Il conflitto tra Russia e Ucraina è forse il primo vero esempio di guerra ibrida che si combatte tanto sul fronte armato quanto sul mondo virtuale. Un mondo virtuale che non contribuisce più solo alla propaganda mediatica, ma che diventa vero corpo armato capace di avere ricadute sul mondo fisico.
Uno degli aspetti più rivoluzionari della guerra informatica è che la distanza fisica tra attaccante e vittima può essere irrilevante. L’essenza della connettività, che comprende tutti i nodi che intercorrono tra due punti qualsiasi di Internet, può essere ricondotta alla larghezza di banda disponibile e alla latenza del mezzo di comunicazione. In altre parole, hardware e software sono quelli che definiscono il campo di battaglia e non le montagne, le valli o i corsi d’acqua. In questo contesto, sia gli ostacoli sia i vantaggi tattici e strategici sono appannaggio non della forza fisica ma della logica e dell’innovazione.
Gli obiettivi della guerra informatica sono di infliggere danni al proprio avversario a distanza in modo simile a quanto avviene con un bombardamento aereo o un attacco sottomarino. Gli attacchi informatici sono vincolati al cyberspazio e i “combattimenti” si svolgono in un mondo artificiale fatto di computer, database e reti; ciononostante, il loro obiettivo finale è di portare cambiamenti nel mondo reale.
Il conflitto tra Russia e Ucraina ha messo bene in evidenza questa capacità della guerra digitale di avere ricadute che escono non solo dal mondo digitale, ma anche dai confini nazionali del conflitto, in modi anche imprevedibili. Tra i tanti esempi, anziché citare le misure internazionali più eclatanti, ricordiamo l’iniziativa senza precedenti dell’Agenzia per la cybersicurezza nazionale (Acn) italiana che, il 21 aprile 2022, ha diramato la Circolare n. 4336 con cui imponeva agli enti della Pubblica Amministrazione di procedere alla sostituzione dei prodotti e dei servizi tecnologici di sicurezza informatica forniti da tre note aziende multinazionali russe: Kaspersky Lab, Group-IB e Positive Technologies. La ragione ufficiale è stata il rischio che queste aziende legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti di sicurezza informatica (con valenza critica), in conseguenza della crisi in Ucraina.
In realtà le motivazioni stanno a metà tra un approccio sanzionatorio e il timore che, in qualche modo, i prodotti di sicurezza installati in modo distribuito su centinaia di migliaia di dispositivi possano essere utilizzati per fini illeciti sotto una regia “putiniana”.
A rendere l’Italia sospettosa va osservato come il nostro Paese sia oggetto di un’escalation nei cyber attacchi subiti. L’ultimo dal punto di vista cronologico di un certo rilievo è avvenuto l’11 maggio 2022 ed è stato rivendicato dal collettivo filo russo Killnet sui suoi canali Telegram dove minacciava una cinquantina di obiettivi che includevano ministeri, aziende, autorità di garanzia, media, organi giudiziari. Si è trattato di un attacco di tipo DDoS (Distributed Denial of Service) che ha sovraccaricato, bloccandoli, innumerevoli siti culturali e istituzionali inclusi quelli di Senato e Difesa.
Gli attacchi alle infrastrutture critiche
Negli ultimi anni gli analisti si sono molto occupati di analizzare gli attacchi basati su malware indirizzati alle infrastrutture critiche, compresi i sistemi ICS (Industrial Control Systems) e SCADA (Supervisory Control and Data Acquisition) evidenziandoli come una grave minaccia informatica.
La possibilità che un attacco a un’infrastruttura critica abbia devastanti ripercussioni è, infatti, un accadimento possibile che va affrontato in modo specifico: si pensi a sistemi che regolano e controllano energia, distribuzione dell’acqua, comunicazioni, trasporti e così via. A complicare le cose c’è il fatto che alcune infrastrutture critiche sono in mano a privati. I fornitori di servizi Internet, per esempio, in genere affittano linee di comunicazione a enti governativi e imprese.
Peraltro, oggi le infrastrutture critiche nazionali sono, come ogni altra cosa, sempre più connesse a Internet e, di conseguenza, la loro reale vulnerabilità agli attacchi informatici dipende dal livello di interazione con il mondo IT che è ciò che abbatte le barriere tra il mondo virtuale e quello reale. Questo non significa che i sistemi chiusi (verso Internet) siano sempre sicuri. Spesso, per esempio, si trascurano i controlli di sicurezza negli interventi di manutenzione duranti i quali sistemi industriali potrebbero essere compromessi o infettati da malware.
Gestire il rischio del cyber terrorismo a livello Paese
Per potersi preparare a un futuro in cui la guerra ibrida diventerà la norma e per poter affrontare il tema della gestione del rischio a livello di nazione, diventa essenziale analizzare costantemente i fattori politici e sociali che guidano i cyber attacchi ovvero le motivazioni e le capacità operative degli attaccanti e il livello di esposizione degli obiettivi.
Nell’adottare un approccio di gestione del rischio al cyber terrorismo a livello Paese ci sono diversi temi da considerare. Analizziamo i principali.
Innanzitutto, è essenziale comprendere in che misura le attività produttive e le infrastrutture del nostro Paese rappresentino un obiettivo specifico per gli attacchi informatici da parte di gruppi organizzati e competenti di cyber criminali. Questo significa riuscire a contestualizzare la propria natura di possibile bersaglio all’interno di uno scenario politico internazionale. È poi bene analizzare quale sia la capacità di prevenire e rispondere efficacemente agli attacchi informatici alle infrastrutture nazionali critiche che sono essenziali per mantenere i servizi essenziali, ma anche per garantire la stabilità sociale. L’Estonia nel 2007 fu oggetto di una serie di attacchi informatici che durarono 22 giorni (sembra per la decisione di spostare una statua di epoca sovietica) paralizzando il settore finanziario, i media e il governo e creando proteste diffuse che in alcuni casi sfociarono in atti violenti.
Un altro tema rilevante è quanto le infrastrutture critiche di un Paese dipendano dai sistemi IT (che sono quelli esposti ai cyber attacchi): un parametro che definisce “l’idoneità” a essere oggetto di attacchi informatici come mezzo di azione offensiva. Per esempio, la Corea del Sud si distingue per essere uno dei paesi più connessi digitalmente al mondo e, di conseguenza, anche dei più esposti a possibili attacchi a causa della forte dipendenza delle sue infrastrutture critiche dall’IT.
Un ultimo aspetto da sottolineare è il livello di consapevolezza della popolazione rispetto ai rischi legati ad attacchi informatici e cyber terrorismo. Si tratta di un aspetto che può essere condizionato dalle politiche statali: per esempio con la creazione di un’efficiente agenzia nazionale per la sicurezza informatica o con l’adozione di programmi scolastici adeguati.