«Contro i nostri porti attacchi hacker finanziati dalla criminalità organizzata»

Pierguido Iezzi (ceo e fondatore di Swascan), ex ufficiale di carriera presso l’Accademia Militare di Modena, laureato in Scienze dell’Informazione, con oltre 30 anni di esperienza nel mondo della Cyber Security, ha alle spalle un’ampia gamma di attività operative relative a Tecnologia, Innovazione, Cyber Security e gestione aziendale.

La vostra ricerca sulla Blue Economy ha permesso di scoprire le falle cibernetiche di un settore strategico. Come siete arrivati a scegliere proprio il trasporto marittimo?

«La pandemia che abbiamo vissuto ha evidenziato e messo in luce l’importanza vitale e strategica della logistica, e in particolar il valore del settore marittimo. Un’ economia che rappresenta il fulcro del commercio internazionale, con il 90% delle merci che viaggia per mare. Trasporti marittimi e logistica valgono da soli circa il 12% del Pil mondiale con un impatto totale sull’economia del nostro Paese che supera i 35 miliardi di euro, oltre 400mila occupati diretti e una infrastruttura essenziale con i suoi 48 porti».

Un asset strategico per la competitività dell’Italia, player mondiale nel commercio estero; la scelta, possiamo dire, è stata quindi abbastanza semplice e naturale.

«I Cyber Risk Indicators di Swascan, nascono proprio per dare un punto di vista dall’alto della cyber security di tutti i settori strategici delle infrastrutture critiche».

È un settore molto complesso: quali sono i tanti obiettivi interessati da possibili attacchi?

«Il settore marittimo, fatto di trasporto commerciale di passeggeri, porti, logistica, cantieristica e diporto, è certamente complesso e questa complessità lo rende interessante per l’applicazione dei Threat Actors. Nell’era della digitalizzazione, il dato la fa da padrone e rappresenta la vera nuova valuta. In questo caso il bottino è evidenziato dalla massa di dati ed informazioni sensibili che il settore genera; un vero tesoro per i Criminal Hacker che prendono di mira Database e sistemi, sia per il valore intrinseco dell’informazione, sia per essere utilizzati in nuovi attacchi. Una attenzione particolare va alla logistica, ovvero il trasporto di merci, che è strategica e fondamentale per tutto il Sistema Paese. In questo caso potrebbero entrare in gioco anche interessi più alti, in un nuovo quadro geopolitico a base di attacchi tra Stati e di azioni di spionaggio industriale».

Lo stesso sistema portuale si presta a questo tipo di attacchi

«Attacchi di hacking contro queste strutture potrebbero essere direttamente foraggiati dalla criminalità organizzata, anche per manipolare manifesti di carico o facilitare l’ingresso di merci illegali all’interno del nostro Paese. Infine, a questi cyber risk e threat actors possiamo aggiungere i rischi legati al cyber terrorismo. Il tutto a contorno del rischio, ormai commodity, degli attacchi ransomware».

C’è stata reticenza da parte delle aziende a condividere con voi questi dati?

«In realtà tutti i dati contenuti nella ricerca fanno riferimento a informazioni disponibili pubblicamente e semi-pubblicamente. Ogni asset pubblicato su Internet è costantemente vittima di attacchi informatici. Questi dati vengono spesso pubblicati e condivisi nelle community del Web, Dark Web e Deep Web».

Nessuna domanda diretta quindi

«Non abbiamo richiesto informazioni alle aziende e non abbiamo condotto azioni “attive” sugli asset delle imprese del campione di analisi. Abbiamo sviluppato un’analisi di Domain Threat Intelligence (Dti) mediante la Cyber Security Platform di Swascan, che ricerca le informazioni relative alle potenziali vulnerabilità dei domini, sottodomini ed email compromesse. Il servizio non effettua alcun test sul target ma raccoglie, analizza e clusterizza le informazioni disponibili a livello Osint (Open Source Intelligence) e Closint (Close Source Intelligence) presenti su database, forum, chat, newsgroup. Informazioni disponibili e accessibili a chiunque e di conseguenza esso mostra, attraverso la metrica di Swascan, il profilo del rischio e valuta il livello della potenziale esposizione di un’azienda verso un possibile attacco. Il nostro report ha evidenziato che su un campione di 20 aziende del settore, tratte dalle 100 più importanti per fatturato in Italia, 11 hanno vulnerabilità di diversa severità e il vettore di attacco principale, per phishing, malware e ransomware, sono le email aziendali che nell’85% dei casi sono compromesse in numero variabile».

