Caro scudo anti-pirati

di Anna Messia
Sono i nuovi pirati del web. Non quelli della Cilicia che nel 75 a.C. sequestrarono nelle acque tra Rodi e l’Asia Minore Giulio Cesare. La leggenda racconta che quando i pirati chiesero al condottiero, allora molto giovane, un riscatto di venti talenti, Cesare scoppiò a ridere. «Voi non sapete chi avete catturato», disse proponendo addirittura un riscatto di cinquanta talenti. Riscatti e attacchi che si ripetono nei giorni nostri, questa volta via Internet che, come ricordano gli analisti del Credit Suisse, sono letteralmente lievitati nel periodo della pandemia, di pari passo con la crescita dello smart working e dell’utilizzo della rete: nel 2020 il numero di attacchi ransomware (in cui i dati vengono criptati e quindi resi indisponibili) è aumentato di oltre il 60% a 305 milioni. Secondo quanto rilevato da Coveware, società statunitense specializzata nella negoziazione con gli hacker per conto delle vittime, il pagamento medio del riscatto nel primo trimestre del 2021 è aumentato del 43% a 220.298 dollari dai 154.108 del quarto trimestre del 2020.

Un fenomeno sempre più preoccupante e dilagante come dimostra l’attacco hacker subito nei giorni scorsi dalla Regione Lazio, a quanto pare con una richiesta di 5 milioni di euro di riscatto. Non a caso tre importanti società olandesi di sicurezza informatica (Eye, Hunt & Hackett e Northwave) hanno chiesto un intervento urgente del governo perché iI diffondersi dei ransomware sta mettendo in pericolo la sicurezza del Paese. Questione di cui il governo italiano guidato da Mario Draghi è evidentemente consapevole, tanto da aver accelerato l’avvio dell’agenzia per la cybersicurezza nazionale affidandone la guida a Roberto Baldoni, già vicedirettore del Dis (Dipartimento per l’Informazione e la Sicurezza) con lo scopo di centralizzare la gestione di uno scudo anti-hacker a difesa degli enti pubblici. Oggetto degli attacchi dei pirati informatici sono però sempre più di frequente anche le imprese private, che sono consapevoli dei rischi legati a un blocco dei loro sistemi tanto che, secondo quanto rilevato da Assiteca, broker assicurativo indipendente quotata a Piazza Affari, le richieste di copertura contro i cyber risk nell’arco degli ultimi 12 mesi sono cresciute di oltre il 300%, sia da parte di piccole sia dalle grandi aziende. «Gli attacchi cyber sono cresciuti dell’80% del 2018 a oggi, arrivando a provocare danni per circa 950 miliardi di dollari ogni anno. È evidente che, al momento, il cyber-risk rappresenta il rischio principale in tempi digitali», dice Daniela D’Andrea, ceo in Italia di Swiss Re, tra i più grandi underwriter mondiali in ambito cyber. In risposta, il mercato assicurativo di protezione contro il cyber-risk, secondo le stime di Swiss Re, cresce tra il 20 e il 30% all’anno, vale globalmente quasi 7 miliardi di dollari e ci sono previsioni che stimano in 20 miliardi di dollari il valore nel 2025. «Per adesso, secondo le nostre stime, la riassicurazione copre il 40% dei rischi cyber, cioè sopra la media di quanto avviene normalmente», aggiunge D’Andrea. Si tratta di un rischio difficile da gestire per le stesse compagnie di assicurazione. Non raramente negli ultimi tempi si sono trovare a pagare sinistri pesanti sul settore, anche se non ci sono ancora dati ufficiali né sui premi né sui sinistri. Intanto hanno iniziato ad aumentare i prezzi delle polizze, chiedendo allo stesso tempo alle società di migliorare i loro sistemi di difesa contro eventuali attacchi. «Anche aziende industriali, che producono per esempio beni alimentari, sono consapevoli dei pesanti danni che possono subire in caso di blocco dei loro sistemi informatici, con i rischio di bloccare l’attività per diversi giorni», spiega Vittorio Veronesi, responsabile della divisione tecnica di Assiteca. Concorda D’Andrea: «stiamo lavorando sul fronte delle pmi, che rappresentano il 90% del tessuto produttivo italiano, perché le attività online sono diventate imprescindibili anche per loro. Le imprese erano consapevoli dei rischi cyber già in era ante Covid, ma ora lo sono ancora di più. Se quelle grandi sono più attrezzate, anche internamente, le piccole hanno bisogno di supporto, sia economico sia tecnico».

