Attacchi informatici che colpiscono anche la rete di distribuzione dell’elettricità e dietro cui si possono nascondere Stati; cybercriminalità sempre più organizzata e dinamica, in grado di sfruttare i buchi e le barriere giurisdizionali fra Paesi anche geograficamente vicini; e la complessa, controversa reazione dei governi all’uso di internet da parte di terroristi. Sono queste le tre sfide principali che deve affrontare l’Europa nell’immediato sul piano della sicurezza digitale – almeno a giudicare dall’European Cybersecurity Forum, che si è appena svolto a Cracovia raccogliendo alcune centinaia di rappresentanti di governi, agenzie, aziende ed esperti di questi temi. Sullo sfondo, la consapevolezza di essere in ritardo su tutto e di doversi muovere in fretta.
A Milano summit sulla cybersecurity. Focus su criminalità, violazione della privacy, hackers
Partiamo con le buone notizie. La prima è che gran parte dei relatori concorda sul fatto che i terroristi dell’Isis (o di Al Qaeda) non abbiano le capacità di fare attacchi informatici realmente distruttivi, mirati a colpire infrastrutture critiche come centrali nucleari o elettriche, dighe, trasporti ecc… con azioni tali da procurare danni: non è insomma sul piano dell’hacking che destano preoccupazione le loro attività. La cattiva notizia è che invece alcuni Stati queste capacità ce le hanno eccome. Ma fino ad oggi avrebbero esercitato una sorta di autocontrollo al riguardo, per evitare escalation sul campo cyber. E tuttavia si è comunque assistito a quelle che alcuni qua definiscono delle “sperimentazioni”: una di queste è avvenuta in Ucraina lo scorso dicembre e ne avevamo già parlato qui.
ATTACCHI STATALI?
Lo scorso 23 dicembre infatti un cyberattacco colpiva una utility dell’energia ucraina (Prykarpattya Oblenergo) togliendo la corrente per circa sei ore a 230mila residenti della regione di Ivano-Frankivsk. «Gli attaccanti erano entrati nella loro rete otto mesi prima e hanno sovrascritto il software di una serie di macchine nelle varie sottostazioni», ha commentato sul palco la giornalista Kim Zetter, tra i partecipanti del forum. «Di conseguenza i tecnici del centro di controllo non potevano più dare comandi da remoto e hanno dovuto ripristinare gli apparati manualmente. Negli Stati Uniti sarebbe andata peggio, perché molti sistemi di controllo delle rete elettrica sono automatizzati e non hanno funzionalità di backup e recupero manuali, il che avrebbe sicuramente allungato i tempi di ripristino».
MAPPA – La società dell’energia elettrica Prykarpattyaoblenergo
Il punto è, concordano vari relatori, che quell’attacco sarebbe potuto essere molto più potente e dannoso, se gli attaccanti avessero voluto. Qual era allora il suo scopo? «In circostanze simili interpretiamo tali azioni come atti di deterrenza, così come l’Iran dopo essere stato colpito da Stuxnet (il malware americano-israeliano che danneggiò le centrifughe di un centro iraniano di arricchimento dell’uranio, ndr) rispose attaccando le banche americane», dichiara Nigel Inkster, dell’International Institute for Strategic Studies in Gran Bretagna e un passato ai vertici del MI6, i servizi segreti britannici che si occupano di spionaggio estero. Per Inkster, come per altri qui al convegno, la Russia è il principale indiziato di quell’attacco; anche se ammette che «potrebbe anche essere stato condotto da criminali che comunque pensavano di fare qualcosa di gradito al governo».
Sebbene si tratti di un terreno scivoloso, in cui puoi passare dallo spionaggio al sabotaggio con pochi colpi sulla tastiera – sostiene Kenneth Geers, del Centro di eccellenza per la cooperazione nella difesa cyber della Nato – se fossero coinvolti gruppi cybercriminali russi si dovrebbe comunque pensare a un qualche collegamento con Mosca. La ragione ha a che fare anche col tipo di zona interessata. «In Ucraina abbiamo visto attacchi informatici di ogni tipo – commenta Geers a La Stampa – rivolti a reti di telecomunicazione, energia, trasporti, aeroporti. Sono state bloccate le comunicazioni telefoniche di ufficiali ucraini sul campo o le comunicazioni radio. Sono stati attaccati siti web governativi, media e banche. E poi è arrivato il blackout conseguente all’attacco a una utility dell’energia, un tipo di azione che in qualche modo gli esperti si aspettavano da anni. Quindi è stata un po’ una pietra miliare nel panorama della cybersicurezza. Certo, avrebbe potuto fare danni molto più seri». C’è stata molta «sperimentazione» da quelle parti, conclude Geers.
