Gabrielli al Foglio: “Attacchi cyber degli stati? L'Italia ora risponderà”
L’offensiva hacker a un gasdotto americano spinge l’Ue a cambiare passo nella guerra cibernetica. Russia, Cina e non solo. A colloquio con il sottosegretario con delega agli 007 e il capo del Parlamento europeo
David Sassoli è il presidente del Parlamento europeo e lo dice tutto d’un fiato: “Di fronte a questi attacchi, molti dei quali hanno una matrice governativa e statuale ormai acclarata, occorre che le istituzioni abbiano la forza di promuovere non solo un sistema di difesa all’altezza ma anche una modalità di coordinamento nella reazione a questi attacchi che permetta ai cittadini e alle imprese di sentirsi protette”. La famosa guerra per il dominio cibernetico che di tanto in tanto campeggia minacciosamente sulle prime pagine dei giornali viene spesso descritta dagli specialisti della materia come se fosse un fenomeno sfuggente, virtuale, difficile da afferrare e quasi impossibile da fotografare. La cronaca di questi giorni, anzi di queste ore, ci offre però una fotografia molto nitida per capire in che senso quello che spesso appare a molti di noi come un tema paludoso, noioso, scivoloso, difficile da afferrare possa invece trasformarsi in un problema concreto, vivo e destinato in definitiva ad avere sulle nostre vite un impatto sempre più reale e sempre meno virtuale.
La cronaca di questi giorni coincide con una notizia molto importante che ieri ha costretto il presidente Joe Biden a dichiarare lo stato di emergenza a seguito di un attacco cyber condotto domenica contro il più grande gasdotto americano (il Colonial Pipeline, che trasporta il 45 per cento della fornitura di diesel, benzina e carburante per aerei della costa orientale americana). Un attacco che nel giro di pochi minuti ha messo fuori gioco una rete di condutture pari a 8.850 chilometri, arrivando a paralizzare forniture per 2,5 milioni di barili al giorno. L’attacco alla pipeline americana potrebbe entrare nella storia delle guerre cibernetiche perché, come affermato dal cofondatore di una importante società di sicurezza informatica americana, Andrew Rubin, ceo di Illumio, “rappresenta un caso concreto di disastro informatico che si trasforma in una catastrofe anche per il mondo reale”.
Non è ancora chiaro quale sia la matrice del colpo alla Colonial Pipeline – secondo una prima ricostruzione offerta ieri dall’Fbi dietro l’attacco ci sarebbe il gruppo criminale Darkside, di origine russa” – ma lontano dall’America e in particolare in Europa e ancora più in particolare in Italia è invece molto chiaro come da mesi vi sia un escalation di attacchi cibernetici portati avanti da alcuni “attori statuali” contro alcuni paesi e contro le aziende di quei paesi. E di fronte a questi fenomeni e a queste possibili minacce, la domanda naturale che viene da porsi è che cosa stia facendo l’Italia per monitorare il dossier cibernetico e per provare a intervenire con tempismo su questo fronte. Qualcosa, rispetto alla strategia e al monitoraggio, lo si trova in alcuni documenti presenti negli atti parlamentari. Qualcos’altro, come vedremo, lo si apprende dialogando con alcuni volti di primo piano delle istituzioni italiane, come Franco Gabrielli, sottosegretario di stato alla Presidenza del Consiglio dei ministri e autorità delegata per la sicurezza della Repubblica, e David Sassoli, presidente del Parlamento europeo, oltre che a un membro del Copasir (il Comitato parlamentare per la sicurezza della Repubblica).
Gli atti parlamentari ci dicono che lo scorso febbraio, quando il comparto italiano dell’intelligence, formato da Dis, Aise e Aisi, ha consegnato al Parlamento una relazione non classificata relativa al monitoraggio effettuato dai servizi segreti nel corso dell’anno passato, sul fronte delle minacce cibernetiche, è emerso, in quella relazione, come nel nostro paese gli attacchi più importanti censiti dall’intelligence abbiano riguardato “enti/operatori afferenti al settore della sanità e della ricerca, in direzione dei quali sono state effettuate compromissioni informatiche attraverso l’acquisizione di credenziali amministrative ovvero l’inoculazione di malware; dicasteri e altre amministrazioni dello stato, nei cui confronti si è registrata una intensa campagna di diffusione di malware; settori cruciali come aerospazio, difesa e sicurezza; telecomunicazioni; meccanica/meccatronica, automotive, biotech e made in Italy; iniziative, di matrice estera, finalizzate sia a riorientare in modo strumentale i flussi di merci nel Mediterraneo sia a penetrare la filiera nel territorio nazionale, anche per finalità extraeconomiche”.