Quale è secondo lei il settore più vulnerabile nell’industria non solo italiana ma anche mondiale?

«Non possiamo parlare di settori vulnerabili ma di settori più colpiti dai cyber attack. In questo caso ci sono due grandi criteri con cui cercare di rispondere alla sua domanda; il primo, esogeno, è rappresentato dai mercati economici maggiormente strategici per i Paesi, ossia energia, trasporti, sanità, finanza.

Per esempio?

«La cronaca recente ha portato all’attenzione una serie di clamorosi attacchi cyber subiti nel mondo e in particolare negli Usa, da questo tipo di attori (a titolo di esempio, il caso SolarWinds che ha compromesso più di 35mila sistemi di aziende pubbliche e private del governo americano e il caso Colonial Pipeline che ha interrotto la fornitura di petrolio in alcune regioni degli Usa, andando ad interferire con il prezzo dello stesso). Il secondo, endogeno, è legato alle aziende, alla loro maturità digitale, alla loro capacità di innovazione, ai gap tecnologici, alla cultura e agli investimenti in sicurezza. Parliamo quindi di strutture aziendali in cui i sistemi obsoleti e la scarsa awareness dei dipendenti rappresentano un target semplice e facile per qualsiasi Criminal Hacker. In ultimo, come già accennato, non va dimenticato che ci sono tipologie di aziende il cui valore del dato è un elemento prioritario per la scelta degli Hacker. L’interesse è legato al puro valore economico dell’informazione. Quanto vale quel tipo di informazione nel Dark Web? Si opera sul principio domanda/offerta. Durante il covid abbiamo visto un’impennata di attacchi scagliati contro ospedali e altre strutture sanitarie, sia per il valore dei dati, sia per ottenere lucrativi riscatti attraverso ransomware, bloccando per alcuni giorni anche l’attività operativa degli ospedali».

Come si può migliorare una situazione che andando avanti con il tempo sarà sempre più avanzata e complessa, anche grazie alla tecnologia 5G?

«L’innovazione e la transizione digitale, che stiamo vivendo, hanno già creato contesti iper-connessi ed interconnessi a cui dobbiamo affiancare un numero sempre crescente di dispositivi IoT e IoX esposti; un flusso entropico di dati sempre più ricco. Dati che sono di estremo interesse per i Criminal Hacker. Questo contesto comporta un aumento delle superfici di attacco, e di conseguenza maggiori opportunità per i criminali di identificare dispositivi non gestiti, obsoleti, non configurati correttamente oppure in maniera più semplice credenziali di accesso semplici o coppie di username/password compromesse. Ecco che in questa situazione dobbiamo renderci conto che le sole soluzioni tecnologiche di cybersecurity non possono garantire la tutela aziendale e la business Continuity».

Cosa fare?

«È necessario disporre anche e soprattutto di competenze e processi. Il tutto strutturato in un framework cyber aziendale che garantisca innanzitutto la sicurezza preventiva: attività di Threat Intelligence che permettano alle aziende di identificare in anticipo i possibili rischi diretti e/o indiretti. Per sicurezza preventiva parliamo delle attività di analisi del rischio non solo a livello tecnologico ma anche di processo e soprattutto a livello di Human Risk. Il fattore umano è uno degli elementi chiave».

Poi?

«Quindi la sicurezza proattiva, la capacità di intercettare, identificare, bloccare e rispondere agli attacchi informatici diretti all’azienda. Il livello di investimento necessario in cybersecurity deve essere ovviamente coerente e sostenibile in base alla dimensione aziendale e al rischio del mercato di riferimento. Insomma, occorre un framework di cyber security capace di essere dinamico, flessibile e multiforme in base all’evoluzione continua del contesto e delle minacce».