A cura del Dott. Pierpaolo Piras, membro del Comitato per lo Sviluppo di Mondo Internazionale APS
Attacchi ransomware, interferenze digitali in campagna elettorale, spietato spionaggio aziendale, pericolose minacce all'integrità della rete elettrica. Questi sono solo alcuni dei titoli più importanti tratti dai mezzi d’informazione attuali. Sembra quasi che ci siano poche speranze di creare un sistema e una misura capaci di porre ordine nell'attuale anarchia che ha invaso il cyberspazio.
Il ransomware è una forma di malware (codice sviluppato da un hacker allo scopo di causare danni e ottenere un accesso non autorizzato a una rete che all’istante rende indecifrabili i dati di una vittima. L'attaccante chiede quindi un riscatto dalla vittima per ripristinare l'accesso ai dati al momento del pagamento.)
Tali fenomeni dipingono il quadro di un mondo online privo di un governo ed una protezione che sta diventando sempre più dannoso, con implicazioni progressivamente più venefiche non solo per il cyberspazio, ma anche per le economie, la geopolitica, le società democratiche e non in ultimo le questioni fondamentali capaci di condizionare i processi di pace e di guerra.
Data questa preoccupante realtà, ogni suggerimento che sia possibile creare regole nel governo del cyberspazio tende ad essere accettato con diffidenza: gli attributi fondamentali del cyberspazio rendono difficile far rispettare qualsiasi norma o persino sapere se vengono in primo luogo violati oppure no.
Gli Stati che affermano il loro sostegno alle "cyber norms" sono gli stessi che conducono simultaneamente operazioni informatiche complesse e su larga scala contro i loro eventuali avversari. Nel dicembre 2015, ad esempio, l'Assemblea generale delle Nazioni Unite fa titolo per la prima volta approvando una serie di 11 cyber norms internazionali su base volontaria e non vincolante. Sulle prime anche la Federazione Russa aveva contribuito ad elaborare queste norme e in seguito ha firmato la loro pubblicazione.
Fa sensazione che nello stesso mese, Mosca ha condotto un attacco informatico contro la rete elettrica dell'Ucraina, lasciando oltre 200.000 persone senza elettricità per diverse ore, e stava anche intensificando i suoi sforzi per interferire nelle elezioni presidenziali statunitensi del 2016. Per i più scettici, questo è servito come ulteriore prova che stabilire norme per il comportamento responsabile dello stato nel cyberspazio è un sogno realizzabile solo in parte.
In una visione più ottimistica, invece, questo scetticismo rivela altresì un fraintendimento su come funzionano le norme e si rafforzano nel tempo. Va da sé che le violazioni, se non affrontate, possono indebolire qualsiasi norma, ma non per questo le rendono irrilevanti.
Le norme creano aspettative sul comportamento dei protagonisti che consentono di ritenere responsabili gli altri Stati. Le norme aiutano anche a legittimare le azioni ufficiali e aiutano gli Stati a reclutare alleati quando decidono di rispondere a una violazione dei propri sistemi.
Poi, le norme non appaiono improvvisamente o iniziano a funzionare da un giorno all'altro. La storia dimostra che le società impiegano del tempo per imparare a replicare ai grandi cambiamenti tecnologici - specie quelli più dirompenti - e per mettere in atto regole che rendano il mondo più sicuro dai nuovi pericoli.
Ci sono voluti due decenni dopo che gli Stati Uniti hanno sganciato le testate nucleari sul Giappone affinché i Paesi raggiungessero un accordo sul Trattato di divieto limitato degli esperimenti nucleari e sul Trattato di non proliferazione nucleare.
Sebbene la tecnologia informatica presenti sfide uniche e originali nella materia digitale, le norme internazionali per governarne l'uso sembrano svilupparsi nel solito modo: lentamente ma costantemente, nel corso dei decenni.
