Agenzia per la Cybersicurezza Nazionale: è online il rapporto 2022

L’Agenzia per la Cybersicurezza Nazionale, istituita nel 2021, è perno centrale di una fitta rete di protezione in forte espansione in tutto il Paese. L’ACN rappresenta un ente di coordinamento, attuazione e programmazione degli interventi in materia di cybersicurezza a tutela degli interessi nazionali. 

Attraverso l’istituzione e l’accrescimento dell’Agenzia in quanto Autorità Nazionale, in questi anni si è realizzato un percorso di potenziamento della sicurezza nell’ambito delle architetture digitali del Paese. Il 2022 ha lasciato spazio a un incremento dell’organico e ha arricchito l’agenzia di professionalità provenienti dall’ambito della ricerca o da posizioni lavorative con esperienza estera. L’assunzione di nuovo personale risulta fondamentale per garantire sostenibilità ed efficacia dei processi di recruiting e il corretto svolgimento delle funzioni.

Il principale obiettivo dell’ACN è quello di prevenire e gestire gli incidenti e gli attacchi alla rete: i dati della Relazione ACN 2022 hanno rivelato una crescita repentina degli attacchi cyber nonché una crescente attenzione da parte del pubblico a queste tematiche. Il documento serve a fare il punto sui diversi aspetti del lavoro dell’Agenzia e funge al contempo come un richiamo alla trasparenza, alla pianificazione accurata e alla volontà di collaborazione. 

L’ACN, attraverso la pubblicazione della relazione, stabilisce i criteri per una valutazione periodica delle performance e dichiara la propria mission nei confronti delle sfide a venire. I temi affrontati nel 2022 dall’ACN includono l’intensificarsi del conflitto russo-ucraino, la diversificazione tecnologica, la Strategia nazionale di cybersicurezza 2022-2026 e le recenti normative approvate in Europa in materia cyber.

L’ACN ha anche il compito di:

• Accrescere la cultura della cybersicurezza (attraverso l’uso dei canali social e non solo)
• potenziare le capacità tecnologiche del settore pubblico e privato

La componente operativa dell’ACN è la CSIRT Italia, Computer Security Incident Response Team, un hub nazionale che riceve le notifiche riguardanti gli eventi cyber e gli incidenti. Nel 2022 la CSIRT ha trattato ben 1094 eventi cyber provenienti da realtà commerciali e aperte con una media di 90 eventi mensili. 

Prima di diventare veri e propri incidenti informatici, le informazioni vengono sottoposte a una fase di triage, in cui gli operatori analizzano le segnalazioni e le comunicazioni ricevute con il fine di classificare gli eventi. Le comunicazioni totali ricevute nel 2022 sono state oltre 5 mila. Le principali tipologie di eventi cyber classificati riguardano:

• Malware via email
• Brand abuse
• Attività di phishing

Il Nucleo per la Cyber Sicurezza (NCS), che svolge un ruolo centrale per la prevenzione e gestione degli attacchi cibernetici, è intervenuto 27 volte nel 2022.

Focus sugli attacchi DDoS

Il 2022 ha visto un incremento degli attacchi Distributed Denial of Service (DDoS). In Italia gli eventi sono stati 44 distribuiti durante tutto l’anno e hanno colpito le amministrazioni centrali al 25%, le telecomunicazioni al 17% e il settore finanziario all’11%, stessa percentuale registrata dal settore tecnologico. 

Questo tipo di attacco mira a esaurire le risorse di rete, di elaborazione o di memoria per compromettere la disponibilità di un sistema. Viene denominato distribuito per via del gran numero di dispositivi da cui l’attacco proviene in direzione di un solo target. L’incremento nel nostro Paese nel 2022 di attacchi DDoS è collegato a eventi riguardanti il conflitto russo-ucraino e si può ascrivere a gruppi “Killnet” o “NoName 057(16)” famosi collettivi di hacker filo-russi. 

Attacchi ransomware: analisi delle criticità

Comuni sono stati, anche, gli attacchi ransomware: nel 2022 si sono osservati ben 130 eventi a danno di Pubbliche Amministrazioni (18%) e di privati; la componente degli attacchi ai privati è stata preponderante con un 82%.

Un attacco ransomware si svolge prima con la l’acquisizione dei dati dell’organizzazione target e poi con la richiesta del pagamento di un riscatto dietro la minaccia di pubblicazione. L’estorsione può avvenire sia direttamente all’azienda che nei confronti di soggetti terzi, o ancora in concomitanza con attacchi DDoS per compromettere l’operatività. 

Nel cogliere questi dati va tenuto conto che le piccole imprese spesso non possiedono il know how o la struttura interna dedicata per segnalare l’evento e quindi le estrapolazioni rappresentano solo una piccola parte.

Il settore più colpito è stato quello manifatturiero, a seguire quello tecnologico, il retail e il sanitario, in particolar modo localizzati nelle grandi aree metropolitane come Roma, Milano, Torino, compresi altri distretti del Nord Ovest e del Nord Est. 

