Le nuove Linee Guida, pubblicate dall’Agenzia per la cybersicurezza nazionale, rappresentano un documento di riferimento per contrastare il rischio di accessi abusivi, sia da parte di insider (insider threats) sia da minacce esterne. Offrono un quadro completo delle misure normative esistenti, come quelle definite dal decreto-legge 105/2019 sul Perimetro di sicurezza nazionale cibernetica, integrato da esempi pratici per l’implementazione operativa. Particolare attenzione viene data alla gestione dei rischi connessi alla supply chain, al controllo degli accessi privilegiati, alla formazione del personale amministrativo e alle attività di monitoraggio e auditing interno.
Il documento si inserisce nella più ampia Strategia nazionale di sicurezza cibernetica, che punta a rafforzare la resilienza dello spazio digitale italiano attraverso misure tecniche, organizzative e procedurali indirizzate, in primo luogo, ai soggetti pubblici e privati inclusi nel Perimetro nazionale di sicurezza cibernetica. ACN, in questo contesto, esercita funzioni di supporto e vigilanza per garantire la conformità alle normative e il miglioramento della sicurezza complessiva.
Panoramica dei principali Threat Actor legati agli Hostile Nation-State
Nel presente articolo si vuole ripercorrere la nascita dei concetti di minaccia cyber e di threat actor, avvenuta davvero da pochi anni e che giustifica tutti gli sforzi che attualmente si stanno compiendo per stabilire framework con cui definire lo svolgimento di un attacco e classificare/categorizzare al meglio un avversario. Successivamente, saranno analizzati i principali governi che sono oggi considerati ostili e i threat actor a loro legati, fino a introdurre una metodologia che permetta di farne una valutazione.
Dal punto di vista storico, le prime menzioni di targeted cyber threats e, in particolare, di cyber threat al di fuori degli ambiti governativi sono apparse nel 2001 durante un briefing non classificato della National Security Agency del 2010. Il termine APT[1] (o Advanced Persistent Threat) è stato invece utilizzato per la prima volta durante una discussione all’Air Force Intelligence Agency in cui si cercava un termine per classificare una specifica tipologia di attaccanti, molto ben addestrati, che con ogni probabilità erano finanziati e addestrati da enti governativi.
Una definizione attualmente condivisa di Advanced Persistent Threat è fornita dal NIST SP 800-39[2], che li descrive come:
“an adversary with sophisticated levels of expertise and significant resources, allowing it through the use of multiple different attack vectors (e.g., cyber, physical, and deception), to generate opportunities to achieve its objectives which are typically to establish and extend its presence within the information technology infrastructure of organizations for purposes of continually exfiltrating information and/or to undermine or impede critical aspects of a mission, program, or organization, or place itself in a position to do so in the future; moreover, the advanced persistent threat pursues its objectives repeatedly over an extended period of time, adapting to a defender’s efforts to resist it, and with determination to maintain the level of interaction needed to execute its objectives”.
Una caratteristica chiave di un attacco APT è l’uso congiunto di tecniche manuali e automatizzate per raggiungere i propri obiettivi, che possono consistere nella compromissione di computer e di dispositivi mobili. Gli APT sono generalmente associati ad attacchi sponsorizzati dai governi, ma sono utilizzati anche da organizzazioni criminali e da singoli individui.
Generalmente – data la loro complessità – gli APT sono attacchi multi-stage, possono richiedere anche molto tempo per essere preparati e l’aspettativa degli attaccanti è che la compromissione non sia rilevata per per molto tempo (o addirittura anni).
Le fasi che compongono un attacco APT sono le seguenti:
Observation/Social Engineering: ricerca e raccolta di dati sul target dell’attacco;
Section: delivery del malware che sarà utilizzato nell’attacco attraverso la tattica scelta (Phishing, Exploit Public-Facing Application, Drive-by Compromise,);
Discovery: dopo aver ottenuto l’accesso, gli attaccanti devono agire rapidamente per evitare il loro riconoscimento;
Catch & Exfiltration: i dati riservati del target raccolti durante l’attacco sono inviati ai server dagli attaccanti. Questa fase può essere molto lunga e può contemplare l’interazione continua tra l’attaccante e l’infrastruttura target.
Un attacco basato su APT si differenzia moltissimo dagli attacchi informatici di base e possiamo considerare almeno i seguenti aspetti distintivi:
un APT è più complesso di una generica minaccia online, in quanto la realizzazione degli strumenti impiegati e l’esecuzione dell’attacco comportano che il gruppo di attaccanti lavori a tempo pieno per realizzarla. Nel setup dell’attacco deve essere anche considerato il tempo in cui gli avversari – dopo aver trovato il primo punto di accesso all’infrastruttura target – svolgono le attività manuali necessarie a garantirne la miglior persistenza;
gli APT sono creati per perseguire specifici obiettivi (come, ad esempio, specifiche organizzazioni o determinati settori industriali) e quindi non rappresentano una minaccia generale. Per questa caratteristica, gli APT si definiscono tailored.
Nella Figura 1 sono mostrate tutte le fasi che compongono un attacco di tipo APT:
Gli attori di Advanced Persistent Threat possono appartenere ad una (a volte più d’una) tra le seguenti categorie:
Terrorists
Corporate espionage actor
Nation-state actor
Organized criminal actor
Hacktivist
Le motivazioni alla base degli attacchi APT possono variare notevolmente, ma le finalità primarie di solito rientrano tra le seguenti:
raccogliere informazioni;
ottenere un punto di ingresso per realizzare successive fasi di un attacco o all’accesso indiretto a una società legata al target o a un suo affiliato;
ottenere un guadagno finanziario;
ottenere un vantaggio competitivo su altre nazioni;
danneggiare la reputazione di un’organizzazione;
produrre interferenze a livello politico;
mettere fuori uso sistemi, dispositivi o intere infrastrutture;
condurre operazioni di Cyber Espionage (furto di proprietà intellettuali e accesso alle credenziali, finanziarie, informazioni classificate o sensibili);
condurre operazioni di Cyber Warfare;
controllare le attività di singoli o di gruppi di persone.
Solo nel 2016[3] il Segretario generale della NATO Jens Stoltenberg, nonostante gli attacchi di tipo APT siano già stati riconosciuti come minacce di alto livello che possono coinvolgere apparati e infrastrutture governativi o privati, riconosce il cyberspazio come dominio operativo.
Dopo l’attacco del 2015[4] alla rete elettrica dell’Ucraina, realizzato utilizzando il malware Black Energy, gli attacchi cyber sono equiparati per pericolosità a quelli fisici.
“We also turned our attention to cyberspace[5]. We agreed that we will recognise cyberspace as an operational domain. Just like air, sea and land. Cyber defence is part of collective defence. Most crises and conflicts today have a cyber dimension. So treating cyber as an operational domain would enable us to better protect our missions and operations.”
Nella conferenza stampa che si è tenuta a seguito dell’intervento, alla domanda di un giornalista riguardo all’implicazione del considerare gli attacchi cyber al pari dei “kinetic attack” rispetto all’attivazione dell’articolo 5[6] per la NATO, alla capacità di identificare gli autori e alla necessità di sviluppare capacità informatiche offensive all’interno della NATO, il Segretario Generale risponde in questi termini:
“We have decided that a cyber attack can trigger Article 5, meaning that a cyber attack can trigger collective defence, because we regard cyber attacks as something that can cause a lot of damage and can be very dangerous. As I said, it’s hard to imagine a conflict without a cyber dimension. So, yes, cyber can trigger Article 5, but the same time I think it’s also important to understand that cyber is not something that always triggers Article 5. […]
What we do is defensive, but it is important to develop our defensive capabilities, and it is important to be able to attribute because one of the challenges when we speak about cyber is that it’s not always easy to tell exactly who is attacking you. So everything related to attribution is one of the issues which are high on our agenda and we are developing capabilities to be better able to attribute different kinds of cyber attacks.”
Sebbene la decisione di inserire anche il cyberspazio come dominio operativo sia stata fondamentale, le tempistiche della NATO nel riconoscere tali attacchi come altamente dannosi possono apparire faziosi se si pensa che, nei primi mesi del 2010, gli esperti della National Security Agency (NSA), in collaborazione con l’Israel Defense Force (IDF), crearono il malware Stuxnet[7].
