Attacchi DDoS e strategia per la sicurezza nazionale

Il DDoS (Distribuited denial of service) è un attacco distribuito, cioè originato contemporaneamente da diverse fonti (anche migliaia), per impedire il funzionamento di un servizio o di un’infrastruttura. 

La potenza degli attacchi DDoS è data dalla quantità di bot coinvolti. 

Un bot è costituito da un semplice pc o un server o un dispositivo connesso a internet che, una volta hackerato, è utilizzato dai cybercriminali per comporre una botnet. La rete così creata viene quindi utilizzata per sferrare un potente attacco cyber a un’infrastruttura o a un servizio.

Per le sue caratteristiche (i componenti della botnet non si rendono nemmeno conto di essere utilizzati a tale scopo), questo tipo di attacco è temutissimo e praticamente impossibile da contrastare. Il consiglio che gli esperti forniscono è di chiudere tutto e riaccendere la rete in un secondo tempo. 

Quando un servizio destinato a moltissimi utenti non funziona (come può accadere per servizi come PayPal, WhatsApp, ecc.) è assai possibile che lo stesso sia sotto attacco DDoS. 

Chi lo subisce non ha altra scelta che resettare, cioè calare le saracinesche e ricominciare da capo, il che comporta i problemi che ciascuno di noi può immaginare, trattandosi di sistemi che gestiscono comunicazioni e pagamenti tra milioni di persone, a livello davvero globale.

Per quanto ci si sforzi di tenere sotto controllo la sicurezza dei propri sistemi, non è possibile gestire l’operatività di un così alto numero di utenti e questa è l’arma che utilizza chi sferra tale tipo di attacchi. 

Si tratta dell’ennesima ripercussione della guerra che sta interessando l’Europa (a questo punto è abbastanza limitativo dire che si tratti della sola Ucraina, per quanto, per nostra grande fortuna, i Paesi dell’Ue siano coinvolti a livello indiretto). 

A quanto pare, a partire dai primi giorni dello scorso maggio, il Csirt ha registrato un’intensificazione degli attacchi di questo tipo contro soggetti nazionali e internazionali. 

In seguito a ciò, è stato potenziato il monitoraggio di questo tipo di minaccia, attraverso l’identificazione delle attività di probing ai danni delle misure di protezione attive all’interno dei nostri sistemi. 

Le attività di probing sono per lo più costituite da tentativi di sondaggio del funzionamento dei sistemi stessi da parte degli attaccanti. Tali attività, pur risultando al momento di bassa intensità, potrebbero preludere a successive azioni di attacco DDoS, con gravi conseguenze per i servizi e le infrastrutture oggetto dell’attacco stesso e per milioni di loro fruitori.

In poche parole, gli attacchi DDoS sono abbastanza difficili da sferrare, ma il risultato per i cybercriminali è assicurato. 

Per tale ragione, questo evento è sempre escluso dalle polizze di assicurazione che coprono il cosiddetto cyberisk, perché le conseguenze che ne potrebbero derivare sono decisamente difficili da quantificare e sarebbe praticamente impossibile valutare questo tipo di rischio e predisporre una tariffa adeguata. 

Il fatto che le attività di mitigazione e gestione dello stesso siano assai limitate, se non addirittura inesistenti in alcuni casi, determina infine l’impossibilità di fornire una qualche copertura da parte degli assicuratori.

In questo clima di autentica cyberwar, il Comitato interministeriale per la cybersicurezza, presieduto dal presidente del Consiglio dei ministri, ha finalmente deliberato la Strategia nazionale di cybersicurezza 2022-2026, che comprende numerose iniziative, tra cui una serie di azioni per il potenziamento della resilienza nella transizione digitale del nostro Paese, il raggiungimento dell’autonomia strategica sul piano cibernetico, la gestione delle crisi cibernetiche e la lotta alla diffusione delle fake news. 

Tale provvedimento rappresenta il completamento dell’attuazione normativa del Perimetro di sicurezza nazionale cibernetica, lo strumento ideato quale vero e proprio scudo difensivo italiano contro i cyber attacchi che minacciano le aziende e la pubblica amministrazione, entrato in vigore già a partire dalla fine del 2020, con il dpcm 131/2020.

Come abbiamo avuto modo di illustrare a suo tempo, il Perimetro di sicurezza nazionale cibernetica si rivolge principalmente a due categorie di soggetti:

a) quelli che esercitano una funzione essenziale dello Stato, ovvero coloro che sono destinati ad assicurare la continuità dell’azione di governo e degli organi istituzionali, la sicurezza interna ed esterna, la difesa, le relazioni internazionali, l’ordine pubblico, l’amministrazione della giustizia e la funzionalità del sistema economico, finanziario e dei trasporti;

b) quelli che prestano un servizio essenziale per gli interessi dello Stato, ovvero tutti i soggetti (siano essi pubblici o privati), che assicurano il mantenimento delle attività civili, sociali ed economiche fondamentali, esercitando attività necessarie per l’esercizio e la salvaguardia dei diritti fondamentali dei cittadini (come garantire la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica), o esperiscono attività di ricerca che presentino particolare rilievo ai fini dello sviluppo del sistema economico nazionale.

Si tratta, insomma, di garantire la resilienza di servizi informatici che non sono solo rilevanti per la sicurezza del nostro Paese, ma risultano indispensabili per l’esercizio di attività essenziali per i cittadini, sia per l’ammontare delle informazioni che vengono scambiate attraverso di essi, sia per la densità del loro utilizzo nella vita di tutti i giorni.

Si pensi all’uso che ognuno di noi fa di WhatsApp o al numero di transazioni economiche effettuate per il tramite di PayPal, per citare solo alcune delle infrastrutture oggetto dell’interesse degli hacker che potrebbero essere intenzionati a sferrare un attacco DDoS.

Per quanto il Perimetro sia stato ideato proprio per affrontare questo genere di crisi, è davvero difficile immaginare che i suoi artefici avessero previsto quanto si sta verificando in questo momento in Europa e nel mondo.