SOGGETTI E AMBITI DELLA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLE PROPOSTE DI CYBER GOVERNANCE? *

Transcript

1 SOGGETTI E AMBITI DELLA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLE PROPOSTE DI CYBER GOVERNANCE? * GERMANA TAPPERO MERLO 1. La minaccia cibernetica e la definizione di cyber security. Nel corso di poco più di un anno, l attenzione per la sicurezza in ambito cibernetico è andata aumentando in maniera così rapida e diffusa da far comprendere il livello a cui è giunta la preoccupazione di tutti i soggetti presenti in quello spazio, sia nei settori civili che in quelli militari: l attività di ricerca, di analisi e di elaborazione di dati da parte di enti privati, governativi e sovranazionali è stata, infatti, così intensa da segnare un passo in avanti molto importante nell ordinamento di uno dei settori più nevralgici per la vita politica, economica, sociale ma soprattutto militare di una nazione. La frenesia che ha caratterizzato il susseguirsi di incontri sulle minacce cibernetiche è stata giustificata dalla pubblicazione di dati circa gli attacchi e i conseguenti danni subiti sia da aziende private che da organismi istituzionali, come pure, sebbene si sia trattato di casi più rari e complessi, anche dalle strutture preposte alla difesa nazionale (dall industria bellica ai sistemi militari di C4I 1 ), considerando che, ogni giorno, la politica, l economia e la finanza mondiali dipendono dalla rete internet e dalle sue infrastrutture, dai cablaggi sottomarini che trasportano il 99% del traffico presente in rete 2 a tutti i servizi mobile e satellitari. Non è un caso che la spesa * Ringrazio Arno H. P. Reuser per il prezioso contributo nella raccolta della documentazione originale utilizzata per la stesura di questo saggio. 1 Si tratta del sistema di comando, controllo, comunicazione, computer e intelligence utilizzato dalle Forze armate in ambito Nato. 2 Ogni giorno transazioni per 5mila miliardi di dollari percorrono le reti di cablaggio sottomarine (Global Undersea Communications Cable Infrastructure, GUCCI); la sicurezza di questa infrastruttura è fra le priorità emerse nel corso di numerosi incontri sui rischi e sugli obiettivi degli attacchi informatici. La Comunità Internazionale Fasc. 1/2012 pp EDITORIALE SCIENTIFICA SRL

2 26 LA COMUNITÀ INTERNAZIONALE globale per la sicurezza del web abbia raggiunto, nel 2011, i 60 miliardi di dollari, prevedendone un incremento stando ai dati attuali circa le potenzialità delle minacce conosciute al momento di un 10% per i prossimi tre-cinque anni. Solo in Italia, ad esempio, si è passati dalle poco più delle 7600 intrusioni sul sistema web delle imprese nel 2009, a circa registrate nei primi mesi del 2011, con un danno accertato di 200 milioni di euro destinato a salire, secondo le stime di agenzie preposte alla sicurezza informatica 3, a milioni di euro nel Gli attacchi a siti istituzionali di ogni tipo e in ogni dove nel mondo hanno avuto, invece, più un carattere di intrusione e di blocco di attività, com è accaduto al sistema informatico della Commissione Europea a marzo del 2011, alla vigilia di un summit in cui sarebbe stato discusso il futuro dell Unione (con relative strategie e azioni nella guerra in Libia), o quello che ha compromesso i computer di dieci fra le massime cariche ministeriali australiane. Ma il numero maggiore di incidenti è stato registrato negli Stati Uniti, stando al rapporto del Computer Emergency Readiness Team del Department of Homeland Security, secondo il quale, dal 2006 al 2011, gli attacchi sono cresciuti del 659% 5. Anche se ciò non ha comportato un danno economico immediato, le ripercussioni politiche e la consapevolezza di una vulnerabilità del proprio sistema di raccolta, di elaborazione e di diffusione di dati, oltreché organizzativo, sono state di grande impatto tanto da allertare e far prendere coscienza che si tratti veramente di una minaccia reale e fondata, e non di una semplice operazione di marketing da parte delle aziende di sicurezza informatica. Il più delle volte si tratta di azioni di crackeraggio che agiscono soprattutto attraverso le , considerate i principali vettori di attacchi informatici, con sistemi spearphishing (tra cui spam, fishing, malware 6 e così via), e che concretizzano quella molteplicità di illeciti 3 BLITZBLAU, Cyber-Espionage Threats and Impacts on Italian Economy and Businesses, Maglan Europe srl, relazione presentata alla 2 International Warfare Conference, Roma 27 ottobre Per gli Stati Uniti e per le differenti ipotesi di costi, si veda Foreign Spies Stealing US Economic Secrets in Cyberspace, Report to Congress on Foreign Economic Collection and Industrial Espionage, , Oct Con malware si intende tutta la vasta gamma di virus malevoli in grado di introdursi nei sistemi operativi, bloccarli o carpire e diffondere informazioni in essi contenute. Fra gli obiettivi più recenti di virus (fra i quali il più noto è stato il malware Sykipot) utilizzati per infetta-

3 LA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLA CYBER GOVERNANCE 27 che caratterizzano il cyber crime così come viene inteso dalla giurisprudenza nazionale e internazionale dai più comuni furti d identità, truffe tramite l internet banking, alle operazioni di frodo cyber ransom 7. Si tratta, comunque, di intromissioni a relativamente basso profilo tecnico sebbene con abbondanti vantaggi economici, da distinguere da quelle a maggior impatto operativo come le DDoS 8, o il cui obiettivo è la violazione dei diritti di proprietà intellettuale (IP), con più ragguardevoli propositi illeciti, che si configurano come spionaggio industriale vero e proprio. Per il primo caso, infatti, ossia illeciti on line per un guadagno immediato, si tratta per lo più di mass attacks, ossia di azioni indiscriminate ad ampio spettro e con una pluralità di bersagli indistinti ma con un unica caratteristica, ossia l individuazione delle vittime di possibili obiettivi di furti e di truffe attraverso la raccolta di informazioni personali e l aggancio alla loro in questo caso, un ruolo dominante è svolto dai social network, in particolare da facebook, twitter e linkedin, considerato che la logica che muove il criminale informatico è quella di colpire ciò che è più popolare e utilizzato più diffusamente, a seconda dell area geografica e delle abitudini, quindi, degli utenti della rete 9. Quando, invece, l irruzione criminale sulla rete giunge a violare l IP di un azienda e tenta, quindi, di impossessarsi di informazioni re computer, anche se protetti e considerati sicuri, e sottrarre illecitamente informazioni, vi sono stati i documenti in formato pdf, ossia l editing software di Adobe fra i più diffusi al mondo Si tratta di un azione di vero e proprio ricatto (ransom) operato da crackers che, infettato un computer con virus, ne bloccano l accesso a determinati files. Per decriptare, ossia ripristinare, il materiale bloccato i cyber criminali propongono al malcapitato utente un c.d. falso antivirus, a pagamento. 8 Un attacco DoS, denial of service o, nella sua eccezione più ampia e malevola, DDoS, distributed denial-of-service, si caratterizza attraverso un flusso eccezionale di richieste simultanee ad un sistema informatico che fornisce un servizio (soprattutto i siti istituzionali di enti politici, economici e finanziari) portandolo al limite delle sue prestazioni e rendendolo impossibilitato ad operare. È un sistema ormai molto diffuso che colpisce soprattutto l ecommerce mondiale, ma viene anche impiegato come strumento d azione politica in rete, come nel caso del gruppo hacktivist Anonymous. 9 Geograficamente le frodi e le intrusioni malevole nei programmi colpiscono maggiormente gli Stati Uniti, l Europa occidentale e il Brasile; i ransom si concentrano in Russia e in Ucraina; la violazione di password ha avuto aumenti notevoli negli Stati Uniti e in Cina, colpiti con Russia, Ucraina e Turchia anche da attacchi DDoS, mentre lo spam ha una diffusione pressoché globale.

