INTERVISTA Armi digitali invece delle bombe? La guerra cyber è alle porte. Trivilini, Supsi: «Ecco come difenderci»

Sara Bracchetti

25/03/2022

26/03/2022 - 08:36

condividi
Facebook
twitter whatsapp

Dall’iniziativa personale e illegale di Anonymous si arriverà presto agli attacchi regolamentati fra Stati, già in possesso di potenti armamenti cibernetici. «L’attuale conflitto insegna che possono fare più male dei cannoni».

INTERVISTA Armi digitali invece delle bombe? La guerra cyber è alle porte. Trivilini, Supsi: «Ecco come difenderci»

Verrà un giorno, pare non lontano, in cui non ci sarà neanche più bisogno di ammazzare le persone. Perché una cosa certa ci ha insegnato già questa guerra che ancora non finisce: ci sono modi altri di far male al nemico, e in un certo senso più di quanto possano le bombe e i carri armati. Con battaglie che si combattono nel mondo virtuale, a colpi di armi non da fuoco ma cosiddette cibernetiche, distruggendo ben più in grande che sul campo; colpendo interessi e identità invece di corpi fragili e case robuste, minando attività politiche, difese militari, catene di comando, impianti, reti elettriche, servizi idrici, infrastrutture.
Così tanto, con così poco: una semplice tastiera, utilizzata finora in libertà da Anonymous che, battitore libero, sceglie dove e come agire, ma sempre al di sopra della legge. In un prossimo futuro, potrebbero essere invece gli Stati a combattere, secondo strategie militari che attendono di venire regolamentate per realizzare quella che potrà chiamarsi, stavolta a buon diritto, "cyber war". Parola di Alessandro Trivilini, responsabile del servizio di informatica forense della Supsi.

Trivilini, dunque non c’è da perder tempo: la cybersicurezza è all’ordine del giorno?
«È importante collocare la cybersicurezza nell’ambito di un cambiamento di approccio. Stiamo passando da una sicurezza informatica tradizionale di tipo verticale, fatta di strumenti puramente tecnici usati dagli specialisti per proteggere infrastrutture e dati sensibili, a qualcosa di più trasversale, che fa riferimento alla digital security. Cybersecurity è un termine che oggi potremmo definire un po’ démodé».

Qual è la differenza?
«La digital security si focalizza non solo più sugli strumenti tecnici, necessari ma non più sufficienti, ma sui processi che vengono usati in azienda, nelle pubbliche amministrazioni o dai singoli cittadini, nei luoghi in cui transitano informazioni personali soggette alla protezione dei dati. È un approccio più olistico, trasversale e continuo. Gli strumenti diventano tools, commodities mentre tutti, dall’amministratore delegato alla signora delle pulizie che lavora dove ci sono dati sensibili, devono essere alfabetizzati in ottica di responsabilità e consapevolezza, non solo per quanto riguarda gli aspetti tecnici, ma la gestione del rischio. Arriva un attacco ransomware: cosa devo fare? Come reagisco in modo corretto?».

Da un modello tecnico a un modello culturale?
«Culturale, ma anche informativo e regolatorio, in un’ottica di responsabilità del processo. La digital security diventa così una filiera, fatta di tanti elementi per la gestione del rischio cyber e orientata a un piano di risposta agli incidenti resiliente e agile. La nuova legge sulla protezione dei dati, in vigore il prossimo anno, mette al centro proprio la parola "responsabilità": in caso di incidente devo essere in grado di dimostrare oggettivamente di aver fatto tutto quanto era possibile fare per prevenire e mitigare il rischio cibernetico. È un cambiamento dal quale non potremo tornare indietro. ».

A che punto siamo, oggi?
«È il ritmo che fa la musica e il ritmo di questa nuova musica è dettato dai tempi e dai modi della nuova Lpd, che è stata approvata il 20 settembre 2020. Trattandosi di un cambiamento dirompente, la Svizzera ha deciso di dare il tempo di prepararsi e integrare questo nuovo approccio. Quando sarà realtà, nessuno potrà dire "non lo sapevo". I principi sono quelli di detection e response: capacità di rilevare la minaccia e reagire nel minor tempo possibile».

C’è qualcuno in particolare cui ci rivolgiamo?
«Ci rivolgiamo a tutti. La nuova legge parla di dati personali, cioè di persone fisiche. Al tempo dell’home working, ciascuno deve poter avvalersi di linee guida e protocolli per lavorare in sicurezza e garantire a tutto l’eco-sistema aziendale, fornitori compresi, di usare strumenti protocollati e validati. In questo senso, sicurezza e privacy diventano by design, a sottolineare l’importanza della dimensione progettuale orientata al processo di lavoro».