Tale malware fu in grado di agire sui PLC Siemens Simatic S7-300 adibiti al controllo delle centrifughe utilizzate per produrre l’uranio arricchito. Si stima che l’attacco potrebbe aver messo fuori uso almeno 1.000 delle 5.000 centrifughe iraniane, causando un ritardo di alcuni anni nel programma nucleare iraniano.
Naturalmente, sebbene in misura e con modalità diverse, i governi delegano parte delle attività cyber di tipo offensivo a diversi “stakeholder” che possono essere aziende, freelance o università.
L’attuale conflitto russo-ucraino sta mostrando, nella maniera più ampia possibile, quanti soggetti possano essere disposti sullo scacchiere del cyber warfare: gruppi governativi che si avvalgono di aziende private per la progettazione e sviluppo di strumenti offensivi, ransomware gang e gruppi cybercrime che collaborano con attori governativi e creano per loro uno smokescreen, gruppi (o freelance) che supportano le fasi iniziali di un attacco, quali gli Initial Access Broker (IAB)[8].
Tra le figure non governative generalmente utilizzate nello svolgimento di un attacco vi è quella dei cyber proxy.
Questi[9] conducono o contribuiscono direttamente nelle Offensive Cyber Operation che possono avere una varietà di effetti e di finalità. Oltre ad offrire la plausibile negabilità del coinvolgimento di un governo in un attacco informatico, l’utilizzo dei cyber proxy permette di incrementare la complessità/sofisticazione di un attacco, in quanto questi dispongono generalmente di elevate capability.
La Figura 3 mostra una gerarchia distinta su sei livelli (I = livello più basso, VI = livello più alto) delle minacce informatiche definita dello US Defense Science Board:
Fig. 3 – Collocazione dei cyber proxy nella tassonomia delle minacce
Il grafico riassume le distinzioni fatte confrontando le capacità degli attori statali e non statali: i cyber proxy che conducono operazioni informatiche offensive hanno spaziato dal livello I al IV. I proxy possono anche contribuire alle operazioni informatiche offensive condotte da attori governativi di livello V e VI (quali Stati Uniti, Russia e Cina).
Il Defense Science Board[10] formula due osservazioni particolarmente importanti al riguardo. In primo luogo, “gli attori di livello superiore useranno i metodi e le tecniche al livello più basso necessario per raggiungere i loro obiettivi… per evitare di esporre le loro tecniche più sofisticate” e, in secondo luogo, “gli Stati potrebbero impiegare attori non statali come delegati (proxy). In tali situazioni, le organizzazioni di livello intermedio ottengono l’accesso a capacità di livello superiore”.
Prima di indicare i governi a cui risulta associabile il numero più alto di gruppi APT, è bene fare almeno le seguenti precisazioni:
la conoscenza dei gruppi APT legati ai vari governi è sicuramente incompleta, ovvero l’attribution potrebbe essere errata o ancora in corso di approfondimento. La difficoltà principale deriva dall’assenza di una completa conoscenza e associazione tra governi e APT e occorre considerare pure la fase di attribuzione è svolta mentre sono in corso continui cambiamenti politici e le tecniche di attacco diventano più avanzate.
quand’anche un governo non abbia le risorse per sostenere le attività di gruppi APT, non vuol dire che questo non possa disporre di strumenti che – forniti ad operatori legati al governo e opportunamente addestrati – realizzino attività compatibili con quelle svolte da un gruppo APT. A titolo di esempio si può citare lo strumento Pegasus, prodotto dall’azienda israeliana NSO Group e introdotto nel mercato globale nel 2011, poi acquistato e utilizzato – per fini molto differenti – da decine di governi di tutto il mondo.
Sin da quando i governi hanno iniziato a utilizzare i cyber threat actor per incrementare la loro potenza offensiva, alcuni tra questi si sono distinti per un loro uso estensivo[11]. Tra gli Stati che devono principalmente essere presi in considerazione sono Russia, Cina, Nord Corea e Iran, visto che si stima che il 77% delle attività state-sponsored siano a loro associabili[12][13].
Naturalmente, di seguito saranno evidenziate le caratteristiche dei threat actor di questi Stati senza approcciare le loro attività in una visione complessiva e senza, quindi, esaminare eventuali motivazioni politiche.
Come mostrato nelle figure seguenti, a partire dal 2016 la numerosità degli attacchi realizzati dai threat actor di questi quattro governi (a volte indicati come big-four tra gli Stati ostili) è sempre cresciuta e la vittimologia è anche mutata al variare degli scenari e delle condizioni socio-politiche:
Fig. 4 – Incremento delle Cyber Operation tra il 2016 e il 2020 da parte di Russia, Cina, Nord Corea e Iran
Nella Figura 4 si riporta la stima, aggiornata al 2022, delle CybOp eseguiti dai diversi gruppi APT di questi quattro governi:
Fig. 5 – Stima delle Cyber Operation da parte di Russia, Cina, Nord Corea e Iran eseguite nel 2022
Sebbene l’elevato impiego di operazioni cyber offensive non sia la sola caratteristica comune ai quattro governi sopra indicati, in diverse situazioni (vedi ad esempio il conflitto russo-ucraino in cui sono apertamente schierati con la Russia) essi rappresentano anche una coalizione (con sfaccettature sicuramente diverse al proprio interno) che si oppone alle politiche della NATO.
Su questo aspetto sono disponibili molti report dell’Unione Europea, del Regno Unito, degli Stati Uniti[14] e del Canada, che descrivono le minacce (anche da un punto di vista multi-domain) rappresentate da questi Paesi[15].
Nella Figura 6 è mostrata una mappa degli Stati che appartengono alle due coalizioni ed è riportata la lista dei principali threat actor legati a governi NATO[16]:
Fig. 6 – Suddivisione tra gli stati della coalizione NATO e gli stati China, Russia, Iran e North Korea
Di seguito, per ciascuno dei quattro Stati prima indicati, si riporta una breve sintesi delle caratteristiche principali e motivazioni dei threat actor a loro legati:
Motivazioni Principali degli APT russi:
Espionage
Hybrid Warfare
Principali attori attivi nel 2022:
APT28 (alias Sofacy e Fancy Bear)
APT29 (alias Cozy Bear e Dukes)
Callisto
Gamaredon
The Dukes
Sandworm
Le avanzate capacità informatiche della Russia sono principalmente dirette a supportare gli obiettivi della sua politica estera per contrastare l’influenza occidentale in patria e a promuovere la sua posizione di leader a livello globale. La Russia considera l’Occidente, in particolare l’alleanza dell’Organizzazione del Trattato del Nord Atlantico (NATO), come una minaccia continua e centrale per gli interessi nazionali della Federazione Russa.
Motivazioni Principali degli APT cinesi:
Cyber Espionage
Intellectual Property
Theft
Principali attori attivi nel 2022:
Mustang Panda
Goblin Pand
MirrorFace
LuckyMouse
APT10
APT41
I gruppi APT sponsorizzati dal governo cinese rappresentano – nell’intero panorama internazionale – alcune delle minacce più prolifiche e ricche di risorse. Il governo di Pechino utilizza le sue capacità informatiche, tipicamente gestite o incaricate dal Ministero della Sicurezza di Stato (MSS) o dall’Esercito popolare di liberazione (PLA) per raccogliere informazioni politiche e militari, svolgere attività di cyber espionage e spiare individui di interesse.
Negli ultimi anni il governo cinese ha intrapreso iniziative legate alla modernizzazione e innovazione del Paese e, in linea con questa finalità, sono state impiegate le sue capacità informatiche offensive. Inoltre, negli ultimi dodici mesi c’è stata una tendenza continua degli APT cinesi a condurre operazioni che siano difficili da ricondurre a loro e rivolte contro una gamma più selezionata di obiettivi.
Tuttavia questi attacchi sono spesso condotti per apparire come opportunistici, ad esempio utilizzando tecniche più spesso impiegate dai gruppi cyber criminali come, ad esempio, le ransomware gang. Va sottolineato che, tra tutti i casi di spionaggio gestiti dal Dipartimento di Giustizia degli U.S.A. tra il 2011 ed il 2018, si stima che il 90% abbia coinvolto attori connessi alla Cina. Il cyber espionage posto in essere dalla Cina è fonte di preoccupazione anche per numerose agenzie di intelligence europee.
