Cosa sappiamo sulla stagionalità del COVID-19?

Molte malattie infettive hanno generalmente andamenti stagionali diversi; l’influenza ha un picco di incidenza in inverno, la varicella in primavera e l’epatite A in estate (¹). Molte malattie respiratorie virali hanno una cosiddetta stagionalità ovvero l’oscillazione nel numero disponibile di patogeni effettivi che determina la contagiosità della malattia nel corso dell’anno.

Ma cosa determina la stagionalità e cosa è possibile dire sulla corrente pandemia di COVID-19?

I meccanismi che determinano la stagionalità purtroppo rimangono poco compresi. Ma in generale alcune teorie hanno cercato di spiegare questo fenomeno in termini di diversi effetti concomitanti:

• La diversa capacità delle difese immunitarie di combattere la malattia in conseguenza delle condizioni climatiche;
• Le diverse condizioni metereologiche come temperature e umidità che potrebbero determinare una sopravvivenza o meno del virus all’esterno per un tempo sufficiente per il contagio;
• Le abitudini comportamentali e di contatto delle persone che determinano la trasmissione del virus (per esempio passare più tempo in luoghi chiusi in vicinanza stretta con altre persone come nelle scuole o nelle stazioni sciistiche).

Prevedere quali di questi effetti coesistenti possa determinare la stagionalità di una epidemia nuova come il COVID-19 è complesso. Alcuni ipotizzano che potrebbe anche non avere nessuna stagionalità e diventare endemica nel futuro. Per ora tutte le strategie di contenimento sono basate sul concetto di limitare la trasmissione per mezzo di distanziamento sociale al fine di rendere il servizio sanitario nazionale in grado di affrontare senza criticità il numero di pazienti affetti da problemi respiratori importanti.

Una volta però stabilito che una malattia virale ha una determinata stagionalità accertata, come per esempio nell’influenza, è possibile dispiegare delle politiche di vaccinazione (ove disponibile) con un timing preciso che possano seguire il sub-tipo di virus (per esempio A/H1N1) e con l’approssimarsi della stagione invernale vaccinare le persone più a rischio. Questo calendario di “stagione influenzale” e molto simile per paesi con latitudine simili e invertito per nazioni a nord oppure sud dell’equatore; in generale ci si prepara alla nuova onda di contagi seguendo l’approssimarsi delle stagioni fredde e con scarsa umidità.

In linea di principio, data la conoscenza e il modello della propagazione del virus per un emisfero della terra si potrebbe fare una possibile previsione per quello che sarà la propagazione nei paesi dell’altro emisfero. Nel caso del COVID-19 la propagazione ha interessato attualmente per la maggior parte (9 aprile 2020) l’emisfero boreale con Cina, Iran, Europa e Nord America durante i mesi invernali ma ha anche interessato alcuni paesi a sud dell’equatore come Nuova Zelanda, Australia e marginalmente alcune isole del pacifico come Guam, Polinesia Francese con clima tropicale attualmente caldo e umido (condizioni pare sfavorevoli per il COVID-19).

Questo potrebbe suggerire che il virus non abbia una dipendenza con temperatura e umidità dell’aria, come nel caso dell’influenza, deponendo a favore di una non stagionalità del COVID-19. In ogni caso la mancanza di immunità della popolazione al nuovo virus aggiunge una variabile alla complessità del modello che rende i dati poco leggibili e le previsioni poco attendibili. Quale effetto e’ dominante in questo caso? Difficile saperlo.

L’attuale COVID-19 fa parte di una famiglia di sette tipi di Cornavirus che infettano esseri umani, tra cui SARS-CoV and MERS-CoV che possono causare problemi respiratori acuti. L’epidemia di SARS coronavirus del 2003 (virus che ha molte similarita’ strutturali con il virus corrente) ha infettato il primo essere umano nella provincia di Guangdong in Cina è stata seguita e registrata con accuratezza dall’organizzazione mondiale della sanità e perciò forse è possibile trarre dai suoi numeri qualche lezione. In questo caso l’epidemia causò circa 8000 casi ed ebbe una durata relativamente breve (fig. 1) ma nessuna conclusione può essere tratta sulla possibile stagionalità. Questo perché è stata contenuta velocemente in prossimità dei mesi estivi. Chi o cosa abbia causato la fine del contagio non è chiaro: forse il miglioramento delle condizioni igieniche, forse l’approssimarsi dell’estate.

L’epidemia di MERS coronavirus (Middle East respiratory syndrome-related coronavirus) ha infettato dal 2012 ad oggi circa 2500 pazienti con una mortalità estremamente alta del 34%. Il primo caso di questa patologia è stato registrato un Arabia Saudita e, considerato la finestra temporale più ampia, potrebbe fornire indicazioni aggiuntive sulla stagionalità di un componente della famiglia coronavirus. Una pubblicazione della University of Health Sciences, Riyadh, Saudi Arabia (²) ha analizzato I dati ed è arrivato alla conclusione che l’epidemia sta seguendo un andamento chiaramente in decrescita che suggerisce che, se niente dovesse cambiare, la patologia potrebbe scomparire nel futuro prossimo. La pubblicazione ha anche analizzato la stagionalità della MERS e ha trovato una diminuzione del 14% del numero di casi in certi mesi dell’anno, insomma statisticamente insufficiente per confermare la tesi della stagionalità.

Uno studio che comunque depone a favore della possibile stagionalità del SARS Coronavirus è quello presentato da K.H. Chan nel 2011 (³) in Advance in Virology, secondo cui questo virus sia molto più stabile e efficace a basse temperature e bassa umidità caratteristici dei mesi invernali. Sopravvivendo il virus più a lungo nell’aria e sulle superfici viene aumentata la capacità di trasmettersi ad altri soggetti. Rimane da verificare naturalmente se anche Il COVID-19 abbia caratteristiche simili anche se studi preliminari depongono a favore di questa ipotesi. L’importanza di condizioni di temperatura e umidità viene confermato anche da uno studio dell’università di Maryland (⁴) che ha mostrato che il COVID-19 si sia diffuso con maggiore facilità in paesi e regioni del mondo la cui temperature era compresa tra 5 e 11°C e bassa umidità relativa.

