Lettera di RHC al direttore di ACN Bruno Frattasi. L’Italia ha bisogno di fatti

Redazione RHC : 10 Marzo 2023 08:27

Benvenuto Direttore Bruno Frattasi, 

forse non ci conoscerà ed allora ci permetta di presentarci.

Siamo un gruppo di professionisti ed amanti del mondo cyber e di tutto quello che gli ruota attorno. Lavoriamo nel mondo della cybersecurity e su questo tema da almeno tre anni, con costanza, scriviamo e raccomandiamo alle istituzioni, alla pubblica amministrazione e alle aziende private – con attività di divulgazione per un corretto uso del digitale –  di osservare comportamenti più incisivi riguardo alla loro sicurezza informatica. 

Cerchiamo nel nostro piccolo, di assistere e coinvolgere un po’ tutti coloro che credono in un mondo cyber-sicuro soprattutto per il bene del paese, della nostra Italia. Questo perché come crediamo lei sappia, l’Italia è molto esposta sul fronte delle minacce cibernetiche.

Ci siamo davvero emozionati quando abbiamo visto nascere l’Agenzia per la Cybersicurezza Nazionale (ACN). La volevamo da tempo e credevamo che questa nuova agenzia sarebbe divenuta un baluardo contro le cyber minacce alle quali, ogni giorno, il nostro sistema è esposto e di seguito subisce.

Addirittura, nel momento della nascita di ACN, scrivemmo in questo articolo che un programma cyber su infrastrutture, così complesse, non si improvvisa e che i risultati si sarebbero potuti ottenere solo dopo anni di duro lavoro. Questo perché altri paesi, anche alleati – almeno sulla carta – già da tempo hanno una struttura di difesa delle infrastrutture cibernetiche e che noi siamo costretti a rincorrere. Ma poco male, finalmente era stata costituita.

In molti articoli apparsi sulle nostre pagine, abbiamo spiegato come fare, come resistere, come difendersi e contrattaccare questi nuovi cyber eserciti che giorno dopo giorno si fortificano e prendono parte alle delicate questioni politiche tramite la cyber guerriglia.

Abbiamo sempre sottolineato che un nemico, altamente specializzato e motivato, va combattuto allo stesso suo livello e conosciuto a fondo per poterlo contrastare. Abbiamo sperato quindi che l’ACN potesse, con la sua attività operativa, consentire di ripulire il sistema informatico della PA, ad esempio partendo dalle tipiche vulnerabilità di sicurezza, in modo da poter ostacolare il crimine informatico, ma questo non è stato fatto.

Speravamo che l’Agenzia si posizionasse oltre che sul piano normativo, anche sul piano operativo, cercando di definire un’attività di Controllo e Remediation sul perimetro di sicurezza nazionale cibernetica (il tanto noto PSNC). Tuttavia non abbiamo mai visto dei minimi segnali di questo tipo, neppur lontanamente.

E’ importante anche sottolineare che l’Agenzia oggi già dispone di queste professionalità che possono mettere in atto questo cambiamento. Ma devono essere valorizzate ed ascoltate, per poter dargli modo di proporre tecnicamente soluzioni e processi che possano attivare dei miglioramenti e competere con il cybercrime sul suo stesso livello: la tecnica.

Inoltre, il nostro Paese, soffre di un ritardo formativo incredibile già dalle scuole, dove anni di “didattica delle chiacchiere” hanno prodotto solo un nutrito elenco di utilizzatori di sistemi informatici e non invece di tecnici esperti. Infine, anche se abbiamo registrato in quest’ultimi anni una tendenza all’aumento degli ingegneri, con percentuali superiori alla media europea, di contro non abbiamo lo stesso valore numerico di impiegati nel settore, perché le aziende e la PA, non assumono come dovrebbero.