La Svizzera come si pone, in concreto?
«In modo proattivo, con una visione che ha portato alla creazione, l’estate scorsa, di un centro di cybersicurezza nazionale, evoluzione di quello che era l’osservatorio Melani. Non solo un centro che monitora le minacce, ma che è proattivo su aziende, istituzioni e cittadini, allo scopo di diffondere questa nuova cultura di sicurezza. La Svizzera ha già adottato da qualche anno il Nist, un framework che arriva dagli Usa e che offre i cosiddetti punti minimali di controllo e protezione, cioè indicazioni da seguire per affrontare nel migliore dei modi e informa proporzionata il rischio cyber. Ha uniformato l’approccio a quello già in uso in Europa: seguendo le stesse linee guida, con una unità di intenti e di linguaggio comune, la capacità di reagire e mitigare il danno è migliore».

E il Ticino?
«Il Ticino ha creato il "Gruppo cyber sicuro" su nomina del Consiglio di Stato, un gruppo strategico di riferimento che, in collegamento con il centro nazionale, diffonde conoscenza sul territorio, offre autorevolezza, indicazioni, competenze, attraverso eventi in cui si affrontano temi di interesse. Naturalmente c’è tanto ancora da fare: siamo solo all’inizio della nuova digital security, in una realtà dove c’è sempre più tecnologia, più dati, dove il futuro parla digitale. Ma i presupposti sono solidi».

In questa uniformazione di intenti e mezzi, chi ha copiato chi?
«Nessuno ha copiato nessuno. Piuttosto, tutti hanno acquisito consapevolezza che un terreno d’azione comune era necessario. L’Europa, adottando il Nist, è partita prima; la Svizzera si è presa più tempo per capire. È un atteggiamento tipico di un Paese pragmatico, concreto e parsimonioso, che non vuole limitare la libertà ma accompagnare al cambiamento. Ciò che è importante è non muoversi più ciascuno come vuole, anche in vista di un abbattimento dei costi: fare tutto da soli, ex novo, senza scambi di informazione o buone pratiche condivise è più caro e non porta lontano. Guardando l’Europa, vediamo che stanno iniziando a funzionare bene le collaborazioni tra pubblico e privato e anche con i centri di ricerca, che hanno le competenze scientifiche e i metodi sempre allo stato dell’arte delle loro complessità».

Il Covid quanto ha aumentato il rischio e, di conseguenza, la necessità di cybersicurezza?
«Il Covid è stato un acceleratore dal punto di vista tecnologico. Videoconferenze, privacy, trasferimento dei dati personali, tool scaricati gratuitamente senza magari leggere le condizioni d’uso: tutto questo probabilmente resterà, in un mondo che va in due direzioni. Quella dell’home working, dove si lavora da casa, e quella dello smart working, dove si lavora in una piazza, al parco, in vacanza, sfruttando l’infrastruttura tecnica a disposizione in quel luogo. È importante che l’azienda offra dei punti chiari ai lavoratori, in modo da non non perdere le opportunità offerte dall’accelerazione digitale con l’imposizione di limiti; al contrario, sfruttandole e facendo lavorare le persone in sicurezza».

Un termine diventato più importante e più fragile in queste settimane. La guerra quanto e come ci tocca?
«Non possiamo saperlo. Si cita tanto la cyber war, termine nuovo portato all’attenzione da Anonymous, che fa attacchi mirati per combattere ciò che ritiene essere il nemico. Troppo facile arrivare alla conclusione che siamo in una cyber guerra. In realtà non è proprio così».

Com’è?
«Siamo in una situazione ibrida, dove la guerra si combatte su tre fronti. C’è l’uso delle tecnologie digitali finalizzate a confondere le persone, cioè la guerra delle informazioni che si avvale di fake news, limitazioni alle piattaforme, informazioni manipolate. Poi c’è la guerra tradizionale; infine ci sono gli arsenali digitali, che però non sono usati dai Paesi occidentali. Non abbiamo mai sentito dire che l’America, l’Italia e la Francia abbiano colpito un server russo, attingendo al proprio arsenale cibernetico. Abbiamo avuto notizia di Anonymous, che si è fatto carico del ruolo di paladino della giustizia e che usa un arsenale cyber muovendosi però al di sopra delle parti senza autorizzazioni. Questa non è una cyber guerra, anche se potrà fare da leva: una volta terminata la guerra sui campi di battaglia, potrebbe aprirsi un conflitto a livello cibernetico».

È possibile che, una volta apparentemente conclusa quella reale, questa guerra continui in forma virtuale, magari allargandosi ad altri Paesi che hanno adottato sanzioni?
«È possibile, ma ciò che conta è che il conflitto russo-ucraino ha portato delle consapevolezze nuove. È qualcosa che accade ogni volta che c’è una guerra e si sperimentano le tecnologie più avanzate. In questo caso, sono emerse le potenzialità tecniche degli algoritmi e le competenze scientifiche utili a colpire i server che custodiscono informazioni sensibili. Tutto questo, nell’opinione pubblica, rimarrà. Abbiamo capito che non solo i cannoni fanno male».

