Cyberwarfare: una breve introduzione

Cybersecurity, chi è questo sconosciuto? Ormai ogni giorno sulle principali testate Italiane non si parla che di “Cyberattack”, di possibili vittime di questi ultimi e della disperata necessità di esperti di un settore che ha ancora tante lacune sotto ogni punto di vista (giuridico e tecnico su tutti). Ovviamente non ho pretesa né capacità di spiegare a fondo il fenomeno ma, credendo profondamente nel bisogno di suscitare e provare curiosità, scrivo qualche riga.

Torniamo indietro di qualche anno. Viene dato l’avvio alla nascita dello spazio cibernetico quando il primo gennaio 1983 il TCP/IP diventa il principale mezzo di comunicazione. Per quanto sia difficile darne una definizione precisa ( F.D. Kramer stima l’esistenza di 28 definizioni diverse e la Federazione Russa non riconosce il termine cyber) lo spazio cibernetico può essere definito seguendo la definizione data da sicurezzanazionale.gov.it come “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi. Include tra l’altro internet, reti di comunicazione, sistemi attuatori di processo ed apparecchiature mobili dotate di connessione di rete.” Oggi il cyberspace è un quinto dominio che si interseca con aria, spazio, terra e acqua, ma a differenza degli altri è stato creato dall’uomo. Il cyberspace, dunque, supporta quasi ogni aspetto della nostra vita quotidiana attraverso l’utilizzo di automobili, smart tv, smartphones per arrivare anche agli oggetti meno celebri come i tostapane (per chi la ritenesse un’esagerazione, basti digitare “WannaCry” per avere un’idea, ma ci torniamo più tardi). Il tema della cybersecurity è stato portato alla luce dall’avanzare del progresso e l’evidenza, sempre più stringente, che intervenire per porre freno a un fenomeno potenzialmente violento e quasi totalmente non regolamentato fosse un’urgenza della classe dirigente attuale. Nella dimensione del cyber non c’è ancora alcuna regolamentazione né diritto (internazionale) che regoli questi potenziali conflitti e dunque, dall’altra parte della medaglia, non vi è alcun limite alla violenza. Potrebbe sembrare un’esagerazione a qualcuno che volesse seguire l’esempio di San Tommaso sul non credo se non vedo, e perciò entro nello specifico: Il caso Stuxnet in Iran nel 2006 che ha portato all’ esplosione di sistemi Siemens di arricchimento dell’uranio è stato, a differenza del caso Estone del 2007, un atto di guerra perché vi è stata distruzione fisica delle turbine generata da un acceleramento della rapidità del macchinario non riscontrabile nei PC di controllo. Questa volta non c’entrano nulla i tostapane né altri elettrodomestici ma se state immaginando un complessissimo insieme di macchinari che ha potuto mettere fuori gioco un sistema così strategico per il governo Iraniano siete fuori strada: l’ipotesi più accreditata vede in una penna USB il veicolo del virus che era stato appositamente studiato. Difficile pensare che un crimine di difficoltà così alta e potenzialmente così rischioso (una volta installato un virus così non è più controllabile né arginabile) nasca dall’ iniziativa individuale, ma l’attribuzione non è stata provata anche se c’è più di qualche sospetto su Israele e USA. Tornando alla sopracitata Estonia: nel 2007 lì non vi fu danno fisico, anche se i sistemi informatici di tutto il paese furono mandati in breakdown per diversi giorni e questo mandò su tutte le furie il governo. Il colpevole? Avrete capito che questa domanda nell’ambito della cybersecurity non genera mai risposte semplici ma solo leciti sospetti; sappiamo che, poprio nel 2007, il governo Estone ha eliminato da una delle piazze centrali di Tallin la statua di commemorazione delle truppe sovietiche che la liberarono durante la II guerra Mondiale, e dopo qualche mese ci fu l’attacco cibernetico. É più che lecito dubitare, ma il governo Estone chiese di più e si rivolse alla NATO perché vi fosse