Primo report europeo sugli incidenti nel cyberspazio

Nell’ottobre 2012 l’agenzia europea per la sicurezza informatica e delle reti ENISA ha pubblicato il primo report annuale europeo sugli incidenti nel cyberspazio. L’ENISA è il centro europeo per la sicurezza delle reti e delle infromazioni nell’ambito dell’Unione europea. Lavora in collaborazione con enti pubblici e privati per sviluppare consigli e raccomandazioni sulle best practice nella sicurezza delle informazioni. Assiste gli Stati membri dell’UE nell’attuazione della legislazione in ambito UE e lavora per migliorare la resilienza delle infrastrutture critiche informatizzate in Europa, reti comprese.

Nella primavera del 2012 sono stati infatti consegnati all’agenzia europea i risultati di alcuni incidenti di sicurezza avvenuti negli Stati dell’Unione durante il 2011. Si tratta di 51 rapporti di sicurezza (report) che sono stati analizzati e sintetizzati, ai sensi dell’articolo 13a della direttiva quadro (2009/140/CE). In  virtù di tale direttiva gli Stati membri sono tenuti a presentare relazioni sintetiche sui principali incidenti di sicurezza che si sono verificati durante l’anno.

La riforma del quadro normativo comunitario per le comunicazioni elettroniche, entrato in vigore nel maggio 2011, ha introdotto con l’articolo 13a i concetti di sicurezza e integrità delle reti pubbliche di comunicazione elettronica e dei servizi. Questo significa che gli operatori di rete di comunicazione e i service provider dovrebbero adottare le misure necessarie per garantire la sicurezza e l’integrità delle proprie infrastrutture e riferire alle autorità nazionali competenti in merito a significative violazioni.

Ogni anno poi le autorità nazionali di regolamentazione sono tenute a presentare una relazione di sintesi per l’ENISA e la Commissione europea (CE) per gli incidenti.

Flusso per la comunicazione degli incidenti all’ENISA e all’EC (European Commission)
Flusso per la comunicazione degli incidenti all’ENISA e all’EC (European Commission)

In questo primo report 11 paesi hanno riportato ben 51 incidenti rilevanti. Il 60% del totale ha riguardato l’ambito mobile, sia per la telefonia che internet; il numero di utenti interessati nei 20 paesi è stato di circa 166 milioni.

Le cause principali sono malfunzionamenti o guasti hardware/software; nel caso di fenomeni naturali, come tempeste e alluvioni, il tempo medio di disservizio è stato di circa 45 ore, con impatti enormi sulle reti di alimentazione. Questo significa che le comunicazioni (fisse e mobili) possono essere compromesse in quanto hanno una forte dipendenza dai servizi di alimentazione. Le batterie di una stazione base 3G per telefoni cellulari (base station) hanno infatti un’autonomia limitata a poche ore: di conseguenza un’interruzione mediamente lunga della linea elettrica è in grado di interrompere completamente il servizio di comunicazione.

La complessità delle architetture di comunicazione, la non ridondanza o semplicemente la scarsa maturità dei componenti hardware e software rendono ancor più complessi gli aspetti generali delle possibili problematiche.

Cause di incidente per Internet su cavo. (in percentuale)
Cause di incidente per Internet su cavo. (in percentuale)

In accordo con le autorità di regolamentazione competenti saranno segnalati all’ENISA solo gli eventi di sicurezza che comportano l’interruzione dei servizi, di telefonia e internet fissi e mobili, di messaggistica e di posta elettronica. Il modello di riferimento per gli incidenti avrà in oltre come parametri di valutazione dell’impatto il tipo di servizio, il numero di utenti interessati all’evento, la sua durata e la causa principale. Questo significa che l’interruzione di un cavo sottomarino ridondato o una violazione di sicurezza potrebbero essere considerati certamente significativi ma fuori dal campo di applicazione del report, se non ci sono state interruzioni del servizio.

Esempi di valori di soglia. Combinazione utenti coinvolti/durata incidente.
Esempi di valori di soglia. Combinazione utenti coinvolti/durata incidente.

Le soglie per definire la gravità di un incidente comprendono vari fattori tra cui il numero di utenti interessati, la durata dell’incidente, la diffusione geografica, l’interruzione delle chiamate verso i numeri di emergenza (es. 112) e alcune combinazioni dei precedenti. In termini di cause principali invece sono considerati nel report i fenomeni naturali, l’errore umano (es. configurazioni errate), i guasti hardware/software o di terze parti e gli attacchi intenzionali (cyber attacchi, furti, sabotaggi, ecc.) questi ultimi per un valore del 6%.