C’era bisogno di una guerra per capirlo? Non lo sapevamo già?
«Lo sapevamo, ma era una consapevolezza più di nicchia. Ora la potenzialità è diventata evidente. Ha portato alla luce l’esistenza di arsenali cyber. Ma, ed è questa la grande novità che potrà arrivare da questa guerra, per usarli servono regole e autorizzazioni. I Paesi devono regolamentarne l’utilizzo, così da utilizzare queste armi, perché armi sono, in maniera legale e non al di sopra del tavolo delle regole, come fa Anonymous».

Che cosa significa "legalizzare" la cyber war?
«Oggi gli Stati usano questi strumenti solo a scopo di difesa, non di attacco. Ma il conflitto in corso sta sdoganando l’uso degli arsenali cibernetici, che potranno avere un ruolo nelle guerre future in maniera proattiva, quando verranno regolamentati. Si aprirà una discussione a livello politico, tecnico, comportamentale, civile. Così come ci hanno preparato alla guerra con il servizio militare, verremo preparati all’uso delle armi cyber. A questo proposito la Svizzera, tre anni fa, ha creato una sezione cyber proprio per preparare a questo scenario».

Ma la Svizzera non era un Paese neutrale? Sarà per questo più al sicuro o nella guerra cyber cambierà il proprio profilo?
«Oggi non possiamo rispondere in maniera oggettiva. Il fenomeno della cyber war è nuovo. Inoltre, proprio nelle scorse settimane la Svizzera ha preso posizione come mai aveva fatto prima. L’uso dell’arsenale cyber è ancora tutto da scrivere, bisogna avere molta prudenza. Sicuramente la Svizzera, in questa nuova dimensione, potrebbe giocare un ruolo neutrale di mediatore digitale, per tanti motivi: perché storicamente lo ha sempre fatto, perchè è al centro dell’Europa, perchè ha le competenze ed è uno dei Paesi più innovativi del mondo. Potrebbe assumere un ruolo di leader».

Quanto è sicura oggi la Svizzera?
«Non lo possiamo sapere. La sicurezza è un concetto relativo, si misura solo nel momento in cui si verifica un incidente. Si può misurare invece l’atteggiamento verso la sicurezza, inteso come somma di elementi che portino il più vicino possibile a un 100% invece irraggiungibile».

Negli ultimi mesi quanti attacchi ha subito il Ticino?
«Secondo i dati del mio osservatorio Supsi, da settembre dell’anno scorso fino a poco prima dell’inizio della guerra abbiamo avuto ondate continue di attacchi volti al ricatto, con furto di dati e riscatto in Bitcoin. Ogni settimana avevamo fra le tre e le sei chiamate e richieste di consulenza, dirette e indirette. Con l’inizio della guerra, le chiamate sono drasticamente diminuite. Non so dire se perché l’attenzione mediatica si sia spostata altrove, se gli attacchi non ci sono più o ce ne si accorge meno o si tende a non parlarne più e a gestirli da soli in sordina».

E in tempo di Covid?
«Sono aumentati molto gli attacchi di phishing, che si basano sulla persuasione e hanno sfruttato l’alterazione emotiva cui le persone erano sottoposte. La situazione ci ha colti alla sprovvista e si sono aperte molte porte di fragilità».

I nostri data center oggi possono stare tranquilli?
«In Ticino ce ne sono diversi, qualificati e certificati, fra cui dobbiamo annoverare quelli di cui non è dato sapere se ci sono e dove, per ovvie ragioni. Possiamo dire che la conformazione naturale del Paese, con le Alpi, il San Gottardo, rende la Svizzera molto interessante da questo punto di vista. Pensiamo anche alla capacità di raffreddamento dei server, cosa non banale in un momento in cui l’energia rischia di non essere garantita per tutti. Pensiamo alla cultura della sicurezza che la Svizzera ha sempre presentato al mondo come elemento di eccellenza. Pensiamo alla sua precisione, all’attenzione alle regole e al rispetto delle regole. Con la sua neutralità, la Svizzera è molto attrattiva, rispetto ad altri Paesi».

Nel confronto con l’Italia, chi vince?
«Oggi, se un’azienda dovesse decidere dove mettere i propri dati, io credo che, valutando tutti gli elementi elencati poco fa, verosimilmente andrebbe a polarizzare sulla Svizzera. Non è una questione soggettiva sulle persone. Anche lì ci sono ottimi professionisti. È la somma degli elementi però che fa la differenza, unita alla cultura storica del Paese. È anche per questo che molte aziende italiane vengono in Ticino».