In Italia si sa sempre pochissimo degli attacchi informatici
Le istituzioni decidono spesso di non comunicare nulla o di negare, con il rischio che le conseguenze vengano ingigantite o sminuite
Nel pomeriggio di mercoledì i siti internet del ministero della Difesa, del Senato, dell’Istituto superiore di sanità e dell’Automobile club d’Italia, l’ACI, sono stati irraggiungibili per diverse ore a causa di un attacco informatico rivendicato da due gruppi di cyber attivisti, Killnet e Legion, che sostengono la Russia nella guerra all’Ucraina.
Dalle prime informazioni sembra che l’Italia sia stata individuata come bersaglio per via del sostegno all’Ucraina: se le motivazioni saranno confermate, sarebbe il primo attacco informatico avvenuto in Italia direttamente legato alla guerra. Ma nonostante siano stati colpiti siti internet di istituzioni molto importanti, come il Senato, degli attacchi si sa pochissimo. Una delle poche note ufficiali è stata diffusa dallo Stato maggiore della Difesa che ha precisato che l’inaccessibilità del sito internet era dovuta a «un’attività di manutenzione da tempo pianificata». La spiegazione sembra essere poco plausibile: in primo luogo perché l’attacco al sito della Difesa è stato rivendicato e soprattutto perché un’attività di manutenzione così rilevante dovrebbe essere annunciata con largo anticipo.
La mancanza di informazioni e, come in questo caso, la negazione fanno parte di una strategia comunicativa che negli ultimi mesi è stata seguita anche da altre organizzazioni, ministeri e grandi aziende interessate da attacchi informatici. Gestire le crisi in questo modo però è una scelta che comporta diversi rischi non solo nel breve periodo, ma anche sulla percezione generale che le persone hanno degli attacchi informatici.
Uno dei recenti casi di attacco di cui sono state date pochissime informazioni ha coinvolto il ministero della Transizione ecologica. Il 6 aprile il sito del ministero era stato messo offline «per prudenza», come aveva detto il ministro Roberto Cingolani, in seguito a un attacco poi confermato. Cingolani aveva parlato di «minacce esterne rilevate sulla rete informatica», senza chiarire che tipologia di attacco fosse e chi fossero i responsabili.
Le conseguenze non sono state trascurabili: nelle ultime settimane il ministero è stato costretto, in almeno due occasioni, a rimandare la scadenza della presentazione di domande legate al PNRR, il piano nazionale di ripresa e resilienza, proprio a causa del malfunzionamento della piattaforma del ministero. Fino al 6 maggio, inoltre, è stato inaccessibile il portale in cui consultare le autorizzazioni ambientali. «Con le misure adottate di contenimento del rischio e di proroga precauzionale dei termini non è stato intaccato in alcun modo il cronoprogramma del Piano Nazionale di Ripresa e Resilienza», ha chiarito il ministero in una nota, senza però specificare quali siano state le misure di contenimento del rischio e quali problemi ci siano stati concretamente nell’ultimo mese e mezzo.
Negare l’incidente, come ha fatto il ministero della Difesa, o dare poche informazioni, può essere rischioso soprattutto quando l’attacco ha un impatto diretto sulle persone, come l’inaccessibilità di un sito internet, disservizi nei trasporti (come è successo a Trenitalia) o ancora peggio l’interruzione dell’assistenza sanitaria dopo un attacco a un ospedale. Tra gli esperti di sicurezza informatica è opinione condivisa che la comunicazione dovrebbe essere rapida, chiara e aggiornata continuamente.
– Leggi anche: Perché la sanità è così vulnerabile agli attacchi informatici
Uno dei problemi più diffusi in Italia, sostiene Carola Frediani, fondatrice della newsletter e del sito Guerre di Rete, è che vengano date indicazioni poco chiare in merito alla natura dell’incidente. «La semplice definizione “attacco informatico” spiega poco e si presta a diverse possibili interpretazioni», dice. «La precisione consente di capire meglio cosa stia accadendo e avere una maggiore percezione del rischio. Invece spesso, a causa della scarsa trasparenza, vengono ingigantiti attacchi in realtà banali e limitati. Ma c’è anche il rischio opposto, cioè di percepire gli incidenti come tutti uguali, anche quando in realtà mostrano problemi di sicurezza e vulnerabilità».
Un altro errore abbastanza comune è dichiarare fin da subito un responsabile dell’attacco che non sempre è attribuibile con certezza: le rivendicazioni andrebbero verificate con attenzione. Negli ultimi mesi ci sono stati diversi casi in cui attacchi puramente criminali, organizzati con l’obiettivo di estorcere denaro alle organizzazioni colpite, siano stati attribuiti a gruppi di hacker russi schierati con il governo di Vladimir Putin. Era successo, per esempio, dopo l’attacco contro Trenitalia, di cui in seguito sono state smentite le motivazioni politiche. «Ci sono gruppi criminali russi che sembrano avere collegamenti con l’intelligence e quindi può esserci un allineamento degli obiettivi», spiega Frediani. «Ma sono informazioni molto difficili da verificare e che in ogni caso vanno contestualizzate».
L’attacco informatico alla Regione Lazio avvenuto lo scorso anno è uno degli esempi di come non dovrebbe essere gestita un’emergenza. Inizialmente la Regione non diede informazioni, nonostante evidenti disservizi per le persone che non potevano prenotare vaccinazioni e appuntamenti, e in seguito ha fornito notizie frammentarie e imprecise, in alcuni casi contraddittorie. La gestione della comunicazione, poi, era stata affidata ai politici che senza conoscenze tecniche di base avevano creato ulteriore confusione. Il presidente della Regione Nicola Zingaretti, per esempio, decise di negare il ricevimento di una richiesta di riscatto, dichiarando che l’attacco fosse di natura terroristica. In realtà si trattava di un attacco ransomware, organizzato con l’obiettivo di estorcere denaro.
Secondo Corrado Giustozzi, esperto di cybersecurity ed ex responsabile dello sviluppo del CERT-PA (Computer Emergency Response Team Pubblica Amministrazione), la struttura governativa che fino all’avvento dell’Agenzia per la Cybersicurezza Nazionale aveva il compito di prevenire e rispondere agli incidenti di sicurezza informatica nelle pubbliche amministrazioni, bisogna distinguere tra due livelli di comunicazione: da una parte vanno protette le informazioni relative alle indagini delle autorità che si occupano di sicurezza informatica, dall’altra è indispensabile essere preparati alla gestione comunicativa di un attacco, soprattutto quando le conseguenze coinvolgono le persone. «L’atteggiamento migliore è mantenere un contatto costante con gli utenti, le persone», dice Giustozzi. «Invece spesso si decide di nascondere tutto, negare, non dire niente per non fare brutta figura, per non creare allarmismo. Ma le informazioni filtrano e finiscono per generare molti sospetti».
In Italia, come in molti altri paesi, da pochi anni tutte le aziende sono obbligate a comunicare al Garante per i Dati Personali un attacco che comporta l’indisponibilità, una perdita o un furto di dati personali; inoltre le aziende che sono “infrastrutture critiche” devono comunicare all’Agenzia per la Cybersicurezza Nazionale ogni incidente rilevante. Ma non ci sono regole, linee guida o indicazioni ufficiali a livello governativo su come gestire la comunicazione esterna durante o in seguito a un attacco informatico. «Istituzioni e aziende improvvisano, nel migliore dei casi con un po’ di buon senso», spiega Giustozzi. «In generale manca una cultura di gestione delle crisi informatiche, sia per come affrontarle internamente, sia per come comunicarle all’esterno».