10 regole sulle infrastrutture critiche.

Benvenute, e benvenuti, a una nuova serie di contenuti, che ho denominato "Il digitale per tutti" e che vi faranno compagnia tutti i venerdì mattina fino alla fine del 2023 su questo blog. Sono, essenzialmente, dei decaloghi nei quali ho elaborato una serie di regole, comprensibili anche per i non esperti, per affrontare singoli temi legati alla cybersecurity e agli attacchi informatici. Il fine è, ovviamente, quello di aumentare la sensibilità nei confronti di questi temi e, di conseguenza, le difese collettive.

Alcune premesse

Penso che sia ormai nota a tutti/e l'importanza delle infrastrutture critiche informatizzare nei tempi moderni.

Porti, sistemi di navigazione, catena delle forniture di servizi informatici, settore energetico, mondo della sanità, pubblica amministrazione, trasporti, servizi essenziali e piccole e medie imprese sono, oggi, il cuore pulsante della società dell’informazione e quelle che potremmo considerare le componenti più “delicate” dell’intero sistema. Sono tutte informatizzate ma, vedremo, non sempre al meglio.

Anche in questi ambiti, come prevedibile, i criminali sottraggono dati e credenziali a scopi estorsivi ma, anche, per finalità collegate ad attività di spionaggio. Sì possono, poi, generare attività ostili legate a periodi di guerra o, ancora, azioni politiche (ad esempio in contesti elettorali).

Il tutto, in sintesi, evidenzia una estrema fragilità dei sistemi informativi critici in qualsiasi Paese .

Un attacco tipico che colpisce ogni giorno realtà simili è il phishing, che conta anche sul gran numero di dipendenti di una azienda o ente e che può consentire di prendere il possesso di un computer e, quindi, di condizionare consegne e trasporti di merce illecita, di bloccare attività essenziali e di portare disordine/caos o circolazione di informazioni errate.

DIECI semplici regole da apprendere con riferimento a questi temi

  1. Il phishing è lo strumento più utilizzato anche per attaccare infrastrutture critiche e strategiche.
  2. Più la realtà e grande e ha dipendenti, più è vulnerabile: sarà più facile trovare soggetti non competenti da un punto di vista informatico da usare come "punto di ingresso" nel sistema.
  3. Tutti coloro che lavorano in simili strutture (ma proprio tutti!) dovrebbero essere formati, soprattutto nelle grandi realtà, con un piano di formazione regolare e aggiornato.
  4. La gestione dei privilegi su chi possa accedere a che cosa (a dati, servizi e sistemi) e come dovrebbe essere stringente e costantemente verificata e aggiornata.
  5. Tutti i fornitori dovrebbero avere lo stesso livello di sicurezza dell’ente con cui hanno stipulato un contratto di servizio, o superiore.
  6. È necessario un organo di pronto intervento e di reazione agli incidenti informatici in ogni struttura critica.
  7. Importante è il ruolo di alcune persone interne o esterne per impostare la governance della sicurezza.
  8. Gli investimenti in punto di sicurezza devono essere peculiari e costanti. La sicurezza informatica ha un costo che deve sempre essere previsto a bilancio come una priorità.
  9. Qualsiasi tipo di ente critico è attaccabile e ha la stessa importanza: piccolo o grande che sia, centrale o periferico. Soprattutto se comunica e scambia dati con enti più grandi e importanti.
  10. Gli attacchi possono essere pensati per portare caos, per generare disagi, per estorcere denaro oppure per preparare altri attacchi. Le motivazioni possono essere tante e anche condizionate dal contesto sociale e politico.