Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ESCALATION SECURITY

E’ svolta cyber-deterrenza nel G7: ecco le principali sfide

Con le elezioni europee ha fatto il suo ingresso nell’agenda del G7 una nuova strategia di cyber-difesa. Obiettivo la creazione di un patto fra Stati in grado di prevenire attacchi alla stabilità politica: alzando per gli avversari i costi (economici e sociali) delle aggressioni. Ma la strada è costellata di ostacoli

04 Giu 2019

Danilo Benedetti

Security Solutions Architect


Le principali potenze del mondo, identificate con il G7, spingono per entrare nell’era della cyber deterrenza. Contro due minacce globali.

  • Le campagne di violazioni informatiche a lungo termine, realizzate su scala mondiale e sponsorizzate da Stati, che hanno come obiettivo il furto di informazioni commerciali riservate e di proprietà intellettuale ai fini di dell’acquisizione di vantaggi economici e commerciali.
  • Dall’altro lato, il G7 si pone l’obiettivo di ridurre e scoraggiare le attività informatiche volte a influenzare l’opinione pubblica delle democrazie occidentali, quando non direttamente il risultato delle elezioni, al fine di promuovere agende di Paesi stranieri.

La strategia G7 per la cyber security mondiale

In quest’ottica, cybersecurity, fiducia e stabilità sono state al centro di un recente comunicato del G7 (6 aprile scorso), con cui il gruppo dei “7 grandi”[1] ha ribadito le proprie strategie.

Secondo un articolo del Financial Time dello stesso giorno, che raccoglie le voci dei protagonisti[2], i Paesi del G7 stanno pianificando una strategia di cybersecurity per proteggere i loro sistemi politici da attacchi su Internet e manipolazione dei social media da parte di potenze straniere come la Russia e la Cina, e fornire un quadro per le sanzioni e l’esposizione pubblica dei perpetratori. La proposta è stata discussa dai Ministri degli Esteri del gruppo delle sette nazioni riuniti nella località francese di Dinard.

Sempre secondo l’articolo, che cita fonti del governo americano, l’obiettivo è prevenire una serie di minacce, dal furto di dati agli attacchi strategici nonché identificare e punire i responsabili, in particolare i governi stranieri.

Una preoccupazione immediata, sempre secondo l’articolo è la necessità di prepararsi al contrasto degli (attesi e temuti) tentativi di indebolire le elezioni europee di maggio, mentre la Ministra degli Esteri canadese si è detta” molto preoccupata di possibili interferenze nelle elezioni nazionali del paese”. Secondo le fonti, lo scopo immediato di queste interferenze non è indirizzare il risultato delle elezioni, quanto piuttosto aumentare la polarizzazione delle opinioni nei Paesi-bersaglio.

Da questo incontro emerge dunque che l’obiettivo complessivo delle strategie di deterrenza non è limitato a rafforzare le capacità di interdizione e di difesa dei Paesi del G7 e loro alleati, ma anche a creare un contesto internazionale che sia in grado di scoraggiare la messa in campo di azioni di questo tipo da parte degli Stati.

Il documento ufficiale del G7 quindi, individua due linee di azione, una che potremmo definire “classica”, ovvero la protezione dalle intrusioni. La seconda, più moderna nella forma e anche più problematica nella sostanza come vedremo più avanti, che riguarda la necessità di contrastare la manipolazione delle informazioni all’interno di un paese, principalmente perpetrata attraverso l’uso dei social network. Ma è possibile sviluppare un efficace framework di deterrenza nel cybersapzio?

Deterrenza nel cyberspazio

Il concetto di deterrenza è entrato nell’uso comune nei tempi della Guerra Fredda, ma per una definizione rigorosa possiamo ricorrere al vocabolario: ad esempio quello Treccani la definisce così: potere di distogliere da un’azione dannosa per timore di una punizione o di una rappresaglia; azione o potere deterrente. In realtà questa definizione coglie un solo aspetto della deterrenza, quello punitivo, mentre è possibile individuare anche una deterrenza preventiva. In entrambi i casi l’obiettivo è far crescere nell’avversario la consapevolezza dei costi che sarebbero generati da un’azione ostile. Nella tradizionale deterrenza, la deterrenza per reazione, questi costi intervengono dopo l’azione ostile.

Nel caso della deterrenza preventiva, che possiamo chiamare anche dissuasione, l’azione deterrente fa lievitare i costi di realizzazione dell’azione per l’attaccante. Esempi di deterrenza preventiva sono muri di cinta, filo spinato, blocchi di cemento dinanzi agli obiettivi sensibili o, per rimanere in ambito cyber, gli strumenti quali Firewall, sistemi IDS/IPS, antivirus ecc.

