Cyberwarfare: cos’è, gli esempi e le criticità


Articolo
Alessandro D'Amato
cyber

Il conflitto russo-ucraino ha certamente contribuito a rendere più complesso lo scenario geopolitico, con ripercussioni anche per il “quinto dominio”: il cyberspazio. Difatti – come si evince dal Rapporto CLUSIT in uscita in questi giorni – nel 2022 sono stati registrati 2489 attacchi cyber, numero che consente di evidenziare una crescita del 21% rispetto all’anno precedente, con una media di 207 attacchi al mese (171 nel 2021). Oltre che in quantità, gli attacchi sono cresciuti anche in gravità, arrivando a livelli di impatto elevato o critico nell’80% dei casi, ossia con una ripercussione rilevante per le vittime a livello di immagine, di aspetto economico, sociale e dal punto di vista geopolitico. Tali dati consentono di affermare che il 2022 è stato l’anno peggiore di sempre per la cibersicurezza.

Fonte: Clusit – Rapporto sulla Sicurezza ICT in Italia, marzo 2023

L’impatto della guerra si può notare nella distribuzione geografica dei cyber-attacchi: si è ridotta l’area di attacchi verso gli USA (dal 45% al 38%), mentre è aumentata (dal 21% al 24%) quella in area europea. Peraltro – rispetto al 2021 – è cresciuto notevolmente il fenomeno dell’Hacktivism (+320%), sfruttato spesso per rivendicazioni a supporto dell’una o dell’altra parte in guerra, così come sono aumentati gli attacchi riferibili all’Information Warfare (+110%). Il trend è decisamente in crescita, per cui tali dati non vanno sottovalutati, soprattutto se si considera che secondo il Report “NIS Investments” un grave incidente di sicurezza informatica produce un danno economico medio pari a €200 mila nell’UE (il danno medio nel 2021 era di €169 mila). Il costo medio aumenta a €475 mila per le banche, €423 mila per le organizzazioni del settore sanitario e €462 mila per quello energetico. I soggetti mediamente meno danneggiati sono invece i marketplace online (€150 mila), le infrastrutture digitali (€143 mila) e cloud computing (€104 mila); questo risultato può trovare giustificazione nel fatto che tali aziende sono molto più attrezzate a rispondere a un evento malevolo.

ALLA RICERCA DI UNA DEFINIZIONE DI “CYBERWARFARE”

Il 23 febbraio 2022, diverse ore prima dell’inizio del conflitto convenzionale, alcuni “attori” (ipoteticamente russi) cominciarono un importante attacco cibernetico contro le infrastrutture critiche ucraine, a partire dal servizio satellitare ViaSat, colpito con un tipo di malware predisposto alla mera cancellazione dei dati (wiper) denominato a posteriori AcidRain. Ma cosa si intende esattamente per “guerra cibernetica (o informatica)”? In realtà, gli esperti preferiscono non fare riferimento a una vera e propria “cyberwar”, in quanto non si ritiene che si sia (ancora) verificata l’ipotesi di un conflitto combattuto – quantomeno prevalentemente – nel cyberspazio, bensì si è sempre registrato un qualche legame con operazioni militari tradizionali (come nel conflitto russo-ucraino). Pertanto, si predilige l’utilizzo del termine “cyberwarfare”, al fine di fare riferimento – più correttamente – agli atti di guerriglia nel dominio cibernetico, ossia indicare quell’attacco o quella serie di attacchi che prendono di mira diverse strutture di un Paese, potendone interrompere i rispettivi servizi critici, strategici ed essenziali, con conseguenze importanti in termini di danni (non solo economici) per uno Stato, fino a poter comportare una perdita di vite umane. Inoltre, per evitare di confondere il mero cyber-attacco con uno più specifico di cyberwarfare, ci dovrebbero essere almeno due elementi comuni con la guerra “fisica”, ossia: il coinvolgimento di uno Stato (oggi può accadere che non vi siano solo Stati come parti del conflitto) e l’uso della forza, che viene a declinarsi come utilizzo della forza cibernetica (o meglio, delle cosiddette cyber-weapons) per distruggere/destabilizzare informazioni o sistemi informativi critici del nemico, ovvero procurare un danno fisico – anche indirettamente – a cose o a persone. Peraltro, è opportuno sottolineare come non esiste ancora una definizione universalmente riconosciuta sul tema, ma ce ne sono alcune diffuse in ambito nazionale (ad esempio, nel Glossario Intelligence, Sistema di Informazione per la Sicurezza della Repubblica) e internazionale, come nel caso del Department Of Defense Law Of War Manual – 2016 (USA), ovvero del Manuale di Tallin 2.0 – 2017. Quest’ultimo è stato pubblicato da un gruppo di esperti della NATO – il Cooperative Cyber Defense Center of Excellence (CCDCoE) – ma, nonostante gli venga riconosciuta una certa autorevolezza, non ha natura vincolante e non esprime la posizione ufficiale della stessa organizzazione.

