Cybersecurity: un problema globale che richiede una risposta globale

I governi di tutto il mondo sono preoccupati per i crescenti rischi di attacchi informatici contro le loro infrastrutture critiche. Di recente, le agenzie di sicurezza informatica dei paesi che compongono l'alleanza "Five Eyes". avvertito di un possibile aumento di tali attacchi “come risposta ai costi economici senza precedenti imposti alla Russia” in seguito all'invasione dell'Ucraina da parte del Paese. 

L'avviso ha osservato che "alcuni gruppi di criminalità informatica hanno recentemente promesso pubblicamente sostegno al governo russo", con la minaccia di tali operazioni informatiche "in rappresaglia per presunte offensive informatiche contro il governo russo o il popolo russo". 

Secondo Andy Garth, ESET Government Affairs Lead, tale attività è "un problema globale con gli attori statali e i loro delegati, con alcuni stati disposti a fornire rifugi sicuri in cui i gruppi criminali possono operare impunemente".  

“Nel caso del conflitto in Ucraina, alcuni gruppi criminali sono ora impegnati in cyberspionaggio presumibilmente per volere dei loro ospiti russi. In effetti, è anche prudente prepararsi a un aumento degli incidenti di cybersabotaggio e interruzione man mano che gli attacchi informatici vengono aggiunti alla cassetta degli attrezzi di ritorsione e aumenta il rischio di spillover", afferma Garth. C'è anche un rischio maggiore di conseguenze indesiderate quando i gruppi di vigilantes entrano nella mischia da entrambe le parti. 

Un nuovo approccio alla cyber-resilienza 

Prima dell'invasione, i governi di tutto il mondo stavano già prendendo in considerazione strategie di sicurezza informatica per contrastare le minacce informatiche in continua crescita da parte di attori statali e gruppi criminali. Ma i nuovi rischi percepiti dai governi da febbraio stanno alimentando una nuova urgenza verso la costruzione della resilienza informatica. 

Nel marzo 15th, il presidente degli Stati Uniti Joe Biden firmato il Strengthening American Cybersecurity Act del 2022, che richiede alle aziende che si occupano di infrastrutture critiche di segnalare attacchi informatici sostanziali al Cybersecurity and Infrastructure Security Agency (CISA) entro 72 ore e tutto pagamenti ransomware entro un giorno. Più che una semplice legge sulla divulgazione, il nuovo regolamento mira a cambiare la percezione di un attacco informatico da una questione di società privata a una minaccia pubblica. Questa legislazione fa parte di una tendenza, seguendo il Attacco al gasdotto coloniale nel maggio 2021 quando il presidente Biden segnalato un nuovo ruolo per la sicurezza informatica e ha chiesto un approccio dell'intero governo alle minacce informatiche. 

Insieme a nuovi poteri, CISA dovrebbe anche aumentare il suo budget il prossimo anno a 2.5 miliardi di dollari, il che è un extra di $ 486 milioni rispetto al livello del 2021. Inoltre, quello di Biden bolletta dell'infrastruttura stanzia 2 miliardi di dollari alla sicurezza informatica, di cui 1 miliardo è destinato al miglioramento della sicurezza informatica e della resilienza delle infrastrutture critiche. 

Parallelamente, l'Unione europea ha seguito un percorso simile con diverse nuove direttive e regolamenti e finanziamenti aggiuntivi volti in particolare a migliorare la resilienza informatica dell'UE e il ruolo delle istituzioni dell'UE, nonché a facilitare una maggiore cooperazione tra gli organi degli Stati membri. A livello operativo, in risposta all'invasione della Russia, per la prima volta l'UE ha dispiegato il Team di risposta rapida informatica per assistere l'Ucraina nella mitigazione delle minacce informatiche. 

La proposta dell'UE Direttiva NIS2 mira a rafforzare i requisiti di sicurezza, affrontare la sicurezza delle catene di approvvigionamento e semplificare gli obblighi di segnalazione. NIS2 amplia inoltre in modo significativo l'ambito delle entità critiche che rientrano nei requisiti obbligatori di sicurezza di alto livello. Settori come la sanità, la ricerca e lo sviluppo, la produzione, lo spazio o le "infrastrutture digitali", compresi i servizi di cloud computing o le reti pubbliche di comunicazione elettronica, richiederanno ora politiche di resilienza informatica più forti. Allo stesso modo, la Commissione UE sta proponendo una nuova legislazione per concentrarsi sul settore finanziario con il Legge sulla resilienza operativa digitale (DORA) ed Dispositivi IoT con il Cyber ​​Resilience Act, che verrà presentato dopo l'estate. 

La necessità di condividere l'intelligence e una più stretta cooperazione nel rilevamento delle minacce è anche l'obiettivo alla base della proposta Unità informatica congiunta dell'UE, che mira a proteggere l'infrastruttura critica dell'UE dagli attacchi informatici. Mentre è il ruolo e la struttura esatti sono ancora in fase di definizione, esso è previsto avere carattere operativo che garantires un migliore scambio di informazioni sulle minacce alla sicurezza informatica tra gli Stati membri, la Commissione europea, l'ENISA, il CERT-UE e il settore privato.  

La Commissione ha inoltre proposto nuovi regolamenti per rafforzare CERT-EU, convertendo la struttura nel "Cybersecurity Center", con l'obiettivo di rafforzare le posizioni di sicurezza delle istituzioni dell'UE. 