Motivazioni Principali degli APT nordcoreani:
Financial Gain
Espionage
Principali attori attivi nel 2022:
Konni
Lazarus
Andariel
APT37ù
Per la maggior parte dei gruppi APT nordcoreani, l’utilizzo della criminalità rimane la principale priorità per fornire reddito allo stato e rafforzare il proprio apparato militare. La necessità di fare cassa attraverso attacchi informatici è legata principalmente alle sanzioni delle Nazioni Unite (ONU) imposte alla Corea del Nord a causa del continuo impegno in un programma di armi nucleari. Inoltre, la crisi economica si è aggravata con l’evento della pandemia di COVID-19 e ha isolato la RPDC dalla Cina, il suo partner commerciale più vicino.
Gli obiettivi prima esposti sono ottenuti dagli APT nordcoreani attraverso operazioni di cyber spionaggio. In aggiunta a queste finalità primarie, gli APT nordcoreani hanno anche agito nella raccolta di informazioni di intelligence nell’ambito nucleare e dello spionaggio diplomatico, presumibilmente al fine di mantenere l’attuale regime al potere.
Motivazioni Principali degli APT iraniani:
Espionage
Monitoring dissidents
Sabotage
Principali attori attivi nel 2022:
APT34 (alias Helix kitten e OilRig)
APT35
MuddyWater
POLONIUM
Cutting Kitten
APT33
APT39
Le attività informatiche offensive dell’Iran,quasi esclusivamente supervisionate dalle Islamic Revolutionary Guard Corps (IRGC), sono commissionate a diverse strutture che possono essere completamente legate al governo, ad organizzazioni proxy come pure ad appaltatori indipendenti che mescolano lavoro di sicurezza, frode criminale e sviluppo di software.
Sebbene i funzionari statunitensi abbiano ipotizzato che Teheran abbia ricevuto assistenza tecnica da paesi come la Russia e la Corea del Nord, il livello di sofisticazione è commisurato alle pratiche consolidate delle comunità di hacker amatoriali.
L’attività dei gruppi APT iraniani è rimasta, nel complesso, concentrata su obiettivi tradizionali quali Israele, alcuni Paesi del Medio Oriente e i dissidenti in patria e all’estero tra la sua comunità della diaspora. In particolare i settori della difesa, delle telecomunicazioni e relativi alla tecnologia dell’informazione sono candidati ad essere, nel prossimo futuro, i probabili target dei gruppi connessi al regime iraniano, soprattutto con riferimento a entità pubbliche e private nell’area MENA (Medio Oriente e Nord Africa) e negli Stati Uniti. Una caratteristica di alcuni gruppi APT iraniani è l’impiego di tecniche di pseudo-ransomware e di tunneling in un’ampia varietà di attacchi.
Nell’ipotesi che un’azienda/organizzazione sia un target per più di un gruppo APT, una questione che ci si può porre è come dare una priorità sull’adeguamento ad un loro eventuale attacco. Chiaramente la questione vale indipendentemente che gli attaccanti siano gruppi APT, cybercrime, hacktivist, etc. Dunque, la necessità di ogni organizzazione è di disporre di una metodologia di Threat Actor Assessment.
Sebbene ogni organizzazione possa definirne una propria, possono essere utilizzate delle metodologie già disponibili che si prestano anche ad essere personalizzate.
Alla base di ciascuna metodologia occorre che si esplicitino due elementi fondamentali: una Threat Matrix e una categorizzazione delle tecniche di attacco potenzialmente impiegate dagli avversari.
Per avere una categorizzazione delle tecniche di attacco, generalmente si dovrebbe prediligere la creazione di un Cyber Threat Landscape[17] specifico per il settore industriale in cui opera l’organizzazione e, opzionalmente, si possono utilizzare strumenti di Adversary Emulation dotati di una Threat Actor Profile Knowledge-Base.
Un esempio di Data Model su cui basare il Cyber Threat Landscape è quello proposto dal CERT-EU[18] che mette in relazione i threat actor (con le informazioni ad essi connesse), le TTP (Tactics, Techniques & Procedure)[19] e i settori/target:
Fig. 7 – Esempio di Data Model
A titolo esemplificativo, tra le varie metodologie (o strumenti) che possono essere utilizzate si segnalano le seguenti:
il Threat Assessment and Remediation Analysis (TARA)[20] sviluppato dal MITRE;
le metodologie basate sui cosiddetti FAIR (Factor Analysis of Information Risk) Factors[21]. In Figura 2 è mostrata una esemplificazione di Threat Matrix basata sulle categorie FAIR;
la metodologia di Threat Actor Assessment basata su Threat Box[22], che si pone l’obiettivo di valutare intenzioni e capacità e produrre un’unica rappresentazione grafica di immediata comprensione.
Al fine di offrire un esempio concreto di Threat Actor Assessment si è creata una rappresentazione utilizzando Threat Box[23]. Per semplicità, si è sviluppato l’esempio prendendo in considerazione solo un threat actor tra tutti quelli sopra citati e legati – rispettivamente – alla Russia, alla Cina, all’Iran e alla Corea del Nord. In particolare, sono stati scelti i gruppi APT28, APT33, APT37 e APT41.
Nella Tabella 1 sono riportati i target di questi gruppi e nella Figura 8 sono mostrate in maniera comparata le principali tecniche di attacco (espresse in termini di Tactics & Techniques della MITRE ATT&CK ver. 12).
Sebbene col progetto tbat si possano ottenere automaticamente le Tactics & Techniques, si è preferito esplicitarle separatamente per evidenziare come gruppi APT diversi, che vogliono ottenere obiettivi distinti, utilizzeranno tecniche di attacco solo parzialmente sovrapponibili.
Fig. 8 – Threat Metric basata sulle categorie FAIR
Threat Actor
Suspected Attribution
Target Sectors
APT28
Russia
The Caucasus, particularly Georgia, eastern European countries and militaries, North Atlantic Treaty Organization (NATO) and other European security organizations and defense firms
APT41
China
Healthcare, telecoms, and the high-tech sector, and have historically included stealing intellectual property, higher education, travel services, and news/media firms. Their cybercrime intrusions are most apparent among video game industry targeting (including the manipulation of virtual currencies) and attempted deployment of ransomware.
APT33
Iran
Aerospace, energy
APT37
North Korea
Primarily South Korea – though also Japan, Vietnam and the Middle East – in various industry verticals, including chemicals, electronics, manufacturing, aerospace, automotive, and healthcare.
Tab. 1 – Settori target dei gruppi APT28, APT33, APT37 e APT41
Fig. 9 – Matrice ATT&CK con le TTP utilizzate dai gruppi APT28, APT33, APT37 e APT41
Per la creazione del report è necessario fornire – per ciascun threat actor – alcune informazioni di base, mentre quelle relative alle tecniche di attacco impiegate sono già presenti per i principali avversari.
La prima domanda è legata alla tipologia/categoria di attacchi realizzata dagli avversari.
Espionage: attacchi che incidono sulla riservatezza dei dati o dei sistemi;
Destructive: attacchi che hanno un impatto sull’integrità dei dati o dei sistemi;
Disruptive: attacchi che incidono sulla disponibilità di dati o sistemi;
Cyber-Crime: attacchi finalizzati al profitto finanziario a breve termine.
Gli altri elementi che si chiede di valutare sono relativi a:
Intent & Willingness, in cui si identificano le motivazioni (Intent) per cui un threat actor vuole prendere di mira un’organizzazione e quali sono i vincoli (Willingness) che possono influire sull’intento dell’attaccante;
Capabilities & Novelty, in cui si valutano le reali possibilità (Capabilities) di eseguire un certo tipo di attacco e se l’attaccante dispone di capacità di realizzare tecniche avanzate/innovative (Novelty).
Nella tabella seguente si riporta la valorizzazione delle informazioni sopra riportate rispetto ai gruppi scelti:
Tab. 2 – Valutazione degli elementi Intentions, Intent & Willingness e Capabilities & Novelty
Sulla base di queste informazioni e sulle tecniche di attacco impiegate dagli attori presi in considerazione, è stato prodotto il seguente report:
Fig. 9 – Report prodotto dal progetto tbat
Note
[1] Il concetto di Advanced Persistent Threat si riferisce al fatto che gli APT mostrano un alto livello di sofisticazione, difficile da raggiungere con strumenti automatizzati; inoltre gli attacchi utilizzano un’ampia varietà di tecniche per mantenersi offuscati e sono spesso mirati a individui specifici all’interno dell’organizzazione.