GLI ATTI DI GUERRIGLIA NEL “QUINTO DOMINIO”: ESEMPI E PROBLEMI DI IMPUTAZIONE

Ciò premesso, si possono comunque riportare diversi esempi di cyberwarfare nella storia recente, come i casi celebri di:
• Estonia 2007. Per circa 20 giorni, l’Estonia è stata colpita ripetutamente da attacchi DDoS (Distributed Denial-of-Service), causando il collasso del sistema bancario, di numerosi servizi governativi, di alcune società e del sistema mediatico, di fatto isolando completamente il Paese dal resto del mondo;
• Georgia 2008. Il primo esempio di uso intensivo del dominio cibernetico nell’ambito di un conflitto tradizionale, in quanto gli obiettivi vennero colpiti poco prima dai cyber-attacchi e solo successivamente anche fisicamente, attraverso le operazioni militari;
StuxNet 2009. Considerato il primo malware appositamente progettato per danneggiare fisicamente un impianto di arricchimento dell’uranio in Iran, infettando in seguito i dispositivi dotati di alcune versioni del sistema operativo Microsoft in tutto il mondo;
WannaCry e NotPetya 2017. Si tratta, in entrambi i casi, di ransomware. In particolare, NotPetya ha avuto molto “successo”, arrecando danni per circa $10 miliardi, avendo criptato dapprima dispositivi – a volte distruggendo i dati lì contenuti – utilizzati da istituzioni pubbliche, banche, servizi postali, giornali, infrastrutture di trasporto e aziende in Ucraina, estendendosi poi su scala globale, giungendo a diverse aziende europee e statunitensi.

Ancora oggi, però, uno dei principali problemi circa il riconoscimento di un attacco di cyberwarfare sta nella possibilità di ricondurlo, direttamente o indirettamente, a un attore statale. In sostanza, la cosiddetta analisi di attribuzione di un qualsiasi attacco informatico deve tenere conto, da un lato, di una serie di caratteristiche, quali: le possibili ragioni che hanno reso quel sistema o quell’infrastruttura un bersaglio; le caratteristiche geografiche, come il fuso orario in cui si sono registrate una o più azioni connesse all’attacco; il “vocabolario” del codice con cui è stata progettata la cyber-arma (ad esempio, virus, trojan, spyware, worm); le tracce che si possono lasciare in rete, come l’indirizzo IP. Dall’altro lato, gli analisti devono considerare anche le cosiddette “false flag” – false bandiere – ossia degli elementi inseriti appositamente nel codice per depistarli e indirizzarli erroneamente verso un gruppo di un altro Stato, ovvero per simulare specificamente un attore notoriamente vicino a un altro Paese, con la finalità di determinare un’escalation tra le due nazioni interessate. Di conseguenza, complice un atteggiamento di costante smentita (se non, talvolta, di totale silenzio) da parte del soggetto “mandante”, allora l’analisi di attribuzione non può che rimanere, almeno ufficialmente, sul piano probabilistico. In definitiva, data la difficoltà di imputazione, gli attacchi cyber stanno assumendo un ruolo sempre più rilevante all’interno delle relazioni geopolitiche, sia come armi di offesa e spionaggio, sia come strumenti per garantirsi risorse economiche.