Al momento, abbiamo dati e modelli che danno informazioni contrastanti e non e’ possibile nessuna conclusione sulla possibile stagionalità del COVID-19. Questa conclusione viene confermata anche da un recente report compilato da esperti della National Academies of Sciences, Enginering and Medicine (⁵). Non possiamo fare affidamento su modelli numerici di trasmissione del virus che nessuno ha ancora testato. I numeri per ora mostrano che il distanziamento sociale funziona e rimane una delle poche armi a disposizione in questo momento per ridurre il tasso di crescita della pandemia. L’effetto combinato di temperatura, umidità’, esposizione UV sulla stabilita’ del virus pero’ tiene viva la possibilita’ che si possa assistere ad una parziale attenuazione della contagiosità nei mesi estivi e dia tempo ai governi per prepararsi alla prossima onda di contagi probabile nei futuri mesi invernali.

Andrea Plano

Fig. Numero di casi di SARS (2002-2003): In arancione i casi cumulativi, in blu gli incrementi giornalieri e in rosso il numero cumulativo di morti.

Referenze:

1. Martinez, The calendar of epidemics: Seasonal cycles of infectious diseases. PLOS Pathogens (2018)
2. Ahmed et al, Underlying trend, seasonality, prediction, forecasting and the contribution of risk factors: an analysis of globally reported cases of Middle East Respiratory Syndrome Coronavirus. Epidemiol Infect (2018)
3. K.H. Chan et al, The Effects of Temperature and Relative Humidity on the Viability of the SARS Coronavirus. Advances in Virology (2011)
4. Sajadi et al, Temperature, Humidity and Latitude Analysis to Predict Potential Spread and Seasonality for COVID-19. SSRN (2020)
5. Rapid Expert Consultation on SARS-CoV-2 Survival in Relation to Temperature and Humidity and Potential for Seasonality for the COVID-19 Pandemic. National Academies of Sciences, Engineering, and Medicine (April 7, 2020)

COVID 19: Quando un pezzo di terra può fare la differenza...

Nessuno avrebbe mai potuto immaginarlo...
O forse si, qualcuno l'aveva anche annunciato, ma non era stato ascoltato.
Il mondo potrebbe essere sconvolto da un virus e ancora non siamo pronti ad affrontarlo. Che si tratti di favole o di realtà lascio a voi, se avete voglia, l'onere della verifica.

Per quanto mi riguarda io voglio soffermarmi su cosa si può fare per affrontare il futuro incerto.

Partendo dalla situazione attuale cercherò di disegnare un possibile scenario futuro e di dare alcune indicazioni, spero, utili.

Cominciamo con la situazione attuale:
- quasi tutte le linee aeree e navali dei Paesi del mondo sono interrotte, quanto meno per quanto riguarda lo spostamento delle persone per turismo o commercio;
- proseguono i traffici delle merci;
- la maggior parte dei paesi ha adottato politiche di contenimento più o meno spinte, cercando di non intaccare alcuni settori produttivi considerati essenziali (alimentari, sanità, servizi pubblici...);
- sono chiusi o al minimo della produttività tutti quei settori considerati "non essenziali";
- gli stati stanno cercando risorse finanziarie da distribuire alle categorie più a rischio per evitare che al problema del COVID 19 si sommi quello della protesta popolare;
- l'Unione Europea non sembra in grado di prendere una decisione per tutti i paesi per cui probabilmente ognuno procederà per conto proprio.

Penso ce ne sia abbastanza per adesso. Vediamo le possibile conseguenze a livello macro:
- il blocco delle persone fisiche viene in parte sostituito con aumento delle comunicazioni a distanza, il telelavoro è un esempio;
- il traffico merci, nello scenario descritto sopra, può andare avanti per quanto ancora? Le nazioni produttrici di beni alimentari per quanto potranno permettersi di far uscire dal loro territorio merci essenziali per la vita e la tenuta delle istituzioni? Qualche mese ancora? Morse meno…
- le politiche di contenimento, se non affiancate da altre, come aiuti sociali enormi in tutti i settori, in linea coi tempi che il supporto della popolazione richiede, non sono sostenibili a lungo;
- i settori considerati "non essenziali" sono però strettamente legati alla "ridistribuzione del reddito", la loro chiusura corrisponde al blocco della ridistribuzione e alla riduzione delle entrate fiscali: ciò significa che è urgente riorganizzare lo stato cercando di prevedere i cambiamenti necessari, e occorre farlo alla svelta;
- la distribuzione di risorse per superare la crisi, seppure considerata da me necessaria, apre a nuovi scenari poco tranquillizzanti. Come si potrà tornare indietro quando sarà superata la crisi? Per quanto potranno durare le distribuzioni a pioggia? Quali saranno le conseguenze sui prezzi di generi alimentari? Tutte domande alle quali occorre pensare e trovare una risposta al più presto;
- Unione Europea… preferisco non toccare questo tasto ma prima o poi occorrerà prenderlo in considerazione.

Quanto visto sopra è quanto, immagino, stia tenendo occupati gli illustri statisti della maggior parte dei paesi del mondo.
Ma noi, comuni cittadini, possiamo fare qualcosa?

Oltre a rispettare le regole della distanziazione sociale, vediamo cosa potrebbe essere utile a breve termine.
A mio parere uno dei problemi principali sarà relativo al commercio delle merci, principalmente ai generi alimentari, sia come materie prime (grano, latte, carne), sia come frutta e verdura.
L'Italia cosa produce e cosa importa dall'estero? A voi il trovare la risposta… ma chiunque fa la spesa nei supermercati sa bene qual è la realtà!
Il grano, negli ultimi anni, arriva principalmente dall'estero. Continuerà ad arrivare? E se si, a quale prezzo? Il grano è impiegato in Italia principalmente nella produzione di farine per dolci e pasta alimentare. Ricordiamo che gli italiani mangiano PASTA tutti i giorni!
Riso, forse viene appena dopo la pasta nella nostra cucina. Anche in questo caso siamo dipendenti dall'estero. Valgono le stesse domande del grano.
Potrei andare avanti e considerare carne e latte, ma mi fermo qui.