[4] Va segnalato che l’attacco del 2015 alla rete elettrica dell’Ucraina non è stato il primo tra quelli più conosciuti e di alta rilevanza, in quanto già nell’aprile del 2007 era stato accertato l’attacco mirato (molto probabilmente di matrice russa) contro diverse infrastrutture governative e private in Estonia; tra questi anche l’Operation Aurora, attribuita all’Elderwood Group per conto del PLA cinese, che nel 2009 ebbe l’obiettivo principale di ottenere l’accesso (e potenzialmente modificare) i repository dei codici sorgenti di diverse società – principalmente statunitensi – del campo IT, Network Security e Internet Provider.
[5] Possiamo definire il cyberspace come “all of the computer networks in the world and everything they connect and control. It’s not just the Internet […] cyberspace includes the Internet plus lots of other networks of computers that are not supposed to be accessible from the Internet.” (da“Cyber War: The Next Threat to National Security and What to Do About It” di Clarke, Knake – 2010)
[6]“Le parti convengono che un attacco armato contro una o più di esse in Europa o nell’America settentrionale sarà considerato come un attacco diretto contro tutte le parti, e di conseguenza convengono che se un tale attacco si producesse, ciascuna di esse, nell’esercizio del diritto di legittima difesa, individuale o collettiva, riconosciuto dall’art. 51 dello Statuto delle Nazioni Unite, assisterà la parte o le parti così attaccate intraprendendo immediatamente, individualmente e di concerto con le altre parti, l’azione che giudicherà necessaria, ivi compreso l’uso della forza armata, per ristabilire e mantenere la sicurezza nella regione dell’Atlantico settentrionale.
Ogni attacco armato di questo genere e tutte le misure prese in conseguenza di esso saranno immediatamente portate a conoscenza del Consiglio di Sicurezza. Queste misure termineranno allorché il Consiglio di Sicurezza avrà preso le misure necessarie per ristabilire e mantenere la pace e la sicurezza internazionali”, https://www.nato.int/cps/en/natohq/topics_110496.htm
[19] Le TTP descrivono come un threat actor tenta di raggiungere l’obiettivo desiderato. Le Tattiche descrivono l’obiettivo delle azioni eseguite da un attaccante. Le Tecniche forniscono una descrizione più dettagliata delle azioni stesse, mentre le Procedure dettagliano in maniera approfondita le istruzioni che l’attaccante sta utilizzando per implementare una tecnica specifica.
Esperto in sicurezza delle informazioni, digital forensic e cyber threat intelligence per grandi aziende. È stato il Practice Manager di Forensic Technology & Discovery Services (FTDS) in Fraud Investigation & Dispute Services (EY). Ricercatore nel campo di Malware e Memory Analysis, Structured Analytic Procedures (SAT), OSINT, Intelligence Investigation Techniques, Incident Responding Techniques e Cyber Threat Intelligence. Laureato in Informatica presso l’Università degli studi di Catania e docente in corsi e master in digital forensics e malware forensics.
Supply Chain Risk Management e Sicurezza Informatica: Proteggere le Supply Chain Globali dal Cybercrime
Il rapido sviluppo tecnologico e la crescente globalizzazione delle catene di approvvigionamento hanno portato nuove opportunità per il cybercrime, trasformando la sicurezza informatica in una sfida sempre più complessa. In particolare, il Supply Chain Risk Management è diventato un elemento cruciale per le aziende che cercano di proteggere i propri dati e garantire la continuità operativa. I criminali informatici sfruttano le vulnerabilità nei fornitori o partner, compromettendo intere reti aziendali. Questo approfondimento esplora come il cybercrime abbia evoluto i propri modelli di business e quali strategie adottare per mitigare i rischi all’interno delle supply chain globali.
Il fenomeno del cybercrime appare da anni in rapida evoluzione: sfruttando le opportunità offerte dalle nuove tecnologie e da modelli di business sempre più innovativi, singoli attori malevoli od organizzazioni criminali possono ottenere profitti stellari a tutto svantaggio di privati cittadini, istituzioni e imprese.
Il presente caso di studio – basato su fonti autorevoli e aggiornate – mette in luce come il crimine cyber si sia evoluto per sfruttare le vulnerabilità delle supply chain, descrivendone implicazioni ed effetti nonché esaminando le principali contromisure adottate per contrastare questa minaccia.
Supply Chain Risk Management e Cybercrime: Una Minaccia in Evoluzione
Il cybercrime si è evoluto rapidamente, sfruttando nuove tecnologie e modelli di business innovativi per ottenere profitti significativi a discapito di aziende, istituzioni e privati. Nel solo 2024, il costo globale del cybercrime supererà i 9 trilioni di dollari. La crescente digitalizzazione delle catene di approvvigionamento ha ampliato il rischio di attacchi informatici, rendendo il Supply Chain Risk Management un aspetto cruciale per la sicurezza aziendale.
Nell’ultimo decennio il crimine cyber ha subito una profonda trasformazione, adattandosi al nuovo contesto tecnologico per trarre il massimo vantaggio dalla complessità e dalla dimensione globalizzata delle catene di approvvigionamento.
Vulnerabilità delle Supply Chain: Opportunità per i Cybercriminali
La complessità e la globalizzazione delle supply chain hanno creato nuove opportunità per i criminali informatici. Un attacco a un singolo partner della catena di fornitura può compromettere l’intera rete, con accesso a dati sensibili e la possibilità di causare interruzioni operative. L’ENISA Threat Landscape già nel 2021 evidenziava come la crescente interconnessione delle supply chain stesse aprendo nuove opportunità per il cybercrime.
Basti pensare che, infiltrandosi nei sistemi di un singolo partner della catena di fornitura, i cybercriminali possono ottenere accesso a dati sensibili, interrompere le operazioni e persino lanciare attacchi “a cascata” su più organizzazioni che condividono lo stesso fornitore: uno scenario allarmante, confermato dal report Protecting Against Supply Chain Compromises della CISA.
È fondamentale, quindi, che il Supply Chain Risk Management includa misure specifiche per mitigare questi rischi.
Modelli di Business Innovativi nel Cybercrime
I cybercriminali hanno adottato modelli di business sempre più sofisticati per sfruttare le vulnerabilità delle catene di approvvigionamento. Tra i principali approcci troviamo:
Cybercrime-as-a-Service (CaaS), uno schema noto già da diversi anni ed evidenziato dall’EUROPOL nel suo “Internet Organised Crime Threat Assessment (IOCTA) 2021”, consistente nella fornitura a criminali meno esperti di strumenti, servizi e infrastrutture per condurre attacchi informatici in cambio di una percentuale dei proventi.
Ransomware-as-a-Service (RaaS), sotto-categoria del CaaS in cui i cybercriminali offrono “pacchetti” di ransomware comprensivi di strumenti di distribuzione, gestione della comunicazione con le vittime e riscossione dei pagamenti.
Mercati del Cybercrime, ossia piattaforme online che facilitano la compravendita di dati rubati, credenziali, exploits e altri strumenti per attacchi informatici.
Reti di Affiliazione, formate da gruppi che reclutano e organizzano una rete di affiliati per condurre attacchi in cambio di una quota dei profitti ottenuti dagli stessi.
Questi modelli hanno reso il cybercrime più accessibile e redditizio, con gravi conseguenze per il Supply Chain Risk Management delle aziende a livello globale.
Impatto del Cybercrime sulle Supply Chain
Come anticipato, l’adozione di approcci sofisticati basati su modelli di business innovativi ha notevolmente amplificato l’impatto del cybercrime sulle catene di approvvigionamento, potendo generare una serie di gravi effetti per le aziende.
Interruzione delle Operations: gli attacchi mirati alle supply chain possono causare interruzioni significative delle attività, con potenziali conseguenze a cascata su più organizzazioni.
