Negli ultimi mesi, le ripercussioni del conflitto russo-ucraino sul dominio cibernetico hanno fatto tornare in auge nel dibattito italiano il concetto di cyberwar (guerra cibernetica). Ciò è dovuto, in modo particolare agli attacchi condotti contro siti governativi e istituzionali nazionali che, sebbene non abbiano prodotto effetti distruttivi, hanno destato grande preoccupazione nel Paese. È necessario però analizzare il concetto di guerra cibernetica da una duplice prospettiva (teorica ed empirica) per comprendere meglio come classificare gli attacchi contro le infrastrutture italiane e quali sia l’approccio più efficace per contrastarle.
Il dibattito (inter)nazionale
“Cyberwar is coming” scrivevano nel 1993 Arquilla e Ronfeldt, preannunciando un conflitto nel dominio cibernetico. Nel 2010 in “Cyber War”, Clarke e Knake sostenevano che la guerra cibernetica avrebbe acquisito sempre maggiore importanza sia come elemento che affianca conflitti di altra natura, sia come fenomeno indipendente. Nel 2012, tuttavia, Thomas Rid – professore di Studi Strategici presso la Johns Hopkins University – contraddicendo tali tesi, arrivò a concludere che la cyberwar non si è mai verificata, non sta avvenendo e, molto probabilmente, non avverrà in futuro. Il dibattito sulla guerra cibernetica, sebbene sia relativamente recente, non è un elemento nuovo nel panorama internazionale.
È sicuramente più recente nel contesto italiano, dove solo negli ultimi anni le minacce informatiche hanno iniziato ad acquisire una rilevanza maggiore per le scelte dei policy makers. È recente anche il dibattito accademico in merito alle tematiche di cybersecurity di natura non prettamente tecnica, ma legato agli aspetti geopolitici e di sicurezza nazionale. Ad oggi, il dibattito italiano è pregno di argomentazioni sulla cyberwar, assente – tuttavia – una trattazione più approfondita del concetto, utilizzato per indicare una pluralità di attività nel cyberspazio molto diverse tra loro. La principale affermazione che viene presentata è che la guerra russo-ucraina non abbia un carattere unicamente cinetico, ma sia affiancata da un conflitto più ampio nel dominio cibernetico. A riprova di ciò, scrivono molti, gli ultimi attacchi ai danni di enti ed organizzazioni nazionali, tra cui il Senato, il Ministero della Difesa e lo stesso Computer Security Incident Response Team (CSIRT) – Italia, che si occupa del monitoraggio e della gestione degli incidenti e della pubblicazione di alert su rischi e vulnerabilità.
Ha senso, tuttavia, parlare di guerra cibernetica? La risposta a questa domanda non è univoca. Secondo alcuni studiosi, la guerra, per essere considerata tale, deve possedere specifici requisiti. Thomas Rid, rifacendosi alla definizione Clausewitziana, sottolinea come la guerra debba essere violenta, politica e strumentale. Nessun attacco informatico ha mai rispecchiato tutte queste caratteristiche e, per questa ragione, non si può parlare di cyberwar. La guerra consiste in un atto di forza che costringe il nemico ad assecondare la propria volontà; deve essere strumentale e, quindi, avere fini e mezzi; infine, la guerra persegue sempre fini politici, poiché essa, secondo Clausewitz, non rappresenta altro che la continuazione della politica attraverso mezzi differenti.
Secondo Martin Libicki, invece, professore della Frederick S. Pardee RAND Graduate School, esistono due tipi di cyberwar: strategic e operational. La prima fa riferimento a una campagna di attacchi informatici condotta da attori statali o non-statali contro un avversario, al fine di modificarne la condotta. La strategic cyberwar si ha quando non vi sono già in essere conflitti di altra natura oppure questi sono marginali rispetto al conflitto nel cyberspazio. L’operational cyberwar, invece, fa riferimento all’utilizzo di attacchi informatici quale elemento aggiuntivo alle operazioni cinetiche. Tale concetto esprime bene ciò che si è verificato in seguito all’invasione russa dell’Ucraina: attacchi informatici come supporto alle operazioni militari in altri domini.