Cosa possiamo fare, nel nostro piccolo?

Intanto, sperando che qualcuno stia pensando seriamente a dare disposizioni stile quelle dei periodi di guerra, in cui è necessario pianificare tutto, diciamo che potrebbe essere utile, almeno per chi può, rimettere a nuovo la propria attrezzatura da contadino e chi ha un pezzo di terreno magari abbandonato da anni, dovrebbe pensare a rimetterlo in produzione.

Invece, a livello paese, occorrerebbe dare indicazioni chiare su quali produzioni occorre attivare per i prossimi mesi e quali per l'anno prossimo, indicazioni che sicuramente saranno utili alle imprese per riorientare il settore produttivo.

Sono troppo pessimista dite? Penso di no… dopo COVID 19 occorre pensare a speculazione e carestia. La distribuzione di soldi sarà solo un palliativo...

Alessandro Rugolo

Per approfondire... provate a usare il sito dell'ISTAT...

STRATCOM ai tempi del COVID 19

Nel precedente articolo ci eravamo lasciati con alcune domande in materia, che ora riprendiamo:

- Come riconoscere la STRATCOM?

- Come difendersi?

- Quali sono i rapporti con la Cyber?

A mio parere, la cosa più difficile è proprio riconoscere l'attività di STRATCOM, questo perché la STRATCOM è studiata appositamente per confondersi con il contesto generale.
A ben guardare, qualunque articolo, filmato, trasmissione audio o discorso, possiede una parte di STRATCOM, è sufficiente infatti che l'autore avesse in mente uno scopo da raggiungere nel momento in cui ha realizzato il pezzo.
A noi, per inteso, non interessa la STRATCOM che c'è dietro una campagna pubblicitaria per un profumo o per una marca di sigarette, ma magari quella che si trova dietro una consegna di mascherine in periodo di COVID 19 o la promessa di cento milioni di dollari in materiale sanitario potrebbe essere di un certo interesse, quanto meno per capire, se non per combatterle.
Cerchiamo dunque di capire come si prepara una campagna STRATCOM per essere poi in grado di riconoscerla.
La prima cosa da sapere è che in una campagna di influence viene preparata una narrativa che servirà da filo conduttore per tutta la campagna. Questa è chiamata Strategic Narrative che non è altro che la trama del racconto che vogliamo che sia conosciuto, diffuso e preso per vero da una o più classi di persone che abbiamo individuato come obiettivo strategico (Target audience).
La Strategic Narrative e la target audience sono i due elementi principali di cui tener conto per il raggiungimento degli obiettivi strategici della campagna, obiettivi che devono essere individuati, studiati attentamente, pianificati e controllati nel corso della campagna per verificare che le cose stiano andando come pianificato.
Avere una buona narrativa (una buona trama), non è garanzia di successo, questo perché potrebbe accadere che i canali utilizzati per raggiungere la Target Audience sono semplicemente sbagliati.
Quando parlo di canale intendo tante cose, dai canali di comunicazione ai mezzi, agli orari delle trasmissioni, alla lingua impiegata o ancor più sottile, al linguaggio impiegato… ogni cosa ha la sua importanza nella STRATCOM.
Naturalmente esistono diversi tipi di Strategic Narratives, che mirano ad influenzare, basandosi su tecniche differenti.
La prima è detta "positiva" e si basa sulla affermazione forte di ciò che si vuole venga vista come la realtà dei fatti. Una strategia positiva mira a creare il consenso verso la narrazione strategica e generalmente si basa su convinzioni già molto forti della popolazione cui è diretta. Se per esempio la target audience è già abituata a sentire parlare di un gruppo di persone come "nemico", è sufficiente usare la tecnica della ripetizione per rafforzare questa convinzione, senza bisogno, in linea di massima, di modifiche alla realtà.
La seconda tipologia di Strategic Narrative è detta "negativa" e consiste nella falsificazione di fatti o nel tentativo di fare passare come falsi dei fatti che invece sono veri (per quello che può significare "vero"...). In questo caso si cerca, con il "rumore provocato da urla e schiamazzi" di soffocare il racconto reale dei fatti e sostituirlo con racconti alternativi che a lungo andare ne minino la diffusione. In questo caso è (apparentemente) più complesso orientare la Target Audience in quanto occorre far passare il nuovo messaggio e nascondere il messaggio reale. Un esempio di questo tipo potrebbe essere individuato facilmente tra quanto accaduto in questi giorni scorsi sui social a colpi di video condivisi e oscurati… supportati da articoli scientifici orientati (a voi l'onere di capire a cosa mi riferisco).
La terza tipologia di Strategic Narrative è detta "di distrazione" e consiste nel raccontare un fatto ponendo l'accento su un elemento non dannoso, minimizzando le conseguenze di un altro elemento che si vuole che sia dimenticato.
Qualcuno potrebbe pensare che occuparsi di STRATCOM sia difficile e richieda uno sforzo non commisurato al risultato ma non è così.
Naturalmente occuparsi di STRATCOM è complesso ma viene fatto e vale la pena farlo.
Per chiudere questo articolo voglio fare un esempio pratico delle tre tipologie di STRATCOM viste sopra.
Prendiamo i fatti:
- è in corso una catastrofe umanitaria;
- tutti se ne rendono già conto in quanto in periferia delle città principali si trovano i campi profughi;
- il Governo è in crisi ed è a rischio la tenuta democratica.
Il governo decide quindi di sviluppare una campagna STRATCOM per rafforzare la propria posizione, attraverso una campagna basata su una Strategic Narrative.
Per farlo individua una target Audience: per esempio una parte importante del mondo Accademico culturale  o una parte della popolazione particolarmente religiosa.
Costruisce una narrativa positiva:
- è in corso una catastrofe umanitaria, provocata dal nostro nemico di sempre.
- guardate le nostre periferie invase dai profughi e tra essi gli infiltrati mandati dai nostri nemici;
- il Governo è in crisi, a causa dei nostri nemici, è a rischio la tenuta democratica, stringiamoci attorno al nostro Presidente...
Costruisce una narrativa negativa:
- arresto di chi parla di catastrofe umanitaria, chi ne parla è un disfattista e merita il carcere, e i beni delle loro famiglie saranno incamerati dallo stato;
- guardate le nostre periferie, non è vero che ci sono profughi, ci sono solo dei nemici ma noi siamo più forti;
- il Governo è forte, il nostro Signore ci sostiene, il nemico è il Diavolo!
Costruisce una narrativa di distrazione:

