Galasso (ACN): “È migliorata la capacità di risposta dell’Italia alle minacce cyber”

A pochi giorni dall’edizione 2024 di Banche e Sicurezza, abbiamo incontrato Gianluca Galasso, Direttore del Servizio Operazioni-CSIRT Italia Agenzia per la Cybersicurezza Nazionale, che sarà keynote speaker all’evento promosso da ABI con un intervento su “Cybersicurezza, cresce la minaccia, aumenta la capacità di risposta dell’Italia” (qui per il programma e per l'iscrizione gratuita)

La minaccia cibernetica è in costante aumento, sia come quantità sia come qualità e complessità degli attacchi. Ma è una tendenza che dobbiamo considerare normale e duratura perché è strettamente legata alla digitalizzazione, di cui rappresenta il lato oscuro. L’Italia è parte del G7, siamo un Paese produttivo e altamente digitalizzato, e per questo siamo e saremo sempre più esposti al rischio cyber. L’Agenzia per la cybersicurezza nazionale è stata creata quasi due anni fa proprio per contribuire a fronteggiare le esigenze che nascono da questo scenario e stiamo portando avanti un lavoro importante per aumentare la resilienza agli attacchi. A volte sui media l’Italia viene rappresentata quasi come un “colabrodo”, come un Paese impreparato e in balia dei criminali cyber. Non è così: a fronte di una crescita delle minacce è aumentata la nostra capacità di risposta. E il settore finanziario italiano è assolutamente quello più avanzato e attrezzato nella gestione dei rischi cyber.

Siamo sempre tra il secondo e terzo posto tra i Paesi target delle varie tipologie di attacchi in Europa, insieme a Francia e Germania. Ad esempio, nel primo trimestre 2024 siamo al terzo posto per episodi di ransomware, tra le minacce che attualmente creano più problemi. A livello mondiale, le classifiche mettono l’Italia tra il sesto e l’ottavo posto per episodi cyber, con gli Stati Uniti di solito sempre al primo, a conferma ulteriore della correlazione tra esposizione alle minacce cyber e livello di industrializzazione e digitalizzazione.

Nel primo trimestre gli eventi cyber sono aumentati del 19% rispetto allo stesso periodo del 2023, con gli attacchi DDOS, tipici del cyberattivismo, in crescita del 33%. E abbiamo registrato anche più eventi ransomware. Ma i numeri vanno sempre valutati con attenzione perché se è vero che gli attacchi sicuramente sono aumentati e continueranno ad aumentare, è anche vero che è notevolmente migliorata la capacità di rilevamento rispetto al passato. Dovremmo essere più preoccupati se non riuscissimo a intercettare tempestivamente i fenomeni cyber, soprattutto quelli che presentano elementi di novità e che possono rappresentare un pericolo maggiore. Per quando riguarda i soggetti target, anche nel primo trimestre 2024 la Pubblica Amministrazione è il settore più impattato, ovviamente perché è ancora molto poco attrezzato a fronteggiare queste minacce sia dal punto di vista tecnologico e digitale, sia da quello organizzativo e procedurale. La Sanità, pur non essendo ai primi posti come numero di attacchi, è però particolarmente fragile ed esposta al rischio cyber. Il servizio sanitario, infatti, non può essere sospeso a lungo e i dati dei pazienti sono molto sensibili e per questo appetibili sul dark web. Da qui la grande attenzione verso gli ospedali da parte dei criminali cyber che per ottenere in tempi rapidi un riscatto puntano sull’urgenza di ripristinare il prima possibile l’accesso alle analisi e alle cartelle cliniche e di salvaguardare i dati dei pazienti.

Fino a due anni fa, prima del conflitto in Ucraina, il cyberattivismo era qualcosa di residuale, di scarso interesse. Poi, dopo l’invasione, abbiamo dovuto affrontare una ondata di attacchi, essenzialmente di tipo DDOS (Distributed Denial of Service), da parte di attivisti filo russi che miravano a impedire l’accesso e l’utilizzo di servizi esposti su internet, seguite da rivendicazioni che avevano l’obiettivo di supportare il fronte interno. Attacchi della durata limitata a poche ore e con impatti più o meno importanti a seconda di come i soggetti target erano organizzati. Questo fenomeno sta continuando e riemerge sostanzialmente in occasione di dichiarazioni pubbliche da parte del Governo o del Parlamento a favore dell’Ucraina o all’approvazione di pacchetti di aiuti. Da ottobre, dopo l’attacco di Hamas e la reazione di Israele, stiamo registrando un’altra importante ondata di attacchi DDOS. Ma l’impatto pratico è ormai minimo, perché nel tempo sia le Pubbliche amministrazioni sia gli operatori privati si sono attrezzati, peraltro con investimenti limitati.