Perdita di Dati Sensibili: i criminali informatici possono accedere a informazioni riservate come dati finanziari, proprietà intellettuale o informazioni sui clienti, facilitando ulteriori attacchi e furti di identità.
Implicazioni Normative e Regolamentari: le violazioni della sicurezza delle catene di approvvigionamento possono comportare sanzioni, azioni legali e oneri di compliance per le organizzazioni colpite [10].
Costi Elevati: gli attacchi alle supply chain possono generare costi significativi per le aziende, tra cui perdite di produzione, costi di ripristino, risarcimenti e potenziali richieste di riscatto.
La severità di queste possibili conseguenze evidenzia, già di per sé, l’importanza di adottare misure efficaci per affrontare la minaccia del cybercrime nelle catene di approvvigionamento.
Supply Chain Risk Management: Strategie di Prevenzione e Mitigazione
Per contrastare la minaccia del cybercrime nelle supply chain, le aziende e le organizzazioni devono adottare una strategia multidimensionale.
Mappatura e Valutazione della Supply Chain:
Identificare e comprendere la struttura completa della catena di approvvigionamento, inclusi tutti i vari partner e fornitori.
Valutare i rischi e le vulnerabilità associate a ciascun nodo della supply chain.
Rafforzamento della Sicurezza della Supply Chain:
Implementare misure di sicurezza informatica avanzate, come l’autenticazione multi-fattore e la crittografia dei dati, per proteggere i sistemi e le informazioni critiche.
Adottare processi di due diligence e di valutazione dei fornitori per mitigare i rischi di infiltrazione.
Sviluppare piani di continuità operativa e di risposta agli incidenti per gestire eventuali interruzioni.
Promozione della Consapevolezza e della Formazione:
Sensibilizzare i dipendenti sui rischi legati alle supply chain e ai modelli di business del cybercrime.
Fornire formazione specialistica al personale tecnico e di sicurezza per riconoscere e rispondere agli attacchi.
Incoraggiare la collaborazione e lo scambio di informazioni tra aziende, autorità e organizzazioni di sicurezza.
Adozione di Soluzioni Tecnologiche Avanzate:
Implementare soluzioni di monitoraggio e rilevamento degli incidenti in tempo reale.
Utilizzare strumenti di analisi dei dati e di intelligence per identificare minacce emergenti.
Investire in tecnologie di sicurezza avanzate, come la blockchain, per migliorare la tracciabilità e l’integrità delle supply chain.
Adeguamento Normativo e Collaborazione Istituzionale:
Promuovere l’adozione di standard e linee guida di sicurezza specifici per le catene di approvvigionamento.
Collaborare con autorità, agenzie governative e organismi di regolamentazione per sviluppare una risposta coordinata agli attacchi.
Sostenere lo sviluppo di politiche e quadri normativi che affrontino le sfide del crimine informatico nel contesto della supply chain.
[embedded content]
Attraverso queste strategie, aziende e organizzazioni potranno rafforzare la resilienza delle loro catene di approvvigionamento e mitigare efficacemente i rischi rappresentati dai sempre più sofisticati modelli di business messi in campo dagli attori del crimine cyber.
Casi di Studio e Buone Pratiche
Diversi casi di studio esemplificano l’importanza critica del Supply Chain Risk Management:
SolarWinds: Nel 2020, l’attacco alla catena di approvvigionamento di SolarWinds ha compromesso migliaia di organizzazioni, dimostrando la vulnerabilità sistemica delle infrastrutture globali e il potenziale devastante degli attacchi supply chain per l’integrità aziendale.
Maersk: Nel 2017, il malware NotPetya ha inferto un duro colpo a Maersk, gigante del trasporto marittimo, interrompendo le sue operazioni su scala globale e causando perdite multimilionarie. Questo episodio ha sottolineato la necessità di resilienza e di una gestione dei rischi robusta all’interno delle supply chain.
Siemens: Siemens ha implementato una strategia integrata di monitoraggio continuo e resilienza per proteggere la sua supply chain, garantendo un elevato livello di sicurezza e reattività rispetto alle minacce emergenti.
Questi esempi illustrano l’importanza di un approccio proattivo e sistematico al Supply Chain Risk Management per prevenire e mitigare gli impatti delle minacce informatiche.
Il Ruolo delle Autorità nel Supply Chain Risk Management
Il contrasto al cybercrime nelle catene di approvvigionamento richiede, a livello sia nazionale che internazionale, il coinvolgimento di pubbliche autorità ed enti di regolamentazione.
Alcune delle principali iniziative in questo ambito includono:
Tutti questi organi stanno svolgendo un ruolo fondamentale nello sviluppo di politiche, standard tecnici e meccanismi di collaborazione interistituzionale utili ad affrontare le minacce rivolte alle catene di approvvigionamento, nonché a contrastare l’evoluzione dei modelli di business che oggi interessa la galassia del cybercrime.
Il Futuro del Supply Chain Risk Management
Con l’aumentare della digitalizzazione e dell’interconnessione globale, il cybercrime continuerà a evolversi, rendendo il Supply Chain Risk Management sempre più importante. Un approccio coordinato e multidimensionale, che coinvolga aziende, autorità e l’intera comunità della sicurezza informatica, è fondamentale per mitigare i rischi e garantire la resilienza delle supply chain a livello globale.
Solo attraverso la collaborazione tra tutti gli attori coinvolti sarà possibile contrastare efficacemente le minacce, salvaguardando la resilienza delle aziende e delle loro supply chain.
Cyber attacco senza precedenti alla Tv di Stato russa rivendicato dal gruppo filo-ucraino Sudo rm-RF
“Il nostro patrimonio informativo statale, uno dei più grandi, ha dovuto affrontare un attacco informatico senza precedenti alla sua infrastruttura digitale”. Lo ha dichiarato il portavoce del Cremlino, DmitriPeskov, commentando la notizia di un presunto attacco hacker contro l’emittente radiotelevisiva statale russa Vgtrk.
La notizia è stata riportata dalle agenzie Interfax e Tass.
Vgtrk ha dichiarato a Interfax che “la notte del 7 ottobre, i servizi online” della radiotelevisione statale russa “sono stati sottoposti a un attacco hacker senza precedenti, ma non è stato causato alcun danno significativo al lavoro della holding mediatica”.
<!-- ARUBA - 300x250 -->
L’attacco rivendicato dal gruppo hacker anonimo filo-ucraino Sudo rm-RF
L’attacco alle tv di Stato russe è stato rivendicato dal gruppo hacker anonimo filo-ucraino Sudo rm-RF secondo quanto riporta Rbc Ukraina. Nel giorno del compleanno di Vladimir Putin, gli hacker hanno sospeso le trasmissioni online dei canali televisivi Rossiya 1 e Rossiya 24, interrompendo alcune trasmissioni online del mattino.
Proseguono intanto gli scambi di attacchi fra la Russia e l’Ucraina. Kiev fa sapere di avere respinto un attacco russo con missili ipersonici Kinzhal sulla città di Kiev, spiegando che alcuni detriti sono caduti in tre distretti della capitale ucraina alle otto di mattina. Non sono stati segnalati danni gravi o vittime dall’attacco, secondo quanto ha affermato Serhiy Popko, capo dell’amministrazione militare della città.
“Sono stati registrati detriti in tre distretti di Kiev: Solomyanskyi, Shevchenkivskyi e Holosiivskyi. Danneggiate tre automobili, il tetto di un edificio residenziale e il tetto di un supermercato. Il resto dei rottami è caduto in un’area aperta senza conseguenze”, ha riferito l’amministrazione locale.
Intanto la guerra non cyber continua
Nel frattempo, l’aeronautica militare ucraina ha riferito di aver abbattuto sulla regione di Kiev due missili balistici ipersonici Kinzhal su tre lanciati questa notte e abbattuto 32 droni d’attacco nemici nelle regioni di Mykolaiv, Kiev, Dnipropetrovsk, Sumy, Chernihiv, Poltava e Kharkiv. Diversi droni russi – scrive Ukrinform – hanno colpito le aree di prima linea della regione di Kharkiv, mentre dei tre Kinzhal ha colpito un’area vicino all’aeroporto di Starokostiantyniv nella regione di Khmelnytskyi.
