Alcune riflessioni sulla guerra cibernetica

 
Uno dei casi di rischio sollevato nell’ottava edizione del Meeting sui rischi mondiali del 2013 presentato nel mese di gennaio dal Forum Economico Mondiale, si colloca al centro di una costellazione di rischi tecnologici e geopolitici che variano dal terrorismo agli attacchi cibernetici fino al fallimento del governo globale. Tale caso specifico è denominato “incendio digitale incontrollato in un mondo iper connesso” e riguarda la disinformazione di massa che si estende via internet. Questo rischio dimostra come la iperconnettività possa permettere ad un incendio digitale di seminare il caos nel mondo reale. In concreto, questo caso mostra la sfida presentata dall’uso sbagliato di un sistema aperto e facilmente accessibile come internet e il pericolo maggiore rappresentato dai tentativi sbagliati di evitare tale risultato.

La settimana scorsa, il Presidente Obama ha convocato presso la Casa Bianca quindici tra i principali leader finanziari degli Stati Uniti per discutere ciò che il suo governo considera come alcune tra le minacce più penetranti, persistenti e meno gestibili, ovvero i rischi di attacchi cibernetici. Al contrario della minaccia nucleare, in cui realmente alcuni governi si confrontavano con altri, ora “il settore finanziario, le imprese e le loro conoscenze sono il nuovo campo di battaglia”. In questo nuovo mondo, i conflitti cibernetici sono una realtà concreta anche se nessuno ha scritto le regole su come gestire la responsabilità tra il governo e il settore privato.

A differenza delle tipiche crisi di sicurezza nazionale, il settore privato controlla la maggior parte delle risorse che possono risolvere con decisione i conflitti cibernetici. Il governo conserva la responsabilità generale sulla difesa cibernetica nazionale, anche se non ha sviluppato dottrine di risposta efficace. Esistono dei limiti nell’amministrazione pubblica dovuti ai suoi processi interni e alla mancanza di esperienza nella risoluzione dei problemi di sicurezza nazionale in collaborazione con il settore privato.
Un gruppo di importanti strateghi cibernetici ha realizzato una sorta di simulazione che illustra la rapidità con la quale un conflitto cibernetico può raggiungere il suo punto apice, partendo da una tensione iniziale fino ad arrivare a qualcosa di molto più serio. L’incontro ha dimostrato come molto spesso l’amministrazione del governo e il settore privato non riescano a comunicare in maniera effettiva o ad attuare una collaborazione concreta per fronteggiare una minaccia alla sicurezza nazionale che può essere dominata solo se insieme.

La simulazione consisteva in una DDoS o negazione di servizio distribuita nelle istituzioni finanziarie degli Stati Uniti e lanciata all’inizio di quest’anno. Questi attacchi hanno seguito lo schema degli attacchi prodotti l’estate scorsa e che hanno utilizzato un codice dannoso per cancellare i dati di circa 30.000 computer dell’impresa saudita Aramco. Questa simulazione cibernetica ha permesso di raccogliere, seguendo lo sviluppo di una situazione fittizia, una serie di conclusioni e raccomandazioni al fine di saper reagire di fronte ad una situazione di questo tipo.

Tra le conclusioni emerge che mentre il governo vuole cercare di risolvere i conflitti cibernetici da solo, come fa nella maggior parte delle crisi di sicurezza nazionale, in questo caso specifico la collaborazione con il settore privato è imprescindibile. Di fatto, sono pochi i conflitti cibernetici negli ultimi venticinque anni che si sono risolti in maniera decisiva per mano dei governi, secondo quanto afferma Jason Healey, il direttore della Cyberstatecraft Initiative del Consiglio Atlantico. Per risolvere la maggior parte delle crisi cibernetiche bisogna combinare l’agilità e l’esperienza propria del settore privato, il quale, inoltre, ha accesso ai mezzi per farlo. Il governo non ha queste virtù, sebbene conosca il contesto generale dell’attacco e ha risorse enormi per lo spionaggio e il finanziamento, oltre a controllare gli ingranaggi del potere economico, diplomatico e militare.