4 28 LA COMUNITÀ INTERNAZIONALE personali ma soprattutto di brevetti, o di studi e ricerche scientifiche, oppure viola piani di gestione aziendali, l azione assume il carattere di spionaggio industriale vero e proprio. A tal proposito, con un linguaggio militare 10, si parla di targeted attacks, ossia di attacchi mirati, come in un conflitto. E, in definitiva, si tratta di una guerra economica fra entità anche statuali diverse, il cui obiettivo finale è l indebolimento del potenziale strategico avversario. Sempre facendo uso della terminologia militare, come strumenti esclusivi dei targeted attacks si parla, infatti, di advanced persistent threats, APT, intese a minacciare o addirittura ad aggredire entità economiche precise. Mentre gli attacchi indiscriminati tramite spearphishing ed , anche se più malevoli, sono diminuiti nell ultimo anno dell 80%, quelli targeted, ed in particolare le APT, per lo più miranti all attività economica, commerciale e finanziaria delle aziende, nello stesso periodo, sono triplicati. Le APT, infatti, si differenziano dai tradizionali attacchi di massa perché sono progettate appositamente per colpire obiettivi precisi e sono dotate di strumenti appropriati per azioni pianificate, anche se non fulminee ma lente, in grado di condurre, per lo più, spionaggio industriale. Nel tempo, infatti, le tecniche di infiltrazione dei sistemi si sono perfezionate e raffinate. Le incursioni sono più difficili da scoprire, a volte non hanno un effetto immediato, ma sono latenti per poi passare improvvisamente all azione. Inoltre, e questo è un altro aspetto inquietante che fa comprendere l alto livello della minaccia APT, è che sanno esattamente dove, ma soprattutto cosa colpire, ossia quale informazione sottrarre. Ciò dimostra la preparazione e gli obiettivi ambiziosi a cui punta chi attua un APT: non si tratta di semplici hacker, ma di entità ben più importanti. E in questo caso diventa imperativo salvaguardare le aziende non solo dallo spionaggio industriale ma anche 10 Vi è una tendenza, sempre più diffusa, alla terminologia militare per questioni di cyber sicurezza, come è accaduto nell ultimo caso importante di furto di oltre 15mila dati (secondo fonti ufficiali, 400mila secondo i crackers che hanno rivendicato l attacco) di carte di credito di cittadini israeliani. Il responsabile governativo israeliano ha, infatti, parlato di rappresaglia, che puntualmente si è realizzata con la pubblicazione di dati personali di cittadini sauditi, convinti che l attacco provenisse dall Arabia Saudita. La rivendicazione, almeno stando ad alcuni articoli, sarebbe stata fatta invece da un cracker degli Emirati arabi residente in Messico: Un altro esempio di utilizzo di terminologia militare è dato dall adozione da parte dei tecnici della Fujitsu del termine search-and-destroy per un malware creato appositamente come arma cibernetica per risalire ai responsabili di attacchi, tracciando il percorso a ritroso dei virus, attaccarli e distruggerli:

5 LA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLA CYBER GOVERNANCE 29 dal rischio di sabotaggio, quando la violazione viene perpetrata da elementi come gruppi terroristici e malavita organizzata 11. Infatti, non sempre è chiaro il pretesto che spinge a questi attacchi: il confine fra spionaggio e sabotaggio è tanto sottile quanto è grande la strategicità dei settori colpiti, come quella delle industrie per la difesa o quelle chimiche. E gli attacchi di questo tipo, con difficile individuazione del pretesto iniziale, sono aumentati in maniera vertiginosa nell ultimo anno. La Lockheed Martin, la Kawasaki e la Mitsubishi Heavy Industries, così come alcune multinazionali farmaceutiche (come la Boston Scientific Corp., per esempio, o la Abbott Laboratories e la Wyeth 12 ) sono state le ultime vittime eccellenti di tutta una serie di intrusioni e di malware altamente nocivi e invasivi, il cui obiettivo è per lo più quello di ottenere l accesso all IP dell industria colpita, con una chiara predilezione per i settori difesa, chimica ed energia 13, ossia quelli più costosi in termini di ricerca e di produzione, ma altresì più strategici per l economia e la politica mondiale. Si dà atto dell intrusione e si ipotizzano eventuali responsabilità (solitamente crackers cinesi e russi), sottolineando l urgenza di un azione congiunta per bloc- 11 Secondo recenti studi, la gestione di crimini informatici da parte della criminalità organizzata è arrivata a livelli tali da portare a un ulteriore recessione economica, in quanto ad essere colpite sarebbero per lo più le banche e gli istituti finanziari: 12 Questa è la sezione narcotici della Pfizer. Uno degli obiettivi di un recente attacco cibernetico negli Stati Uniti è stato la Parkland Computer Centre di Rockville, nel Maryland, che contiene il database della Food and Drug Administration, ossia formule chimiche e brevetti, ma anche informazioni sull uso e sullo spaccio di droga statunitensi, utilizzate poi nei processi per narcotraffico. Tuttavia, l ultimo grande attacco a imprese americane, di inizio dicembre 2011, la cui responsabilità è stata attribuita a cracker cinesi, ha colpito 760 aziende di differenti settori, da quelli farmaceutici, a quelli per la ricerca e l innovazione dell ICT, e persino alla rete ibahn dedicata all organizzazione internazionale di viaggi: 13 Uno dei settori preferiti dagli attacchi in questo campo è quello delle multinazionali petrolifere, come ha dimostrato l operazione definita Night Dragon dalla McAfee, che ha individuato una vera e propria campagna segreta di spionaggio ai danni di produttori di greggio, europei ed americani clienti dell agenzia di sicurezza informatica da parte di cracker cinesi. Gli attacchi sarebbero stati preparati già dal 2007, partiti a fine 2009 e continuati per i primi mesi del In tutto quell intervallo di tempo, i cracker avrebbero ottenuto molti files relativi al management interno delle aziende colpite, ma soprattutto informazioni su operazioni di perforazione, estrazione e sfruttamento di greggio e di gas, quelle relative a progetti di finanziamento, di aste e di appalti. Il timore espresso dal rapporto della McAfee riguardava proprio il rischio di un ampliamento delle azioni di crackeraggio anche ad altri settori strategici:

6 30 LA COMUNITÀ INTERNAZIONALE care questi attacchi mirati a sistemi nevralgici per la difesa di una o di un blocco di nazioni. Più saltuariamente, l intrusione assume il carattere di un attacco offensivo sferrato ad un entità statale e che vede contrapporsi, abitualmente, da un lato, gli Stati Uniti e i suoi alleati e, dall altro lato, la Cina e la Russia. In questo caso, però, si alza il livello dello scontro e degli obiettivi che si vogliono colpire e si riduce l ambito di azione ai settori strategici per eccellenza di una nazione, ossia le c.d. infrastrutture critiche. Ciò rientra nella categoria dei targeted attacks, ossia a- zioni malevole come lo furono, a suo tempo, l affare Stuxnet 14 (contro una centrale nucleare iraniana) oppure le intrusioni e il relativo danno al sistema di controllo di droni statunitensi operativi in Afghanistan 15. In questi casi fra i più conosciuti e divulgati dai mass media non si tratta più di semplice ipotesi ma di guerra cibernetica vera e propria, in cui il sabotaggio di un sistema SCADA 16 o la deviazione di uno strumento, come il drone 17, operante in uno scenario bellico, sono gli obiettivi e nel contempo anche i mezzi per creare tensioni fra entità statuali contrapposte. D altronde, il fermento che caratterizza l attività 14 Il worm Stuxnet (definito the smartest malware ever ) venne scoperto nel luglio del 2010, quando infettò lo SCADA dell impianto nucleare iraniano Busher. Il contagio avvenne tramite chiavetta usb Siemens: l obiettivo fu quello di dimostrare la vulnerabilità del sistema che gestiva quei files, di bloccare l utilizzo della centrale ma soprattutto di infettare tutti i sistemi che erano venuti in contatto con la rete della centrale iraniana. I suoi effetti malevoli, oltre ai 30mila pc iraniani colpiti, sono stati segnalati anche in Cina, Pakistan e Indonesia. L aggressività di Stuxnet lo ha fatto accostare ad un digital missile o ad una cyber-hiroshima bomb, da parte di società di sicurezza informatica come la Kaspersky e la Symantec. Si tratterebbe della prima di una serie di cyber weapon prodotte da un unico framework. e PORCHE, SOLLINGER, MCKAY, A Cyberworm that Knows no Boundaries, Rand Occasional Paper, Santa Monica (Ca) I droni, persi per gli Stati Uniti o catturati per gli iraniani, sarebbero stati due nell arco di poche settimane; la loro cattura sarebbe stata intesa come un azione di rappresaglia di Teheran per l affare Stuxnet. lles-drone-us-iran-711/. Già a novembre 2011, e prima di questi fatti, il Pentagono aveva proposto al Congresso un documento in cui dichiarava di essere pronto a sferrare cyber attacks in risposta ad azioni ostili che avrebbero potuto minacciare il governo, l economia ma anche l azione militare statunitense in teatri bellici. In pratica, il Pentagono si dichiarava pronto a operare una sorta di azioni preventive, con l approvazione della Casa Bianca e per zone di guerra, come appunto l Afghanistan, in caso di minaccia cibernetica. 16 Il Supervisory Control and Data Acquisition, o SCADA, è riferito generalmente all insieme di Ics, o sistemi di controllo industriale, che sorvegliano e gestiscono, a livello nazionale, le infrastrutture critiche, pubbliche e private (le acque, le centrali elettriche, la raccolta e la distribuzione di idrocarburi etc.) e i processi industriali (ideazione, produzione e assemblaggio). 17

7 LA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLA CYBER GOVERNANCE 31 di organizzazione da parte delle strutture militari di ogni parte del mondo è significativo dell importanza e del timore che circondano lo spazio cibernetico e la sua sicurezza. Dal cyber crime più generico e tipico dell ambito civile, si giunge così a quel cyber warfare, proprio invece delle strutture militari che comprende, al suo interno, la minaccia di cyber war e quella di cyber terrorism; la prima caratterizza lo scontro fra entità statuali, la seconda, invece, definisce azioni proprie di organismi o gruppi con fini eversivi o rivoluzionari, entrambe, però, sempre nello spazio cibernetico e con i suoi strumenti specifici, o cyber weapons 18. Ambedue questi ambiti, civili e militari, si sono posti urgentemente, come priorità assoluta, proprio la definizione della sicurezza di chi opera nello spazio cibernetico, quella cyber security così come e- splicitata dall UN International Telecommunication Union (ITU), ossia «l insieme di strumenti, interventi, concetti, linee guida, impostazioni della gestione del rischio, azioni, pratiche, procedure e tecnologie che possono essere utilizzate per proteggere lo spazio e la struttura cibernetici e i loro utilizzatori» 19. La cyber security diventa così, in pratica, l ambiente in cui vengono definite le leggi della convivenza fra gli innumerevoli soggetti che operano nello spazio cibernetico o in quel cyber world o cyber space che non conosce confini fisici se non quelli della conoscenza delle culture che ospita. Questo spazio possiede, infatti, un carattere inevitabilmente sovranazionale, in cui sono in gioco, e a forte rischio, l esperienza e tutto quell insieme di informazioni che la tecnologia permette di raccogliere, di elaborare, di diffondere e, da ultimo, di immagazzinare, tramite lo strumento cibernetico 20 per eccellenza, ossia internet. Ecco perché la cyber security deve essere intesa come strumento globale di garanzia e di difesa della libertà, della conoscenza e di espressione che non hanno limiti unicamente nazionali perché appartengono, in questo caso, ad un ambiente sovranazionale esclusivo, ossia lo spazio cibernetico. 18 Si veda HATHAWAY (et al.), The Law of Cyber-Attack, Yale Law School, Nov UN ITU, Overview of Cybersecurity. Recommendation ITU-T X.1205, Geneva, United Nations, April Cyber, cibernetico, dal greco κυβερνητικός, Kubernetes «colui che governa, che guida» e che a sua volta deriva dalla più antica radice sanscrita Kubera: «il timone, il perno centrale».