L’esercito russo fa sapere invece di avere conquistato un altro villaggio nell’est dell’Ucraina, quello di Grodovka, nella regione di Donetsk vicino alla cittadina di Pokrovsk. Lo ha reso noto il ministero della Difesa di Mosca, e di avere abbattuto durante la notte 21 droni ucraini, di cui 12 sul territorio della Crimea occupata dai russi.
Esplosioni sono state udite però nella notte nella Crimea occupata e il capo dell’amministrazione della città di Feodosia, Igor Tkachenlo, ha riferito che un incendio è scoppiato in un deposito petrolifero nell’area portuale.
Hacker filorussi attaccano siti governativi in Belgio
Diversi siti internet governativi in Belgio sono stati presi di mira da un attacco informatico. Lo riporta l’agenzia di stampa Belga.
Gli hacker responsabili sarebbero un collettivo filo-russo e avrebbero rivendicato le loro azioni sul canale Telegram NoName057 minacciando di colpire l’andamento delle elezioni locali questa domenica, spiega l’agenzia. “Il governo belga esaminerà presto una proposta per l’acquisto e il trasferimento di tre unità di artiglieria Caesar in Ucraina”, si legge nel messaggio su Telegram. “Abbiamo deciso di far visita al Belgio russofobo per mostrare loro come finiscono le iniziative a sostegno del regime criminale di Kiev”. Secondo quanto riportato tra gli obiettivi presi di mira figurano i siti web delle province di Limburgo, Liegi, Fiandre orientali, Brabante fiammingo e Brabante vallone, nonché quelli della città di Anversa e della Camera dei rappresentanti.
Sanità e emergenza cyber. Frattasi (ACN): “L’AI in aiuto per difendere il settore dagli attacchi”
Parte dal Lazio la campagna di sensibilizzazione delle strutture sanitarie sul tema della cybersicurezza attraverso linee guida operative specifiche per la Sanità redatte dall’Agenzia per la Cybersicurezza Nazionale. Il progetto è stato presentato stamattina nella sede della Regione in occasione del convegno “La minaccia cibernetica al settore sanitario”. Il Lazio è la regione da cui parte questo progetto, all’interno di un’ampia campagna nazionale che nei prossimi mesi toccherà tutti gli enti territoriali italiani.
“Abbiamo predisposto una linea guida con indicazioni riguardo la struttura della minaccia informatica sulle strutture sanitarie. Una minaccia che ha molte facce e ai avvale anche della non consapevolezza del rischio cibernetico da parte degli operatori sanitari. Quindi richiede anche un investimento nella cultura della sicurezza informatica e della consapevolezza”, ha dichiarato il direttore generale dell’Agenzia per la Cybersicurezza Nazionale, BrunoFrattasi.
“Questo manuale indica delle buone prassi che dovranno essere seguite come il doppio fattore di identificazione, l’ attenzione all’uso delle password. E potranno garantire una migliore difesa dei sistemi digitali sanitari. Questo evento inizia simbolicamente a Roma e andrà avanti nelle altre regioni italiane“.
<!-- ARUBA - 300x250 -->
“L’intelligenza artificiale ci può aiutare nell’analisi predittiva e quindi fare medicina individualizzata più vicina alle necessità dei pazienti. Ci può aiutare nei processi di governance del settore sanitario anche riducendo la spesa e infine ci potrà aiutare in una migliore gestione delle infrastrutture critiche sanitarie”, ha aggiunto Frattasi.
All’evento hanno partecipato anche il presidente della Regione FrancescoRocca; il sottosegretario di Stato alla Presidenza del Consiglio dei ministri e Autorità delegata per la sicurezza della Repubblica, AlfredoMantovano; il direttore della direzione regionale Salute e Integrazione sociosanitaria, AndreaUrbani; il vicedirettore generale dell’Agenzia per la Cybersicurezza Nazionale, NunziaCiardi.
Sanità, Mantovano: “Poca consapevolezza della gravita’ degli attacchi cyber e della necessità di prepararsi con le contromisure”
“Da gennaio 2022 a giugno 2024 in Italia ci sono stati 26 eventi ransomware nel settore sanitario. Hanno interessato quasi 50 fra strutture, presidi ospedalieri, servizi medici sul territorio. Il settore della salute è il terzo più colpito dopo il manifatturiero e la vendita al dettaglio. Non sono soltanto numeri, sono vite umane vulnerabili, che vengono vulnerate ancora di più con questi attacchi”, ha spiegato il sottosegretario di Stato alla Presidenza del Consiglio dei ministri e Autorità delegata per la sicurezza della Repubblica, AlfredoMantovano.
“L’attacco ransomware che a luglio 2023 ha colpito l’azienda Ospedaliera Universitaria Vanvitelli a Napoli, ha causato il blocco parziale di servizi sanitari essenziali come laboratorio analisi, la radioterapia e le visite specialistiche.Ad inizio di quest’anno un attacco ransomware all’ASL di Matera ha colpito 7 Ospedali e 6 presidi territoriali. La cifratura di tutti i servizi informatici ha costretto gli operatori le sole prestazioni urgenti ricorrendo a carta e penna per erogare i servizi“, ha detto.
“Ho l’impressione che non sia pienamente diffusa la consapevolezza della gravità degli attacchi cyber e quindi della necessità di prepararsi con le contromisure. L’intenzione è rendere ancora più stretta la collaborazione tra Acn e le Asl per consentire di beneficiare di misure maggiori rispetto a quanto avvenuto finora, delle competenze maturate dall’agenzia cyber – ha aggiunto – Le linee guida sono la prima esperienza in Italia. Quindi è una esperienza pilota molto interessante. Il fattore umano è insostituibile basti pensare alle vulnerabilità tutt’altro che rare legate a comportamenti scorretti dei singoli operatori”, ha concluso il Sottosegretario.
Il report ACN
Durante il convegno è stato presentato l’ultimo report dell’Acn sulla minaccia cibernetica al settore sanitario. Il report evidenzia come il settore sanitario, a livello globale, risulta essere tra quelli maggiormente colpiti da attacchi cyber alle infrastrutture digitali.
Le analisi sugli incidenti svolte dall’ACN evidenziano come i tentativi di attacco molto spesso hanno successo poiché alcune pratiche di sicurezza, vengono ignorate o mal implementate. Nella maggior parte dei casi, ciò è frutto di scarsa attenzione o di una carente formazione specifica sulla cybersicurezza del personale impiegato in ospedali, centri medici, cliniche e altre strutture sanitarie.
In questo documento, l’Agenzia presenta una panoramica sulle principali minacce cyber in questo fondamentale settore. Mentre nel Capitolo 1 del documento sono analizzati gli eventi cyber e gli incidenti rilevati negli ultimi 30 mesi, nel Capitolo 2 sono sinteticamente analizzate le principali vulnerabilità individuate nelle infrastrutture digitali. Le fondamentali raccomandazioni e le contromisure primarie per potenziare la sicurezza informatica sono presentate nel Capitolo 3.
Per approfondire
Per scaricare il report “La Minaccia Cibernetica al Settore Sanitario” di ACN clicca qui.
Cyber nella PA, 347 milioni di euro per il triennio 2023-2026
Oltre 347 milioni di euro alle pubbliche amministrazioni individuate come attori responsabili nell’ambito del piano di implementazione della Strategia nazionale di cybersicurezza.
Il decreto del presidente del Consiglio dei ministri dell’8 luglio 2024 di ripartizione del Fondo per l’attuazione della Strategia nazionale di cybersicurezza e del Fondo per la gestione della cybersicurezza, entrambi previsti dalla legge di bilancio per il 2023 (n. 197/2022) e pubblicato sulla Gazzetta Ufficiale del 4 settembre, ha approvato la ripartizione tra le varie pubbliche amministrazioni italiane per la spesa riguardante la sicurezza informatica.
Il primo filone delle risorse (Allegato A), del comma 899 citato) è destinato a finanziare gli investimenti volti al conseguimento dell’autonomia tecnologica in ambito digitale e l’innalzamento dei livelli di cybersicurezza dei sistemi informativi nazionali
A questa prima tranche di interventi, il dpcm assegna euro 44,5 milioni, quali residui di provenienza dell’esercizio finanziario 2023 ed euro 168,4 milioni per gli anni 2024, 2025 e 2026. Del totale assegnato 97 milioni di euro vanno all’Agenzia per la cybersicurezza nazionale, quasi 23 milioni al ministero della difesa, oltre 17 milioni al MEF, oltre 16 milioni al ministero dell’università, 7,7 milioni al ministero della giustizia e, infine, sono finanziati i progetti di molte regioni.