Man mano che prendono piede, tali norme saranno sempre più fondamentali per ridurre il rischio che i progressi della tecnologia informatica potrebbero rappresentare per l'ordine internazionale, specialmente se Washington e i suoi alleati e partner rafforzano tali norme con altri metodi di analisi e deterrenza.
Le voci di alcuni analisti sostengono che la deterrenza non funziona nel cyberspazio, ma questa conclusione appare semplicistica: si può dire infatti che funziona in modi diversi rispetto, ad esempio, al dominio nucleare. E inoltre perché le strategie alternative si sono dimostrate per lo più carenti e ancora semi fallimentari.
Mentre gli obiettivi continuano a proliferare, gli Stati Uniti devono perseguire una strategia che combini deterrenza e diplomazia per rafforzare le proprie azioni in questo nuovo e pericoloso cybermondo.
Il record di stabilire norme in altre aree offre un utile punto di partenza e dovrebbe dissipare l'idea che questo problema e questa volta siano diversi.
Man mano che gli attacchi informatici diventano più dannosi, costosi e difficili da riparare, la strategia del mondo occidentale per difendersi da essi rimane ancora inadeguata.
Una buona strategia deve iniziare nel domicilio di ognuno, ma allo stesso tempo riconoscere l'inseparabilità degli aspetti nazionali e internazionali del cyberspazio: il dominio del cyberspazio è per sua natura intrinsecamente transnazionale.
Inoltre, la sicurezza informatica comporta un offuscamento delle vulnerabilità pubbliche e private. Internet è fondamentalmente una rete di reti, la maggior parte delle quali sono di proprietà privata.
A differenza delle armi nucleari o convenzionali, il governo non le controlla. Di conseguenza, le aziende fanno i propri compromessi tra l’investimento in sicurezza e massimizzare il profitto possibilmente a breve termine.
Tuttavia, una difesa aziendale inadeguata può avere enormi costi esterni per quanto concerne la sicurezza nazionale: lo testimonia il recente attacco informatico russo al software SolarWinds, che ha permesso l'accesso ai computer in tutto il governo degli Stati Uniti e nel settore privato. Qui, a differenza di quanto accade nella sicurezza militare, il Pentagono gioca un ruolo parziale.
Nel regno di un ipotetico conflitto militare globale, le reti di computer sono diventati un quinto dominio, oltre ai tradizionali quattro di terra, mare, aria e spazio, e l'esercito americano lo ha riconosciuto con la creazione del Cyber Command nazionale degli Stati Uniti nel 2010. Tra le caratteristiche del tutto speciali del nuovo cyber-dominio ci sono l'erosione della distanza (gli oceani non forniscono più protezione), la velocità di interazione (molto più veloce dei razzi nello spazio), il basso costo (che riduce le barriere all'ingresso) e la difficoltà di attribuzione (che promuove la negabilità e rallenta le risposte).
Tuttavia, gli scettici – per fortuna sono sempre meno - a volte descrivono gli attacchi informatici come un fastidio più che un grave problema strategico. Sostengono che il dominio cibernetico è l'ideale per lo spionaggio e altre forme di azione segreta e di distruzione, ma che rimane molto meno importante dei domini tradizionali della guerra. Oppure attraverso l’affermazione banale che nessuno è mai morto a causa di un attacco informatico.
Questo, tuttavia, sta diventando una posizione sempre più difficile da assumere e sostenere. Valga per tutti l'attacco ransomware “WannaCry” del 2017 che ha danneggiato il servizio sanitario nazionale britannico lasciando i computer crittografati e inutilizzabili, costringendo migliaia di appuntamenti dei pazienti a essere cancellati. Si aggiungano i danni arrecati ad ospedali e produttori di vaccini direttamente presi di mira da attacchi ransomware e hacker durante la pandemia COVID-19.
