Cyberwarfare e Cybersecurity: le due facce della stessa medaglia

La cyberwar è intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico si parla di cyberwarfare per fare riferimento ad attacchi informatici condotti non contro singole aziende, ma contro intere nazioni. Tali attacchi creano danni diretti e indiretti di vario tipo, sconvolgimento di funzioni sociali vitali e, in casi estremi, anche perdite di vite umane.

Michele Iaselli, coordinatore del Comitato Scientifico di Federprivacy

(Nella foto: Michele Iaselli, coordinatore del Comitato Scientifico di Federprivacy)

La cyberwar è tipica della terza rivoluzione industriale (o postindustriale), come la guerra elettronica lo è stata della seconda. Possiede aspetti tecnico-operativi sia offensivi che difensivi e viene utilizzata sia in tempo di pace che nel corso di conflitti armati. Dal punto di vista offensivo, l’attacco cibernetico può utilizzare diverse tecniche e tattiche e proporsi diversi obiettivi: intercettazione di dati; inabilitazione delle reti e degli equipaggiamenti informatici nemici; attacco alle infrastrutture critiche (elettricità, gasdotti e oleodotti, rete delle telecomunicazioni commerciali e finanziarie, trasporti ecc.).

Le modalità di attuazione degli attacchi vanno dal superamento dei sistemi protettivi e dall’entrata nelle reti informative e nelle banche dati, con finalità varie (dall’acquisizione di informazioni al vandalismo di hacker individuali), all’attacco massiccio condotto da unità specializzate, alla diffusione di virus informatici o di worm, per neutralizzare reti, sistemi d’arma o di comando, di controllo e di comunicazione.

Molti preferiscono parlare di cyberwarfare per esprimere meglio un concetto equivalente al “campo di battaglia digitale”, un nuovo scenario nel quale la guerra fra Stati si sposta dal piano reale a quello virtuale. Usare il termine “virtuale” non deve però trarre in inganno. Nel mondo odierno praticamente tutti gli elementi della nostra vita dipendono da una qualche forma di strumento digitale: dai trasporti alla produzione dell’energia, dalla sanità alla comunicazione, dal lavoro allo svago.

la cyberwarfare consiste in attacchi informatici condotti contro intere nazioni

Attaccare le nostre infrastrutture digitali, impedendogli di funzionare correttamente, significa allora attaccare le nostre infrastrutture reali, in modo non dissimile a un attacco terroristico. Non stupisce quindi che la guerra si stia trasferendo sempre più su questo nuovo piano, creando scenari del tutto nuovi che richiedono conoscenze precise e misure adeguate alla minaccia.

Nello specifico per cyberwarfare si intende:

1 – Attacco a infrastrutture –  Si tratta di attacchi contro il sistema informatico che gestisce infrastrutture critiche per il funzionamento di uno stato, come i sistemi idrici, energetici, sanitari, dei trasporti e militari.

2 – Attacco ad apparecchiature –  Questo tipo di attacco, più militare in senso classico, ha l’obiettivo di compromettere il funzionamento di sistemi di comunicazione militari come satelliti o computer.

3 – Guerriglia Web –  In questo caso l’attacco consiste in rapidi atti vandalici contro server e pagine web, creando più scompiglio che veri e propri danni informatici.

4 – Cyberspionaggio – Proprio come lo spionaggio classico, questa attività cerca di rubare informazioni sensibili, siano esse di carattere militare che aziendale, avendo spesso come obiettivo grandi compagnie nazionali.

5 – Propaganda – Questo tipo di attacco è più nascosto e subdolo: il suo scopo è quello di infondere dubbi nella popolazione e creare malcontento attraverso la divulgazione di messaggi politici e fake news, soprattutto attraverso i social.

Naturalmente per approfondire la conoscenza di questa nuova realtà è necessario acquisire ed approfondire le nozioni essenziali di cybersecurity e quindi cosa si intende per cyber risk, come è possibile difendersi da attacchi informatici o prevenire gli stessi.

il rischio informatico può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena).

I rischi di natura endogena sono:

– Naturali: incendi, calamità naturali, inondazioni, terremoti.
– Finanziari: variazione dei prezzi e dei costi, inflazione.
– Strategici: concorrenza, progressi scientifici, innovazioni tecnologiche.
– Errori umani: modifica e cancellazione dei dati, manomissione volontaria dei dati.

I rischi di natura esogena, o di natura operativa sono i rischi connessi alle strutture informatiche che compongono i sistemi. Essi sono:

– Danneggiamento di hardware e software.
– Errori nell’esecuzione delle operazioni nei sistemi.
– Malfunzionamento dei sistemi.
– Programmi indesiderati.

Tali rischi possono verificarsi a causa dei cosiddetti programmi “virus” destinati ad alterare od impedire il funzionamento dei sistemi informatici. Ma vi sono anche le truffe informatiche, la pedo-pornografica, il cyberbullismo, i ricatti a sfondo sessuale derivanti da video chat on line e solo una piena consapevolezza del concetto di sicurezza informatica può davvero metterci al riparo da sgradevoli sorprese.

Ogni giorno vengono compiuti migliaia di attacchi informatici attraverso le tecniche più varie e termini come malware, ransomware, trojan horse, account cracking, phishing, 0-dayvulnerability sono diventati parte del vocabolario anche per i non esperti.

Per evitare attacchi informatici, o almeno per limitarne le conseguenze, è necessario adottare delle contromisure; i calcolatori e le reti di telecomunicazione necessitano di protezione anche se come in qualsiasi ambiente la sicurezza assoluta non è concretamente realizzabile.

Il modo per proteggersi è imparare a riconoscere le origini del rischio. Gli strumenti di difesa informatica sono molteplici, si pensi antivirus, antispyware, blocco popup, firewall ecc., ma tuttavia non sempre si rivelano efficienti, in quanto esistono codici malevoli in grado di aggirare facilmente le difese, anche con l’inconsapevole complicità degli stessi utenti.

Un altro aspetto di notevole importanza del rischio informatico è il risk management (gestione del rischio) che è quel processo attraverso il quale si misura o si stima il rischio e successivamente si sviluppano le strategie per fronteggiarlo.

La gestione del rischio, così come descritto nella Convenzione Interbancaria per i problemi dell’Automazione (CIPA) nel rapporto sul rischio informatico si articola in diverse fasi:

– Identificazione del rischio;
– Individuazione delle minacce;
– Individuazione dei danni che posso derivare dal concretizzarsi delle minacce e la loro valutazione;
– Identificazione delle possibili contromisure per contrastare le minacce arrecate alle risorse informatiche.

Diverse sono le modalità di gestione del rischio. A seconda del livello di rischio che un soggetto sia esso un’azienda, persona o ente ritiene accettabile si distinguono:

– Evitare: si modificano i processi produttivi, modalità di gestione ed amministrazione con lo scopo di eliminare il rischio.
– Trasferire il rischio ad un altro soggetto: il trasferimento del rischio avviene nei confronti di assicurazioni, partner e si tratta principalmente di rischi economici perché più facilmente quantificabili.
– Mitigare: consiste nel ridurre, attraverso processi di controllo e verifica, la probabilità del verificarsi del rischio o nel limitarne la gravità delle conseguenze nel caso in cui si verifichino.
– Accettare: ossia assumersi il rischio ed i relativi costi.

NOTE AUTORE

Michele Iaselli

Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS – dipartimento di giurisprudenza. Specializzato presso l’Università degli Studi di Napoli Federico II in “Tecniche e Metodologie informatiche giuridiche”. Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa – Twitter: @miasell