Conflitto russo-ucraino e cybersecurity

Lo scenario globale delle minacce cyber continua ad essere estremamente dinamico ed articolato, ed il conflitto in Ucraina catalizza l’attenzione non solo della comunità internazionale, ma anche di tutti i settori economici, pubblici e privati, preoccupati per la crescita dei rischi di incidenti di sicurezza e per la cosiddetta “resilienza” di attività e operatori che forniscono servizi critici. Nelle ultime settimane si è difatti assistito ad una evoluzione significativa in quanto alle azioni militari si sono aggiunte operazioni e strategie tipiche di una guerra cibernetica.

La natura ibrida della guerra tra Russia e Ucraina è nota sin dallo scoppio del conflitto, quando fu rilevato l’attacco tramite una specifica tipologia di Malware (Data Wiping Malware) alle infrastrutture ucraine, risalente a giorni prima dell'invasione russa dell'Ucraina. L’escalation militare è stata accompagnata da una continua crescita di attacchi informatici, tra cui i Distributed Denial of Service (DDoS) o negazione di servizio distribuita e attacchi di deturpazione digitale (“defacement”) dei siti web di istituzioni e banche ucraine e russe.

La strutturazione degli attacchi osservati nell’ambito dello scontro russo-ucraino conferma come tali azioni siano frutto di una pianificazione ben precisa che in molti casi non mira più ad ottenere benefici o vantaggi di natura esclusivamente economica, ma come piuttosto l’obiettivo principale sia di danneggiare infrastrutture e servizi critici piuttosto che creare imbarazzi e danni reputazionali ai vari attori dello scenario geopolitico internazionale.

Il caso ucraino permette di comprendere sia la pericolosità degli attacchi informatici, sia l’importanza delle capacità difensive cyber per la protezione delle infrastrutture nazionali. Le attività facenti parte delle infrastrutture critiche, comprese le società del settore dell’energia, delle telecomunicazioni, dei media e dei servizi finanziari rappresentano obiettivi particolarmente prioritari in tempo di conflitto.

La necessità di innalzare le proprie difese informatiche risponde all’esigenza di garantire una maggiore protezione e una continuità operativa dei servizi essenziali del nostro Paese, a fronte di possibili incidenti informatici veicolati dai seguenti vettori:

• utilizzo di piattaforme di comunicazione pubbliche per il rilascio di codice malevolo;
• invio di e-mail di phishing contenenti allegati o link malevoli nel body delle e-mail;
• sfruttamento di vulnerabilità note nei sistemi esposti a Internet;
• file malevoli distribuiti tramite piattaforme di condivisione peer to peer.

All’interno di questo scenario complesso, quali azioni concrete possono intraprendere le nostre aziende per non trovarsi impreparate di fronte a possibili attacchi cyber?

Alla luce di quanto sopra, si suggeriscono alle aziende le seguenti raccomandazioni di sicurezza:

• analizzare, rivedere e testare i propri piani di gestione e risposta agli incidenti di sicurezza e alle crisi;
• analizzare e ridurre, laddove possibile, la potenziale superficie di attacco adottando controlli di sicurezza chiave (controllo degli accessi, patching dei sistemi, gestione delle vulnerabilità, segregazione delle reti, pianificazione e gestione dei back-up);
• innalzare i livelli di monitoraggio di infrastrutture e sistemi, al fine di identificare tempestivamente eventuali anomalie o possibili attacchi;
• identificare le criticità potenziali e interdipendenze nella catena di fornitura (partner, vendor, outsourcer, ecc.) e implementare piani e soluzioni da adottare in caso di incidenti;
• incrementare le attività di info-sharing al fine di ottenere un quadro aggiornato dello scenario delle potenziali minacce e delle possibili azioni preventive da intraprendere;
• aumentare le azioni di formazione e sensibilizzazione del personale con un focus specifico sulle minacce legate allo scenario di crisi internazionale (phishing mirato, fake news, ecc.) e sul personale che opera in ruoli chiave o ad alto rischio.

Tuttavia, la velocità con cui lo scenario di riferimento evolve richiederà in ogni caso che tali azioni debbano essere rivalutate e aggiornate in termini di contenuti e priorità.