Luigi Maracino: “Gli analisti di primo livello per noi sono equiparabili a soldati di prima linea. Questa prima linea è fondamentale per individuare gli alert che nascondono insidie rilevanti e saper reagire prontamente, ed è formata da un lato dalla tecnologia e dall’altro proprio dall’elemento umano”
“Un potente attacco hacker senza precedenti”. Lo ha definito così l’assessore alla Sanità della Regione Lazio Lorenzo D’Amato, riferendosi al blocco dei sistemi informatici della Regione Lazio che ha colpito in particolar modo la piattaforma di gestione delle prenotazioni per i vaccini anti Covid. A essere presi di mira sono stati il CED della Regione Lazio e quelli del portale Salute Lazio e della rete vaccinale: in pratica un blocco dei servizi informatici sanitari e non solo. Mentre proseguono le indagini, gli esperti di cybersicurezza ci spiegano come e perché un tale attacco è sì violento ma certo non senza precedenti.
Abbiamo parlato con Luigi Maracino, General Manager di Atlantica Cyber Security, che apre con una nota personale. “Da parte mia vorrei esprimere la massima solidarietà a chi si trova in questo momento sotto cyberattacco e deve rispondere in tempi brevi a una situazione estremamente concitata e sempre più comune. In questi ultimi mesi i tempi rallentati della pandemia hanno permesso a tutti di dedicare più tempo ai propri hobby, al comune cittadino come all’hacker: questo è il motivo per cui nell’ultimo periodo abbiamo visto un moltiplicarsi di attacchi con una grande evoluzione delle tipologie”.
Ma siamo così indietro a livello tecnologico in Italia? “Nonostante quello che si dice, l’Italia non è particolarmente arretrata. Come dicevo, è il cyber crimine a essere più evoluto, e il progresso tecnologico sempre più rapido. Tolte alcune grandi potenze, che possono permettersi di stare al passo, il livello di avanzamento tecnologico e di digestione delle novità è più lento di quanto dovrebbe, anche perché un’azienda che fa un grande investimento poi ha bisogno di tempo per ammortizzarlo. Però ormai bastano due anni per classificare una tecnologia come obsoleta”.
Riguardo proprio all’attacco alla Regione Lazio, Maracino esorta a evitare facili gogne mediatiche e semplificazioni, come quelle di chi ha pensato di poter attribuire con certezza la provenienza dell’attacco in meno di ventiquattr’ore, operazione per cui di solito, ci spiega, possono servire anche mesi. “Lo scopo degli esperti, adesso, deve essere quello di individuare dove e come si sono verificate debolezze e problemi per rafforzare la sicurezza e prevenire attacchi simili in futuro. Risalire a una responsabilità ha funzione di capro espiatorio ma non risolve il problema a monte”.
E proprio parlando di prevenzione, Maracino ci tiene a mettere l’accento sulla formazione degli operatori. “Spesso le aziende che operano nel settore dei servizi sottovalutano il grado di formazione del personale operante in strutture critiche. E così analisti di primo livello, che hanno responsabilità rilevanti, sono equiparati a operatori di call center e per forza di cose non sono adeguatamente istruiti ad affrontare minacce di questo tipo, che non sono cose che accadono di punto in bianco ma hanno una lunga preparazione”. Si parla di settimane, o anche mesi, in cui preparare l’azione infettando il sistema grazie a malware a cui riescono ad accedere in una catena d’attacco costruita minuziosamente. E spiega: “Gli analisti di primo livello per noi sono equiparabili a soldati di prima linea. Per questo motivo in Atlantica affidiamo la loro formazione a personale affine all’intelligence militare israeliana: nella cybersicurezza questa prima linea è fondamentale per individuare gli alert che nascondono insidie rilevanti e saper reagire prontamente, ed è formata da un lato dalla tecnologia e dall’altro proprio dall’elemento umano”.
Dal lato tecnologico si paga una concezione datata di SOC (Secutiry Operations Center), in cui basta sottrarre una credenziale VPN per poter entrare nel sistema. Per identificare le azioni sospette, dunque, oltre a una migliore formazione del personale serve una piccola rivoluzione tecnologica basata sul machine learning e capace di stare al passo con i tempi e con la velocità e la capacità di adattamento dei cybercriminali.
Sull’ attacco alla Regione Lazio, ci spiega Maracino, è difficile in questo momento non solo individuare la provenienza dell’attacco, ma anche le motivazioni. “Attacchi di questo genere possono avere motivi ideologici, per mettere in evidenza debolezze e falle di un sistema, scopo di riscatto, il cosiddetto ransomware, ma anche spionaggio e furto di dati che spesso viene mascherato con una richiesta di riscatto per depistare le indagini. In questo caso, data la natura delle istituzioni coinvolte, tutte le ipotesi sono plausibili”. Riguardo invece alle affermazioni sul fatto che i dati personali dei cittadini non sono a rischio, ritiene prematuro sbilanciarsi. “È chiaro che chi è riuscito ad hackerare il sistema in questo momento ha con tutte le probabilità accesso ai dati. Si può sperare che non abbia interesse a usarli, questo sì,come spesso accade nel caso di ransomware”.
In linea più generale, come esperto di cyber attacchi, è convinto che un’Agenzia a livello nazionale, come quella che dovrebbe crearsi con il voto al Senato previsto in questi giorni, sia non solo auspicabile, ma soprattutto necessaria. “Solo con l’interoperabilità tra SOC è possibile fare fronte comune ed evitare simili incidenti, o comunque individuarli in maniera precoce e, grazie al confronto continuo, sapere come reagire al meglio. Serve un dialogo aperto e senza tabù a livello nazionale in materia di cybersicurezza per identificare gli attacchi e rispondere con rapidità limitando i danni”.