8 32 LA COMUNITÀ INTERNAZIONALE Definiti così i concetti principali attraverso cui ruota l intera questione della cyber security 21, ciò che ci preme comprendere attraverso questo saggio è quanto sia percepita questa minaccia, quanto sia concreta effettivamente, quali siano i suoi principali soggetti e le vittime favorite, ma soprattutto se ancora manchi, come sostenuto da molti osservatori, quella consapevolezza strategica in grado di elaborare una dottrina di riferimento per contrastarla. Non si tratta di un mero diletto accademico: si pensi all importanza di internet nella distribuzione di informazioni strategiche per le imprese e per il commercio, per la condivisione del sapere, ma anche per l aggregazione sociale e il consenso e il dissenso politico, come chiaramente dimostrato nelle rivolte a- rabe del 2011 e di quanto ne è seguito. È un quadro complesso, in cui intervengono soggetti molto diversi (da singoli individui, gruppi, ma anche imprese e Stati), interconnessi fra loro con strumenti la cui tecnologia evolve rapidissima, creando ambiti d azione sempre nuovi, come il cloud computing o nuvola, ad esempio, l ultima frontiera dello stoccaggio e della condivisione delle informazioni e che permette alle aziende di usufruire di questi servizi a costi contenuti, ma che rappresenta una vera e propria memoria delocalizzata del sapere e dei rapporti di chi opera in internet 22. Quest ultimo, infatti, sebbene possegga una natura profondamente globale e contenuti sovranazionali, subisce, tuttavia, un influenza nazionale per via della tecnologia utilizzata in loco (come la diffusione o meno della banda larga), che permette o meno l implementazione di certe politiche, delle leggi che governano la gestione delle sue reti (si pensi alla censura), così come il livello culturale e quello della predisposizione di una popolazione verso l uso di nuovi strumenti informatici e così via. Di conseguenza, anche se si è portati a consi- 21 La questione di una definizione univoca e condivisa dei termini propri del cyberspace ha assunto un importanza strategica, così come evidenziato dal Report of the UN Group of Governmental Experts on Development in the Field of Information and Telecommunication in the Context of International Security, che raccomandava further steps for the development of confidence-building and other measures to reduce the risk of misperception resulting from ICT disruptions ( ). Finding possibilities to elaborate common terms and definitions relevant to General Assembly resolution 64/ Secondo recenti ricerche, un quarto delle aziende italiane adotterà nel 2012 soluzioni legate al cloud per un volume di affari di circa 300 milioni di euro. Secondo altre stime, entro il 2015, l impatto complessivo della nuvola sull economia italiana sarà di 35 miliardi di euro, considerando i costi, la creazione di nuovi posti di lavoro e, soprattutto, una maggiore efficienza dei processi aziendali. Ad essere più attratte dalla nuvola sono per lo più le grandi imprese e le pubbliche amministrazioni, mentre per le Pmi si tratta di una scelta ancora limitata.

9 LA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLA CYBER GOVERNANCE 33 derate internet e la rete in generale come una realtà uguale e omogenea, in verità è un ambiente estremamente asimmetrico, e differisce da Stato a Stato, in cui giocano un ruolo fondamentale l utilizzo e la relativa capacità d uso, con la conseguente diffusione degli strumenti atti alla sua navigazione, e che oramai coincidono con quelli impiegati anche per i più svariati tipi di lavoro. 2. Soggetti e ambiti d azione. La crescita vertiginosa dei crimini informatici e delle violazioni a siti istituzionali e a quelli delle imprese, e relativo spionaggio industriale ad essi collegato (per il 34% delle azioni malevole sul web), è dovuta, infatti, a diversi fattori, primo fra tutti il forte aumento nella dotazione di apparecchi come laptop ma soprattutto smartphone e tablet intesi come terminali per i più svariati tipi di lavoro. Le innumerevoli offerte garantite dalle grandi società di telefonia e di comunicazioni hanno permesso una proliferazione di questi strumenti, tanto che dai 12,5 miliardi del 2010, secondo una previsione della Cisco Systems, sono destinati a salire a 25 miliardi nel Se a questi congegni così diffusi si sommano i vantaggi del cloud computing nello stoccaggio di dati, è comprensibile la facilità con cui si può agire con malware per intossicare un sistema per accedere e carpire informazioni, dalle più generiche e personali a quelle strategiche di industrie o di organismi economici e finanziari. Proprio l evoluzione di questi sistemi di raccolta e di immagazzinamento di dati favorisce, infatti, la quasi scomparsa della distinzione fra mass e targeted attack: è a questo ambito speciale dello spazio cibernetico, ossia al cloud, che è rivolta la massima preoccupazione per la sicurezza. Non è un caso, infatti, che nell ultimo anno vi siano stati così numerosi incontri e dibattiti proprio sulla cyber security: mai prima d ora, infatti, governi e industrie private si sono trovati costretti a intervenire per affrontare attacchi e minacce dal cyberspazio. Quale altro rischio alla sicurezza, o per alcuni vera e propria guerra, nel passato, ha imposto in maniera così urgente in tempo di pace la stretta collaborazione fra enti governativi e imprese private? Infatti, lo scenario è quello specifico di un teatro bellico e che gli anglosassoni definiscono phantom war con soggetti e interessi differenti, contrapposti e minacciati perché considerati bottino di guerra. Se si potesse rappresentare internet in modo figurato, lo si potrebbe ritrarre come un vecchio fortilizio al cui interno viene custodito un malloppo costituito da un immensa banca dati che riproduce, di volta in volta, la ricchezza

10 34 LA COMUNITÀ INTERNAZIONALE economica, industriale e intellettuale di un Paese e, nel contempo, costituisce anche la sua massima esposizione nel contesto del mercato globale. In internet, quindi, vengono a collocarsi tutto quel know how e quelle attività che fanno di una nazione un sistema-paese, ancora più prezioso in tempi di crisi economica globalizzata: così come sono strutturate digitalmente le imprese, gli istituti bancari e finanziari, e gli enti governativi preposti al controllo dell attività economica e produttiva nazionale, inevitabilmente essi sono diventati veri e propri terminali di informazioni, da quelle personali a quelle industriali, finanziarie e gestionali. Questo know how ha assunto, di conseguenza, una valenza strategica alla pari di quella della dotazione, da parte di una nazione, di materie prime come il petrolio, il gas o i metalli rari. Così come per questi elementi si è giunti, negli ultimi decenni, anche a scontri per il loro accaparramento e il loro controllo, così per la tutela di quell insieme di dati che compongono la ricchezza delle nazioni più industrializzate è necessario operare a livello globale. Si tratta di un complesso di informazioni su progetti, brevetti, piani strategici e quant altro messo in una rete che, anche se garantita da muri digitali di protezione è, a quanto sembra, ancora troppo vulnerabile. Infatti, a rischiare attacchi cibernetici sono proprio i Paesi a maggior dotazione di know how innovativo e con alta esposizione in rete. È la doppia faccia di internet e dei vantaggi che offre l innovazione dei sistemi ICT, ed in particolare la nuvola. L esposizione di quel sapere impone, per il carattere proprio dello spazio cibernetico in cui è ospitato, una sua condivisione globale, che però deve essere controllata e salvaguardata da possibili attacchi perché a rischio vi sono i fondamenti economici, finanziari e industriali che definiscono i trend di sviluppo di una nazione e la fanno emergere da quell amalgama generalizzata che è la globalizzazione. È come se la ricchezza o l insieme del patrimonio produttivo e finanziario di una nazione, soprattutto se molto attiva a livello mondiale, fossero messi a disposizione dell intera comunità senza possibilità di contenere o di contrastare l azione di accaparramento illecito e dannoso da parte di aziende antagoniste ma anche, e soprattutto, da parte di Stati avversari. Avviene così che più una nazione è competitiva e presente sul mercato globale, ed è dinamica perché ben connessa digitalmente con il resto del mondo, più è vulnerabile e attaccabile. Questo insieme di banche dati a disposizione nel cyberspazio ha più valore di una qualsiasi ricchezza finanziaria: ecco