- è in corso una catastrofe umanitaria, nelle nostre periferie è sempre più difficile vivere;

- i campi periferici sono delle oasi felici in cui si festeggia e si mangia tutte le sere a spese nostre mentre noi soffriamo chiusi dentro le città;

- il nostro problema è il governo centrale dell'Unione di Stati al quale apparteniamo, sono loro che non fanno quanto devono per proteggerci...

Naturalmente queste tre diverse narrative devono essere sostenute da atti, fatti e discorsi ufficiali a sostegno e, per essere efficaci, devono indirizzarsi a ben determinate Audience.
Le tre "Strategic Narratives" indicate sopra potrebbero essere anche parte di una unica e superiore narrativa ma dirette a Audience differenti, più o meno sensibili a un tipo di messaggio.
Quanto detto fino ad ora non è altro che un esercizio banale che serve solo ad illustrare dei concetti, esercizio che chiunque di noi sia dotato di sufficiente spirito critico può provare a fare su un soggetto qualunque.
Io, per esempio, per passare il tempo mi dedico ad analizzare tutto ciò che riguarda il COVID 19...

Ma a questo punto ritengo sia opportuno rimandare il "come difendersi" ad un prossimo articolo!

Alessandro RUGOLO

Immagine: https://quartsoft.com/sites/default/files/brics-countries-vs-usa-and-europe.jpg

Per approfondire:
https://www.difesaonline.it/mondo-militare/stratcom-comunicazione-e-information-influence-activities

https://www.militaryfactory.com/dictionary/military-terms-defined.asp?term_id=5113;

https://www.state.gov/bureaus-offices/under-secretary-for-public-diplomacy-and-public-affairs/global-engagement-center/

https://www.jcs.mil/Doctrine/Joint-Doctrine-Pubs/3-0-Operations-Series/

https://www.stratcomcoe.org/

COVID 19, cyber threats e Thales

La situazione che stiamo affrontando è inedita.

La pandemia di COVID 19 è una sfida sanitaria per l'umanità, ma ciò non impedisce il suo utilizzo per svolgere attività criminali, spionistiche o di influenza.
Il rapporto della Thales "COVID-19: Cyber Threat Assessment" è un ottimo riassunto di cosa accade nel cyberspace in conseguenza del COVID 19.
Il rapporto, datato 24 marzo 2020, è scaricabile dal sito della Thales.
Ma diamo uno sguardo assieme allo studio.
In primo luogo dobbiamo segnalare che secondo gli analisti in tutto il mondo si registra un incremento di campagne cyber legate alla diffusione di notizie sul COVID 19 e diffusione di software impiegati per visualizzazione e tracciamento della situazione COVID 19 (sia su PC sia su dispositivi mobili).
Il vettore di attacco è quindi legato direttamente alla diffusione del virus biologico.
Gli analisti indicano che è la paura a spingere alla ricerca di sempre maggiori informazioni, facendo dimenticare la necessaria attenzione alla sicurezza, causando sia una maggiore diffusione di malware (ransomware, spyware ecc...) sia una maggiore diffusione di fake news.
Diversi gruppi hacker hanno comunque dichiarato di non aver intenzione di attaccare gli ospedali anche se sembra che siano stati notati degli attacchi contro gli ospedali di Parigi, il Brno University Hospital (laboratorio Ceco di test sul COVID 19) e il US Department of Healt.
I gruppi segnalati per aver preso parte a queste campagne mondiali sono: Vicius Panda, Mustang Panda, Kimsuky, APT 36, Hades group, TA542.

Di sicuro interesse, le raccomandazioni dell'ANSSI sul telelavoro (1) che riassumiamo brevemente di seguito e pensiamo possano essere valide anche da noi:
- non esporre su internet, per nessun motivo, le interfacce web dei server Microsoft Exchange non aggiornati all'ultima patch di sicurezza;
- non dare accesso ai server di file-sharing attraverso il protocollo SMB;
- se si espongono o se è necessario esporre nuovi servizi su Internet, aggiornate al più presto le patch di sicurezza (sia ai software che all'hardware) e abilitate meccanismi di log-in. Se possibile usate autenticazione a due fattori;
- eseguire i backup offline;
- usare accessi attraverso VPN (IPSEC o TLS) per evitare esposizione diretta su Internet;
- controllare regolarmente i log di accesso dei servizi esposti su Internet o che mostrano comportamenti sospetti.

Seguite inoltre le indicazioni aggiuntive di Thales, anch'esse riassunte di seguito:
- impiegate canali informativi di fiducia (governativi, nazionali...);
- fare attenzione al sensazionalismo di certi media;
- controllo incrociato delle informazioni;
- richiamare alla mente dei "telelavoratori" l'attenzione alla sicurezza informatica;
- a livello statale, dare priorità alla Cyber Threat Intelligence;
- combinare IDS e Cyber Threat Intelligence, quando si hanno capacità e disponibilità.

