutture italiane, nel novembre 2022 – con riferimento al primo semestre dell’anno – si è registrato un aumento dell’8,4% degli attacchi hacker rispetto allo stesso periodo dell’anno precedente. Ciò significa quasi 200 attacchi documentati – senza contare quelli sommersi di cui, purtroppo, fatichiamo a tenere traccia perché aziende e istituzioni a volte pensano sia più responsabile tacere e risolvere da sé il problema, sbagliando totalmente approccio – al mese. Una media impensabile fino a qualche anno fa. Il 2022, in sintesi, è stato un anno molto difficile per la sicurezza digitale e Giornalettismo ha provato a raccontarlo prima e a ripercorrerlo oggi, mettendo in fila una serie di episodi che sono stati determinanti, sia per l’intera comunità digitale globale, sia per il singolo cittadino.

Quello che è stato più evidente in questo 2022, infatti, è che la sicurezza informatica è sempre più una questione che riguarda l’individuo, la sua educazione digitale e la sua igiene digitale. I fenomeni globali sono tanti e diffusi, ma su quelli – senza una risposta corale – si può fare ben poco. Invece, nel nostro piccolo, i comportamenti individuali possono contribuire a un generico stato di salute maggiore della sicurezza digitale: un piccolo passo per uno smartphone, ma un grande passo per l’umanità.

LEGGI ANCHE > Il rapporto Clusit segnala un aumento del 53% dei cyberattacchi rispetto al primo semestre 2021

Sicurezza digitale 2022, la guerra in Ucraina come punto di svolta

Non nascondiamoci dietro a un dito. La guerra in Ucraina ha rappresentato sicuramente un momento di svolta nel peggioramento globale della sicurezza digitale. Ci hanno parlato tanto di guerra ibrida, ovvero di un conflitto che non si è combattuto soltanto sul campo, via mare, via aerea, ma anche nell’ecosistema digitale e informativo. Si sono creati – per quanto riguarda l’ecosistema digitale – due schieramenti, pro-Ucraina e pro-Russia, anche a livello internazionale. Si pensi, ad esempio, alla community di Anonymous, che ha deciso subito di prendere posizione contro l’invasore russo, dichiarando cyber-war a Putin e al suo popolo. Dall’altra parte, gruppi come Killnet (e la sua costola più estremista di Legion) – a cui in passato la Russia aveva offerto protezione – non hanno esitato a schierarsi a favore dell’invasione in Ucraina. E – a proposito del Paese invaso – aveva fatto molto scalpore la notizia, risalente ai primissimi giorni di guerra dopo il 24 febbraio, del ministro della Transizione Digitale ucraino, Mykhailo Fedorov, di assoldare su Telegram degli hacker o degli hacktivisti volontari disposti ad alzare le difese informatiche del Paese contro delle possibili intrusioni russe.

Insomma, anche gli hacker hanno una loro geopolitica. In questo, i vari gruppi somigliano sempre di più alle grandi aziende di Big Tech, che sembrano procedere anch’esse per sfere di influenza. Ovviamente, in quel caso, il punto di vista è molto marcato sull’adesione all’ideologia occidentale, ma non mancano episodi di grandi società digitali che cercano di trovare relazioni con la Russia, con la Cina (il caso di Apple, che Giornalettismo vi ha raccontato, è emblematico) o con Paesi del medio oriente.

La guerra ibrida in Ucraina si è fatta sentire anche in Italia. I gruppi di hacker pro-Putin, infatti, hanno cercato di estendere il conflitto anche ad altri territori, con azioni mirate a colpire istituzioni e organizzazioni locali. In particolare, per quanto riguarda la sicurezza digitale 2022, il mese più caldo è stato quello di maggio, quando il gruppo Killnet e la sua costola più estremista, Legion, avevano applicato un vero e proprio schema a diversi siti istituzionali del Paese.

Mercoledì 11 maggio, mentre la maggior parte delle persone rientrava a casa da lavoro, su tutti i siti internet si era diffusa la notizia di un attacco hacker congiunto al sito del Senato, al sito del ministero della Difesa, al sito dell’IMT Lucca, a quello dell’Istituto Superiore della Sanità, a quelli di Infomedix, di Kompass e di Aci. Nelle chat era comparsa subito la rivendicazione di Killnet, che aveva avvisato Italia e Spagna con un messaggio che suonava inquietante: «Per voi – scrivevano gli hacker – è l’inizio della fine». In realtà, approfondendo anche grazie al supporto del team di sviluppo che fa parte del nostro gruppo editoriale, abbiamo compreso quanto le dinamiche portate avanti da Killnet (che, nei giorni successivi, aveva messo nel mirino anche il sito della Polizia di Stato, quello del ministero degli Esteri, ma anche quello della Transizione Ecologica) fossero abbastanza conosciute:

Questo è il frutto dell’azione coordinata di migliaia di utenti o dell’utililizzo di bot che, nello stesso momento, inviano una quantità di richieste tale a un sito che – non potendo rispondere a tutte – va in time out – avevamo scritto all’epoca dei fatti -. Quello che accade ora provando a connettersi ai siti di ministeri e istituzioni nominati sopra, quindi, è che – mettendoci troppo per rispondere – il contenuto semplicemente non viene fornito. Non si tratta di una violazione tale da mettere in pericolo i dati degli utenti, solo della tipica mossa – che abbiamo già visto negli scorsi mesi in altri paesi – per creare disagio e disturbo, facendo vedere che un determinato bersaglio può essere raggiunto senza problemi. Non c’è riscatto, solo un’interruzione di servizio che sperimentiamo capendo che gli hacker russi in questione possono arrivare anche a noi. Per respingere un attacco DDos di questo tipo dovrebbe essere sufficiente l’utilizzo di sistemi di protezione di tipo WAF (Web Application Firewall) così da assorbire facilmente la violazione senza che ci siano danni per gli utenti (ovvero la mancata possibilità di accesso). 