11 LA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLA CYBER GOVERNANCE 35 perché la sua tutela si impone come un emergenza da affrontare a livello globale. Ritornando, quindi, all immagine del vecchio fortilizio, come un tempo vi erano strumenti di rilevamento esterno del rischio di aggressione, attraverso una rete di allerta e di informazione (quasi) in tempo reale, anche ora si impone la stessa emergenza, attraverso sistemi di condivisione di dati per la sicurezza e per l allerta nel cyberspazio di fronte al rischio di attacco, con la partecipazione collettiva da parte di tutti gli attori interessati, come pure con l integrazione di informazioni attraverso una maggiore sensibilizzazione della cultura e delle tematiche relative alla sicurezza in rete. Per questi motivi, ossia per l importanza del bottino a disposizione e per i rischi a cui è esposto, non è permesso sottovalutare i soggetti e gli ambiti della minaccia cibernetica, considerandoli solo come un abile operazione di marketing delle aziende di sicurezza informatica. È una consapevolezza che tarda a farsi strada fra i soggetti più esposti, come gli istituti di credito e le imprese private: è disarmante sapere quanto le banche italiane siano a rischio da attacchi informatici e quanto sia sottovalutato il pericolo in cui incorre il know how nazionale contenuto nei brevetti registrati dalle imprese. Il danno, comunque, non è esclusivamente tecnico (vulnerabilità accertata del sistema violato e dotazione delle relative contromisure) o finanziario immediato (truffa o furto): il più delle volte si tratta, infatti, anche di reputazione negativa che è costretta a subire la vittima (impresa o istituto di credito, e persino una nazione), tanto che, secondo studi di settore, può essere addirittura 6 volte superiore al danno finanziario. Ne deriva che di fronte a tutto ciò si vogliano accertare le responsabilità per agire di conseguenza, al fine di punire e per essere risarciti. In entrambi i casi, è tassativo stabilire chi siano i responsabili e a quale ordinamento legislativo si possa fare ricorso. Ed è proprio di fronte a queste necessità che ci si rende conto delle enormi problematiche che solleva voler garantire la sicurezza informatica della rete e delle sue ramificazioni. Se tralasciamo, per un momento, azioni di hackeraggio (ossia semplice violazione di un sistema) o di crackeraggio di lieve incidenza (ossia con danni limitati sia tecnicamente che finanziariamente), i cui responsabili sono ormai agevolmente individuati dall azione di contrasto delle polizie informatiche e dalle agenzie di sicurezza, è ormai un dato più che acquisito e condiviso che a minacciare grave-

12 36 LA COMUNITÀ INTERNAZIONALE mente la rete siano entità di difficile identificazione. Ciò rende pressoché impossibile pretendere risarcimenti ma ancor più agire con sistemi di deterrenza, se non si conosce contro chi procedere: non si può certo agire se non si ha la certezza di chi sta dietro un attacco. I responsabili della gran massa di azioni malevole che vanno dal cyber crime al cyber warfare sono individuati, generalmente ma anche molto genericamente, per il primo ambito nelle organizzazioni criminali e, per il secondo, nella Cina 23 e nella Russia 24 ; ciò, per lo meno, dal punto di vista occidentale. Le responsabilità cinesi 25 sarebbero così rilevanti da far affermare a fonti di intelligence statunitensi che lo spionaggio industriale è un fattore integrante della politica econo- 23 Uno fra gli attacchi più importanti subiti dagli Stati Uniti e la cui responsabilità è stata attribuita a cracker al servizio del governo cinese è stato quello al sistema di posta elettronica Gmail di funzionari governativi e militari americani, nonché di aziende, come la Lockheed Martin, contractor di commesse per il sistema di difesa aerea di Taiwan, in una sorta di ritorsione per quegli accordi. Inoltre, sempre a questi cracker, è stato anche attribuito l attacco alle Gmail di attivisti dissidenti nei confronti del governo centrale cinese. China-Investigators /; ENJUNG CHA, NAKASHIMA, China Cyberattack Part of Vast Espionage Campaign, Experts Say, in Washington Post, 14 gennaio 2010.Questi attacchi hanno portato a duri scontri amplificati dai media occidentali fra Pechino e Google, tanto da far minacciare a quest ultima il suo ritiro dalla rete cinese. Si è trattato, tuttavia, di un rischio ben presto superato dall accordo siglato, a settembre 2011, fra Google e autorità cinesi per un altro anno di collaborazione. Tuttavia, secondo alcuni recenti studi, nonostante la Cina, dalla metà degli anni 90, abbia dimostrato una vasta e attiva dinamicità nel cyber warfare, non ha sviluppato un altrettanta capacità nel produrre malware efficaci e invasivi, tanto che le sue intrusioni sono state facilmente individuate e i danni abbastanza contenuti. Insomma, non vi sarebbero prove delle capacità cinesi a introdursi in reti molto ben protette e a sottrarre o a falsificare dati sensibili; il gap tecnologico sarebbe, quindi, abbastanza elevato e sebbene l azione cinese crei sovente preoccupazioni, non sarebbe comunque in grado di competere con sistemi sofisticati come quelli occidentali per almeno alcuni decenni. Questa è la convinzione di BALL, China s Cyber Warfare Capabilities, in Security Challenges, n. 2, 2011, È esaustivo al riguardo il commento di James Andrew Lewis, massimo esperto di cyberwar del Center for Strategic and International Studies che, parlando di responsabilità di un importante attacco informatico, ha detto «Everything points to China. It could be the Russians, but there is more that points to China than Russia», senza specificare, tuttavia, quali elementi riconducessero a implicazioni cinesi. 25 Il ripetersi di infiltrazioni malevole imputate alla Cina ha imposto all Amministrazione Obama una dura presa di posizione chiedendo a Pechino di interrompere queste azioni per non correre il rischio di ritorsioni, come sanzioni ad aziende cinesi connesse con l industria bellica nazionale. Rimane, comunque, il problema del riconoscimento certo degli autori, che siano singoli cracker o gruppi spalleggiati dal governo centrale. La continua individuazione della Cina come responsabile di tutti i guai passanti per la rete, le ha fatto guadagnare il titolo di capro espiatorio informatico mondiale per l anno 2011.