LA STRATEGIA UE SULLA CIBERSICUREZZA

Un simile scenario ha determinato un crescente intervento delle istituzioni europee a partire dal 2013, anno in cui è stata lanciata la prima strategia europea sulla cybersecurity. Gli anni a seguire sono stati costellati da numerose e rilevanti iniziative tese a creare un ecosistema digitale quanto più possibile sicuro: nel 2016, in particolare, è stata approvata la direttiva NIS (direttiva n. 1148/2016) con la quale sono state adottate per la prima volta misure organiche nel settore della cibersicurezza ed è stato implementato un sistema di cooperazione tra UE e Stati membri in materia. Nel 2019, invece, il Reg. n. 881/2019 (il cosiddetto Cybersecurity Act) ha conferito mandato permanente all’ENISA circa la creazione e il mantenimento di un quadro europeo di certificazione in materia di cibersicurezza. Inoltre, nel 2020, la Commissione ha proposto il Cybersecurity package, costituito dalla “Strategia dell’UE in materia di cibersicurezza per il decennio digitale”, una nuova direttiva sulla resilienza dei soggetti critici (oggi direttiva CER – n. 2557/2022) e una proposta di direttiva NIS 2 (n. 2555/2022). Accanto a tali normative, una menzione va fatta anche al Reg. n. 2554/2022 (DORA) che, similmente alla NIS2, pone il focus sulla resilienza operativa digitale, in questo caso, del settore finanziario.

Come richiamato dalla nuova Strategia e già precisato nelle Linee guida per la Commissione europea 2019-2024, particolare attenzione è dedicata alla creazione di un’Unità congiunta per il cyberspazio, avente il compito principale di gestire situazioni di emergenza dovute ad attacchi e incidenti di carattere transfrontaliero, nonché coinvolgere gli esperti delle comunità della cibersicurezza. Si tratta di comunità eterogenee che possono essere distinte in base alla rappresentazione geografica, al ruolo, all’identità, alla competenza o agli obiettivi che perseguono (ad esempio, comunità di produttori e di utilizzatori di prodotti di cibersicurezza oppure delle donne o dei giovani che lavorano nella cybersecurity). Esse dovranno essere coordinate – così come previsto nel Regolamento ECCC – dai Centri di Coordinamento nazionali (NCC), da realizzarsi in ogni Stato membro dell’UE, per poi – auspicabilmente – confluire nella Comunità Europea per la cibersicurezza (art. 8.2 Reg. ECCC).

Da un punto di vista operativo, l’Unità sarà – entro giugno 2023 – pronta a individuare i segnali di attacchi informatici, grazie all’impiego di strumenti basati sull’intelligenza artificiale, in collaborazione con la rete CSIRTS, l’ENISA e il Cybercrime Centre (EC3) creato presso l’EUROPOL.

CONCLUSIONI

Nonostante nel conflitto russo-ucraino la maggior parte degli attacchi cibernetici siano stati bloccati o mitigati dall’Ucraina (salvo il caso ViaSat sopra menzionato), anche grazie al costante supporto di alcuni Paesi occidentali, ciò che emerge riguarda lo stretto collegamento tra attacchi “fisici” (ad esempio, sabotaggi e bombardamenti) e attacchi cyber. Pertanto, il cyberspazio è ancora limitato a terreno “virtuale” (non senza conseguenze materiali) per agevolare e supportare metodologie militari più convenzionali, nonché per amplificare il più possibile gli effetti della propaganda e della disinformazione in rete. Altro elemento da tenere in considerazione sta nel fatto che, a livello globale, si registra una crescente richiesta di armi cibernetiche (cyber-weapons), in particolar modo nel deep web.

In definitiva, non bisognerebbe né assumere un atteggiamento allarmante, in quanto i cyberattacchi si verificano di continuo, né abbassare la guardia, ma anzi tendere a innalzare la postura di cibersicurezza nazionale ed europea tramite – ad esempio – normative, standard comuni e certificazioni, così da garantire la resilienza del settore pubblico e di quello privato, nonché la sicurezza fisica e digitale dei cittadini in tutti gli Stati membri.

Dopo la laurea triennale in "Scienze Investigative" presso l'Università degli Studi di Foggia, ha conseguito con lode la laurea magistrale in "Scienze Giuridiche della Sicurezza - Sicurezza e circolazione dei dati" presso la stessa Università. Dal 2023 è ricercatore per l'Istituto per la Competitività (I-Com), occupandosi di temi inerenti la cybersicurezza, la new space economy e l'intelligenza artificiale.

Nessun Articolo da visualizzare