Insomma, i siti istituzionali sotto attacco si erano fatti trovare impreparati alla prova – non impossibile da contrastare – di un attacco DDos. Non propriamente una bella figura per l’Italia che, proprio in quei giorni, stava gettando le sue basi per rendere operativa l’Agenzia per la Cybersicurezza Nazionale guidata da Roberto Baldoni.

Sicurezza digitale 2022, come l’Italia ha cercato di tutelarsi

Si parla di sicurezza digitale anche a proposito, come vi avevamo anticipato, della tutela dei dati dell’utente. È stato un anno di grande attivismo per il Garante della Privacy che, in modo particolare, ha fatto notizia per due motivi. Il primo è stato quello della multa da 20 milioni di euro a Clearview AI, la banca dati che – sfruttando l’intelligenza artificiale – ha collezionato (o ha l’ambizione di collezionare) ben 10 miliardi di immagini collegate a persone di tutto il mondo. Chi, come l’ex deputato Filippo Sensi, aveva fatto una battaglia molto forte sull’utilizzo dell’intelligenza artificiale nei luoghi pubblici non ha potuto che mostrare soddisfazione – anche ai microfoni di Giornalettismo – per quanto deciso dal Garante.

Ma è stato l’anno del Garante anche per un tema che Giornalettismo ha deciso di approfondire a tal punto da dedicargli un talk – Sprint. Il tema del trasferimento dei dati per i siti che utilizzano Google Analytics (praticamente la totalità in Italia) negli Stati Uniti considerato, proprio dal Garante della Privacy, non legale. Nel corso del talk – andato in onda a metà novembre – il membro del collegio del Garante della Privacy, Guido Scorza, ci aveva anticipato delle interlocuzioni, dopo un executive order di Joe Biden, della possibilità di trovare una quadra tra Unione Europea e Stati Uniti sulle tutele e sulle garanzie da riservare ai dati personali che vengono trattati in Paesi diversi dagli stati membri che, non coperti dal GDPR, hanno delle legislazioni meno stringenti rispetto a quella europea dal punto di vista della privacy. Nell’ultima parte del 2022, sono stati fatti degli ulteriori passi in avanti sulla questione ed è verosimile che si possa giungere presto a una decisione di adeguatezza (di cui sarebbe già stata stilata una bozza dalla Commissione Europea) per favorire il lavoro di Big Tech e di tutti quei progetti digitali che da Big Tech dipendono (come nel caso, appunto, di Google Analytics).

Ma quali sono stati i problemi italiani non legati alla situazione internazionale?

Se ci si allontana per un attimo dalla situazione internazionale, si capisce – tuttavia – che l’Italia ha tanta strada da fare, sia a livello di educazione digitale dei singoli cittadini, sia dal punto di vista dei vari enti che operano sul territorio. Quando, il 31 marzo scorso, le farmacie avevano avuto difficoltà con l’emissione dei certificati di avvenuta vaccinazione o di avvenuta guarigione da Covid per attribuire i green pass ai cittadini o – ancora – gran parte dei servizi della pubblica amministrazione sono andati in panne (compreso il portale dell’Agenzia delle Entrate), si è verificata una situazione che mette in luce i limiti delle infrastrutture italiane, indipendentemente dall’efficienza di carattere puramente tecnico. Tutti questi disservizi erano stati causati da un improvviso down di Sogei, l’azienda che opera nel settore dell’ITC, controllata al 100% dal ministero dell’Economia e delle Finanze.

Giornalettismo, con un incrocio di fonti, aveva potuto appurare che, quanto avvenuto il 31 marzo, era stato causato da un improvviso buco di tensione che ha interessato la rete elettrica di Areti: «Si tratta di fenomeni transitori della durata di frazioni di secondo che rientrano tra i disturbi ammessi sulla rete elettrica di distribuzione. Areti sta collaborando con i tecnici Sogei per gli approfondimenti sul caso» – ci avevano risposto in quella circostanza. Abbiamo così scoperto che dei settori strategici della pubblica amministrazione del Paese possono essere messi a serio rischio da un semplice calo di energia elettrica.

E se questo è un qualcosa che noi, come cittadini, facciamo fatica a controllare, è pur vero che spesso ci mettiamo del nostro, diventando noi stessi causa dei problemi di sicurezza digitale. Le varie truffe via phishing – a cui abbiamo dedicato un focus specifico – che hanno caratterizzato questo 2022, a più riprese e con le stesse modalità d’azione, ci hanno portato a comprendere quanto possa essere importante una propria cultura digitale. In un Paese che, nel 2023, si avvierà ancor di più verso una transizione tecnologica e che avrà sempre più necessità di farsi trovare pronto alle sfide che dovrà affrontare. Sempre più moderne, impossibili da gestire solo con il classico genio italiano.