Aggiungiamo di fare attenzione alla gestione dei servizi, evitiamo gli autogol !


Alcune mie brevi considerazioni.
Il Report è sicuramente interessante e pone l'accento, oltre che sui malware, sull'impiego della cyber per la diffusione di notizie, messaggi e informazioni che potrebbero essere considerate delle campagne informative. Ciò significa che il caso di pandemia di COVID 19 è impiegato (o per meglio dire si sospetta sia impiegato) da potenze straniere per coprire delle operazioni di Influence.
Niente di strano, a mio parere, ma è bene segnalarlo perché non sempre viene detto così chiaramente.
Credo sia chiaro a tutti che in questo periodo sono stati in tanti a effettuare operazioni di Influence, sia per mezzo di messaggi pubblici sia per mezzo di atti, diretti alla "pancia" dell'opinione pubblica, italiana e non. Operazioni compiute purtroppo da tutti gli Stati, sia quelli considerati "amici" sia quelli considerati "nemici".

Ultima raccomandazione ai manager: in tempo di emergenza ci vuole poco a sovrastimare o sottostimare le esigenze di un settore. Il settore informatico non gode di buona salute già da prima della crisi COVID 19, sottoalimentarlo ulteriormente non sarebbe saggio, neppure di fronte alla pandemia!

A buon intenditor poche parole.

Alessandro Rugolo

Per approfondire:
- https://www.thalesgroup.com/en/market-specific/critical-information-systems-and-cybersecurity/news/covid-19-new-weapon-cyber;
- https://blog.malwarebytes.com/101/2018/12/how-threat-actors-are-using-smb-vulnerabilities/;
- https://www.ssi.gouv.fr/uploads/2018/10/guide_nomadisme_anssi_pa_054_v1.pdf;
- 

Rischio Cyber – Eterna allerta

La sicurezza informatica non è una sfida, né certamente è la sfida del XXI secolo ma costituisce un tragitto.

Quello che per la società 4.0 costituisce, invece, una minaccia concreta e problematica sono gli attacchi cibernetici. L’esigenza di creare nuovi modelli di business per aumentare la produttività delle industrie ha portato a una generale tendenza verso l’automazione, l’informatizzazione, la virtualizzazione, il cloud e verso tutte le funzionalità presenti su mobile.

L’insieme di queste caratteristiche definisce l’industria 4.0 a cui le varie componenti sociali sono chiamate a rapportarsi e su cui agisce il rischio dei cyber attacchi.

Questa premessa è doverosa per introdurre la quindicesima edizione del rapporto Clusit 2020 sulla sicurezza ICT presentata lo scorso 17 Marzo.

Contrariamente agli altri anni, l’evento di presentazione è avvenuto in un contesto virtuale considerando il momento drammatico che il nostro Paese, così come molte zone del mondo, sta vivendo. Stiamo assistendo a una crisi senza precedenti che nessuno si sarebbe mai aspettato e mai avremmo pensato, anche solo un mese fa, che saremmo caduti in una crisi che non ha precedenti dalla fine della seconda guerra mondiale.

Come detto, Si tratta di una situazione senza precedenti o, perlomeno, si tratta di un qualcosa che non si è mai affrontata con le capacità di rilevazione e analisi, con le tecnologie, con le medicine, con il sistema sanitario, con i media, con i social dei giorni nostri.

Mi auguro che sia una grande lezione che possa servire a tutto il mondo e che possa aiutare, tornando alle cose di casa nostra, anche il settore della sicurezza informatica.

Dal rapporto che abbiamo presentato, infatti, emerge una situazione di inaudita gravità che potremmo sintetizzare in questa frase: “con 1.670 attacchi gravi e una tendenza in crescita del 7% rispetto al 2018, il 2019 segna un nuovo picco verso l’alto nella rappresentazione della “insicurezza cyber”.

Possiamo affermare che il 2019 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, sia dal punto di vista quantitativo che da quello qualitativo, evidenziando un trend persistente di crescita degli attacchi, della loro gravità e dei danni conseguenti.

Nell’anno appena passato si è consolidata una discontinuità, si è oltrepassato un punto di non ritorno, tale per cui ormai ci troviamo a vivere ed operare in una dimensione differente, in una nuova epoca, in un “altro mondo”, del quale ancora non conosciamo bene la geografia, gli abitanti, le regole e le minacce.

Gli attaccanti non sono più “hackers”, e nemmeno gruppetti effimeri, più o meno pericolosi, di “artigiani” del cybercrime: sono decine e decine di gruppi criminali organizzati, transnazionali che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati, stati nazionali con i relativi apparati militari e di intelligence, i loro fornitori e contractors, gruppi “state-sponsored”, civili e/o paramilitari ed unità di mercenari impegnati in una lotta senza esclusione di colpi, che hanno come campo di battaglia, arma e bersaglio, le infrastrutture, le reti, i server, i client, i device mobili, gli oggetti IoT, le piattaforme social e di instant messaging, su scala globale, 365 giorni all’anno, 24 ore al giorno. Una situazione di inaudita gravità che mette in discussione ed a repentaglio tutti i presupposti sui quali si basa il buon funzionamento dell’Internet commerciale e di tutti i servizi, online e offline, che su di essa fanno affidamento.

In questo senso il messaggio che si vuole trasmettere forte e chiaro è che la situazione è cambiata drasticamente, siamo in un territorio sconosciuto e questo “new normal” in termini di rischi “cyber”, è diverso e va gestito diversamente rispetto anche solo a 2-3 anni fa.

Anche quest’anno, gli esperti del Clusit per definire un cyber attacco come “grave” hanno impiegato

gli stessi criteri di classificazione già applicati ai dati del periodo 2014-2018, più restrittivi rispetto ai criteri che venivano applicati negli anni 2011-2013, dal momento che nell’arco di questi 108 mesi si è verificata una sensibile evoluzione degli scenari e che alcune categorie di attacchi, che potevano essere ancora considerati “gravi” nel 2011-2013, sono oggi diventati ordinaria amministrazione. Per esempio, i “defacement” di siti web.