All’ACN il compito di monitorare gli interventi finanziari
Il secondo filone di finanziamenti (Allegato B) è destinato alla copertura delle spese di attività di gestione operativa dei progetti finanziati con le risorse sopra indicate con una dote complessiva di 134.701.300 milioni di euro per gli anni 2024, 2025 e 2026. All’Agenzia per la cybersicurezza nazionale vanno quasi 33 milioni di euro. Inoltre l’Agenzia ha il compito di monitorare gli interventi finanziati e valutare le eventuali criticità che emergeranno nell’attuazione degli stessi interventi.
“Le amministrazioni individuate ai sensi dell’art. 1, comunicano all’Agenzia per la cybersicurezza nazionale, con le modalità indicate nelle Linee guida di cui al comma 3, l’esito delle azioni condotte nell’ambito delle misure di cui sono responsabili per consentire il monitoraggio degli interventi finanziati e della spesa, nonché la valutazione delle eventuali criticità riscontrate nell’attuazione degli stessi interventi“, si legge. “Le modalità di monitoraggio periodico e rendicontazione dei risultati, nonché i casi di revoca delle risorse assegnate ai sensi dell’art. 1, comma 901, della legge n. 197 del 2022, sono definite dalla «Linee guida di monitoraggio» elaborate dall’Agenzia per la cybersicurezza nazionale.
Toyota colpita da un data breach. Diffusi online 240 gigabyte di dati
Cifre da capogiro: 11.233.039 unità vendute nel 2023 (con un incremento del 7,2% rispetto al 2022). In questo modo Toyota ha superato il numero complessivo venduto da Volkswagen (prima nella classifica delle 10 più grandi società europee)che è stato di 9,24 milioni di auto, centrando per il quarto anno di seguito la leadership globale. Numeri importanti come quelli che, in senso negativo, riguardano sempre la maggiore società automobilistica del Giappone e del mondo che, suo malgrado, è stata vittima di un data breach per nulla irrilevante.
Come fa presente Tech Monitor, un gruppo di cybercriminali ha infatti rilasciato online 240 gigabyte di dati esfiltrati dall’azienda, facendo emergere informazioni sensibili che interessano dipendenti, clienti e contratti. A monte, l’annuncio arriva da un threat actor, conosciuto come ZeroSevenGroup, che in un forum ha reso noto l’accaduto. Scrivendo così: “Abbiamo violato una filiale negli Stati Uniti di uno dei più grandi produttori automobilistici del mondo. Siamo felici di condividere i file con voi gratuitamente”.
Tra i dati sottratti – la cui analisi rivela che taluni risalgono a dicembre 2022 – figurano anche dettagli sull’infrastruttura di rete di Toyota, incluse le credenziali di accesso. Fermo restando la gravità dell’accaduto, la multinazionale asiatica ha cercato di arginare le informazioni divulgate sull’attacco informatico, spiegano che il data breach ha coinvolto esclusivamente una parte della sua struttura. Quindi ha ammesso che sta collaborando attivamente per gestire le conseguenze dell’incidente.
Ennesimo cyberattacco subìto da Toyota
Va detto che la maggiore società automobilistica nipponica e del globo non è nuova a subire un attacco informatico. Nel 2019, scrive Forbes, i dati personali di oltre 3 milioni di clienti Toyota in Giappone sono stati resi pubblici in seguito a un accesso non autorizzato ai terminali interni della casa auto orientale. L’acceso illegale era stato confermato dall’ufficio di una sussidiaria vendite di Tokyo, e concerneva in particolare i nomi dei clienti, le date di nascita e le tipologie di lavoro. Nessuna informazione, puntualizzava la Toyota (che ha annunciato 15 nuovi modelli a zero emissioni in Europa entro il 2026 e 250 mila veicoli BEV all’anno), aveva interessato dettagli relativi alle carte di credito.
E ancora, nel 2023 – riporta Security Affairs – “Toyota Financial Services” (TFS), una divisione della Toyota Motor Corporation, aveva confermato un accesso non autorizzato ai suoi sistemi in Europa e Africa in seguito alla cyberminaccia del collettivo ransomware Medusa – lo stesso che a gennaio di quest’anno ha attaccato la ONG Water for People – di divulgare dati sensibili.
Cybersecurity, conclusi gli stress test su 109 banche. BCE: “Restano aree di miglioramento”
Una prova di stress che ha visto coinvolte 109 banche vigilate direttamente dalla Banca Centrale Europea chiamate a rispondere a un questionario e a sottoporre documentazione all’esame dei responsabili della vigilanza, mentre un campione di 28 banche è stato selezionato per verifiche più approfondite.
La Banca centrale europea ha concluso oggi la prova di stress sulla resilienza cibernetica, intesa a valutare la risposta e il ripristino da parte delle banche in caso di incidente di cibersicurezza grave ma plausibile. Nel complesso, spiega l’istituzione finanziaria dell’Unione europea, è emerso che le banche dispongono di sistemi di risposta e ripristino, ma restano aree di miglioramento. I risultati, che confluiranno nel processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process, SREP) 2024, hanno contribuito a sensibilizzare le banche riguardo ai punti di forza e debolezza dei rispettivi sistemi di resilienza cibernetica.
“L’obiettivo del processo di selezione è stabilire accordi quadro con i fornitori esterni più idonei per garantire che l’Eurosistema sia pronto ad avviare lo sviluppo di un euro digitale in futuro, se giustificato”, aveva spiegato il membro del Comitato esecutivo della Bce, Piero Cipollone, lo scorso gennaio.
L’esercizio, avviato nel gennaio 2024, spiega la BCE in una nota, prevedeva uno scenario di prova fittizio nel cui ambito tutte le misure preventive fallivano e un attacco cibernetico si ripercuoteva gravemente sulle basi di dati dei sistemi fondamentali di ciascuna banca. La prova di stress si è quindi incentrata sulla risposta e sul ripristino da parte delle banche in caso di attacco cibernetico, anziché sui meccanismi di prevenzione. Individuare e affrontare le carenze nei sistemi di resilienza delle banche vigilate sul piano operativo, anche a seguito di rischi cibernetici, è una delle priorità di vigilanza dell’MVU per il periodo 2024-2026, alla luce del recente forte incremento degli incidenti cibernetici segnalati dai soggetti vigilati alla BCE, in parte riconducibile alle crescenti tensioni geopolitiche e alle sfide poste dalla digitalizzazione del settore bancario.
A queste ultime è stato chiesto di eseguire un test di ripristino informatico a tutti gli effetti e di fornire elementi comprovanti il successo di tale test, oltre ad accertamenti in loco da parte dei responsabili della vigilanza. Il campione includeva modelli imprenditoriali e aree geografiche differenti per essere rappresentativo del sistema bancario dell’area dell’euro in senso più ampio e assicurare un sufficiente coordinamento con altre attività di vigilanza.
Per mettere alla prova la loro risposta allo scenario, le banche hanno dovuto dimostrare la capacità di:
attivare i propri piani di risposta alle crisi, incluse le procedure interne di gestione delle crisi e i piani di continuità operativa;
comunicare con tutte le parti interessate esterne, quali i clienti, i prestatori di servizi e le forze dell’ordine;
effettuare un’analisi allo scopo di individuare quali sarebbero i servizi interessati e come;
attuare misure di mitigazione, incluse soluzioni che aiuterebbero la banca a operare durante il periodo necessario per il pieno ripristino dei sistemi informatici.
Per mettere alla prova la capacità di ripristino in seguito allo scenario, le banche hanno dovuto dimostrare di poter:
attivare i propri piani di ripristino, anche recuperando i dati dai back-up e allineandosi con i fornitori terzi di servizi essenziali nelle modalità di risposta all’incidente;
assicurare di avere provveduto al ripristino e al buon funzionamento delle aree colpite;
beneficiare degli insegnamenti tratti, ad esempio mediante il riesame dei piani di risposta e ripristino.
