Gli attacchi agli aeroporti europei sono una prova di forza per creare panico

Gli aeroporti come metafora

I cyber criminali hanno colpito un fornitore per arrivare a compromettere l’equilibrio degli aeroporti. È un rompicapo senza apparente soluzione perché, cambiando il comparto del fornitore, cambiano le vittime finali degli attacchi.

Non è quindi la sicurezza degli aeroporti e non è solo la sicurezza delle infrastrutture critiche che deve richiamare l’attenzione degli addetti ai lavori. C’è un rischio latente e universale a cui la cybersecurity come concetto non ha ancora trovato rimedio.

È più sano e onesto ammettere che le forze in campo sono impari: da una parte un numero relativamente contenuto di criminal hacker riesce spesso ad avere la meglio su un parterre decisamente più nutrito di specialisti della cyber security.

Inoltre, i criminali, prendono l’iniziativa colpendo piccole realtà (i fornitori che formano la supply chain) per colpire organizzazioni più grandi, siano queste aeroporti, utility, ospedali o altre infrastrutture.

Chi sta sul fronte opposto arranca e insegue. Materiale utile ai novelli Melville per scrivere versioni aggiornate delle lotte tra Achab e Moby Dick.

La bellezza effimera della NIS2

La direttiva europea Network and Information System Security 2 (NIS2) è un romanzo diverso da quello scritto da Melville ma, fino a oggi almeno, sempre di letteratura si tratta.

Le norme impongono alle organizzazioni di andare oltre le garanzie contrattuali e di partecipare alla valutazione e alla gestione dei rischi dei propri fornitori. Ciò riguarda anche l’implementazione di misure di sicurezza e gli audit periodici.

Ci vorrà tempo prima che questi meccanismi vengano rodati e, nel mentre, gli anelli delle catene di rifornimento rimangono untori di minacce alla sicurezza interna ed esterna di ogni Stato.

NIS2 è fondamentale, ma occorre riuscire a dare forma cristallina alle norme che invoca.

Contestualizzare per non perdere il filo

Dal quadro complessivo emerge la fragilità delle capacità difensive. Le risposte normative come la NIS2 sembrano essere inefficaci e, non da ultimo, il cyber crimine sembra agire incontrastato.

È necessario non cedere a facili e inutili allarmismi, è però opportuno valutare la situazione in modo oggettivo. Approfondiamo il contesto con il supporto di Salvatore Lombardo.

Alcune fonti (non confermate) riportano cifre di un ipotetico riscatto, di norma 5 milioni da pagare in Monero. Al di là dell’assenza di conferme, è possibile che il vero peso di questi attacchi sia di tipo dimostrativo?

“La cifra di cui si parla è compatibile con le richieste tipiche dei gruppi ransomware di fascia alta. È quindi plausibile che una componente economica esista.

Resta però il fatto che il vero valore di tali operazioni va oltre la semplice estorsione economica in quanto colpire sistemi critici come quelli aeroportuali significa mostrare pubblicamente la propria capacità offensiva, accrescere il proprio peso nell’ecosistema criminale e mandare un messaggio tanto alle vittime dirette quanto all’opinione pubblica.

In questo senso l’impatto dimostrativo potrebbe essere parte integrante della strategia.
Sebbene gli indizi oggi disponibili facciano pensare più a un’azione di cybercrime organizzato, in teoria potrebbe trattarsi anche di un’operazione con obiettivi di pressione politica e di destabilizzazione. I gruppi criminali, infatti, possono agire per profitto ma al tempo stesso essere tollerati o indirettamente incoraggiati da Stati che traggono vantaggio dal caos generato”.

L’Europa è nuda: cosa si può fare per vestirla? Ancora una volta, è la supply chain a scricchiolare.

“Dire che l’Europa è ‘nuda’ significa riconoscere che la protezione delle infrastrutture digitali fondamentali poggia ancora su basi fragili, in gran parte perché la supply chain resta un punto debole a livello di sistema. Da quanto si apprende non sono stati i singoli aeroporti a crollare, ma il loro fornitore comune. Pertanto ciò mostrerebbe come la resilienza non possa essere garantita da misure isolate, ma richieda ridondanza, alternative operative, maggiore trasparenza contrattuale con i partner e un’applicazione rigorosa delle norme come la NIS2, accettando che queste soluzioni costano tempo, risorse e coordinamento”, spiega Lombardo.

Si fa un gran parlare di collaborazioni internazionali, di autorità deputate alla supervisione e al controllo: tutte chiacchiere?

“Quanto alle collaborazioni internazionali, non si tratta soltanto di retorica. Strumenti come ENISA, i CERT nazionali e le reti di scambio informazioni sono realtà concrete e hanno dimostrato di poter rendere la risposta più rapida e coordinata.

I limiti però restano, come le differenze di budget e di competenze tra Paesi membri, la burocrazia e la difficoltà di imporre standard di sicurezza a fornitori globali che spesso non rientrano direttamente sotto la giurisdizione europea.

Non è dunque una questione di ‘chiacchiere’, ma di capacità effettiva di concretizzare la cooperazione”.

Ci dobbiamo abituare a scenari simili?

“Gli attacchi alla supply chain e ransomware contro servizi critici sono ormai un modello consolidato perché offrono visibilità, pressione sulle vittime e profitto per gli attaccanti.

Finché la sicurezza dei fornitori resterà fragile e le misure di sicurezza non saranno implementate in modo uniforme, eventi come quello del 20 settembre continueranno purtroppo a ripetersi. Sta all’Europa decidere se affrontarli solo come emergenze episodiche o come segnali di un problema sistemico che richiede un cambio di schema”, conclude l’esperto.