Con una serie di acquisizioni di intelligence che, infine, “ha posto in luce disegni espansivi di attori stranieri all’indirizzo non solo di aree portuali italiane, ma anche delle relative zone retroportuali”. Per quel che attiene alle attività ostili “perpetrate attraverso il dominio cibernetico in danno degli assetti informatici rilevanti per la sicurezza nazionale”, il complesso dei dati raccolti dall’intelligence ha fatto emergere un incremento delle aggressioni pari al 20 per cento (dal 2018 alla fine del 2020, il Computer Security Incident Response Team ha trattato oltre 25 mila segnalazioni provenienti sia da società di sicurezza e omologhi esteri, sia da soggetti nazionali. Di questi, oltre 3.500, pari al 13,8 per cento circa, sono stati classificati quali incidenti e in buona parte sono stati inviati, per successiva valorizzazione, al nucleo di sicurezza cibernetica). L’83 per cento delle aggressioni, infine, ha riguardato sistemi di soggetti pubblici (10 punti percentuali in più rispetto al 2019). Mentre le azioni digitali ostili “perpetrate nei confronti dei soggetti privati” hanno interessato prevalentemente il settore bancario (11 per cento, in aumento di 4 punti percentuali rispetto al 2019), quello farmaceutico/sanitario (7 per cento, in sensibile incremento rispetto allo scorso anno) e dei servizi IT (11 per cento). In particolare, sottolineano al Foglio fonti qualificate del Dis, negli ultimi tre anni, in Italia, vi sono stati almeno dieci eventi importanti di natura cibernetica che hanno allarmato più degli altri la nostra intelligence, e la maggior parte dei casi gravi ha avuto, dicono sempre dal Dis, due matrici: cinesi e russe.
“Non c’è dubbio – sottolinea al Foglio Enrico Borghi, esponente del Pd e membro del Copasir – che tra i soggetti più attivi sul fronte delle guerre cibernetiche vi siano attori statuali molto legati alla Russia e alla Cina. E per questo mai come oggi è importante far sì che un grande paese come l’Italia decida di fare quel passo che le manca per dotarsi di un centro nazionale di ricerca e sviluppo in cybersecurity, che abbia una vita propria e che non sia semplicemente una nuova branca dei servizi segreti. L’Italia ci sta già lavorando e il governo ha promesso al Pd che troverà una soluzione entro la fine dell’estate. E’ un passo necessario. Così come necessario sarà che le istituzioni europee combattano affinché sia chiaro che uno stato che attacca a livello cyber un paese membro della Nato è un paese che attacca non un singolo paese ma l’intera Nato”. Secondo quanto riportato nella relazione consegnata a febbraio dagli 007 al Parlamento, i mesi della pandemia, in Italia, hanno messo in luce in modo ancora più marcato “la postura aggressiva di attori esteri, determinati a conseguire posizioni di leadership commerciale e tecnologica in aderenza a obiettivi e indirizzi di carattere geopolitico” ed è in base anche alle informazioni raccolte dall’intelligence su questo fronte, così risulta al Foglio, che negli ultimi mesi sono state compiute alcune scelte da parte del governo per bloccare “in un’ottica di mitigazione dei rischi”, alcune operazioni nell’ambito del 5G, il cui monitoraggio “ha fatto emergere articolate strategie di attori esteri interessati a penetrare e consolidare la propria presenza nel mercato italiano”.
Il dato interessante che emerge dai colloqui avuti in questi giorni dal Foglio con alcuni vertici dell’autorità delegata è che la forte esposizione agli attacchi cibernetici registrata in questi mesi dall’Italia – con particolare riferimento agli attacchi russi, cinesi, iraniani e nord coreani – ha messo il nostro paese nella condizione di compiere, in termini di approccio al dossier, un salto di qualità. Non solo nel monitoraggio ma, così dicono al Dis, anche sul terreno della “neutralizzazione delle minacce e sul terreno delle risposte simmetriche che uno stato non può non dare quando viene attaccato”. Neutralizzare la minaccia non significa dunque limitarsi a disinnescare un attacco ma significa andare a fondo nell’individuazione della sorgente di quell’attacco, anche a costo di operare una azione uguale e contraria, in termini di hackeraggio, a quella subita. Franco Gabrielli, scelto da Mario Draghi a fine febbraio come sottosegretario con delega ai servizi segreti, in una conversazione con il Foglio conferma la volontà, da parte dello stato – e del governo – di voler fare, su questo fronte, un salto di qualità alla nostra intelligence e sintetizza il suo pensiero con una frase secca ma importante: “Su questi temi, vi è senz’altro la volontà dello stato di rispondere, quando vi è la possibilità, agli attacchi cyber di matrice statuale”. Neutralizzare non basta, quando serve occorre rispondere, ed è quello che ci dice, conversando ancora con il Foglio, il presidente del Parlamento europeo David Sassoli, inserito qualche giorno fa dalla Russia di Vladimir Putin all’interno di una blacklist a seguito delle sanzioni varate dall’Ue contro sei dirigenti russi per il caso dell’oppositore in carcere Alexei Navalny.
“Per l’Unione europea – dice Sassoli, poche settimane dopo un’offensiva hacker molto grave subita dalle principali istituzioni europee – gli attacchi cyber che arrivano contro le nostre istituzioni, attacchi come quelli che ormai si registrano con frequenza preoccupante, rappresentano certamente un problema molto serio, grave, che merita di non essere sottovalutato. Di fronte a questi attacchi, molti dei quali hanno una matrice governativa e statuale ormai acclarata occorre che le istituzioni abbiano la forza di promuovere non solo un sistema di difesa all’altezza ma anche una modalità di coordinamento nella reazione a questi attacchi che permetta ai cittadini e alle imprese di sentirsi protette”. E il caso dell’attacco alla pipeline americana è un monito per l’Italia e l’Europa: ciò che oggi ci appare come un fenomeno sfuggente, difficile da afferrare e quasi impossibile da fotografare, è lì pronto per diventare qualcosa di sempre meno simile a un mondo virtuale e qualcosa di sempre più simile a un mondo dannatamente reale.