Inoltre, rimane difficile da capire su come l'uso degli strumenti informatici potrebbe determinare un danno fisico. Potrebbe esserlo per via del tutto indiretta: si può considerare, ad esempio, il fatto che l'esercito americano dipende fortemente dalle infrastrutture civili e che le intrusioni informatiche potrebbero seriamente degradare le capacità difensive dello Stato in un’acuta condizione di crisi internazionale.
Secondo una valutazione economica, la portata e il costo degli “incidenti” informatici sono aumentati. Secondo alcune stime, l'attacco NotPetya del 2017 promosso dalla Russia in Ucraina, che ha cancellato i dati dai computer di banche, compagnie elettriche, stazioni di servizio e agenzie governative, è costato alle aziende più di 10 miliardi di dollari in danni collaterali.
Anche il numero di obiettivi si sta espandendo rapidamente. Con l'aumento dei big data, dell'intelligenza artificiale, della robotica avanzata e dell'Internet of Things, gli esperti stimano che il numero di connessioni Internet si avvicinerà a un trilione entro il 2030.
Il mondo ha subito attacchi informatici dal 1980, ma la superficie di attacco si è espansa drammaticamente; ora include di tutto, dai sistemi di controllo industriale alle automobili agli assistenti digitali personali. Le norme non sono efficaci fino a quando non diventano una pratica statale comune, e questo può richiedere tempo.
È chiaro che la minaccia sta montando. Meno chiaro è come la strategia del mondo occidentale possa adattarsi per affrontarla.
La deterrenza deve essere parte dell'approccio, ma la deterrenza informatica apparirà diversa dalle forme più tradizionali e familiari di deterrenza nucleare che Washington ha praticato per decenni. Un attacco nucleare è un evento singolare e l'obiettivo della deterrenza nucleare è prevenirne il verificarsi.
Al contrario, gli attacchi informatici sono numerosi e costanti, e scoraggiarli è più arduo che scoraggiare il crimine ordinario: per il momento l'obiettivo è riuscire a mantenerlo entro i limiti.
Le autorità scoraggiano il crimine non solo arrestando e punendo le persone, ma anche attraverso l'effetto educativo di leggi e norme, pattugliando i quartieri e attraverso la polizia del territorio.
Tuttavia, la punizione gioca un ruolo importante nella deterrenza informatica. Il governo degli Stati Uniti ha dichiarato pubblicamente che risponderà agli attacchi informatici con armi di sua scelta e con una forza proporzionale al danno inflitto ai suoi interessi.
Nonostante un decennio di avvertimenti, finora, una "cyber-Pearl Harbor" non è accaduta. Se gli Stati Uniti trattano un attacco informatico come un attacco armato dipende dalle sue conseguenze, ma questo rende difficile scoraggiare azioni più ambigue e insidiose.
L'interruzione da parte della Russia delle elezioni presidenziali statunitensi del 2016 è caduta in una zona grigia. E sebbene alcuni recenti attacchi informatici cinesi e russi sembrino essere stati condotti principalmente a scopo di spionaggio, l'amministrazione Biden si è lamentata del fatto che la loro portata e durata li ha spostati oltre il normale spionaggio.
Questo è il motivo per cui la deterrenza nel cyberspazio richiede non solo la minaccia di ritorsioni, ma anche la negazione da parte della difesa (costruire sistemi abbastanza resilienti e abbastanza duri da penetrare in ciò che gli aspiranti aggressori non si preoccuperanno di provare) e l'entanglement (creando collegamenti a potenziali avversari in modo che qualsiasi attacco che lanciano probabilmente danneggerà anche i loro interessi). Ognuno di questi approcci ha dei limiti se usato da solo.
Le norme non sono efficaci fino a quando non diventano una pratica statale comune, e questo richiede tempo sia per il suo impianto e regolamentazione che per l’allestimento e l’addestramento degli addetti ai lavori.
Ci sono voluti molti decenni perché le norme contro la schiavitù si sviluppassero in Europa e negli Stati Uniti nel diciannovesimo secolo.
Share the post
L'Autore
Redazione
Tag
CyberSecurity Digitale