Garth sottolinea che questi sforzi sono un "riconoscimento all'interno dei governi (e delle istituzioni dell'UE) della portata della sfida nella protezione delle risorse digitali degli stati nazionali dalle minacce informatiche in crescita e in evoluzione". Sottolinea la necessità di un "approccio dell'intera società e partnership con il settore privato al centro", "nessun governo può affrontare queste minacce da solo". citando il La strategia informatica nazionale del Regno Unito 2022 dove questo tipo di collaborazione può essere visto in aree come l'istruzione, la costruzione della resilienza, i test e la risposta agli incidenti. 

Ma quali rischi corrono i governi? 

I governi hanno una caratteristica unica: conservano tutti i dati relativi alla loro attività così come i dati dei loro cittadini. Pertanto, sono un obiettivo molto desiderabile. Questa minaccia comune agli stati è stata portata a livello delle Nazioni Unite a concordare aree "off limits" in cui le operazioni informatiche non dovrebbero essere condotte, come i sistemi sanitari. La realtà si è discostata da questa, con un cybercontest in corso tra le maggiori potenze e accordi [non vincolanti] a UN essere di livello ignorati. 

Questi concorsi giocare nella "zona grigia" dove gli stati possono impegnarsi a vicenda sotto la premessa di una negazione plausibile e di un costante gioco del gatto e del topo nella sfera dello spionaggio informatico, compreso il furto di informazioni e gli attacchi alle infrastrutture critiche, a volte causando sconvolgimenti del mondo reale interi paesi. Casi recenti come l'uso dello spyware Pegasus dimostrano che l'intercettazione è viva e vegeta anche tra stati amici. Come dice Garth, "il ficcanaso è in circolazione da molto tempo ... come è probabile che molti professionisti dell'intelligence siano d'accordo, può fornire informazioni utili con un rischio modesto fintanto che non vieni scoperto". 

Allo stesso modo, mirato gli attacchi ransomware sono una preoccupazione crescente – non solo per ottenere il maggior compenso, ma per massimizzare il valore dei dati rubati su criminali affermati mercato piattaforme 

attacchi contro le catene di approvvigionamento può mettere in pericolo non solo le agenzie governative o un'istituzione specifica, ma anche settori critici dell'economia di un paese. L'impatto diffuso di attacchi come quello contro Kaseya rendere più difficile la reazione dei governi, creando conseguenze davvero dirompenti sia per le imprese che per i cittadini. Ma poiché alcuni stati si accontentano di rischiare interruzioni e danni indiscriminati, altri lanciano attacchi mirati contro unità e sistemi industriali specifici con l'obiettivo di mettere fuori combattimento parti dell'infrastruttura critica di una nazione. 

Far lavorare tutti insieme è la vera sfida 

I governi non hanno un compito facile, mantenendo i sistemi legacy, affrontando la carenza di competenze, creando consapevolezza informatica sul posto di lavoro, gestendo una superficie di attacco in espansione, integrando nuove tecnologie e affrontando attacchi sofisticati. La preparazione richiede tempo ed è necessario adottare a approccio a fiducia zero, comprendendo che gli attacchi si verificheranno e devono essere mitigati laddove non possono essere evitati.  

Questo è difficile da applicare all'infrastruttura tipicamente multistrato degli uffici governativi. Nonostante le loro dimensioni, è spesso più facile proteggere i sistemi delle autorità centralizzate, ma fare i conti con l'immenso numero di uffici locali e devoluti trasforma questo in una missione quasi impossibile. Nonostante i finanziamenti in graduale aumento, ci sono troppo pochi professionisti della sicurezza informatica, il che rende molto più difficile difendersi dalle minacce in evoluzione. 

I cittadini sono sempre più consapevoli delle minacce informatiche, spesso a causa di segnalazioni di alto profilo e frequenti nei media; mantenere i riflettori sul problema, finanziare programmi di sensibilizzazione, in particolare quelli rivolti ai meno esperti di tecnologia e ai vulnerabili, è fondamentale per il successo. Anche così, gli esseri umani che commettono errori continuano a essere il principale punto di ingresso per i criminali informatici, motivo per cui ora è essenziale sfruttare gli sviluppi dell'apprendimento automatico e dell'intelligenza artificiale, tipicamente implementati in prodotti e servizi come EDR e intelligence sulle minacce in tempo reale. 

Un problema comune richiede un'azione comune 

Le sinergie tra il settore pubblico e privato si presentano come una reazione tanto necessaria alla crescente minaccia rappresentata dagli attacchi informatici. La crisi ucraina e il precedente lavoro svolto per proteggere le infrastrutture critiche ucraine sono un esempio importante di ciò che può essere raggiunto.  

Parallelamente, Garth suggerisce di coinvolgere in modo dinamico organizzazioni come l'ONU, l'OCSE e gruppi come il G7, il G20, in modo che “la comunità internazionale punti i riflettori sull'attività informatica degli Stati, richiamando l'attenzione e agendo laddove necessario contro coloro che ignorano le norme stabilite e violano giù sui gruppi criminali e sulla loro capacità di monetizzare i loro sforzi criminali... ma lavora anche insieme per migliorare la resilienza informatica in tutto il mondo, compresi i paesi in via di sviluppo”.