Incidenti per tipologie di cause. (percentuali)
Incidenti per tipologie di cause. (percentuali)

Nonostante le cause principali di interruzione del servizio indicate in questo rapporto siano state  eventi naturali e guasti, il fenomeno degli attacchi intenzionali nel cyberspazio è in forte crescita, soprattutto grazie all’evoluzione e alla disponibilità delle nuove tecnologie. Negli ultimi anni la comparsa del “mondo online” da un lato ha migliorato e introdotto nuove modalità per l’erogazione dei servizi, dall’altro ha visto la nascita di nuove dinamiche di reato. Le mail di spam e il phishing sono due tecniche spesso utilizzate dai cybercriminali per il furto delle credenziali ai servizi di home banking. Ma lo scenario che si prospetta è ancora più preoccupante se si pensa che a questo tipo di crimini si affiancano in misura importante l’attivismo, lo spionaggio e addirittura la guerra cibernetica. Operation Antisec infatti è il nome attribuito a una operazione condotta durante tutto il 2011 da due gruppi di hacker, Anonymous e Lulzsec, con lo scopo di rubare informazioni riservate ai danni di enti governativi in nome della democrazia. La ancora più famosa Occupy Wallstreet (o Operation Wallstreet) ha portato all’occupazione dell’omonima borsa americana in segno di protesta contro la disuguaglianza economica e l’influenza dei centri di potere e delle banche per il controllo del sistema finanziario. I social network sono stati gli strumenti principali per l’organizzazione delle proteste, diventando il mezzo di comunicazione e divulgazione degli eventi a dispetto, in alcuni casi, dei tentativi di repressione del governo (si pensi ai disordini del 2011 che hanno investito il mondo arabo).

Percentuali delle cause secondarie, per tipologia di servizio.
Percentuali delle cause secondarie, per tipologia di servizio.

Le nuove “cyber-armi” si chiamano stuxnet, duqu, flame. Si tratta di malware molto sofisticati la cui creazione e diffusione resta in alcuni casi ignota mentre in altri è attribuita ad alcuni governi allo scopo di controllare la diffusione e lo sviluppo dell’energia nucleare. Resta storico l’impatto del virus slammer. descritto dagli esperti come un worm capace di diffondersi molto velocemente infettando la maggior parte dei computer vulnerabili. Fu capace di compromettere circa 75000 computer in tutto il mondo dopo il suo lancio il 25 gennaio 2003 e di rallentare l’intera rete Internet, provocando il blocco delle chiamate al numero di emergenza americano 911 e la cancellazioni di moltissimo voli aerei.

In ambito spionaggio e intercettazioni è famoso un malware conosciuto con il nome R2D2, un trojan scoperto dal Caos Computer Club per le intercettazioni legali su skype, mentre zeus, i cui codici sono stati pubblicati nel maggio del 2011, è un vero e proprio kit per l’attacco ai servizi di Internet banking.

I computer oggi controllano le banche, i trasporti, la sanità, il settore energetico e le telecomunicazioni. Un attacco informatico diretto a una banca centrale, oppure un aeroporto, una centrale elettrica o una compagnia telefonica, può avere l’effetto di indebolire pesantemente l’efficienza e il funzionamento normale di un intero Paese, compresi gli apparati degli organi di controllo della Pubblica Amministrazione. In uno scenario di questo tipo si possono verificare disordini per la popolazione di difficile controllo anche da parte degli enti governativi preposti allo scopo.

I principali enti per la sicurezza digitale in Italia sono il Computer Emergency Response Team del Ministero della Difesa, il sistema di informazione per la sicurezza della Repubblica D.I.S. il

GAT, Nucleo Speciale Frodi Telematiche, la Polizia Postale e delle comunicazioni e il C.N.A.I.P.I.C., Centro Nazionale Anticrimine Informatico per la protezione delle infastrutture critiche.

Nel 2010, ENISA, Ministeri e ANR (l’insieme delle autorità nazionali di regolamentazione) hanno avviato una serie di incontri per ottenere un’applicazione “armonizzata” dell’articolo 13a della direttiva quadro 2009/140/CE. In questi incontri, un gruppo di lavoro di rappresentanti delle varie autorità nazionali di regolamentazione ha raggiunto un accordo su due documenti tecnici per fornire linee guida negli Stati membri dell’UE pubblicando la Direttiva tecnica per l’Incident Reporting e la Direttiva tecnica per le misure minime di sicurezza. Gli incontri del gruppo di lavoro si tengono più volte l’anno per discutere l’applicazione della direttiva e per la revisione e l’aggiornamento delle linee guida. Il prossimo report sarà pubblicato nella primavera del 2013, per riepilogare e analizzare gli incidenti che si sono verificati nel 2012. Si prevede una maggiore completezza e dettaglio della nuova relazione dovuti all’aumento della diffusione dei sistemi di monitoraggio della rete.

Antonio ora non lavora più in Telecom Italia ma continua a seguirci attivamente. Lo ringraziamo per il contributo e per l’affetto a voices.

La redazione