Anche il mercato assicurativo, come detto, si sta però riassestando alla luce dell’impennata degli attacchi informatici, con differenze tra le compagnie italiane e quelle americane o inglesi (a partire dai Lloyd’s), che pure offrono le loro coperture contro il cyber risk alle imprese italiane. Per quanto riguarda i riscatti, per esempio, mentre le compagnie italiane non ne prevedono il pagamento, sia per questioni normative non del tutto chiare sia per ragioni etiche, le compagnie inglesi o americane offrono addirittura i servizi di società specializzate nel trattare con i pirati della rete, per ridurre quanto possibile i danni, e sono pronte a pagare i riscatti richiesti in bitcoin. «Le assicurazioni hanno spesso ridotto i massimali (ovvero la perdita massima che sono disposte a pagare in caso di sinistro, ndr) tanto che per coprire i rischi informatici di una grande impresa bisogna rivolgersi a un pool di compagnie, pronte a condividere la perdita», aggiunge Veronesi. Non di rado sono poi previste franchiglie, ovvero soglie minime di perdite che non vengono coperte, che possono essere eliminate sono quando l’azienda dimostra alla compagnia di aver rafforzato le sue difese contro un eventuale attacco informatico. C’è poi la questione prezzi. Per una grande società una polizza cyber risk può arrivare a costare anche 300 mile euro l’anno, e c’è bisogno di più compagnie. Nel 2021 c’è già stato un incremento medio dei costi assicurativi per il cyber risk del 20-30% e per il 2022 si prevedono nuovi rincari, dell’ordine del 10-15%. E a differenza di Giulio Cesare le imprese non sono certo contente si pagare di più. Anche se, come narra la storia, il condottiero romano dopo essere stato liberato pagando il riscatto si sarebbe vendicato facendo uccidere i suoi sequestratori. (riproduzione riservata)

Dalla cybersicurezza passiva a quella attiva
di Carlo Pelanda
Il mondo sta passando dalla seconda fase della connettività (2010-20) a una terza, che avrà le caratteristiche di una discontinuità evoluzionistica: Internet delle cose, attuatori robotici cyber-guidati dovunque, ecc. Pertanto il livello di cybersicurezza dovrà fare un salto analogo perché in caso contrario il capitale, nelle sue svariate forme, soffrirà problemi di rischio e costo, quindi di flop. Come accrescere la cybersicurezza? Potenziando non solo le difese passive per il cyberspazio, ma anche creando una deterrenza attiva/offensiva. Uno stimato studioso padre della dottrina del soft power, Joseph Nye, classifica 4 modi per esercitare la cyberdeterrenza: 1) via punizione (punishment), cioè certezza di essere contrattaccato e distrutto; 2) via negazione degli accessi a un attaccante (denial); 3) via intreccio degli interessi (entanglement) per evitare costosi attacchi reciproci, come accadde per esempio nella rinuncia da parte degli Stati a usare i gas in guerra; 4) rafforzamento e condivisione delle norme anticrimine cybernetico nel diritto internazionale. Nye ritiene più efficaci le strategie 2, 3 e 4 e non ritiene applicabile la 1 perché un cyberattacco può essere mascherato lasciando dubbi sul vero attaccante.

Chi scrive, invece, valuta che senza certezza della punizione-distruzione, cioè senza mezzi di hard power, resterà sempre un gap inabilitante di deterrenza-dissuasione per il difensore. Infatti sia la situazione odierna sia lo scenario prospettico nel cyberspazio, senza modifiche sostanziali, mostrano un’asimmetria che avvantaggia l’attaccante. Come rendere simmetrico il conflitto tra i due, rendendo più costoso l’attacco? Prima di tutto sviluppando una tecnologia che immetta nell’attaccante, che sia Stato o banda criminale autonoma oppure operante come proxy per uno Stato stesso, il dubbio, per intanto, di poter essere identificato. Poi, inserendo nel diritto internazionale di guerra l’equivalenza tra cyberattacco e attacco cinetico, mentre attualmente il primo è considerato sotto la soglia bellica. In realtà la dottrina statunitense già prevede una reazione con qualsiasi arma, anche nucleare, a un cyberattacco, ma qui lo scrivente condivide il pensiero di Nye: una norma globalmente condivisa avrebbe certa efficacia, almeno tra Stati. Il problema dell’identificazione, poi, richiede un rafforzamento, oltre che della tecnologia, anche della Human Intelligence, cioè dell’intelligence condotta da umani.

In sintesi, la cyber-rivoluzione va accompagnata da un adattamento della teoria della deterrenza e da strumenti adeguati. (riproduzione riservata)
Fonte: