"AGLI HACKER NON BISOGNA MAI PAGARE IL RISCATTO" - IL RESPONSABILE DELL'UNITA' OPERATIVA DELL'AGENZIA EUROPEA PER LA CYBERSICUREZZA, JO DA MUYNCK: "NON C'E' GARANZIA CHE VERSANDO I SOLDI LA SITUAZIONE SI RISOLVA. IL RANSOMWARE SI PUO' AFFITTARE QUINDI NON E' INDISPENSABILE ESSERE GRANDI ESPERTI PER POTERNE DISPORRE. L'ORIGINE DEGLI GLI ATTACCHI? ANCHE QUANDO TUTTI I SEGNALI POTREBBERO PORTARE VERSO LA RUSSIA, DIETRO POTREBBE ESSERCI UN ALTRO STATO CHE HA INTERESSE AD ADDOSSARE LA COLPA ALLA RUSSIA..."
Bruno Ruffili per "la Stampa"
«No, dall'Italia non ci è arrivata ancora nessuna richiesta di aiuto», spiega Jo De Muynck, responsabile Operational Coordination Unit dell'Enisa, European Union Agency for Cybersecurity. Parla dell'attacco informatico alla Regione Lazio che dalla scorsa domenica ha bloccato la campagna vaccinale. «Per ora è un caso nazionale, e di solito ci occupiamo di attacchi su larga scala, che coinvolgono più Paesi. C'è stata qualche comunicazione, comunque, e siamo pronti a dare una mano». Su 18 persone del suo team, 4 vengono dall'Italia: «Il nostro lavoro - spiega - è coordinare le attività dei vari Stati, degli organi e delle agenzie dell'Unione Europea quando si tratta di affrontare incidenti informatici».
Come funziona l'Enisa?
«La struttura di cyber sicurezza dell'Unione Europea ha tre livelli. Uno è quello tecnico, ovvero la rete dei vari CSIRT (Computer Security and incidents Response Teams) nazionali, cui spetta il compito di affrontare casi come quello del Lazio. Per incidenti di grandi dimensioni e impatto maggiore esiste una rete chiamata CyCLONE (Cyber Crisis Liaison Organization Network), che cerca di mitigarne l'impatto il più rapidamente possibile. Poi c'è il livello politico e strategico. Noi facciamo in modo che le informazioni raccolte siano accessibili a tutti i Paesi della Ue».
Esistono linee guida europee che prevedono specifiche misure di sicurezza informatica?
«Sì, la normativa NIS, cui presto farà seguito la NIS 2, chiede di predisporre misure di cybersecurity per i servizi essenziali, ma spetta a ciascuno Stato definire il livello di sicurezza minimo e quali i servizi essenziali».
Ad esempio quelli sanitari, che all'inizio sembravano esclusi dagli attacchi di criminali informatici, per una sorta di etica. Qualcosa sta cambiando?
«Il Covid e la pandemia sono stati un fattore scatenante, per i criminali informatici era un'occasione quasi troppa bella per essere vera. Stanno diventando più opportunisti, non c'è più spazio per i buoni principi. L'ultimo attacco su vasta scala al settore sanitario c'è stato in Irlanda, ma i criminali alla fine hanno fornito loro stessi la chiave per liberare i file compromessi, rinunciando al riscatto. Probabilmente perché hanno ricevuto molta attenzione da parte della stampa, e agli occhi dell'opinione pubblica quell'attacco appariva come particolarmente odioso».
Il ransomware sta diventando sempre più comune ultimamente. È un business?
«Il software si può affittare, quindi non è indispensabile essere grandi esperti per poterne disporre. Ne nasce un'economia sommersa e molto organizzata, dove diverse bande si dividono il mercato. È vero che questi attacchi stanno crescendo, ma stanno anche diventando molto più mirate le richieste di riscatto».
È il caso di pagare?
«Consigliamo sempre di non farlo perché sono organizzazioni criminali e non c'è nessuna garanzia che pagando la situazione si risolva. E anche se si risolvesse, non è detto che non possa arrivare un nuovo attacco. Ma il consiglio più utile è di prepararsi ad eventualità del genere, ad esempio con un backup offline. Ci sono misure semplici da adottare per evitare che questi attacchi possano accadere».
E dal suo osservatorio può dire da dove arrivano?
«Non sempre. Gli incidenti informatici, in generale, provengono di frequente dalle stesse regioni, ma è molto difficile individuare esattamente da dove. L'attribuzione è qualcosa di molto delicato e molto difficile. Anche quando tutti i segnali potrebbero portare verso la Russia, ad esempio, dietro potrebbe esserci un altro Stato che ha interesse ad addossare la colpa alla Russia».
A muovere i criminali informatici è il denaro o l'ideologia?
«Un incidente di sicurezza informatica significa per definizione che dietro c'è qualcosa di malevolo, quindi una o più persone o uno Stato. Quasi sempre la ragione è economica, ma a volte abbiamo le prove che c'è la mano di una nazione, e si tratta di cyberterrorismo».
Col Covid-19 è cresciuto il lavoro a distanza: ha reso le organizzazioni più vulnerabili agli attacchi informatici?
«Non so se sono aumentate le vulnerabilità, ma penso che ci sia uno spostamento degli attacchi verso verso i sistemi usati per il lavoro remoto, come le Vpn e altre piattaforma di collaborazione online».
Ma se una grande azienda è colpita ha l'obbligo di rendere pubblico l'attacco, quando ne va della sicurezza di altre organizzazioni?
«La direttiva NIS obbliga gli operatori dei servizi essenziali a segnalare incidenti significativi. Ma a parte l'obbligo, penso che sia sempre meglio per un'azienda essere trasparente su ciò che accade in termini di fughe di dati o incidenti, perché aiuta anche i clienti a far fronte a eventuali conseguenze. Se c'è stato un incidente si verrà a sapere prima o poi».
Quale paese europeo sta facendo di più per la sicurezza informatica?
«È difficile da dire. Se si guarda all'Ue in generale, ora abbiamo strutture e meccanismi che non avevamo in passato, stiamo lavorando per cercare di raggiungere una migliore sicurezza informatica in tutta la Comunità e combattere insieme il crimine informatico. Ogni Paese sta progredendo col proprio ritmo, ma finalmente andiamo nella giusta direzione».
