Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

Quando le cose si mettono male, ma proprio male, tipo che i database sono compromessi, i server non più accessibili e sui monitor appare la richiesta di riscatto in bitcoin, ecco, in quel momento è probabile che insieme al panico arriverà Nando con una valigetta. «Sono Fernando, risolvo cyberproblemi», dirà (forse) l’inviato dell’unità di crisi dell’Agenzia per la cybersicurezza nazionale. Ed è bene ascoltare cosa ha da dire Nando, se si vogliono contenere gli effetti nefasti di un attacco cibernetico alle infrastrutture strategiche dell’Italia.
Fernando De Pace è un sistemista di Taranto. Nella sua vita di prima faceva il marinaio militare. A 54 anni è il più anziano di questa che per comodità chiamiamo Unità di crisi e pronto intervento, ma il cui vero nome èComputer security incident response team (Csirt). Siamo a due passi dalla stazione Termini, nel palazzo che è stata sede dei servizi segreti e ora è il cuore dell’Agenzia guidata dal professor Roberto Baldoni. Il cuore è in fibrillazione, nell’ultimo mese si è messo a battere a mille per l’aumento improvviso delle aggressioni, soprattutto a ospedali ed enti del settore energia, cresciute del 30 per cento. Alcuni giorni ce ne sono state contemporaneamente tre andate a segno. La mano sembra quella russa: l’obiettivo del governo di Mosca è mettere in difficoltà i paesi dell’Ue che sostengono l’Ucraina.
Gli ultimi due incidenti al Gestore servizi energetici (Gse) e all’Eni sono stati pesanti e ancora non del tutto risolti. Soprattutto il primo, al Gse, dove qualcuno ha bucato i server, criptando l’archivio dei dati e chiedendo un riscatto di 7 milioni di euro per liberarlo. «La gente fatica a capire la gravità di cyberattacchi come questi», spiega Gianluca Galasso, 55 anni, ex controammiraglio della Marina e ora capo del Csirt dell’Agenzia, che per legge interviene quando viene presa di mira un’amministrazione pubblica o un’azienda privata strategica. «Negli uffici di Gse si è tornati a usare la carta, come nei cinque ospedali piemontesi colpiti quest’estate». Il ransomware, il virus dell’estorsione inoculato nei sistemi («sempre più spesso le porte di accesso sono i pc personali dei dipendenti in smart working», osserva Galasso), è come la macchina del tempo: costringe i ricattati a tornare all’era analogica. Ma gestire un pronto soccorso, un laboratorio analisi o una sala operatoria senza toccare i pc è impossibile.
«Erano le prime cose che bisognava ripristinare», ricorda De Pace, il risolvi cyberproblemi che, come i dottori, è reperibile h24 sette giorni su sette. Quando hanno assaltato l’Asldi Torino è rientrato dalle ferie. «I direttori sanitari erano angosciati. Il mio lavoro consiste anche in questo: arrivare sulla scena del crimine digitale, tranquillizzare le vittime e trovare un computer ancora funzionante. Ce n’è sempre uno, serve agli hacker per governare l’attacco. Dobbiamo dare risposta a tre domande:da dove sono entrati, sono ancora dentro, cosa hanno rubato. Sta poi ai manager decidere se accettare i nostri consigli. Nella valigetta ho un portatile su cui sono caricati degli strumenti speciali che ci aiutano nella riattivazione dei sistemi. Che non sarebbe possibile senza questi ragazzi intorno a me…».
De Pace, in giacca e cravatta, parla aRepubblica in uno stanzone con molti computer (tre monitor per ogni postazione) e molti esperti. Quasi tutti under 30: il nucleo originario proviene dal Dipartimento delle informazioni per la sicurezza (Dis), ci sono poi nove tecnici della Difesa, un poliziotto, un carabinieree altri trasferiti da amministrazioni statali. Col prossimo bando di concorso a ottobre entreranno i diplomati: giovanissimi nativi digitali che masticano pane e computer da sempre. Non è la centrale operativa definitiva, va detto. Quella sarà costruita quando l’Agenzia raggiungerà gli 800 dipendenti previsti dalla legge e l’unità di crisi passerà dai trenta attuali a cento addetti. «Servono tutti, c’è tanto lavoro da fare». Del resto siamo nel tempo della guerra ibrida voluta da Putin.
Di fronte a De Pace siede Fabrizio Farinacci. Laureato, romano, 28 anni, ha lavorato all’Enel. «Mi occupo dell’analisi della minaccia». Riceve le informazioni dal team di inviati in loco presso le aziende sotto attacco e va alla ricerca di tracce che svelino l’identità degli intrusi. «All’inizio si è del tutto ciechi, non si sa niente. Chi sono? Da dove arrivano? Cosa vogliono? Studiando però il loro modus operandi e confrontandolo con altri si può ipotizzare quale tipo di operazione è in corso». Farinacci li vede come una spa del cybercrime. «Ci sono gli incaricati di scovare le vulnerabilità, il ‘front desk’ deputato a interagire con le vittime, i costruttori di malware, le unità che penentrano nei sistemi... Ognuno copre un ruolo e ognuno è pagato per quello. Non è neanche detto che si conoscano tra loro. Al vertice della ‘società per azioni’, c’è la mente». E la mente rimane senza volto.
L’attribuzione di un attacco non è una scienza esatta, è più un gioco di specchi dove ci si perde e si prendono cantonate. «Non si arriva a sapere chi c’è dall’altra parte, però troviamo indizi che conducono verso certe direzioni». Per esempio, le Apt – i gruppi di hacker parastatali – non si comportano come ladruncoli presi dalla fretta di monetizzare. «Infettano i sistemi per mesi e mesi senza manifestarsi, gli interessa spiare, carpire segreti, manipolare». Conti e Killnet supportano pubblicamente il Cremlino, altre gang come BlackCat, The Hive e Lockbit non hanno dichiarato di chi sono al soldo.
L’analisi del codice del virus è compito dei reverser, chiamati così perché fanno il percorso inverso del programmatore che ha costruito il malware. Nella stanza dei reverser si incontra Alessandro Sabellico, 37 anni, di Alatri. Ha una tastiera con led luminosi e due monitor accesi dove una pioggia di numeri scende dall’alto, come nel film Matrix. Il codice. «È zeppo di trappole e falsi indizi. Tuttavia, solo scomponendolo e raggiungendo la parte genuina si capisce cosa vogliono fare davvero gli intrusi». E, con un po’ di fortuna, anche chi li manda.

FABIO TONACCI