Questi ultimi mesi hanno dimostrato che tali discussioni non sono solo teoriche. Il messaggio di Obama al settore finanziario è stato chiaro: prima che le cose si mettano male, il governo e le imprese private congiuntamente dovranno fare il possibile per prepararsi agli inevitabili conflitti cibernetici del futuro. Dall’altra parte, lo studio sui recenti attacchi cibernetici alla Corea del Sud ha mostrato quattro verità sui conflitti cibernetici. Le implicazioni di tre di esse sono ovvie, per la quarta non è proprio così:

1. i conflitti cibernetici sono dannosi,
2. sono lontani dalla guerra,
3. sono sempre più facili da prevedere e la nazione responsabile è spesso perfettamente consapevole,
4. tuttavia, per arrestare questo tipo di attacchi asimmetrici, a volte bisogna utilizzare un approccio tradizionale.

 
I conflitti cibernetici analizzati sono quelli prodotti a marzo del 2013, in questa occasione i gruppi del settore finanziario, energetico e dei mezzi di comunicazione della Corea del Sud hanno sofferto un attacco sofisticato che colpì bancomat e siti web offline. Inizialmente gli attacchi sembrarono essere un disservizio momentaneo, durante il quale semplicemente le reti furono inondate dal traffico dati che le mandarono fuori servizio. All’inizio i gruppi criminali potevano lanciare grandi attacchi ottenendo la capacità necessaria semplicemente affittandola ad ore e, pertanto, non potevano essere chiamati cyber guerrieri. In un secondo momento, si osservò che gli attacchi avevano una componente più interessante e pericolosa, infatti vennero distrutti i dati dei computer attaccati ai propri dischi rigidi.

Ciononostante, questa interruzione non fu di lunga durata ne, tanto meno, di carattere letale, infatti i sistemi vennero recuperati in pochi giorni. Questa è, di fatto, la regola dei conflitti cibernetici, non l’eccezione. Lo studio realizzato dal Consiglio Atlantico e dall’Associazione per gli Studi su i conflitti cibernetici relativi alla storia del conflitto cibernetico non ha rilevato un solo caso nel quale ci siano stati dei morti provocati da conflitti cibernetici. Tali conflitti possono essere relativamente facili da realizzare, ma è anche abbastanza facile correre ai ripari e ripristinare la situazione ex ante. Le risorse colpite possono essere rimpiazzate rapidamente anche se i danni sono indubbi. Chiaramente, i conflitti cibernetici comportano diverse difficoltà e molti danni ma quasi mai possono essere considerati alla stregua di atti di terrorismo o di guerra vera e propria.

La seconda istanza contraddice l’idea per cui gli attacchi cibernetici sono imprevedibili. Gli attacchi alla Corea del Sud sono solo gli ultimi di una serie che rimonta al 2009, per ciò si tratta di una tendenza che si è resa totalmente prevedibile. Nella storia del conflitto cibernetico esiste un forte vincolo tra la crisi geopolitica nel mondo reale e gli attacchi cibernetici successivi. Ad esempio, ogni volta che c’è una situazione di tensione tra le barche da pesca cinesi e quelle delle isole in disputa, ci si aspetta che vi siano atti di pirateria cibernetica e di “hacking” provenienti dalla Cina. Di conseguenza, non appena la Corea del Nord rinunciò all’armistizio con la Corea del Sud, a metà marzo, alcuni lanciarono l’allarme circa il rischio di possibili attentati cibernetici. Gli attacchi erano prevedibili a causa delle reazioni della Corea del Nord e la comunità internazionale dovette fare i conti con questa nazione che risultava essere la principale responsabile degli attacchi, a meno che non fossero uscite fuori prove di incolpevolezza. Tuttavia, questa connessione non può essere dimostrata, ma la verità è che il conflitto cibernetico non deve essere diverso dagli altri misteri della sicurezza nazionale.