L’Italia ha un tessuto imprenditoriale caratterizzato dalla grande presenza di PMI, che sono l’ossatura della nostra economia. Per questa peculiarità i ransomware sono molto pericolosi perché le piccole e medie imprese quando sono colpite rischiano di chiudere ed è una cosa che non possiamo permettere. Però deve essere chiaro che non esiste una bacchetta magica per risolvere questo problema ed è assolutamente necessario che ognuno si prenda le proprie responsabilità. Come ha recentemente ricordato la nostra Vice DG Nunzia Ciardi, se le PMI non si vogliono occupare della cybersecurity, sarà la cybersecurity ad occuparsi di loro prima o poi. Questa è la realtà. La Direttiva NIS2 impone nuovi obblighi di cybersicurezza per un ampio bacino di imprese con l’obiettivo è garantire un livello comune elevato di protezione contro gli attacchi informatici. ACN sta facendo ogni sforzo per mettere in campo risorse, non solo quelle del PNRR, ma anche quelle della strategia nazionale, con avvisi pubblici a favore delle pubbliche amministrazioni centrali e locali che presenteranno progettualità in questo campo.

L’Italia in questi anni ha lavorato bene per colmare il gap organizzativo, normativo e operativo che aveva in passato. La creazione di ACN è stato un passaggio importante perché siamo impegnati in numerose attività, non solamente quelle di tipo strettamente tecnico-operativo di cui mi occupo in prima persona come responsabile del CSIRT Italia, il Computer Security Incident Response Team di ACN. Proprio nella Relazione che abbiamo presentato al Parlamento c’è la fotografia di tutte le nostre attività che sono anche le direzioni su cui il Paese si deve muovere per rendere l’Italia più resiliente alle minacce. Non è infatti sufficiente implementare solo più sistemi tecnici, ma occorre agire a livello di sistema Paese. E per farlo servono investimenti. Per fortuna abbiamo potuto ricevere grazie al PNRR anche una dotazione di 623 milioni al fine di migliorare le difese del Paese ponendo la cybersicurezza e la resilienza a fondamento della trasformazione digitale sia della PA sia del settore privato. Se ACN fosse nata con il vincolo dell’invarianza finanziaria non avremmo certamente ottenuto gli stessi risultati. Tra le colonne portanti della nostra strategia c’è la realizzazione di HyperSoc che consente di condividere con i soggetti partecipanti dati, eventi, fenomenologie al di fine di avere una visione unica nazionale e informazioni in grado di prevenire gli incidenti. Ad oggi 14 soggetti, tra pubbliche amministrazioni e privati, hanno già aderito a HyperSoc.

Un investimento importante finanziato da PNRR è quello per l’High Performance Calculator, cioè per un calcolatore ad alte prestazioni che utilizza anche l’intelligenza artificiale per realizzare una infosharing evoluta con tutti gli operatori critici. A questo progetto partecipa anche Intesa Sanpaolo e ci aspettiamo di avere presto anche l’adesione di altri importanti gruppi bancari e operatori finanziari. Una ulteriore priorità della nostra strategia è la costruzione di una rete di CSIRT regionali che possa diventare la nostra longa manus sul territorio e creare una capacità di risposta a livello locale. Consideriamo poi molto importante anche la realizzazione di ISAC Italia. Si tratta di un progetto che prevede la collaborazione e lo scambio informativo tra noi e gli Information Sharing and Analysis Center (ISAC) settoriali. Quello finanziario già esiste, è il CERTFin, che è insieme un CERT ma anche un ISAC, con cui abbiamo attivato accordi di collaborazione e rappresenta senza dubbio un esempio da seguire. D’altronde il mondo finanziario è tra quelli più esposti e quindi mostra una maggiore sensibilità ed è sicuramente tra quelli che si è strutturato in modo migliore per fronteggiare le minacce cyber.

La disponibilità di tecnologie è un aspetto molto importante, strettamente connesso con la cybersecurity. ACN sta lavorando per creare le condizioni affinché, a livello Paese, venga promossa e finanziata la capacità di produrre tecnologie perché oggi siamo fortemente dipendenti da fornitori non europei. È un grande rischio, spesso sottovalutato, che condividiamo con tutti i partner Ue. Con “Cyber Innovation Network” abbiamo avviato il principale programma di collaborazione e integrazione tra l'Agenzia e l'ecosistema nazionale della ricerca, dell'innovazione e dell'industria. Nel 2023 abbiamo individuato e stretto accordi con 5 incubatori distribuiti su tutto il territorio nazionale con cui ci apprestiamo a co-finanziare lo sviluppo di nuova imprenditorialità e a supportare il potenziamento della ricerca applicata.

Certamente. Ormai è noto che nessuno si salva da solo in questo campo. Stiamo lavorando intensamente anche su questo fronte e partecipiamo a numerose attività bilaterali e multilaterali. In ambito G7, sotto la presidenza italiana, abbiamo attivato per la prima volta una rete tra le Agenzie che di occupano di cybersecurity nei diversi Paesi. La prima riunione si terrà il 16 maggio e si occuperà di intelligenza artificiale.

Ancora non è possibile saperlo. Sicuramente i criminali hanno la possibilità di agire più velocemente perché hanno molte risorse e non hanno regole da seguire. E infatti già abbiamo individuato utilizzi dell’intelligenza artificiale, ad esempio, per attacchi di tipo deepfake. Ma soluzioni basate sull’AI sono già una realtà anche per chi opera per la sicurezza. Dobbiamo investire e supportare la ricerca per riuscire a vincere anche questa sfida.