La strategia della deterrenza è dunque intervenire sull’analisi costi-benefici di una nazione ostile, mostrando che i costi dell’azione sono inferiori ai benefici attesi, con l’obiettivo di spingere l’attore ostile a non agire.

La deterrenza reattiva, se trasportata nel mondo cyber, presenta principalmente un problema legato all’attribuzione dell’attacco a un soggetto o Stato preciso[3]. Nel cyberspazio l’attribuzione dell’origine di un attacco può essere difficile e dispendiosa in termini di tempo, e sebbene il problema dell’attribuzione si semplifichi man mano che cresce la quantità dei dati disponibili, ciò non elimina del tutto l’incertezza.

Inoltre nel cyberspazio si complica anche l’altro elemento della deterrenza reattiva, ovvero la capacità di comunicare in modo credibile la propria volontà di rispondere agli attacchi all’interno del dominio cyber, mentre l’opzione di ricorrere a risposte “cinetiche” al di fuori del teatro cyber alterano il quadro di escalation dal digitale al cinetico o altro e rappresentano una sfida per gli Stati che desiderano stabilire credibilità controllando la proporzionalità dei potenziali comportamenti di escalation.

Cyber-attacchi e sanzioni economiche

Queste considerazioni ci riportano alle riflessioni descritte nel già citato articolo del Financial Times, circa la necessità di sviluppare un quadro normativo internazionale e gli strumenti tecnici che possano legare l’attacco cyber alla possibilità di applicare sanzioni economiche o sanzioni, per così dire, morali all’attaccante. Purché questo si riesca ad identificare.

In quest’ottica non è un caso che alcune delle direttive Europee, in particolare la NIS, relativa alla protezione delle infrastrutture critiche[4], puntino proprio ad aumentare la capacità di rilevamento degli attacchi e la condivisione delle informazioni a livello europeo, per coordinare la risposta, prevenire ulteriori attacchi e anche per aumentare le probabilità e la confidenza con cui è possibile identificare correttamente l’attaccante, elemento fondativo di ogni principio di deterrenza.

Il tema della deterrenza preventiva invece non presenta le stesse complessità politiche, e coincide con l’applicazione di strumenti di cybersecurity che devono essere commisurati al danno, economico o politico, che si vuole prevenire. E’ interessante identificare però l’angolazione sotto la quale la definizione di deterrenza ci permette di valutare la sicurezza informatica.

Il principio della deterrenza mette infatti in gioco due analisi costi benefici: quella del difensore, che deve valutare quale costo è disposto a sostenere per proteggere il proprio cyberspazio – qui costi vanno intesi non solamente come costi economici, ma anche operativi e, nel caso di Stati, sociali – e quella di chi attacca, che deve utilizzare risorse, anche qui economiche, di tempo, di competenza, per superare le difese avversarie. In pratica una postura di sicurezza efficace deve mirare a elevare il costo di un attacco diretto contro gli elementi che l’organizzazione ritiene più importante: disponibilità, confidenzialità, integrità delle informazioni o degli elementi di elaborazione, portandolo al punto da rendere il costo dell’attacco superiore al beneficio atteso dall’attaccante.

Verso una nuova cortina di ferro

Il Cyberspazio fa parte da anni, stabilmente, dei campi di battaglia attraverso cui è possibile colpire l’avversario. Inoltre, per la sua natura non cinetica e per la difficoltà di attribuzione, l’attacco cyber è particolarmente attraente negli scenari di guerre a bassa intensità o non dichiarate, ad esempio: NotPetya nel teatro Russia – Ucraina, Shamoon per Iran – Arabia Saudita ed infine Stuxnet nella contrapposizione Israele – Iran, per citare i più noti. In tutti questi casi, si tratta di attacchi ben descritti in letteratura ma per i quali, va sottolineato, nessuno degli Stati presunti originatori dell’attacco ha mai confermato di esserne davvero l’autore, rimanendo quindi nell’ambito della “plausible deniability” che non dà origine a processi sanzionatori da parte della comunità internazionale.