13 LA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLA CYBER GOVERNANCE 37 mica di Pechino 26.Tuttavia, il problema dell attribuzione certa delle responsabilità è pressoché irrisolvibile alla stato attuale della conoscenza tecnica; la sola presa di coscienza di questo rischio non giustifica un azione militare governativa, con fini di deterrenza, per salvaguardare il proprio sistema economico e industriale dal furto di dati. È superfluo rilevare, di conseguenza, come Stati Uniti e Israele (le due nazioni che primeggiano in ricerca e tecnologia informatica) siano, invece, per i loro antagonisti politici (Iran, soprattutto) 27 ed economici (Cina e Russia), i veri responsabili di tutti i guai passanti per la rete e che i misfatti di cui vengono accusate sia Pechino che Mosca siano per costoro solo strumenti di abili manovre di disinformazione da parte di organismi statunitensi, essendo anch esse vittime di crackeraggio internazionale 28. Una divisione di ruoli e di responsabilità che si rifà alla classica contrapposizione fra potenze, con relativi interessi geopolitici e geostrategici, e che determinano però le regole di un gioco sempre più complesso e diffuso. Si tratta, tuttavia, della massima espressione dell intera questione della cyber security in cui le grandi potenze, politiche, economiche, ma soprattutto militari si confrontano come in un campo di battaglia, e nemmeno tanto virtuale, a colpi di malware e di spionaggio militare, come nel caso conosciuto del drone americano dirottato da cracker russi alle dipendenze dell Iran e fatto cadere in mano delle autorità militari di quel Paese a inizio dicembre del Il dirottamento tramite joystick non si sarebbe configurato come un azione di rappresaglia per le intrusioni malevole di cui sarebbe stata vittima Teheran, ma di semplice spionaggio industriale militare, poiché l obiettivo iraniano stando alle dichiarazioni ufficiali non era di 26 I settori considerati strategici sono quelli previsti nell ultimo piano quinquennale, del marzo 2011, ossia l energia pulita, la biotecnologia, i semiconduttori, le ICT e la tecnologia spaziale: 011.pdf. 27 I vertici della difesa iraniani hanno ammesso altre due intrusioni importanti nel 2011 dopo Stuxnet, ossia quella dei virus DuQu e Stars Secondo fonti governative cinesi, oltre 4600 siti istituzionali sono stati colpiti nel 2010, con un aumento del 68% rispetto all anno precedente, mentre oltre 45 milioni di cinesi sono stati vittime di truffe via Si trattava di un Sentinel Lockheed Martin RQ170 Stealth, fra i più avanzati aerei senza pilota della flotta militare statunitense. Sulla tecnologia utilizzata nella cattura del drone sono circolate solo supposizioni, come ad esempio l utilizzo dell apparato russo Avtobaza per l alterazione e il disturbo delle comunicazioni e dei sistemi radar e di guida di missili, consegnato ai militari iraniani alcune settimane prima dell incidente.

14 38 LA COMUNITÀ INTERNAZIONALE bloccare la missione di perlustrazione del drone, quanto di analizzarlo e di ricavarne quelle informazioni utili a comprendere la vulnerabilità di uno strumento bellico così ampiamente utilizzato sia dall intelligence statunitense sia dai suoi apparati militari 30 e di adottare, di conseguenza, le contromisure più adatte per le proprie difese aeree. A pochi giorni dall incidente, inoltre, circolava sul web la notizia della vendita all asta, a Cina e India, da parte dell Iran della sofisticata (quanto segretissima) tecnologia utilizzata dal drone. Per quanto non vi siano state conferme di questa eventualità, tuttavia è da considerare probabile che gli ambiti e i responsabili di una vera e propria azione di cyber warfare siano proprio al limite fra l innegabile e il consueto spionaggio industriale (in questo caso militare) e l azione di soggetti come i cracker russi al servizio di Teheran, non propriamente inquadrabili nelle fila di un regolare esercito nemico. Il rischio di venir violati nei propri database privati, aziendali o istituzionali soprattutto attraverso azioni malevole che colpiscono tramite , non appartiene, quindi, solo a quelle categorie più redditizie dal punto di vista economico: si tratta, infatti, in questo caso, dell ambito più delicato, quello militare, la cui violazione mette a rischio la stabilità politica di una nazione e l incolumità fisica della sua popolazione. Proprio per questo motivo, molte nazioni sono corse al riparo, dotandosi di numerosi organismi, soprattutto militari, attivi nel monitorare e nel contrastare azioni aggressive di questo tipo. Dall elenco dei 10 cyber attacks più rilevanti dal 1989 ad oggi, i cui responsabili non sono mai stati individuati, vi sono solo 2 violazioni a strutture militari (nel 1999, con l attacco di information warfare al sistema satellitare militare MoD Skynet, e nel 2000, con la violazione dei codici del software Exigent OS/COMET per la gestione di missili e satelliti), mentre il restante attiene agli ambiti sociali e finanziari, a dimostrazione di come, dal 2001, di fronte all emergenza terroristica, il settore militare, soprattutto statunitense, sia stato molto attivo a contrastare intenzioni ed azioni malevole nel cyberspazio. Meno adeguate sembrano essere, invece, sia la consapevolezza del rischio sia le difese per fronteggiarlo da parte di organismi come aziende private, istituti di credito e finanziari, pubblici e privati. In pratica, nell ambito dei settori propri della difesa militare di un Paese, 30 Nel 2010 il Pentagono disponeva di 6000 esemplari di droni con una previsione, per il 2012, di 8000 pezzi da impiegare nei vari teatri operativi in azioni di sorvolo e di ricognizione di territori nemici, ma anche per attività belliche vere e proprie.

15 LA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLA CYBER GOVERNANCE 39 e quindi perché è nella loro stessa natura, si ha la consapevolezza dei rischi e si agisce per contrastarli. Non altrettanto avviene per quell ambito che, riduttivamente, possiamo definire civile e che non ha nulla a che vedere direttamente con gli strumenti propri della difesa nazionale, ma è, a volte, soltanto depositario di innovazione tecnologica, ossia un elemento strategico della vita economica e finanziaria di una nazione. A questo riguardo, emerge un altro aspetto che dimostra la complessità delle problematiche relative alla sicurezza della rete e che vede nell hacktivism, ossia l azione di hackeraggio, anche violento, compiuto da soggetti attivi nei movimenti di protesta e di opposizione, il principale responsabile di intrusioni malevole e di azioni di DDoS. Costoro colpiscono aziende non per sottrarre informazioni o per interesse economico, ma per quel che esse rappresentano nello specifico. Si tratta di attacchi semplici, anche goffi tecnicamente, ma efficaci perché, comunque, il loro obiettivo viene sempre raggiunto, ossia agire malevolmente sulla rete per mandare il loro messaggio specifico di protesta contro elementi considerati, a loro parere, come i principali responsabili di tutti i mali di cui soffre l umanità: ecco che vengono colpite industrie legate alla difesa, alle comunicazioni, ma anche quelle farmaceutiche e chimiche. È un fenomeno che si sta ampliando e, grazie ai social network ottiene una rilevante eco sul web; sebbene non abbia conseguenze nefaste dal punto di vista tecnico, trattandosi per lo più di hackeraggio lieve con moderati danni operativi, di certo rappresenta una forma d azione e di protesta politica che ha sicuramente un impatto forte sulle nuove generazioni più avvezze all uso di strumenti informatici 31. La distinzione fra ambiti vulnerabili e colpiti, tuttavia, anche in questo caso, sembra ormai uno sterile diletto accademico: infatti, come esiste un carattere univoco dei soggetti economici e finanziari che operano nel villaggio globale attraverso gli strumenti propri dell innovazione tecnologica, così pure i rischi di venir violati sono estesi a tutti i suoi appartenenti, tanto che si parla di liquidità delle minacce. Come i liquidi tendono ad adeguarsi ai loro contenitori e ad assumerne la forma, così le minacce del cyberspazio sono subdole perché adattabili a tutti i contesti in cui opera l informatica e sono altresì invasive, in quanto ad esse va ad aggiungersi un effetto flusso, con re- 31 MONTAGNESE, Impatto dei social media sulla sicurezza nazionale, Osservatorio per la Sicurezza nazionale, CeMiSS, Novembre 2011.

