Sfide

Cybersecurity, perché se ne parla tanto

3/5/2022 7 minuti

Dall’avvio del conflitto tra Russia e Ucraina si è molto parlato di un secondo fronte "invisibile". Ma cosa si intende esattamente per minaccia ibrida e quali sono le lezioni da trarre? Quello che è certo è che, dal punto di vista quantitativo e qualitativo, la crescita dei cyberattacchi negli ultimi anni è stata esponenziale.

Dall'avvio del conflitto tra Russia e Ucraina si è molto parlato di un secondo fronte "invisibile", quello della cybersecurity. Ma cosa si intende esattamente per minaccia ibrida? Il concetto di minaccia e più in generale di guerra ("warfare") prende il significato di "ibrida" quando al tradizionale approccio fisico si accompagnano anche attacchi cyber. Ciò non significa che ogni attacco informatico debba essere considerato un atto di guerra, ma certamente quando ci troviamo di fronte a situazioni in cui sono coinvolti attori statuali (i cosiddetti attacchi "state sponsored") tale possibilità diventa concreta. La chiave di lettura è proprio questa: associare gli attacchi cyber a soggetti specifici e alle azioni di tipo fisico (convenzionali) da questi perpetrate. Oggi sappiamo che esistono decine di gruppi riconducibili a governi nazionali (Russia e Ucraina compresi) che effettuano attacchi cyber su indicazione degli stessi.

Cosa ci insegna il caso Ucraina. I recenti attacchi subiti dalle istituzioni governative in Ucraina sono solo gli ultimi in ordine temporale subiti dall’ex stato sovietico: nel 2015 venne presa di mira la rete elettrica ucraina con l’effetto di un prolungato blackout; nel 2017 è toccato anche a banche e aziende dei trasporti. Al netto delle responsabilità politiche (quasi mai rivendicate ufficialmente dall’attaccante), c'è un dato che riporta l’analisi a fattori molto elementari: l'infezione avviene spesso attraverso una normalissima e-mail. La posta elettronica è uno dei vettori principali per effettuare un attacco cyber verso un utente singolo o verso un’organizzazione così come le comuni chiavette USB.

Alcuni esempi. Un caso scuola, in tal senso, è stato il virus Stuxnet che tra la fine del 2009 e il 2010 infettò numerosi apparati tra cui la centrale nucleare di Natanz in Iran e rappresenta forse il primo caso di cyber war: nello specifico l'attacco fu perpetrato all’epoca proprio con un device USB (probabilmente una chiavetta) inserito da un addetto ai lavori dell’impianto. Quando non è possibile accedere dall’esterno, infatti l’attaccante deve trovare il modo di raggiungere l’obiettivo applicando una strategia basata su:

* sfruttamento della debolezza dell'utente finale: la curiosità di vedere l'interno della chiavetta o magari la scarsa sensibilità sui rischi derivanti dall'uso della stessa;

* "social engineering" (ossia una forma di attacco su base psicologica, con cui il criminale cerca di ottenere informazioni utili sulle potenziali vittime per rendere più efficaci le proprie attività criminali): per capire come poter raggiungere l'utente e renderlo un complice inconsapevole.

Ransomware as a service. Un altro caso molto noto è quello di Wannacry, il ransomware (particolare tipo di codice maligno, o malware, funzionale alla richiesta di un riscatto) che nel 2017 infettò decine di migliaia di PC in tutto il mondo (tra cui anche aziende molto importanti). Questo tipo di minaccia è cresciuta in modo esponenziale negli ultimi due anni perché potenzialmente redditizia per i criminali tanto da coniare la definizione "Ransomware as a service". Cosa significa? Organizzazioni criminali acquistano l'attacco come se fosse un servizio consapevoli che una volta lanciato possa rendere un cospicuo riscatto: le vittime infatti sono quasi sempre disposte a pagare per riavere indietro i propri dati, nel frattempo criptati dall'infezione.

9782 — Dal punto di vista quantitativo e qualitativo la crescita dei cyberattacchi negli ultimi anni è stata esponenziale (Tima Miroshnichenko/Pexels.com)

Dati recenti (rapporto Clusit 2022). Se il 2020 era stato l’anno peggiore di sempre in termini di evoluzione delle minacce "cyber" e dei relativi impatti, con un trend persistente di crescita degli attacchi, della loro gravità e dei danni conseguenti, tale tendenza negativa si è confermata ampiamente anche nel 2021. Dal punto di vista quantitativo, confrontando i numeri del 2018 con quelli del 2021, la crescita degli attacchi gravi è stata quasi del 32% (da 1.554 a 2.049). Nel 2021, tra le tecniche di attacco, la categoria che mostra numeri assoluti maggiori è "Malware" (+9,7%), che rappresenta il 41% del totale. Le tecniche sconosciute (categoria "Unknown") tornano al secondo posto, con un aumento del 16,4% rispetto al 2020, superando la categoria "Vulnerabilità" (che peraltro fa segnare un preoccupante +60%) e "Phishing/Social Engineering" (in calo, -32,1%), mentre "Tecniche Multiple" sale del +19.8%. Rispetto al totale del campione gli attacchi gravi con finalità di "Distributed Denial of Service" diminuiscono del 8,8%, così come quelli realizzati tramite "Identity Theft/Account Hacking" (-15,6%).

Organizzazioni criminali acquistano ormai attacchi Ransomware come se fossero un servizio, consapevoli che una volta lanciato possa rendere un cospicuo riscatto: le vittime infatti sono quasi sempre disposte a pagare per riavere indietro i propri dati nel frattempo criptati dall'infezione. È il cosiddetto "Ransomware as a service".

Le fake news, nuovi "proiettili" non convenzionali. La diffusione dei nuovi strumenti di comunicazione di massa e la digitalizzazione hanno accresciuto la facilità di comunicare con risvolti spesso gravi, non solo sulla qualità ma soprattutto sulla veridicità delle informazioni. Un tempo si utilizzava lo strumento della propaganda per influenzare le masse; oggi questo avviene con l’ausilio dei social network e con la complicità, spesso inconsapevole, proprio del pubblico, che alimenta la viralità dei contenuti.

Un nuovo dominio NATO: il cyberspazio. Questo scenario ha portato le principali organizzazioni internazionali a una seria riflessione perché ha, di fatto, creato un nuovo ambito di minaccia. O per essere più precisi: un nuovo dominio. In tempi non lontani la Nato ha aggiunto ai quattro domini tradizionali (Terra, Aria, Mare e Spazio) il "cyberspazio", proprio in virtù del notevole incremento di attacchi cyber che coinvolgono gli Stati dell’Alleanza Atlantica nella duplice veste di attaccante e vittima. In particolare:

* al vertice in Galles del 2014 fu per la prima volta prevista la possibilità di invocare la clausola di difesa collettiva dell’articolo 5 anche per gli attacchi cyber, pur con una valutazione da effettuarsi caso per caso;

* al summit di Varsavia del 2016 il cyberspazio fu elevato a dominio operativo, al pari di quelli terrestre, marittimo o aereo, e venne firmato il Cyber Defence Pledge con l'obiettivo di impegnare tutti i membri nell’incrementare le capacità di difesa delle infrastrutture e reti nazionali, nonché migliorare la resilienza verso gli attacchi cibernetici. È stata inoltre istituita la Joint Intelligence and Security Division, al fine di migliorare la capacità della NATO di attingere a una vasta gamma di risorse di intelligence e la "situational awareness".