Una volta si chiamava Blitzkrieg, la tattica militare della guerra lampo adottata dall’esercito tedesco all’inizio del secondo conflitto mondiale per invadere di sorpresa Polonia, Francia e i Paesi balcanici e impedire loro di organizzare una difesa stabile e robusta. A oltre 60 anni di distanza, nel 2003, gli Stati Uniti ne hanno proposto una versione tecnologicamente più sofisticata nella seconda guerra del Golfo, con il concetto di Shock and awe. E oggi, in che modo, e con quali implicazioni giuridiche ed etiche, si potrebbe attuare il concetto guerra cibernetica (cyber warfare), dove ormai la conflittualità è permanente e il clima è sempre più surriscaldato dagli assalti provenienti dai nemici più disparati (gruppi terroristici, criminalità organizzata, hacker, corpi separati di Stati sovrani)? Quali attività cardine porre al centro della propria strategia per rispondere alla cyber warfare?
Fino a due anni fa, nella stessa Nato, sia a livello centrale che nei Paesi membri, ha prevalso ufficialmente il principio che si dovesse aumentare la sicurezza informatica, sviluppando una forma di cyberdifesa in comune contro i nemici esterni. Ma nell’ultimo biennio si è arrivati a un presupposto diverso: visto che nel cyberspazio difendersi non è più sufficiente, bisogna anche reagire, come deterrente per scoraggiare ogni tentativo futuro di aggressione informatica. Con il concetto di “difesa attiva” si renderebbe meno semplice agli hacker la continuità nelle operazioni aggressive per “bucare” le difese dei bersagli. Quando questa perseveranza si rivelerà poco remunerativa rispetto agli investimenti necessari per esercitarli, aumenterà la probabilità che desistano dal portarli a termine.
Ma quali sono le implicazioni giuridiche, etiche e operative di questo principio di difesa attiva?
Su questo interrogativo di fondo si sono susseguiti gli interventi della 9a Conferenza Nazionale sulla Cyber Warfare 2018, ideata e organizzata da Inthecyber, in collaborazione con NetConsulting Cube, Cersa, Clusit, Aipsi, Oad, Andip e svoltasi il 12 dicembre scorso a Milano, dedicata appunto al tema “Dalla difesa passiva alla risposta attiva – Efficacia e legittimità della risposta attiva alle minacce cibernetiche”.
L’attacco del 12 novembre 2018
Prima di tutto, però, c’è da comprendere e da valutare lo stato dell’arte nel nostro Paese. L’attacco del 12 novembre scorso, che ha colpito circa 3mila tra soggetti pubblici e privati italiani (interessando circa 500mila caselle di posta in totale, di cui 98mila della Pa Cisr, il perimetro più importante da difendere, comprendente i ministeri degli Esteri, Interno, Difesa, Giustizia, Economia e Sviluppo economico) e ha portato all’interruzione dei servizi informatici degli uffici giudiziari dei distretti di Corte di Appello su tutto il territorio nazionale, ha destato una forte attenzione anche al di fuori della cerchia degli addetti ai lavori, raggiungendo la più vasta platea dell’opinione pubblica.
“In Italia, c’è ancora molto da fare – ha ricordato Paolo Lezzi, CEO di Inthecyber e chairman della Conferenza, nell’introdurre i relatori – per creare una cultura diffusa della sicurezza cibernetica all’altezza della gravità della minaccia. Da un lato, si tratta di estendere sempre di più, a tutti i livelli delle istituzioni, delle aziende e della società civile, la consapevolezza e l’attenzione verso la minaccia cyber. Dall’altro, è necessario arrivare a definire il tipo di conoscenze specifiche e multidisciplinari per poter inquadrare il ruolo e le competenze dei cosiddetti ‘operatori cyber’, a livello civile, governativo e militare. Persone che senza essere meramente dei tecnici, ma neppure solo dei ‘filosofi’, dimostrino comunque la capacità di orientarsi all’interno di questo sfaccettato mondo della minaccia cyber”.
Una rete di centri difesa cyber
L’attacco del 12 novembre ha dimostrato quanto sia incombente la minaccia, e quanto possa impattare non solo sui conti economici e sui valori patrimoniali delle aziende, ma anche direttamente sul Pil del Paese. E se è ancora relativamente semplice scoprire per tempo gli attacchi cyber suscettibili di conseguenze dirette sul territorio, il rischio di rimanervi esposti è sempre possibile.
“Le nostre infrastrutture e i nostri sistemi, a livello aziendale, civile, governativo e militare – ha ricordato Lezzi – non sono ancora totalmente sicuri. Certi attacchi potrebbero avere conseguenze anche drammatiche, d’impatto perfino superiore agli attentati tradizionali. Non si tratta più di comprare attrezzature e strumenti tecnologici per la difesa, ma di attivare veri e propri processi di presidio continuativo della cyber security avanzata, tramite programmi continuativi di assessment, di simulazione di attacco e vere e proprie esercitazioni che coinvolgono sia le tecnologie sia le persone preposte al loro controllo. Fino ad arrivare alla costruzione e attivazione di veri e propri centri di difesa cyber: non solo a livello centrale, ma anche regionale, locale e di filiera, coordinati tutti con i livelli più alti; e in grado di fornire una reale percezione e un concreto discernimento di quanto sta avvenendo. Permettendo, per esempio, di capire se più assalti contemporanei distribuiti sul territorio siano casuali o costituiscano un attacco sistemico. Solo così potremo raggiungere un miglioramento continuativo, come continuamente migliora e diventa sempre più sofisticata la minaccia”.
Il quinto dominio militare
Un cambio di passo rilevante, soprattutto sul piano pubblico, è avvenuto nel 2016 al Summit della Nato a Varsavia, con il riconoscimento ufficiale del dominio cibernetico come quinto dominio operativo militare, dopo terra, acqua, cielo e spazio.
“Lì è stata data una direzione – ha sottolineato Angelo Tofalo, sottosegretario di Stato alla Difesa con delega cyber –, che ha fatto sì che in tutti gli Stati membri si prendessero delle decisioni organizzative e operative più stringenti. In Europa è stata approvata la direttiva Nis-Network and Information Security 2018, che sicuramente è stato un passo in avanti, dove si richiede uno sforzo a tutti gli Stati membri affinché aumentino il livello di sicurezza per quanto riguarda i fornitori di beni essenziali. Ma trasformare in azioni concrete una tale esigenza non è semplice. Da parte nostra, in Italia si è proceduto alla creazione del Cio-Comando interforze per le operazioni cibernetiche. Il Ministero della Difesa è notevolmente avanti, com’è giusto che sia, rispetto ad altri ministeri e al resto della pubblica amministrazione italiana sul tema della cybersecurity. Ora, però, uno dei prossimi obiettivi è quello di far parlare un’unica lingua cibernetica all’interno del ministero stesso: mi riferisco alle diverse forze armate (l’Esercito, l’Aeronautica, la Marina, l’arma dei carabinieri) dove ancora si tende a utilizzare in ognuna una piattaforma diversa o un software differente. Per la prima volta, il nuovo Governo ha dato una delega specifica sulla materia cyber e su tutte le tematiche connesse alla sicurezza cibernetica. Lo sforzo prioritario, quindi, diventa quello di ottimizzare la macchina ministeriale e di creare una maggiore interoperabilità tra i vari dispositivi utilizzati dalle forze armate, trovando anche il modo di superare certi vincoli burocratici che rallentano i tempi di risposta, anche per questioni molto semplici, come la segnalazione di un caso di phishing a una casella di email interna”.