Nella foto: Philip Lark, del George Marshall European Center for Security Studies, mostra la mancanza di esperti in sicurezza di sistemi di controllo industriale durante l’European Cybersecurity Forum
Dal punto di vista della guerriglia digitale l’Ucraina è stata negli ultimi due anni un laboratorio, così come lo erano state loro malgrado Estonia e Georgia nel 2007 e 2008, quando avevano subito pesanti attacchi informatici alle loro infrastrutture. Anche in quel caso sul banco degli imputati c’era la Russia. L’opinione comune qui è che questo genere di attacchi di alto livello a infrastrutture critiche siano possibili, per ora, solo da parte di soggetti con molte risorse. E siano legati in genere a veri e propri conflitti militari, come appunto in Ucraina. Diverso il caso di quelle che sono chiamate “minacce ibride”, dove gli attacchi informatici non sono distruttivi ma puntano a usare come leva la diffusione o manipolazione di informazioni. Come esempio al convegno sono citati i recenti attacchi contro i server dei Democratici americani e il successivo leak di email. Ma ci sono stati anche i fantomatici hacker di nome Shadow Brokers che hanno rubato le armi digitali della Nsa. Di nuovo, in questo caso ancor più del precedente, ci si scontra col problema dell’attribuzione. Nessuno finora ha mostrato le prove che dietro quegli attacchi ci fosse Mosca.
«È difficile attribuire attacchi sponsorizzati da Stati e soprattutto provarlo», commenta a La Stampa Melissa Hathaway, che è stata consulente della sicurezza informatica (qualcuno la chiamava cyberzarina) per le amministrazioni Bush e Obama. «Tuttavia quando vedi che alcune azioni puntano a colpire la legittimità di un Paese mettendone in discussione processi democratici allora puoi probabilmente inquadrare quegli attacchi a livello statale. Poi è vero che nello scenario digitale russo c’è una forte componente criminale e non è detto che Mosca sia sempre in controllo di quello che avviene lì».
Nella foto: Melissa Hathaway
Insomma, di fronte alla complessità tecnica dell’attribuzione, la decisione di dichiarare che un certo attacco è stato fatto da uno Stato si sposta su un piano più alto, quello politico. Nel mentre «assistiamo a una militarizzazione del dominio cyber e alla creazione di unità speciali da parte di tutti gli Stati», commenta Inkster. Del resto la Nato ha riconosciuto il fatto che di fronte a un’aggressione informatica comparabile a un attacco armato convenzionale possa essere invocato l’articolo 5 del Trattato nord-atlantico, ovvero l’intervento degli altri Paesi alleati. Non ci sono però criteri chiari su che tipo di attacco debba essere; diciamo che per ora il consenso fra gli addetti ai lavori è che difficilmente se ne vedranno di tal genere.
Il problema, per molti Stati, è come trattare semmai tutto ciò che si situa sotto questo livello, tra propaganda, disinformazione, guerra psicologica o anche danni economici. Come appunto l’incursione nei server del Comitato nazionale democratico. Non a caso sul tema è intervenuta la candidata alla presidenza Hillary Clinton, proprio nel recente confronto con Donald Trump. Dopo aver enumerato la presenza sulla scena di vari attori – criminali e statali, così come gli attacchi recenti subiti dagli Usa – Clinton è stata molto esplicita: »Vogliamo che sia chiaro – che si tratti di Russia, Cina, Iran o altri – che gli Stati Uniti sono molto più potenti al riguardo. E non staremo fermi a permettere che attori statali rubino le nostre informazioni, dal settore privato o pubblico. Non vogliamo usare gli strumenti che abbiamo e non vogliamo essere coinvolti in un diverso tipo di guerriglia. Ma difenderemo i nostri cittadini».