A parità di criteri, quest’anno si sono classificati come gravi un numero di attacchi superiore rispetto a tutti gli anni analizzati a partire dal 2014.

Questi trend avvalorano la convinzione che sia avvenuto un vero e proprio cambiamento epocale nei livelli globali di cyber-insicurezza, causato dall’evoluzione rapidissima degli attori, delle modalità, della pervasività e dell’efficacia degli attacchi. Dobbiamo sforzarci di tenere presente che il Cybercrime, il Cyber Espionage e l’Information Warfare del 2019 non sono certamente più quelli del 2014, e nemmeno quelli del 2017, anche se continuiamo ad utilizzare le stesse denominazioni.

Queste dinamiche nell’ultimo triennio hanno causato conseguenze molto concrete, da un lato spingendo sempre più soggetti, statuali e non, ed entrare nell’arena, accelerando la “corsa agli armamenti” in atto ed esacerbando il livello dello scontro, e dall’altro impattando in modo ormai inequivocabile sulla società civile, singoli cittadini, istituzioni ed imprese, che sta cambiando in conseguenza di questa enorme pressione. Siamo cioè di fronte a fenomeni che per natura e dimensione travalicano ormai costantemente i confini dell’IT e della stessa cyber security, ed hanno impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica.

Per fare un esempio eclatante della mutazione sostanziale delle minacce cyber avvenuta negli ultimi 3 anni, il Cybercrime, pur rappresentando senz’altro un problema enorme e facendo la parte del leone dal punto di vista quantitativo, ormai dal punto di vista qualitativo, ovvero della Severity, è paradossalmente diventato un rischio secondario, nel senso che ormai ci troviamo a fronteggiare quotidianamente minacce ben peggiori, nei confronti delle quali le contromisure disponibili sono particolarmente inefficaci.

Distribuzione degli attaccanti per tipologia

Complessivamente, rispetto al 2018, il numero di attacchi gravi che abbiamo raccolto da fonti pubbliche per il 2019 cresce del +7,6%. In termini assoluti, nel 2019 la categoria “Cybercrime” fa registrare il numero di attacchi più elevato degli ultimi 9 anni, con una crescita del +162% rispetto al 2014 (1383 contro 526).

Va sottolineato che, rispetto al passato, oggi risulta più difficile distinguere nettamente tra “Cyber Espionage/Sabotage” e “Cyber Warfare”: sommando gli attacchi di entrambe le categorie, nel 2019 si assiste ad una diminuzione del 7,7% rispetto all’anno precedente (239 contro 259).

Già nel 2014 il Cybercrime si era confermato la prima causa di attacchi gravi a livello globale (60%), salendo al 68% dei casi analizzati nel 2015. Nel 2016 tale percentuale era il 72%, salita al 76% nel 2017 ed infine al 79% nel 2018, mostrando una tendenza inequivocabile. Nel 2019 tale percentuale cresce ulteriormente all’83%.

L’Hacktivism diminuisce ulteriormente, passando da quasi un terzo (27%) dei casi analizzati nel 2014 al 3% del 2019. Per quanto riguarda le attività di Espionage (anche a causa della scarsità di informazioni pubbliche in merito) la loro percentuale rispetto al totale degli attacchi rilevati nel 2018 passa dal 13% al 12%, mentre l’Information Warfare passa dal 4% al 2%. Nel 2019 queste due categorie sommate valgono il 14% degli attacchi noti totali ma hanno una Severity più alta della media.

Distribuzione delle tecniche di attacco

Per la terza volta dal 2011, nel 2019 le tecniche sconosciute (categoria “Unknown”) sono al secondo posto, diminuendo del 22,3% rispetto al 2018, superate dalla categoria “Malware”, stabile al primo posto, che cresce ulteriormente del +24,8% e rappresenta ormai il 44% del totale.

Al terzo posto la categoria “Phishing/Social Engineering”, che cresce del +81,9% rispetto al 2018 e rappresenta il 17% del totale. Una quota crescente di questi attacchi basati su Phishing si riferisce a “BEC scams”12, che infliggono danni economici sempre maggiori alle loro vittime.

 Tutte le altre tipologie di tecniche di attacco sommate rappresentano nel 2019 solo il 12,3% del totale. Notevole l’incremento percentuale delle categorie “0day” (+50%) e “Account Cracking” (+53,6%), mentre appaiono in diminuzione gli attacchi realizzati sfruttando vulnerabilità note (-28,8%), DDos (-39,5%) e tecniche multiple/APT (-33,7%). Queste ultime sono in parte confluite nella categoria “Malware”, sempre più utilizzato anche da attori statuali e state-sponsored.

In sostanza si conferma anche nel 2019 una tendenza inequivocabile e molto pericolosa: gli attaccanti possono fare affidamento sull’efficacia del Malware “semplice”, prodotto industrialmente a costi decrescenti in infinite varianti, e su tecniche di Phishing / Social Engineering relativamente semplici, per conseguire la gran maggioranza dei loro obiettivi. Questo dato è evidenziato anche dall’inedita polarizzazione delle tecniche d’attacco, tale per cui ormai le prime 4 categorie (su un totale di 10) rappresentano l’87,6% del campione.

Appare chiaro, pertanto, che viviamo ed operiamo in una situazione di inaudita gravità in termini di rischi cyber, che mette a repentaglio tutti gli asset di un Paese. 

Occorre sempre più una strategia chiara accompagnata da investimenti in cultura, formazione e risorse economiche altrimenti, difficilmente, si riuscirà ad uscire da questo quadro.

Carlo Mauceli

Perché i servizi sono segreti?

