L’Agenzia per la cybersicurezza nazionale (ACN) è stata istituita con il D.L. 14 giugno 2021, n. 82 allo scopo di tutelare gli interessi nazionali nel campo della cybersicurezza. A tale autorità è affidato il compito di promuovere azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese. L’Agenzia ha elaborato la Strategia Nazionale di Cybersicurezza che prevede il raggiungimento di 82 misure entro il 2026 in un percorso innovativo che tende a garantire una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo, ad anticipare e prevenire l’evoluzione della minaccia cyber, a contrastare la disinformazione online, a gestire le crisi cibernetiche e ad assicurare l’autonomia strategica nazionale ed europea nel settore del digitale.
All’interno dell’Agenzia è stato istituito il Computer security incident response team (CSIRT) che, in base al Decreto Legislativo 18 maggio 2018, n. 65 e al Decreto del Presidente del Consiglio dei ministri 8 agosto 2019 art. 4, si occupa del monitoraggio degli incidenti a livello nazionale, dell’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti, dell’intervento in caso di incidente, dell’analisi dinamica dei rischi e degli incidenti e della sensibilizzazione situazionale.
Si tratta di un organismo al quale possono essere anche segnalati, mediante il form accessibile al seguente link https://www.csirt.gov.it/, eventi di sicurezza, affinchè un team di esperti possa fare le dovute verifiche.
Il CSIRT svolge anche una fondamentale attività di informazione nell’ambito della quale pubblica notizie relative ad attacchi informatici, descrivendo le modalità di svolgimento, riepilogate settimanalmente in una sorta di bollettino.
Appare particolarmente utile l’analisi del caso di un attore malevolo (threat actor ) che, tramite il social network Linkedin, si è finto responsabile della struttura organizzativa di risorse umane di una multinazionale, avviando una campagna di recruiting per una posizione lavorativa non veritiera.
Utilizzando un’ immagine profilo appartenente ad un utente realmente esistente che aveva la qualifica di responsabile della struttura organizzativa di risorse umane e creando, nel tempo, una fitta rete di contatti, il threat actor si è reso credibile e ha contattato le potenziali vittime offrendo una posizione di lavoro molto interessante, in modo da incuriosirle.
In realtà avrebbe potuto utilizzare anche un’immagine non riconducibile ad una persona reale, ma generata dall’ Intelligenza Artificiale.
Il threat actor ha proposto alle vittime, di continuare la conversazione su Skype, insieme ad una terza persona complice, che aveva il ruolo di recruiter.
Instaurata la discussione, il finto recruiter ha inviato alla vittima un file archivio .zip malevolo, contenente un documento .pdf riportante la descrizione della posizione lavorativa offerta, al fine di indurlo ad aprire il file e veicolare il malware.
Il team del CSIRT ha individuato la tattica e classificato le tecniche utilizzate e ha fornito una serie di indicazioni utili affinchè gli utenti e le organizzazioni possano fronteggiare simili attacchi.
In primo luogo, è necessario accertarsi dell’attendibilità del soggetto con cui si comunica richiedendo, ad esempio, un’email aziendale o un contatto telefonico dell’azienda.
In secondo luogo, è necessario bloccare l’esecuzione di software non attendibile e non firmato, soprattutto qualora provenga da internet.
Inoltre, bisogna mantenere aggiornati i software atti a riconoscere le minacce (antivirus, anti malware, sistemi endpoint, ecc.) e infine ricordare sempre di non avviare file eseguibili (.exe, .bat, .vbs, ecc.) a meno che non si è certi della provenienza o della legittimità del contenuto.
Le organizzazioni dovrebbero migliorare il processo di identificazione delle minacce monitorando la presenza di eventuali indicatori di compromissione (IOC) cioè elementi che indicano la presenza di un possibile attacco informatico.