16 40 LA COMUNITÀ INTERNAZIONALE lativo ampliamento dei danni, che fa sì che le vittime non siano più facilmente identificabili e, di conseguenza, anche le alterazioni non siano più quantificabili con esattezza: da una sola azione malevola nel cyberspazio scaturiscono, quindi, una pluralità di effetti negativi. Si pensi ai guasti arrecati dal malware Stuxnet inserito in una chiavetta usb e il conseguente contagio di innumerevoli altri laptop, o la sua variante DuQu 32, o il cyber attack alla US Chamber of Commerce, scoperto nel maggio 2010, che da oltre un anno aveva permesso agli intrusi di accedere alle informazioni personali, e relative operazioni con quell istituzione, di oltre 3 milioni di cittadini americani. Anche in quell occasione la Cina venne accusata di essere la principale responsabile della violazione. Solo a dicembre 2011 il Ministro degli esteri di Pechino dichiarò l estraneità del suo Paese. L ammontare e la natura dei dati compromessi da queste importanti violazioni sono tuttora sconosciuti, mentre è chiara la consapevolezza, anche da parte degli organismi ufficiali preposti alla sicurezza, che non vi sia una preparazione adeguata a fronteggiare questo tipo di attacchi. La carenza di iniziative e di politiche comuni, per la comprensione globale della questione, e l insufficiente definizione di linee guida e di regolamenti condivisi permettono la perpetuazione di violazioni regolari a sistemi vulnerabili, in particolare se strategici come gli SCADA. Le implicazioni di queste manchevolezze sono deleterie per l intero sistema politico ed economico di una nazione, considerando, inoltre, che vi possono essere ripercussioni ad un livello più elevato. Per le caratteristiche dell affare Stuxnet, fra i più famosi targeted attacks, infatti, si discusse a lungo, e senza venirne a capo, se si 32 La familiarità di questo malware con Stuxnet è dovuta alle similitudini fra i due codici tanto da far supporre che DuQu sia stato progettato dagli stessi autori di Stuxnet, anche se i due virus differiscono negli obiettivi finali: per il primo si è trattato dello SCADA, mentre DuQu sarebbe stato progettato per insinuarsi nella rete interna della centrale e inviare informazioni per sferrare in seguito un attacco cibernetico. L infezione di DuQu si è, comunque, ampliata ed è stata segnalata in Iran, Sudan, Francia, Olanda, Svizzera, Ucraina, India e Vietnam: La familiarità fra questi due trojan, ossia Stuxnet e DuQu, vi sarebbe anche per gli esperti della Kaspersky Lab., secondo i quali entrambi i virus sarebbero frutto di un unico team di cracker. Entrambi, infatti, condividono un unica piattaforma, chiamata tilded, per via dell uso del simbolo tilde (~d) all inizio dei files utilizzati dai crackers per l intrusione. I due virus, tuttavia, non sarebbero i soli creati da questo team:

17 LA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLA CYBER GOVERNANCE 41 dovesse intendere come un puro sabotaggio per mezzo di crackers 33 o, invece, come un vero e proprio attacco tradizionale da parte di una nazione straniera (ma quale?) 34 ad un impianto strategico, come una centrale nucleare, di un Paese per giunta come l Iran, ossia fra i più cruciali nello scenario mediorientale. Si trattò, infatti, del primo caso in cui gli analisti, sia politici che militari, dovettero confrontarsi con problemi, termini e tecniche operative del tutto nuovi, in cui la sicurezza informatica di un impianto era diventata cruciale per definire i contorni, i protagonisti e le relative responsabilità di questa azione nell ambito di relazioni internazionali già di per sé complesse, come quelle proprie della regione mediorientale. 3. La consapevolezza dei rischi e l azione di contrasto sovranazionale. La fitta agenda di incontri internazionali sulla cyber security è, quindi, espressione dell emergenza che si è venuta a creare in seguito alle numerose intrusioni malevole, di cui si è sinteticamente riferito sino ad ora in questo scritto. Tuttavia, e per quanto il 2011 sia stato l anno della percezione dei rischi in cui incorre tutto ciò che è connesso oppure ha a che fare con lo spazio cibernetico 35, la convinzione presso gli addetti ai lavori è che non si sia ancora giunti alla consapevolezza vera e propria di quanto sia elevata questa minaccia. Come affermato più sopra, questa cognizione appartiene più alle strutture preposte alla difesa nazionale dei vari Paesi 36, anche se con differenti livelli di conoscenza a cui corrispondono diversi strumenti di tutela. Un ruolo importante in tal senso è svolto dagli Stati Uniti 37 con l US Cyber Command che, da alcuni anni 38, all interno del Diparti- 33 Ad un calcolo approssimativo, è stato valutato che il costo della creazione di questo virus sia stato di 10 milioni di dollari, una cifra considerevole non certo alla portata di un gruppo limitato di smanettoni o cyber criminali di poco conto. 34 Una prima responsabilità di quel virus venne attribuita ai russi, dato che era stata individuata la sua origine in Bielorussia, ed anche perché la centrale operava praticamente con tecnologia procurata da Mosca. Fra innumerevoli supposizioni e presunti autori si ha ora conferma che il virus era stato testato in precedenza nel complesso di Dimona nel deserto del Negev da tecnici statunitensi e israeliani. Si veda HATHAWAY, op. cit., È del gen. Alexander, a capo della National Security Agency che dell US Cyber Command, l ultima dichiarazione che esprime la preoccupazione circa l indifendibilità da un attacco cibernetico delle infrastrutture critiche statunitensi, in particolare della rete di informazione della Difesa: 37 Accanto a questo organismo militare sono sorti, fra gli altri, il White House Cybersecurity Office, il National Telecommunications and Network Security Control e il Joint