Per «servizi speciali», detti altrimenti «servizi di informazione», «servizi di sicurezza», «servizi di informazione e sicurezza», o più comunemente e per così dire “volgarmente” «servizi di segreti», si intendono quegli apparati dello Stato (…) che svolgono, per il raggiungimento dei propri fini, attività informativa ed operativa secondo modalità e con mezzi non convenzionali, nel senso che sono in massima parte loro propri, e non comuni ad altre amministrazioni, e la cui legittimità si fonda su interessi fondamentali dello Stato, la cui difesa e/o la cui realizzazione attengono cioè alla vita stessa dello Stato; per cui la «legittimità dei fini» viene a prevalere sulla legalità dei mezzi».¹

Questa in sintesi è la definizione dei «servizi» lasciata ai posteri (Istituzioni, cittadini e imprese) dal nostro Presidente Emerito della Repubblica Francesco Cossiga nel suo libro² intitolato Abecedario per principianti, politici e militari, civili e gente comune, sulla cui copertina lui stesso, si firmò usando l’epiteto Francesco Cossiga dilettante. Il suo sarcasmo, come la sua intelligenza, erano (e restano) insuperabili: non era un dilettante, bensì l’esempio, ad imperitura memoria, di vero «uomo di intelligence».

Non potevo che partire dalla sua eredità culturale, almeno per tre buoni motivi che ci hanno accomunati: la nostra origine sarda (nonostante il mio cognome³ possa sviare alla prima lettura), la curiosità per il mondo dell’intelligence e un’indefinita quanto sincera forma di “simpatia a pelle”, anche se purtroppo non ho mai avuto la fortuna ed il piacere di conoscerlo di persona.

Tornando, alla legittimità sostanziale dell'attività dei servizi, essa risiede nella richiamata peculiarità degli interessi tutelati, definiti da Francesco Cossiga «alti interessi dello Stato». Di conseguenza, la loro legalità sostanziale, che può non corrispondere ai principi di legalità formale, si basa sulla legittimità dei fini, usando le sue stesse parole: «legittimità non sempre coincide con legalità né tanto meno con correttezza» e, per citare l’ex senatore Giuseppe Esposito, già Vicepresidente COPASIR nella XVI legislatura, sempre con riferimento agli apparati di sicurezza: «l'ultima sacca d’illegalità a difesa della Democrazia» (v. articolo).

Spesso circondati ed avvolti da un alone di mistero, con la complicità del cinema e di una certa letteratura romanzata, nasce spontaneo chiedersi: perché i servizi sono segreti?

La risposta, a parer mio, è molto semplice: perché sono (e devono restare) segreti. Indispensabili per la democrazia e, per loro stessa natura, essenziali alla vita di uno Stato.

Talvolta mi accade di vedere usati i termini servizi segreti ed intelligence come sinonimi, tuttavia i due termini si riferiscono a cose diverse: i primi, in buona sostanza, sono quelli appena indicati nella definizione sopraccitata, che si identificano negli “apparati di Stato”; mentre la seconda - l’intelligence - rappresenta la «capacità gestionale dei servizi segreti», quella cioè che si concretizza nell’elaborazione delle informazioni e nella previsione delle mosse future di alcuni attori, capacità necessaria per essere d'aiuto ai vertici politici nel fare delle scelte⁴.

I servizi segreti quindi, per svolgere questo ruolo fondamentale e imprescindibile, si avvalgono di professionalità reclutate ed “avvicinate” da ambienti diversi tra loro, che agiscono secondo peculiari procedure volte tutte a salvaguardare la sicurezza dello Stato anche attraverso la riservatezza degli operatori della sicurezza e delle loro attività.

Con la riforma apportata dalla Legge 124 del 2007, la vera e propria pietra miliare tra le norme che regolano la materia in parola (o come usano dire gli addetti ai lavori: “il nostro faro”), l’intelligence è diventata un vero e proprio «sistema», e in tale rinnovata veste pianifica, raccoglie, gestisce, analizza, diffonde informazioni per la sicurezza della Repubblica (in sigla, SISR⁵), a protezione degli interessi politici, militari, economici, scientifici ed industriali dell’Italia.

Un frame tratto dal video Decennale Intelligence⁶

La spinta propulsiva ad effettuare il restyling dell’intelligence italiana è stata “agevolata” dal rapido palesarsi e concatenarsi di eventi storici e di minacce (purtroppo ancora attuali), tra cui cito senza pretese esaustive: la fine del mondo bipolare, il nuovo volto del terrorismo internazionale (sia di matrice etnica o nazionalista, sia di tipo ideologico o religioso) con i suoi attentati suicidi, il crescente disagio sociale, l’esportazione illegale di capitali all’estero, i rischi connessi ad eventuali intrusioni da parte di attori ostili (oggi più che mai attraverso lo spazio cibernetico!) nei sistemi di gestione delle infrastrutture critiche quali le reti di trasporto pubblico, di distribuzione dell’energia e, di recente, anche di strutture sanitarie.

Un frame tratto dal video Decennale Intelligence⁷

Dal punto di vista funzionale, il sistema di intelligence può essere descritto⁸ come il processo informativo definito da un ciclo di azioni articolato su fasi e finalizzato agli obiettivi generali individuati dalle Autorità di governo.

Il «cuore» dell’attività di intelligence si concretizza nelle seguenti tre fasi:

• l’acquisizione della notizia, attraverso la ricerca, la raccolta e la valutazione dei dati acquisibili da un’ampia gamma di fonti, che vanno dal singolo individuo all’uso di sofisticate apparecchiature elettroniche. In questa fase particolare rilievo assumono le fonti aperte, come i mezzi di comunicazione di massa e la rete;
• la gestione dell’informazione, in cui attraverso l’analisi trasforma l’elemento informativo grezzo in un articolato contributo conoscitivo. Questa fase rappresenta il passaggio distintivo dell’intelligence: si cerca, in buona sostanza, di prevedere una “tendenza”, fornendo al decisore «qualcosa che non sia altrimenti disponibile»⁹.
• la comunicazione alle Autorità di governo sia di semplici informazioni, sia di rapporti, analisi e punti di situazione, utili per le decisioni da assumere o per le azioni da intraprendere. L’estensione del concetto di sicurezza nazionale fa sì che vengano oggi inclusi, tra i destinatari dei prodotti di intelligence, anche amministrazioni ed enti pubblici.