Abbiamo parlato del rientro dei cervelli, del fatto che mancano 100.000 persone all’appello nella cybersecurity, dove a nostro monesto avviso è importante formarle partendo dalle scuole. Non dalle superiori, ma dalle medie e dalle elementari. Bisogna far scattare la “scintilla” nei ragazzi e farli appassionare alla tecnologia e al digitale, perché mancano “hacker” nel corretto senso del termine e quindi: innovatori, visionari e tecnologhi.

Molte aziende straniere sono “scappate” o non investono più in Italia, per fattori che vanno dalla mancanza di meritocrazia, alla complessità delle leggi burocratiche e locali, che impediscono la nascita di poli strategici e cibernetici che potrebbero aiutare il paese ad uno sviluppo nel settore.

Un settore che dovrebbe beneficiare della sinergia tra pubblico e privato – come si fa di fatto negli Stati Uniti D’America – per poter far leva contro gli attacchi informatici. Invece ci impantaniamo per anni in deleghe, autorizzazioni bizzarre, e altre frasi del “burocratese” che solo il nostro paese riesce a produrre con tanta efficacia.

Noi di RHC riceviamo spesso lettere di aziende che ci chiedono consigli o suggerimenti di come implementare una corretta igene cyber delle loro strutture informatiche e facciamo anche fatica a rispondere a tutti – non siamo che un gruppo di amici come le dicevo prima – ma paradossalmente riceviamo anche moltissime diffide da aziende italiane cui segnaliamo di aver subito un attacco o una compromissione dei dati! Questo è per noi un indicatore di quanto poca sia la consapevolezza al rischio cyber in Italia ed è da li che dobbiamo partire.

Più volte abbiamo detto e scritto, come sia necessario creare prima di tutto un “perimetro umano” di competenza, resilienza e difesa – che provenga sia dal pubblico che dal privato – che preceda quello fisico fatto di software, hardware e bit da usare come scudo alle aggressioni che provengono da paesi sempre più interessati alla nostra economia. Sottolineiamo sempre quanto la cyberwarfare – soprattutto in questo momento di tensioni internazionali – sia importante e quanto sia necessario conoscerne i suoi meccanismi.

Molti ancora non credono che taluni paesi a noi ostili, abbiano sviluppato software per creare falsi TG che produrranno fake-news 24 ore su 24, modificando foto, suoni, video e riprese aeree, grazie a droni pilotati da remoto. Allo stesso tempo in Italia molte aziende sottostimano la pericolosità delle minacce cyber, come gli 0day, i malware e il phishing, e non sviluppano programmi cyber al fine di prevenire gli attacchi e non rimanerne vittime.

La situazione della PA è sempre più tragica. Abbiamo assistito a delle evidenti prese in giro sui siti underground dove l’Italia viene definita uno “scimpanzé dell’informatica”. Per non elencarle gli attacchi portati al sistema sanitario o quelli più recenti effettuati contro i siti istituzionali dagli hacktivisti filorussi. Tali attacchi hanno avuto grande risalto sui media, allarmando la comunità cyber, anche se definiti poco dopo di bassa entità. Questo perché lasciano solo indisponibile per un breve tempo una infrastruttura informatica, anche se non siamo riusciti ad implementare delle semplici mitigazione a distanza di due settimane per evitare che risucceda.

Concludendo Direttore, confidiamo in Lei cosi come abbiamo fatto con il Dr. Roberto Baldoni (apprezzando moltissimo la presenza di un rappresentante di ACN alla nostra RHC Conference 2022) ed anche a Lei ribadiamo che NOI ci siamo.

Vogliamo e possiamo portare il nostro supporto ad ACN, al sistema paese, alla comunità per essere cyber resiliente. Non perdiamo l’occasione perché le sfide cyber che abbiamo di fronte sono moltissime e pericolose, e rischiamo di compromettere il nostro sistema economico e sociale se continuiamo ancora ad inseguire demagogia e retorica.

Concludiamo dicendo che ora tutti noi abbiamo bisogno di cose concrete, per la sicurezza di ogni cittadino.

Ora abbiamo bisogno di fatti!

Buon lavoro

Red Hot Cyber