18 42 LA COMUNITÀ INTERNAZIONALE mento della difesa, ha il compito di monitorare, di riferire e di far regolamentare tutto quanto passa per la rete, in particolare quanto può compromettere la loro sicurezza interna, a cui si è aggiunto il programma Einstein 2, un sistema di intrusion detection per i settori governativi civili. Di recente è stato previsto ma non ancora attuato l Einstein 3, al fine di proteggere la rete di infrastrutture critiche, private, con lo sviluppo di una serie di sistemi anche di intrusion prevention 39. Per la sola sicurezza cibernetica del Dipartimento della difesa e quello per la Homeland Security, è prevista una spesa di 10,5 miliardi di dollari entro il 2015, mentre, secondo altre stime 40, l intero mercato della cyber security statunitense è di 100 miliardi di dollari. Più volte, infatti, è stato affermato dai vertici politici e militari statunitensi che la cyber security rappresenta una questione di importanza vitale 41 per gli Stati Uniti, che hanno agito per meglio regolamentarla 42. Al riguardo, e fra gli ultimi provvedimenti intrapresi dal Congresso nel 2011, è stato previsto, per la prima volta, all interno del National Defense Authorization Act for FY 2012, l uso di un offensiva militare nel cyberspace 43 al fine di «difendere la nazione, i suoi alleati, e i suoi interessi» 44. A tale fine e in quest ottica, secondo anche le Coordination Center, oltre alla definizione di più di 130 leggi e regolamenti riferiti appunto alla cyber security interna statunitense, ai massimi livelli. 38 Nacque nel 2008 dopo che il Pentagono scoprì importanti intrusioni nel sistema informatico della difesa statunitense che portò all operazione Buckshot Yankee, si veda al riguardo TAPPERO MERLO, Il dominio degli spazi: il cosmo, la cyberwar e l urgenza di una dottrina operativa per la guerra futura, in questa Rivista, BELLOVIN, BRADNER, DIFFIE, LANDAU, REXFORD, Can It Really Work? Problems with Extending EINSTEIN 3 to Critical Infrastructure, in Harvard National Security Journal, È ricorrente l affermazione da parte dei vertici militari statunitensi di temere una Pearl Harbor cibernetica, come dichiarato da Leon Panetta di fronte al Senato nel suo discorso di insediamento come Segretario alla Difesa, nel giugno Secondo alcuni, tuttavia, si tratterebbe più di dichiarazioni ad effetto per via della campagna presidenziale statunitense, come avvenne negli anni 50 con il bomber gap e negli anni 60 con il missile gap nei confronti dell Unione Sovietica, per ottenere l appoggio delle lobby dei produttori di armi. Ora, ad essere coinvolte sarebbero le agenzie di sicurezza informatica La direzione degli attacchi spetta, comunque, al Presidente e a quanto previsto dalla War Power Resolution Inoltre, il rapporto afferma: «Secretary of Defense has the authority to conduct clandestine cyberspace activities in support of military operations pursuant to the Authorization for the Use of Military Force (Public Law ; title 50 United States Code,

19 LA MINACCIA CIBERNETICA: DAL SISTEMA-PAESE ALLA CYBER GOVERNANCE 43 ultime dichiarazioni del capo della Difesa americana, Leon Panetta, e del Presidente Obama, è da rivedere totalmente il ruolo anche dell intelligence nel processo rivoluzionario di trasformazione a cui sono sottoposte le strutture militari nel XXI secolo, tenendo conto sia delle minacce provenienti dal cyberspazio sia dei tagli alla difesa imposti dalla crisi economica 45. Così pure la NATO 46 e l Unione Europea dispongono di organismi (rispettivamente NCIRC 47 e ENISA 48 ) di monitoraggio e di intervento, in grado di assicurare ai propri partner un muro protettivo contro le minacce provenienti dal cyber world. Tale attivismo presso gli organismi militari, nazionali 49 e regionali, dimostra la chiara percezione dei rischi di attacchi cibernetici, ma anche le possibili e funeste conseguenze per la sicurezza nazionale. L aver risposto alla minaccia cibernetica per lo più con strutture in ambito militare, e decisamente meno con quelle civili, ha sollevato le critiche di nazioni come la Cina che ha accusato più volte gli Stati Uniti e i suoi alleati occidentali di voler militarizzare la rete. Così anche Pechino è corsa ai ripari affermando, in articoli presso riviste di organismi militari cinesi, di voler istituire un cyber Command 50 «altamente attivo per la mobilitazione alla guerra cibernetica» 51. Anche l Iran, che può contare su un buon livello di informatizzazione del Paese e una discreta dotazione di strumenti di contrasto, è stato più volte oggetto di attacchi informatici oltre al più famoso Stuxnet tanto da decidersi, section 1541 note) outside of the United States or to defend against a cyber attack on an asset of the Department of Defense»: È del dicembre 2011 l ultimo attacco alla NATO, rivendicato dal gruppo hacktivist Anonymous, che ha sottratto informazioni personali di circa 250 di suoi funzionari e, fra gli altri, di 221 ufficiali britannici Già nel 2002 la NATO avviava questo primo programma di cyber defence; Su sfide e prese di posizione di questo organismo si veda 2&zoneid= In Italia, all interno dello Stato Maggiore della Difesa vi è il VI reparto, Programma DII, ossia Defence Information Infrastructure Sebbene i toni siano da vero e proprio confronto con l antagonista più pericoloso, ossia gli Stati Uniti, fra queste due potenze si sta cercando di collaborare per limitare gli attacchi tramite e spam. Si veda RAUSCHER, YONGLIN, Fighting Spam to Build Trust, in EastWest Institute-Internet Society of China, June 2011.

20 44 LA COMUNITÀ INTERNAZIONALE nella primavera del 2011, a ufficializzare l istituzione di un proprio cyber Command, in grado di contrastare incursioni malevole a più livelli, con un maggior coinvolgimento anche delle proprie agenzie di intelligence 52. In pratica, è come se di fronte ai rischi del cyberspazio fosse importante proteggersi perché in pericolo vi è solo il sistema militare di difesa nazionale. Ed effettivamente, in parte, è vero: ma, come si è cercato di chiarire sino ad ora, l emergenza per una maggior sicurezza cibernetica è trasversale agli ambiti civili e militari e vi è ancora molto da comprendere e da codificare. Infatti, si corre il rischio, come sottolineato da alcuni osservatori 53, di riprodurre nello spazio cibernetico esclusivamente quello schema proprio della contrapposizione fra potenze, con i soggetti e i settori geografici caratteristici delle relazioni politiche internazionali, in un unico amalgama, frammisto di retorica e di allarmismo che, però, risultano solo fuorvianti e, quindi, vani per contrastare veramente la minaccia. Il nocciolo della questione della sicurezza per l intera comunità del web (dai privati, alle imprese, sino alle strutture preposte alla difesa nazionale così come alle infrastrutture critiche) sta nel fatto che, per la natura sovranazionale stessa dell oggetto minacciato e la difficoltosa individuazione dei suoi protagonisti, siano necessarie azioni ad un livello che vada oltre i ristretti comparti di organismi militari nazionali o, al massimo, regionali. E ciò vale sia se si parla di sicurezza di un Paese che di protezione di dati personali, economici e/o finanziari, a chiara dimostrazione, ancora una volta, che nei conflitti moderni dal terrorismo alle nuove forme di guerra asimmetrica, in cui si inserisce attualmente il cyber warfare non vi è più una chiara distinzione fra attori statali e non-statali. Nel cyberspazio, infatti, dalle minacce allo scontro vero e proprio vi è una pletora di soggetti e di obiettivi differenti, entrambi di difficile individuazione. Di conseguenza, diventa complesso cercare di definire una controffensiva organiz- 52 La decisione sarebbe stata giustificata dalle preoccupazioni dei massimi vertici militari e politici iraniani circa le indiscrezioni su un progetto statunitense (Internet in a suitcase) di creare sistemi ombra di navigazione su internet e di comunicazione cellulare, al fine di permettere ai dissidenti di regimi, come quello iraniano e siriano, di comunicare con l esterno e manifestare liberamente le proprie idee, superando la censura governativa , ,00.asp. 53 WEBSTER, Cyber Cold War Rhetoric Haunts the US and China,