Università, serve trasparenza su cybersicurezza

da LeaksUniSa riceviamo e pubblichiamo

Egregia redazione di Gazzetta di Salerno,

riconoscendo la vostra testata quale autorevole presidio costituzionale di pubblico servizio, si intende condividere una riflessione-denuncia approfondita e articolata sugli eventi di sicurezza informatica che hanno interessato l’Ateneo salernitano nel corso del 2023, proponendo una ricostruzione tecnica coerente degli accadimenti e formulando una richiesta di trasparenza e rendicontazione in linea con i principi dichiarati nei programmi rettorali e con gli obiettivi della Direzione Generale.

Si parte dall’assioma sul fatto che l’attuale Governance dell’Ateneo si trovi oggi a operare su un contesto ereditato, frutto di assetti tecnologici, organizzativi e decisionali stratificatisi nel tempo; ciò non vuole essere una scusante ex ante ma nemmeno un verdetto ex post. Proprio per questo si ritiene che l’attuale fase rappresenti un passaggio decisivo per qualificare in modo maturo e sistemico una risposta istituzionale a taluni eventi.

L’attacco che ha colpito l’Ateneo nel 2023 non appare come un evento improvviso o estemporaneo, bensì come l’emersione finale di una compromissione protratta nel tempo. Già in periodi antecedenti all’attacco conclamato, risultano informative e attenzioni da parte della Polizia Postale già da fine marzo 2022 comunicate all’Ateneo in merito a vulnerabilità, riconducibili a esposizioni applicative note nel panorama internazionale. Tali elementi suggeriscono la possibilità che soggetti ostili abbiano ottenuto un accesso iniziale non immediatamente rilevato, mantenendo una presenza a bassa rumorosità all’interno dell’infrastruttura.

E’ emerso con chiarezza che l’attacco non si è consumato sul fronte “utente” o sui sistemi periferici, ma ha trovato terreno favorevole nel back-end infrastrutturale a livello amministrativo, dove configurazioni e gestioni non ottimali, accumulatesi nel tempo e scelte architetturali non idonee hanno consentito agli attori ostili di consolidare la propria presenza.

In questo tipo di scenario, ben noto agli addetti ai lavori, l’attività dell’attaccante non si manifesta subito con azioni distruttive, ma si sviluppa attraverso fasi progressive di osservazione, mappatura dei sistemi, studio delle relazioni di trust e delle dipendenze applicative. In ambienti complessi e fortemente interconnessi come quelli universitari, caratterizzati da directory services centrali, storage condivisi, database enterprise e servizi applicativi eterogenei, una simile presenza silente può consentire movimenti laterali e progressiva elevazione dei privilegi, soprattutto in assenza di una segmentazione profonda e di un’autenticazione forte pervasiva come da debolezze sopra citate.

Quando, nel giugno 2023, l’attacco è emerso in modo evidente con l’indisponibilità dei servizi istituzionali, l’Ateneo ha attivato una risposta emergenziale, culminata nello spegnimento controllato dell’infrastruttura e nell’avvio di attività intensive di risposta.

Nel corso della gestione dell’emergenza, di fatti, l’Università ha attivato un insieme articolato di attività specialistiche di Incident Response e di monitoraggio della sicurezza, affidandole a un’azienda esterna di Prato nel settore della consulenza informatica e della cybersicurezza. Tali attività, hanno comportato un impegno economico complessivo nell’ordine di poco superiore ai 64.000 euro e si sono sviluppate nell’arco di più settimane, coinvolgendo diverse professionalità specialistiche e coprendo fasce orarie diurne, notturne e festive. Gli interventi hanno riguardato, in particolare, attività di threat hunting finalizzate all’individuazione del punto o dei punti di ingresso, analisi estese delle macchine compromesse, rafforzamento degli strumenti di rilevazione sugli endpoint e un periodo di monitoraggio continuativo tramite servizi di SOC.

La consapevolezza di questo impegno tecnico ed economico, con cui l’Ateneo ha affrontato la fase emergenziale, rafforza ulteriormente l’esigenza di una restituzione istituzionale, sugli esiti complessivi di tali attività. Rendere noto alla Comunità universitaria quali risultanze siano emerse, quali misure strutturali siano state adottate e come tali interventi si inseriscano in una strategia di rafforzamento duraturo della cybersicurezza consentirebbe di valorizzare il lavoro svolto, dare piena contezza dell’utilizzo delle risorse pubbliche e consolidare un rapporto di fiducia e corresponsabilità all’interno dell’Ateneo.

Le criticità che si delineano sono di natura sistemica e riguardano la governance complessiva della sicurezza, intesa come integrazione tra architettura tecnologica, processi organizzativi, priorità strategiche e capacità di monitoraggio. In questo senso, il rischio più grande che segue eventi di questo tipo non è tecnico, ma culturale: la tendenza a personalizzare l’incidente, a individuare frettolosamente singoli capri espiatori solo per mascherare responsabilità più ampie, anziché affrontare in modo strutturale le debolezze emerse.

