print preview Ritornare alla pagina precedente Pagina iniziale

Il 2020 nel settore Cyber Security dell’esercito

Nel 2020 sono stati trattati attivamente circa 250 ciberattacchi che hanno interessato i sistemi IT dell’esercito. Nessuno di tali attacchi è comunque rientrato nella categoria «critico». Lo scambio con i partner, i processi interni e la sensibilizzazione dei collaboratori vengono costan-temente curati e migliorati. Passiamo qui in rassegna alcuni incidenti particolari.

22.03.2021 | Comunicazione Difesa

Durante un esercizio in materia di cibersicurezza vengono acquisite conoscenze preziose. © VBS/DDPS, Anna Muser

Gli incidenti nell’ambito della Cyber Security dell’esercito vengono classificati in base a quattro categorie: «basso», «medio», «alto» e «critico». Nella categoria «basso» sono stati registrati 40 incidenti; in alcuni di questi casi si è trattato di e-mail di spam o di phishing che hanno richiesto un intervento superiore al normale. Circa 44 610 di questi messaggi sono pervenuti alle caselle di posta elettronica dei collaboratori dell’Aggruppamento Difesa. In questo caso si è trattato spesso di messaggi inviati in massa, i cui modelli d’attacco contenuti non erano particolarmente sofisticati, per cui non hanno necessitato di alcun trattamento approfondito. Nel caso di determinate e-mail dannose, il relativo mittente si prefiggeva tuttavia di installare un malware nel computer dei destinatari.

Sensibilizzazione dei collaboratori

Siccome nel caso delle e-mail di spam o di phishing i collaboratori si trovano al fronte, dal 2014 la sensibilizzazione è diventata una tematica centrale in seno alla Base d’aiuto alla condotta (BAC). Annualmente nell’ambito delle cosiddette campagne di «awareness» ai collaboratori vengono inviate delle e-mail allettanti in forma anonima. Prima e dopo gli attacchi simulati vengono proposti dei contenuti formativi e delle indicazioni d’apprendimento allo scopo di consolidare l’effetto didattico. Le campagne intendono mettere in luce il potenziale di miglioramento e introdurre le azioni di sensibilizzazione dell’anno successivo. Al riguardo l’Aggruppamento Difesa accoglie di buon grado nuove idee e approcci interessanti dal punto di vista didattico: ad esempio vengono simulate delle dimostrazioni di hacking e a determinati utenti sono proposte delle «Adventure Room» interne con l’obiettivo di rendere maggiormente percepibile e tangibile la sicurezza integrale.

Attacchi personalizzati

Non sempre vengono presi di mira unicamente gli indirizzi di posta elettronica che terminano con .vtg: anche i collaboratori del DDPS sono esposti agli attacchi sulle piattaforme pubbliche. Un attacco di questo tipo si è verificato nella primavera del 2020. Dopo aver ricevuto un’offerta di lavoro tramite LinkedIn, un collaboratore ha aperto il documento Word che gli era stato inviato da uno sconosciuto attraverso LinkedIn Messenger. Attivando le macro all’interno del documento Word ha così installato inconsapevolmente un malware nel suo laptop della Confederazione. Successivamente il collaboratore ha scaricato il documento anche sul suo telefono cellulare aziendale infettandolo senza saperlo. L’aggressore ha cercato di approfittare di questi punti deboli ma è stato bloccato dai meccanismi di protezione dei sistemi IT. Anche altri organi avevano rilevato questa procedura e l’avevano notificata. Dal momento che in questo caso l’aggressore era riuscito a raggiungere l’apparecchio di un utente, l’attacco è stato classificato nella categoria «alto». Complessivamente in questa categoria si sono registrati otto attacchi, mentre sono stati circa 200 quelli nella categoria «medio». Se l’aggressore fosse riuscito a raggiungere altri apparecchi partendo dal computer della Confederazione o a esfiltrare dati sensibili, il caso sarebbe stato classificato nella categoria «critico». Nel 2020 non si è tuttavia verificato alcun caso che rientrasse in tale categoria.

Indagini forensi su telefoni cellulari

Nel caso presente concernente LinkedIn un’indicazione preziosa per l’analisi approfondita del procedimento è stata fornita dall’esame dei dati contenuti nel cellulare. Nel 2020 all’interno del Military Computer Emergency Response Team (MilCert) sono state condotte circa 15 indagini forensi su telefoni cellulari appartenenti a impiegati della Confederazione. Tali indagini vengono avviate quando un altro apparecchio del proprietario è stato infettato oppure quando il proprietario ha l’impressione che nel suo telefono qualcosa non funzioni. In totale e per tutti gli apparecchi terminali, nel 2020 circa 90 collaboratori hanno segnalato il sospetto di essere stati infettati con un malaware.

Ransomware

Verso la fine del 2020 è stato respinto un altro attacco appartenente alla categoria «alto». Un ambiente di laboratorio IT è stato compromesso da un ransomware. I dati sono stati criptati e gli accessi bloccati. Non esisteva quindi un collegamento con un sistema produttivo dell’esercito; un altro ambiente di prova era tuttavia collegato ma non era stato compromesso. Per l’attacco gli aggressori si sono serviti di un punto debole all’interno dell’ambiente di laboratorio. L’indagine in corso ha accertato sia l’origine del punto debole sia come in futuro sarà possibile sventare attacchi di questo genere.

Sensori supplementari

Gli insegnamenti tratti nel 2020 hanno messo in luce l’importanza dei sensori. In questo ambito sono state adottate nuove misure per rendere il dispositivo di difesa ancora più ampio e impenetrabile. Oltre ai sensori tecnici, anche lo scambio con altri organi riveste un’importanza centrale.

La divisione Cyber Security intrattiene infatti un intenso scambio con la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione (MELANI) presso il Centro nazionale per la cibersicurezza (NCSC). La condivisione di informazioni è un fattore fondamentale nell’ambito della cibersicurezza. Chi condivide informazioni e conoscenze di attacchi con altre istituzione e altre aziende, riceve a sua volta preziose indicazioni a vantaggio della propria sicurezza. In questo modo è possibile opporsi in maniera solidale agli aggressori.

Cyber-Radar
Sul ciberradar vengono classificati gli attacchi registrati in reporting regolari. (grafico: Cyber Fusion Center)