un riconoscimento contro la Russia e che questo attacco fosse riconosciuto come un atto di guerra. Peccato che i server dai quali l’attacco risulta partito siano Americani, e dunque questa strana dimensione portò a uno strano e inspiegabile scenario per cui l’unico che potesse essere ritenuto responsabile oggettivo era da indicare negli Stati Uniti d’America. Inutile specificare che arrivati a questa conclusione il discorso ha cambiato rapidamente binario e la NATO ha provveduto a un investimento che ad oggi risulta essere la bibbia nel campo della cibernetica, ovvero i Manuali di Tallin 2.0. Tuttavia, perché il diritto internazionale venga applicato, esso non può essere costruito su base volontaria come invece nel caso della raccomandazione dell’Onu del 2015 o gli stessi manuali di Tallin 2.0. Basti vedere cosa successe nel 2013 in Crimea, dove l’Ucraina avrebbe potuto alzare il telefono e chiamare il segretariato OSCE e la sua controparte russa per acclarare lo Stato di guerra e convocare un altro CBM ma non lo fece e preferì trattare direttamente con il governo Russo poiché la scarsa fiducia nell’OSCE e nell’operatività di un sistema dove mancano del tutto vincoli di comportamento. Un rimando storico che mi piace molto e trovo che descriva ancor meglio della contemporaneità il problema è descritto meravigliosamente da Tucidide nella cultura classica e, in particolare, dalla guerra del Peloponneso dove i Medi, convocati dagli Ateniesi perché si comportassero da alleati contro il nemico spartano, si rifiutarono appellandosi al loro diritto di non prendere parte alla guerra. Il risultato? La loro popolazione fu annientata e cancellata dalla faccia della terra dagli Ateniesi, che volenti o meno affermarono un principio fondamentale e che si ripresenta spesso in natura, il diritto vale solo tra pari. Tornando alla dimensione del cyberspace la grande preoccupazione è che non esista ancora la deterrenza sia perché è troppo elevato l’anonimato e troppo facile il ricorso alla “plausible negativity”, come dimostra chiaramente il report del Federal Bureau of Investigation sulle elezioni americane e le presunte (come tutto d’altronde) ingerenze russe pieno fino alla nausea di “if” e “would”. Questa pericolosa escalation non è controllabile e sia gli Stati NATO tutti a Varsavia sia gli USA nel 2015 hanno riconosciuto la dimensione cyber per la prima volta nella storia come un dominio delle operazioni belliche. Se questo scenario non vi sembri sufficientemente complesso e pericoloso vi consiglio una lettura: pubblicato nel 1999, Unrestricted War , viene scritto a quattro mani da due colonnelli cinesi, Qiao Liang e Wang Xiangsui, e introduce l’idea dell’attacco alle reti di comunicazioni data la crescente importanza dello scambio di dati e il funzionamento della distribuzione dell’energia, dei trasporti, dei sistemi finanziari, e delle comunicazioni tutte per superare una potenza militarmente troppo superiore come gli USA ad oggi lo sono per la Cina. Liang e Xiangsui scrivono: “Noi siamo persuasi che macchine all’apparenza del tutto innocue si trasformeranno nelle peggiori armi”. Che ci abbiano visto lungo ne abbiamo già avuto una prova evidente l’11 Settembre 2001 quando, se ci pensiamo con attenzione, dei semplici aerei di linea sono diventati protagonisti di uno degli eventi più traumatici della storia dell’umanità. Tanti punti interrogativi e pochi punti fermi rendono la cybersecurity un tema molto affascinante e, a suo modo, angosciante ma credo sia dovere di tutti noi, esattamente come dei sistemi Stato, imparare a prevenire piuttosto che curare e dunque informare l’opinione pubblica sulle conseguenze potenzialmente disastrose di questi attacchi, affinché si possa evitare di ridurci a parlarne nel momento in cui ci saranno i primi morti.

Leave a Reply

Your email address will not be published.

*

WP Facebook Auto Publish Powered By : XYZScripts.com