Vero, come da notizie di ieri mattina? Falso, come da smentita diffusa direttamente dai maghi informatici della Sogei ieri pomeriggio? Il presunto attacco hacker all’Agenzia delle Entrate, con il consueto rituale di minacce di diffusione dei dati sottratti in mancanza di cospicuo riscatto, è l’ennesimo fulmine sulla sicurezza dei grandi sistemi informatici che oggi posseggono l’essenza delle nostre vite. Accade, inutile negarlo. Anche i grandi chinano la testa e pagano, dicono gli esperti. Come può succedere? Davvero può essere vulnerabile perfino un sistema teoricamente iperprotetto come quello della torre di controllo del Fisco italiano, creato e gestito dalla Sogei, stimato colosso dell’informatica Pubblica? Risponde a FIRSTonline Corrado Giustozzi, uno dei massimi esperti italiani di cybersecurity, giornalista, scrittore, divulgatore, pioniere dei prime soluzioni integrate nel mondo del web.
Qualunque sistema informatico è esposto, o qualcuno può considerarsi al riparo?
La verità è che tutti i sistemi informatici sono esposti ad un attacco. Il loro livello di sicurezza non può che essere relativo. Se mi devo difendere da un collega di lavoro le barriere possono essere relativamente basse, se ad attaccarci è un servizio segreto le barriere devono essere molto più alte. E’ anche qui l’eterna lotta tra tecnologie di attacco e difesa sempre più sofisticate. Nulla è sicuro, anche perché in agguato c’è un fattore non facilmente governabile: l’errore umano. Il problema è troppo spesso nelle persone, nei comportamenti, nelle disattenzioni che aprono le brecce. Non parlo del problema specifico che riguarda l’attacco all’Agenzia delle entrate, vero o presunto che sia. Chi si difende è sempre e comunque in svantaggio.
L’Agenzia delle Entrate come è messa?
Vale quello che ho detto. La macchina e sofisticata. E’ gestita ai migliori livelli. Ma ciò non basta a metterla al sicuro da ogni possibile attacco.
Ci sono esempi da seguire per elevare comunque i livelli di sicurezza?
Difficile rispondere. Pensiamo alle grandi istituzioni che si occupano proprio di sicurezza e scopriamo che anche questi soggetti considerati inattaccabili in realtà non lo so. Un esempio? Qualche anno fa un’organizzazione criminale, perché di questo si tratta e chiamarli hacker lo considero improprio, ha violato il sito della CIA sottraendo dati e applicazioni che poi sono state utilizzate addirittura per elaborare nuovi malware.
Cosa si può o si deve fare di più per difendersi, per contenere almeno il rischio?
Si tratta di trovare il compromesso migliore tra esigenze e scelte anche molto diverse tra loro. Pensiamo a quello che è successo e sta succedendo nelle amministrazioni locali e nei loro rapporti con la pubblica amministrazione: si teme che i piccoli comuni non siano capaci di gestire i loro sistemi informatici e si pensa di centralizzare la gestione delle loro risorse in pochi poli nazionali per meglio controllarli e tutelarli. Ma ecco il rovescio della medaglia: tutti i dati vengono centralizzati in pochi posti. Insomma, tutte le uova nello stesso paniere. Con il risultato di creare una corsia preferenziale a chi vuole attaccare questi sistemi, che si può concentrare su pochi grandi nuclei anche se teoricamente meglio protetti.
Meglio tornare a parcellizzare le risorse informatiche?
No. Proprio questo è l’esempio del miglior compromesso, comunque non risolutivo: centralizzare è il male minore, anche se non è la soluzione perfetta.
Mai pagare, raccomandano le autorità. Ma in caso di attacco molti cedono, negando magari di averlo fatto. Come possiamo essere sicuri che le vittime non paghino il riscatto, mascherandolo magari da consulenza per ripulire i sistemi dall’hacking?
Problema gigantesco, che ha evidenti analogie con quello dei sequestri di persona. Con la differenza che qui è davvero difficile verificare se il riscatto dei dati sottratti è stato pagato o meno. Ci sono di mezzo i wallet di bitcoin, le triangolazioni, appunto i mascheramenti con le consulenze per la disinfezione. Nei tempi roventi dei sequestri di persona era stata varata una legge sul blocco dei beni come deterrente rispetto al grande business dei sequestri. Qualcuno invoca una norma simile per il settore dei dati informatici. Temo che attuarla sia difficile. Come bloccare i fondi di una grande azienda senza immobilizzarla? Mi porrei il problema in un altro modo: pagare il riscatto è l’ultima spiaggia e comunque non bisogna trovarsi impreparati a questa eventualità. Un’eventualità che bisogna comunque mettere in conto. Un po’ come accade ad esempio per la prevenzione incendi. Perché troppo spesso le pratiche si fermano alla prevenzione e non alla preparazione e pianificazione dei comportamenti da tenere in caso di attacco riuscito. E qui le linee guida sono note ma non da tutti applicate con la dovuta cura, a partire da un efficace e continua strategia di backup dei dati. Che ne consente ripristino sempre e comunque. Così i dati sono salvi, comunque sicuro. Certo, rimane il problema della diffusione da parte di chi li ha rubati, che è poi la tecnica usata dai criminali negli ultimi casi di sottrazione.
Appunto. Cosa fare?
L’unica misura di sicurezza attuabile e quella dell’utilizzo della crittografia, operazione comunque non semplice e da molti invocata affrettatamente come una panacea. Anche qui la sicurezza e tutt’altro che garantita. Se viene rubato hard disk in quel momento spento, se ben crittografato è praticamente inviolabile. Ma se rubano i dati anche crittografati nella loro fase di esercizio insieme alla loro chiave crittografica, cosa che molto spesso avviene, la sicurezza non è assolutamente garantita.