Qualora, come emerso dalle attività di Incident Response, vi siano state effettivamente singoli punti o contesti interni coinvolti o esposti a rischio di compromissione, si ritiene opportuno che l’Amministrazione valuti una comunicazione mirata, riservata e individuale nei confronti dei diretti interessati. Una simile modalità, già adottata come buona pratica in molte Organizzazioni mature, consentirebbe di tutelare le persone, prevenire il diffondersi di sospetti o narrazioni distorte e preservare un clima di fiducia reciproca, evitando che episodi complessi e sistemici possano generare dinamiche di colpevolizzazione informale o tensioni interne, purtroppo non infrequenti nei contesti lavorativi dopo eventi di questa natura.

Il paradigma della “Zero Trust Architecture”, oggi centrale nelle politiche di sicurezza nazionali ed europee, offre una chiave di lettura particolarmente utile. Zero trust significa assenza di fiducia implicita nei sistemi, nei perimetri e nelle relazioni tecnologiche, ma non può e non deve tradursi in sfiducia verso le persone. Al contrario, una sicurezza realmente efficace richiede una fiducia piena e consapevole nella Comunità interna, fatta di personale tecnico-amministrativo, docenti, ricercatori e collaboratori che ogni giorno erogano servizi essenziali non solo al PTA, ma anche a studenti, studiosi, professionisti, enti esterni e partner istituzionali. Senza questa fiducia, nessuna architettura tecnologica può essere sostenibile nel tempo.

È opportuno richiamare, nel contesto di questo Ateneo, un principio metodologico fondamentale ampiamente riconosciuto nella letteratura specialistica sulla gestione degli incidenti informatici: la qualità e la spendibilità di una prova forense si giocano nei primi minuti successivi alla scoperta di un incidente. In tale fase, l’azione tempestiva nel preservare evidenze digitali, nell’attivare procedure di raccolta strutturata e nel contenere la compromissione non solo facilita una ricostruzione accurata della sequenza di attacco, ma costituisce anche un elemento critico ai fini della compliance regolatoria e dell’assolvimento delle responsabilità organizzative previste dalla normativa vigente, inclusa la direttiva NIS2.

In relazione all’incidente che ha coinvolto l’Ateneo nel 2023, questa prospettiva evidenzia l’importanza di un approccio non solo reattivo, ma proattivo e “forensics-first” nella gestione degli eventi. La raccolta, la conservazione e la documentazione delle prove digitali sin dalle primissime fasi di un incidente informatico costituiscono, infatti, il fondamento per qualsiasi successiva analisi tecnica affidabile, per la valutazione delle cause profonde dell’attacco e per la costruzione di una narrazione istituzionale trasparente e documentabile. Tale approccio non solo rafforza la capacità di comprendere cosa sia avvenuto, ma consente di trasformare un episodio critico in un’opportunità di apprendimento, di adeguamento delle misure di sicurezza e di consolidamento della fiducia della comunità universitaria e degli stakeholder esterni.

Alla luce di questo excursus, si ritiene che il tema centrale oggi sia quello della trasparenza e della rendicontazione. A distanza di tempo dagli eventi del 2023, non risultano pubblicamente disponibili comunicazioni istituzionali strutturate sugli esiti complessivi delle attività di Incident Response, né risulta noto se e con quali esiti si siano concluse eventuali interlocuzioni con l’Autorità Garante per la Protezione dei Dati Personali o con l’Agenzia per la Cybersicurezza Nazionale: la mancanza di una restituzione chiara rischia di lasciare spazio a interpretazioni frammentarie e a una percezione di opacità.

In una nuova stagione di governo dell’Ateneo, che ha posto tra i propri obiettivi dichiarati la trasparenza, la responsabilità e il rafforzamento della sicurezza digitale, si ritiene che una comunicazione istituzionale di chiarimento rappresenti un passaggio naturale e coerente anche con gli obiettivi della Direzione Generale ed i piani strategici di Ateneo: rendicontare le azioni intraprese, le risorse impiegate, le misure strutturali adottate e le direttrici di miglioramento future non significa esporre vulnerabilità, ma rafforzare la fiducia reciproca e la coesione della Comunità universitaria.

Si chiede, pertanto, che l’Amministrazione promuova una restituzione pubblica e interna sugli eventi del 2023 e sulle strategie di rafforzamento della cybersicurezza di Ateneo, valorizzando l’eredità ricevuta come occasione di maturazione e di rilancio.

Ringraziando anticipatamente dell’attenzione che si vorrà riservare a questa riflessione-denuncia, di interesse pubblico, e l’augurata opportunità nel pubblicare su web e social, si porgono cordiali saluti.