Quando la Cheonan, una corvetta della Corea del Sud, fu affondata nel 2010 con la relativa perdita di 26 marinai, non bastò a provare che la Corea del Nord fosse la responsabile, ma la paternità dell’esplosione era abbastanza chiara. L’attacco, e il conseguente bombardamento di un’isola sudcoreana che ha provocato la morte di due marinai e di due civili, aiutò ad alimentare la determinazione della Cina a rimproverare e, con un po’ di fortuna, a tenere a freno il suo alleato ribelle. Ciò rimanda alla quarta istanza. Quando si tratta di evitare che il regime di Kim Jong Un colpisca con attacchi informatici, la strada non deve partire da Pyongyang ma da Pechino. Questa non è l’opinione più diffusa nella comunità cibernetica, il cui primo istinto è cercare risposte tecniche. I tecnici possono aiutare a difendersi da future interruzioni ma non aiuteranno con il comportamento soggiacente della Corea del Nord. La comunità internazionale, inoltre, si troverà di fronte a nuovi meccanismi cibernetici di potere allo scopo di ridurre l’intensità della crisi. La Corea del Nord è abbastanza isolata, infatti ha solo una connessione debole nel cyber spazio. Fortunatamente, non c’è necessità di cercare nuove soluzioni cibernetiche dato che i conflitti informatici non possono essere risolti in maniera isolata rispetto alla dinamica della sicurezza nazionale.

In realtà, la comunità internazionale non ha problemi di carattere cibernetico con la Corea del Nord, rispetto ad essa ha semplicemente un problema più generale. Gli attacchi cibernetici sono solo un aspetto del problema, che è più grande e articolato. La leadership cinese è sempre più frustrata dai capricci di Kim Jong Un e ogni problema generato da quest’ultimo pone in una situazione ancora più scomoda la Cina. Secondo Jason Healey, i diplomatici sudcoreani ed europei devono fare in modo di aggiungere ogni nuova interruzione cibernetica alla lista degli oltraggi a cui Pechino deve rispondere e non trattare ogni attacco cibernetico come un problema a se stante. Tuttavia, la Cina e gli altri paesi possono tentare di distogliere l’attenzione sostenendo che non vi siano prove sufficienti circa la paternità di queste azioni criminali da addossare alla Corea del Nord. Gli Stati Uniti e la Corea del Sud non dovrebbero trattare il tema cibernetico come qualcosa di differente e rispondere nello stesso modo con cui risposero dopo l’affondamento del Cheonan. Per questo motivo, un gruppo di esperti internazionali ha esaminato le prove e ha pubblicato un rapporto documentato con la prova inconfutabile che “faccia sapere alla Corea del Nord e al resto della comunità internazionale che anche l’attacco più segreto lascia delle prove”.

Una commissione, debitamente selezionata dalle Nazioni Unite e dai governi coinvolti, dovrebbe esaminare, inoltre, le prove forensi e il contesto di sicurezza nazionale al fine di elaborare delle conclusioni circa quale gruppo o nazione sia responsabile. Così come con il rapporto Cheonan, i detrattori continueranno ad esistere, ma una resa dei conti pubblica contribuisce a portare chiarezza laddove non ve ne era e a impostare il punto di riferimento per i nuovi standard internazionali. Nonostante il fatto che gli attacchi cibernetici nordcoreani non abbiano causato morti o interruzioni gravi delle connessioni, la Corea del nord ha imparato a fare pressione con gli scontri militari e gli attacchi cibernetici hanno finito per peggiorare la situazione. La comunità internazionale dovrebbe trattare gli attacchi informatici come farebbe con qualsiasi altro strumento per l’uso della forza da parte della Corea del Nord e fare pressione sul governo cinese al fine di porre un freno al suo vicino ribelle.

(Traduzione dallo spagnolo di Martina Zannotti)