La Pubblica Amministrazione, come dimostra il report ACN 2022, ha registrato ben 160 eventi cyber di cui la maggior parte di tipo ransomware, che si conferma anche nel 2022 come la tipologia di attacco più utilizzata per colpire le istituzioni pubbliche e in principal modo quelle dei Comuni e delle Regioni. 

Le principali criticità riscontrate riguardano la gestione delle credenziali di accesso, spesso esposte e fattori di obsolescenza di sistemi e dispositivi, nonché la non conformità con le best practice di settore. Influiscono sugli attacchi cyber anche la carenza del know how probabilmente dovuta a una mancanza di fondi per la formazione del personale tecnico. Il monitoraggio preventivo ha permesso di identificare ben più di 700 asset nazionali con evidenti segni di compromissione. Mentre, grazie agli interventi dell’NCS è stato possibile coordinare e promuovere campagne di sensibilizzazione sui rischi cyber. 

Le attività di prevenzione e gestione degli incidenti

Nell’immediato, il lavoro dell’ACN è quello di contenimento dell’incidente e successivamente avviene il ripristino dell’erogazione efficiente dei servizi. L’ACN è inoltre impegnata sul fronte dell’implementazione delle normative di settore che stabiliscono le misure di cybersicurezza. In questo senso vengono svolte attività di scrutinio tecnologico e certificazione in cybersicurezza per far sì che sussistano le fondamenta per garantire la sicurezza dell’intera catena. 

Per questo motivo è stato istituito il Centro di Valutazione e Certificazione Nazionale (CVCN) attivo dal 30 giugno 2022. Grazie al supporto di una rete di Laboratori Accreditati di Prova (LAP) e ai Centri di Valutazione (CV), il CVCN verifica la sicurezza e la presenza di vulnerabilità in reti e sistemi ICT e solo nei primi 6 mesi di attività ha gestito in totale 63 procedimenti. 

Il 2022 è stato l’anno di attuazione e aggiornamento della norma del Perimetro di sicurezza nazionale cibernetica delineato dal D.L. 21 settembre 2019, n. 105 conosciuto come D.L. Perimetro. I soggetti iscritti al Perimetro sono tenuti ad attuare misure di sicurezza per la protezione dei beni ICT, sia a livello procedurale che attraverso l’impiego di infrastrutture e soluzioni tecniche. 

L’aggiornamento della normativa estende l’obbligo di notifica su incidenti aventi impatto su beni destinati a essere impiegati nel Perimetro di sicurezza nazionale cibernetica anche su reti e sistemi informatici che si trovano al di fuori del Perimetro ma con pertinenza con i soggetti inclusi. 

La Strategia Cloud Italia risponde alle principali questioni riguardanti la cybersicurezza per la Pubblica Amministrazione. Promuove la sovranità e l’autonomia tecnologica del Paese, garantisce una migliore gestione e controllo dei dati, e aumenta la resilienza dei servizi digitali. 

Grazie al regolamento sui Servizi di Cloud delle PA (Determinazione 608/2021) gestito dall’Agenzia Italia Digitale (AgID), la strategia si muove su tre direttrici in grado di guidare le PA verso la transizione tecnologica. Per prima cosa è stata elaborata una classificazione dei dati e dei servizi PA in base ai livelli di rischio: 

• strategici, la cui compromissione avrebbe un impatto sulla sicurezza nazionale; 
• critici, che se compromessi andrebbero a creare una mancanza di fiducia nei confronti di funzioni rilevanti per la società; 
• ordinari, ossia i restanti dati. 

Tra le altre azioni vi è la Qualificazione dei Servizi Cloud utilizzabili dalle PA che garantisce livelli e qualità di servizi conformi, nonché l’istituzione del Polo Strategico Nazionale (PSN) l’infrastruttura nazionale per l’erogazione dei servizi cloud che offre garanzia di affidabilità, resilienza e indipendenza aprendo la strada al raggiungimento dell’autonomia tecnologica. 

Cybersicurezza in ambito privato: supporto all’imprenditoria 

Per promuovere l’autonomia tecnologica e il benessere del Paese, è fondamentale potenziare la sicurezza e le opportunità per le imprese, stabilendo una stretta collaborazione tra il mondo accademico e il settore privato. A tale scopo, è stato introdotto il programma Cyber Innovation Network, che mira a promuovere l’innovazione attraverso azioni sinergiche.

Nel 2022, l’ACN ha sostenuto l’innovazione e la crescita finanziando soggetti privati per testare e valutare i beni, i servizi e i sistemi ICT utilizzati dai fornitori di servizi essenziali nel Paese e da quelli inclusi nel Perimetro. 

L’ACN nel 2022 ha determinato il programma relativo al finanziamento e supporto per l’Agenda di ricerca & innovazione (R&I) del 2026 e ha sviluppato le attività propedeutiche all’attuazione della stessa. Entro il 2026 sarà creata una rete di soggetti in grado di cooperare per il rafforzamento della cybersicurezza all’interno del contesto italiano, e verrà progettato il piano di investimenti per le attività R&I.