TERRORISTI E RETE
Nel caso dell’uso della Rete da parte dei terroristi – per comunicare, diffondere propaganda e ottenere informazioni – non sembra esserci una strategia chiara da parte dell’Europa. Tranne il fatto di facilitare la rimozione di contenuti online, di spingere sulle aziende perché facciano lo stesso e di aumentare i poteri statali di sorveglianza delle comunicazioni. Quello che sembra mancare è però un consenso sull’effettiva efficacia di tali misure. O anche un’idea complessiva su come affrontare il fenomeno. Inoltre il coinvolgimento di aziende private in questo specifico campo – investigativo – solleva problemi di trasparenza, rendendo più difficile il controllo su strumenti e procedure, fa notare Lucie Krahulcova, della Ong Access Now. Che aggiunge: anche la rimozione di contenuti estremisti online rischia di essere soprattutto una cancellazione di intelligence utile.
«A livello investigativo monitorare (e infiltrare) un terrorismo diffuso e decentralizzato come quello di Isis è un problema», commenta a La Stampa Jamie Shea, vice segretario generale per le sfide emergenti di sicurezza della Nato. «Del resto pensiamo alla Francia che deve tenere sotto controllo circa 13mila sospetti, tutti molto giovani. Comunque, seguire la tracce digitali non è una panacea, non risolve tutto a livello di indagine. Se conti troppo su quelle, quando qualcuno sparisce dalla sfera digitale, rischi di andare incontro a un fallimento investigativo».
Nella foto: Nigel Inkster, The International Institute for Strategic Studies
Quello su cui bisogna lavorare, suggeriscono alcuni, è sull’attrazione esercitata dall’Isis, depotenziandone l’immagine. In quanto al problema di non riuscire a intercettare tutte le comunicazioni dei sospetti, un ex dirigente dei servizi britannici commenta così: «Durante la Guerra Fredda non siamo mai riusciti a “craccare” (violare, ndr) le comunicazioni cifrate russe, ma ciò nonostante, raccogliendo solo chi comunicava con chi, quando, quanto, come, potevamo capire moltissimo di quello che succedeva. E questo può valere anche oggi per il terrorismo».
In quanto alla crittografia forte, «il genio è ormai fuori dalla lampada, ed è improbabile pensare di fare delle leggi per limitarla, anche perché i criminali di sicuro non le seguirebbero, né la si può mettere al bando», commenta a La Stampa Sean Kanuck, del Center for International Security and Cooperation alla Stanford University, e un passato nell’intelligence statunitense.
CYBER-CRIMINE
Infine, si è discusso molto di cybercriminalità. E di alcuni suoi sviluppi sempre più imprenditoriali e organizzati. Mentre chi dovrebbe contrastarli si trova di fronte a operazioni transnazionali, che rendono complicati anche interventi semplici. Inoltre la collaborazione fra Stati passa ancora molto a livello personale, mancano dei meccanismi più automatici e riconosciuti di azione e condivisione di informazioni al riguardo, commenta Tunne Kelam, membro estone nella Commissione per gli affari esteri del Parlamento europeo. Mentre lo scenario si fa più insicuro per tutti, dalle aziende ai cittadini. In questo senso, alcune speranze sono riposte in due recenti provvedimenti legislativi europei. Il primo è il nuovo regolamento europeo in materia di protezione dei dati personali, entrato in vigore lo scorso maggio, e che verrà applicato dagli Stati nel 2018. Una misura che tra le altre cose prevede il diritto dei cittadini di essere informati sulle violazioni dei propri dati personali a causa ad esempio di leak da database aziendali, come quelli avvenuti recentemente con Yahoo, LinkedIn e altre compagnie. L’altro provvedimento è la direttiva Nis (Network and Information Security) che stabilisce una serie di regole comuni a livello europeo sulla sicurezza informatica, prevedendo l’obbligo per gli operatori di servizi essenziali (infrastrutture critiche) e anche per le piattaforme digitali di notificare gravi incidenti di sicurezza all’autorità nazionale.
«Questi provvedimenti sono importanti», commenta ancora Melissa Hathway, «ma bisogna ricordare che siamo indietro e che negli ultimi 25 anni non abbiamo investito in cybersicurezza. E anche quando si parla di condivisione di informazioni fra aziende e agenzie statali, non è comunque chiaro cosa si dovrebbe fare poi con quei dati una volta che li hai. Riferire delle violazioni resta un fatto essenziale. E anche farlo tempestivamente. In questo senso ora sul caso di Yahoo e della fuga di dati sui suoi 500 milioni di account è possibile che le autorità di controllo americane, come la Federal Trade Commission, aprano un’indagine».
Fonte: La Stampa