Anche in futuro la BCE si impegna a collaborare con le banche su cui vigila per il rafforzamento dei loro sistemi di resilienza cibernetica. A tal fine, le incoraggerà ulteriormente a continuare a lavorare per soddisfare le aspettative di vigilanza, assicurandosi tra l’altro che dispongano di piani di continuità operativa, comunicazione e ripristino adeguati, con una gamma sufficientemente ampia di scenari di rischio cibernetico. Le banche dovrebbero inoltre essere in grado di conseguire i propri obiettivi di ripristino, valutare correttamente la dipendenza da fornitori terzi di servizi essenziali di tecnologia dell’informazione e della comunicazione (TIC) e stimare adeguatamente le perdite dirette e indirette derivanti da un attacco cibernetico.
I risultati dell’esercizio confluiranno nello SREP 2024, inteso alla valutazione dei profili di rischio individuali delle banche.
Croazia, attacco cyber all’aeroporto di Spalato: passeggeri a terra
Attacco cyber all’aeroporto di Spalato: il sistema informatico dell’aeroscalo della seconda città croata è andato in tilt, come ha ammesso il vicedirettore della struttura, Pero Bilas. Aggiungendo: “I servizi specializzati stanno lavorando con intensità per risolvere le conseguenze di quanto è avvenuto”. E ancora: “Siamo stati in contatto con tutte le compagnie aeree e cercato insieme soluzioni alternative. Chiedendo a tutti i passeggeri di pazientare”.
Una situazione complicata, dunque. Nel momento in cui scriviamo, il sito dell’aeroporto (split-airport.hr) è ancora irraggiungibile; soprattutto, l’impossibilità di effettuare le operazioni di accoglienza e imbarco dei passeggeri – e quindi di far atterrare e decollare gli aerei – ha creato una serie di criticità a catena, anche considerando il periodo estivo, nel pieno della stagione turistica. Nelle ultime ore, spiega poi Nova News, la situazione si sta normalizzando.
Il ransomware Akira dietro l’attacco cyber
Il direttore generale dell’aeroporto di Spalato, Lukša Novak, spiega che “a rivendicare l’attacco informatico è stato il gruppo Akira, conosciuto per condurre attacchi ransomware e mettere a repentaglio la sicurezza informatica di numerose organizzazioni in tutto il mondo”. Quindi Novak fa sapere che all’aeroscalo è giunto un messaggio con la richiesta di trattative per il pagamento del riscatto. “Ma il governo croato e l’aeroporto non appronteranno alcuna trattativa di questo tipo”.
È bene sottolineare che il collettivo Akira (già responsabile di aver violato i sistemi Nissan in Australia e Nuova Zelanda) – emerso nel marzo 2023, ha colpito numerose aziende negli Stati Uniti e in Canada – sta velocemente diventando una delle famiglie di ransomware in maggiore ascesa. Il “merito”? Va ascritto alla sua doppia tattica di estorsione (sottrarre i dati rilevanti delle vittime prima di crittografare dispositivi e file), al modello di distribuzione Ransomware-as-a-Service (RaaS) e alle opzioni di pagamento uniche.
Barachini: “AI aumenta la superficie d’attacco cyber. Sottovalutare la cybersicurezza spegne le imprese”
“Nel 2023 c’è stato un aumento del 625% degli attacchi cyber alle aziende italiane, molti in relazione alla guerra ibrida condotta dai russofona. Va costruita una barriera informatica per innalzare le difese soprattutto del sistema delle piccole e medie imprese”.
Lo ha detto il sottosegretario alla Presidenza del Consiglio, AlbertoBarachini, alla presentazione della campagna istituzionale “Accendiamo la sicurezza. Proteggiamo le nostre imprese”, per promuovere la consapevolezza in materia di cybersicurezza per le piccole e medie imprese, realizzata dall’Agenzia per la cybersicurezza nazionale (ACN) e dal Dipartimento per l’informazione e l’editoria della Presidenza del consiglio (DIE).
Barachini: “Con I’AI aumenterà il rischio per le aziende che utilizzeranno in maniera invasiva questi sistemi”
“Ci sono attacchi dimostrativi – ha spiegato Barachini – ed altri che bloccano la funzionalità delle aziende entrando da piccole finestre, da uffici nei quali il personale non è abituato o formato a pensare a questi rischi. C’è – ha sottolineato – un incremento dell’offensiva contro le Pmi e la campagna invita ad utiizzare i fondi europei per autoproteggerci. E’ fondamentale – ha aggiunto – la cultura della sicurezza. Con I’Intelligenza artificiale aumenterà il rischio per le aziende che utilizzeranno in maniera invasiva questi sistemi. Bisogna lavorare per ridurre la minaccia e mitigare gli effetti sollecitando le aziende a denunciare, cosa che per un tema reputazionale, tendono a non fare provando a risolvere in proprio il problema”.
“Accendiamo la cybersicurezza. Proteggiamo le nostre imprese”, lo spot
[embedded content]
Barachini: “Parola d’ordine consapevolezza”
“La consapevolezza, infatti – ha sottolineato Barachini – è il target principale di questa campagna istituzionale. È un compito specifico del mio Dipartimento, e in generale delle Istituzioni tutte, quello di dare a cittadini e imprese le informazioni cardine per la tutela della loro vita, sociale ed economica, e della loro produttività. A questo scopo, perseguendo sempre una coerenza di fondo fra tutte le campagne in modo che il Governo possa parlare con una voce sola, il Dipartimento ha lavorato insieme all’Agenzia per la Cybersicurezza per mettere a punto uno spot dal messaggio chiaro, semplice nel quale la creatività sia al servizio del bene comune. Il sistema-Paese ha bisogno di una costante e fattiva collaborazione fra i diversi organismi del Governo che si adoperano ogni giorno, come Acn per la sicurezza dell’Italia. Questa è solo la prima delle misure contenute nella più ampia Strategia Nazionale per la Cybersicurezza 2022 – 2026 che ci vedrà al fianco dell’Acn. Un’alleanza fondamentale grazie alla quale porteremo avanti anche una missione specifica contro la disinformazione”.
Frattasi: “Rimane fondamentale la formazione”
Per il Direttore generale dell’Agenzia per la Cybersicurezza Nazionale, Bruno Frattasi le piccole e medie imprese italiane saranno più esposte ai rischi cyber in quanto con “l’imminente recepimento della Direttiva NIS 2 che amplierà notevolmente i settori coinvolti, è essenziale che le PMI aumentino il loro presidio di sicurezza riducendo l’esposizione alle minacce informatiche e mitigando gli impatti di eventuali attacchi cyber, al fine di salvaguardare la produttività e gli investimenti fatti. Bisogna investire sulla sicurezza informatica e metterci le risorse. E’ necessario anche investire nella formazione delle competenze informatiche. L’incompetenza” si può trasformare in un “errore fatale. Ci avviamo verso un’incremento della minaccia e dobbiamo difenderci ancora più strenuamente dalla minaccia cibernetica”, sottolinea Frattasi aggiungendo che “stiamo lavorando per fare in modo che l’intelligenza artificiale possa essere usata contro la minaccia cibernetica”.
La campagna “Accendiamo la cybersicurezza, proteggiamo le nostre imprese”
La campagna di comunicazione “Accendiamo la cybersicurezza, proteggiamo le nostre imprese”, sarà veicolata attraverso vari canali, radio, tv, stampa, web, per diffondere una cultura della cybersicurezza a tutti i livelli dell’organizzazione: dirigenti e capi d’azienda, professionisti ICT e dipendenti.
La campagna si divide in due periodi. Il primo, tra il 4 e il 18 luglio, prevede 10 passaggi al giorno dello spot TV sulle reti RAI e la pubblicazione della pagina promozionale con consigli sulla cybersicurezza delle PMI distinti per dirigenti, dipendenti, professionisti e fornitori IT e una campagna promozionale digitale sui canali social e sui motori di ricerca, volta a promuovere lo spot e i consigli di ACN sulla consapevolezza cyber. Nel secondo periodo, dal 15 settembre al 30 ottobre, ci sarà invece una programmazione pubblicitaria dello spot sulle reti commerciali, le radio nazionali e locali, contenuti social di approfondimento con alcuni consigli di cyber hygiene come la protezione dal Phishing, il backup sicuro dei dati aziendali, fino alla gestione sicura delle password.