Questi pochi esempi rendono evidente come introdurre uno spazio normativo e favorire la diffusione di una sensibilità politica sul tema dell’attacco informatico sia fondamentale per arrivare a stabilire le modalità con cui legittimamente attribuire un attacco, sviluppare le capacità tecniche per stabilire tale origine con un adeguato grado di confidenza, e infine implementare delle azioni di risposta, che per ora il G7 limita a opzioni non cinetiche: dalla “gogna internazionale” alle sanzioni economiche e commerciali. È chiaro che si tratta di un ulteriore passo verso la militarizzazione del cyberspazio, in una logica di escalation che ricorda sempre più da vicino la guerra fredda, soprattutto per la riproposizione di blocchi Est-Ovest, come la recente notizia dello sforzo russo di rendersi indipendente da ICANN testimonia[5].

Di contro, dovrebbe destare maggiore perplessità e inquietudine l’intento dichiarato al G7 relativo alla “protezione” delle elezioni dai tentativi di modificarne l’esito potenzialmente perpetrati da Paesi esteri, oppure la protezione dello spazio informativo da intrusioni ostili.

Il rischio autoritario nel controllo delle informazioni

Una simile proposizione infatti appare legittima e lodevole, soprattutto in questo momento in cui alcune tecniche di intelligenza artificiale rendono relativamente facile la falsificazione dei documenti audio e video (deep fake). Già da alcuni anni le possibilità di manipolazione dell’informazione sono segnalate nel novero delle minacce potenziali alla stabilità politica di un Paese[6], ed è quindi opportuno che le nazioni si dotino degli strumenti preventivi e reattivi necessari a prevenire e a impedire la diffusione di tali contenuti e/o a limitarne gli effetti.

D’altro canto l’implementazione di strumenti di controllo del dibattito pubblico potrebbe rivelarsi ambigua e foriera di spinte autoritarie e dirigiste. L’intento infatti sembra rivolto al mantenimento del controllo della notizia e del discorso pubblico contro le ingerenze esterne, ma una volta stabilito tale controllo chi decide se l’ingerenza è “esterna” e chi stabilisce che essa sia “illegittima”? In fondo in un sistema democratico la possibilità di accedere anche ai punti di vista di altri Paesi è un elemento di potenziale ricchezza, e non necessariamente una minaccia.

Nell’implementazione di tali spinte al controllo dello spazio informativo, va dunque tenuta d’occhio attentamente la modalità di realizzazione e il perimetro all’interno del quale tale controllo sarà attivo, per prevenire la possibilità che lo strumento possa essere abusato in una chiave censoria.

Qui ci troviamo nello stesso ambito del contrasto alle cosiddette “fake news, la cui creazione e diffusione è infatti spesso attribuita ad attori stranieri, come nel caso del Russiagate, l’indagine che ha accompagnato i primi anni della presidenza Trump. Nell’era della post verità è infatti sempre più difficile separare con assoluta certezza il vero dal falso, e anche la stessa definizione di “fake news” è incerta ed ambigua.

E’ certo che la diffusione incontrollata di notizie non verificate, esagerazioni, interpretazioni di comodo e di veri e propri “falsi” è un problema, ma la soluzione non risiede in un Ministero della Verità che rischia di assomigliare troppo da vicino ad un Ministero della Propaganda, quanto piuttosto nel rendere i cittadini più capaci di discernere e verificare le notizie che vengono propalate, attraverso un’operazione di formazione che abbia inizio fin dalla scuola, che sia in grado di formare i cittadini non al mondo di ieri, in cui era stabilita una chiara e verticale “gerarchia della verità”, ma al mondo odierno e di domani in cui la trasmissione dell’informazione è decisamente più orizzontale ed egalitaria.

  1. Foreign Ministers Communiqué – Saint Malo, France, April 6, 2019. Reperibile qui: http://www.g8.utoronto.ca/foreign/190405-libya.html
  2. “G7 plans strategy to protect against cyber attacks”, Victor Mailer per Financial Time, 6 aprile 2019
  3. Si veda ad esempio l’interessante articolo: Brantly, A. F., “The Cyber Deterrence Problem”, 2018 10th International Conference on Cyber Conflict, NATO CCD COE Publicatons
  4. Si veda ad esempio l’interessante articolo di L. Franchina “Data breach, i vantaggi della NIS sulle infrastrutture critiche” pubblicato su Agenda Digitale
  5. Si veda anche D. Benedetti, “Internet made in Russia: perché Putin vuole una rete tutta sua”, reperibile su Agenda Digitale.
  6. Si veda “I pericoli del Deep Fake” in D. Benedetti, “Intelligenza Artificiale per la pubblica sicurezza: utilizzi e rischi sociali”, su Agenda Digitale

@RIPRODUZIONE RISERVATA

Articolo 1 di 3