Infine, soffermandoci sull’attività di raccolta delle informazioni è possibile proporre la seguente classificazione, in base alla tipologia di fonte informativa¹⁰:

• OSINT ¹¹: Open Source INTelligence, attività di raccolta delle informazioni mediante l’analisi di fonti aperte.
• IMINT: IMagery INTelligence, attività di raccolta delle informazioni mediante l’analisi di fotografie aeree o satellitari.
• HUMINT, HUman INTelligence, attività di raccolta delle informazioni mediante contatti interpersonali.
• SIGINT: SIgnal INTelligence, attività di raccolta delle informazioni mediante l’intercettazione e analisi di segnali, sia tra persone sia tra macchine.
• TECHINT: TECHnical INTelligence, riguardante armi ed equipaggiamenti militari.
• MASINT: MeAsurement and Signature INTelligence, attività di raccolta delle informazioni non classificabili nelle precedenti categorie, e si traduce in informazioni atte a scoprire e classificare obiettivi, identificare o descrivere tracce strumentali, caratteristiche distintive o sorgenti-bersaglio fisse e dinamiche. Fanno parte di questa classificazione di Intelligence tutti i sensori capaci di raccogliere misure metriche, angolazioni, lunghezze d’onda, rapporti temporali, modulazioni ed idro-magnetismo¹².

In conclusione, senza pretese di esaustività, ricordo ai lettori che i fronti sui quali i nostri comparti di intelligence devono confrontarsi quotidianamente sono molteplici, diversi tra loro e complessi, nei quali si insinuano (spesso, sotto traccia) ed emergono minacce dirette ad indebolire l’ordine democratico della nostra Repubblica, almeno su tre versanti: sul versante estero, su quello interno (con fenomeni eversivi) e su quello dello spazio cibernetico (noto anche come cyberspazio)¹⁴.

Per chi volesse approfondire anche sul tipo delle minacce e sulle tendenze in atto, consiglio di leggere l’annuale Relazione sulla politica dell’informazione per la sicurezza, scaricabile gratuitamente dal sito istituzionale dei Servizi¹⁵. Infatti, ogni anno, entro il mese di febbraio, viene presentata al Parlamento una dettagliata Relazione relativa all’anno precedente.

Da appassionato cultore della materia, permettetemi solo un breve appunto sulla definizione normativa¹⁶ della parola spazio cibernetico: l'insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi. Per novità, spunti di riflessione o semplice curiosità in materia si rimanda all’apposita sezione Cyber del sito.

Ricordo, da letture fatte, che a plasmare il termine cyberspazio (così ricco di fascino e, a parer mio, per sua natura “liquido”) fu lo scrittore canadese di fantascienza William Gibson nel lontano 1984, che lo fece con il suo romanzo Neuromante, in cui racconta di uno spazio digitale navigabile da persone di realtà diverse che comunicano tra loro all’interno di un mondo computerizzato fatto di reti digitali.

Da questa prima definizione oramai sono passati tanti anni e lo “stato del mondo” anche.

Ma di questo, forse, scriverò in un prossimo articolo…

Danilo Mancinone

1 Cossiga Francesco, Abecedario per principianti, politici e militari, civili e gente comune, Soveria Mannelli (CZ), Rubbettino Editore, 2002

2 https://www.lanuovasardegna.it/tempo-libero/2019/11/02/news/cossiga-intelligence-smisurata-1.37827229

3 https://www.difesaonline.it/evidenza/cyber/racconti-e-aneddoti-di-un-pioniere-informatico

4 https://www.difesaonline.it/evidenza/interviste/servizi-segreti-fiducia-crescita-nuove-sfide-e-figure-ricercate

5 http://www.sicurezzanazionale.gov.it/sisr.nsf/chi-siamo/organizzazione.html

6 http://www.sicurezzanazionale.gov.it/sisr.nsf/comunicazione/decennale-intelligence.html

7 Ibidem.

8 http://www.sicurezzanazionale.gov.it/sisr.nsf/cosa-facciamo/l-intelligence.html

9 Cfr. intervista al Dott. Paolo Scotto di Castelbianco, responsabile della Comunicazione del Comparto Intelligence: https://www.difesaonline.it/evidenza/interviste/la-scuola-di-formazione-campus-dellintelligence-nazionale-raccontata-dal-neo

10 Per un’analisi più approfondita della classificazione delle fonti si consiglia la visione dei seguenti contributi: https://www.youtube.com/playlist?list=PL8W3mWzQEiWRRfcH-53-zbpA0oYuytWCi

11 Per ulteriori approfondimenti e studi su OSINT:
https://www.difesaonline.it/evidenza/approfondimenti/la-demodoxalogia-losint-open-source-intelligence-italiana.

12 https://www.angelotofalo.com/masint-measurament-and-singantures-intelligence-misurare-i-fenomeni-per-anticipare-mosse/

13 Secondo F.D. Kramer “esistono 28 definizioni differenti di cyberspace”. Cfr. Cyberpower and National Security: Policy Recommendations for a Strategic Framework, in Cyberpower and National Security, edited by F.D. Kramer, S. Starr, L.K. Wentz, National Defense University Press, Washington (D.C.), 2009. Cfr. anche: Gibson William, Neuromancer, Ace Books, New York, 1984.

14 http://www.sicurezzanazionale.gov.it/sisr.nsf/category/relazione-annuale.html

15 Cfr. Definizione di spazio cibernetico fornita nel dettato normativo del DPCM 17 febbraio 2017, art. 2, co. 1, lett. h).

Per consultare tutta la normativa:

 https://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento.html