I precedenti casi di cyber war
Come già detto, il dibattito internazionale, in particolare statunitense, sulla cyberwar è meno recente rispetto a quello italiano. Già in passato, alcune campagne di attacchi informatici hanno attirato l’attenzione degli studiosi su tale tematica. È utile analizzare brevemente due casi: gli attacchi contro l’Estonia (2007) e quelli contro la Georgia (2008). Nel 2007, l’Estonia è stata colpita da attacchi di tipo Distributed Denial of Service (DDoS) che hanno messo fuori uso numerosi siti governativi e bancari, attraverso la creazione di una rete di bot (botnet). Gli attacchi, sebbene non vi siano fonti certe che riconducano a una responsabilità russa, si sono rivelati essere politici e strumentali, in quanto perpetrato per punire il governo estone per la rimozione dal centro di Tallinn di un monumento celebrativo dei soldati russi nella Seconda guerra mondiale. Alcuni studiosi hanno descritto l’evento come la prima guerra avvenuta sul web (Web War I). Tuttavia, analizzando l’impatto, è sicuramente assente il carattere violento a cui fa riferimento Rid. Inoltre, sebbene il governo di Tallinn abbia chiesto l’invocazione dell’articolo 5 della NATO, i Paesi Membri hanno ritenuto che quella campagna di attacchi informatici non potesse essere equiparata a un attacco armato e, quindi, far attivare la clausola di difesa collettiva.
Un altro caso interessante è, senza dubbio, quello della Georgia. Il conflitto russo-georgiano, scoppiato nel 2008, è considerato, infatti, il primo caso di guerra cinetica accompagnata da attacchi informatici. La Georgia è stata colpita, già a luglio del 2008, da numerosi attacchi DDoS indirizzati a siti governativi con tattiche simili a quelle messe in atto il precedente anno in Estonia. Tali attacchi hanno preceduto e accompagnato il conflitto convenzionale scoppiato a causa di dispute territoriali sulle repubbliche georgiane dell’Abkhazia e dell’Ossezia del Sud e hanno mostrato le potenzialità delle cyber weapons quale moltiplicatore della forza militare convenzionale, mettendo in luce le vulnerabilità legate al dominio cibernetico.
Gli attacchi contro l’Italia
Ci si potrebbe chiedere, quindi, se gli attacchi informatici contro le infrastrutture italiane abbiano avuto effetti simili ai casi estoni e georgiani. Gli attacchi avvenuti in Italia sono perlopiù di tipo DDoS, finalizzati, quindi, a rendere inaccessibile siti Web, attraverso l’utilizzo di botnet. Non si sono verificati effetti distruttivi tali da poter parlare di guerra cibernetica in senso proprio. Nonostante la cyber gang filo-russa Killnet abbia dichiarato la volontà di mettere in atto una vera e propria guerra informatica, questa, ad oggi, non è ancora avvenuta. Gli incidenti occorsi non hanno prodotto alcuna distruzione, ma piuttosto hanno aumentato l’attenzione mediatica nei confronti delle minacce informatiche. Gli attacchi hanno prodotto effetti temporanei, comportando danni di poco rilievo per le organizzazioni colpite.
Lo scorso anno, poi, la NATO ha dichiarato che anche un attacco informatico potrebbe determinare l’invocazione dell’art. 5. Tuttavia, ad oggi, ciò non si è ancora verificato. Un altro elemento, questo, per ridimensionare il dibattito riguardo alla guerra informatica. Sarebbe più adeguato, quindi, parlare di hybrid, piuttosto che di cyber war, una guerra combattuta con armi convenzionali e cibernetiche.
Un approccio strategico contro una minaccia endemica
Ciò non significa che le istituzioni e le aziende debbano abbassare la guardia. Il tema è, piuttosto, focalizzare l’attenzione sulle giuste problematiche. Parlare di cyberwar può essere fuorviante. Gli attacchi informatici avvengono quotidianamente e si verificano in una zona grigia tra guerra e pace. Gli attori statali, che sono dotati di maggiori capacità cyber, non sono particolarmente interessati a mettere in atto un’escalation nel dominio cibernetico. Attraverso azioni di cyber espionage, che non producono effetti distruttivi, possono accedere a informazioni strategiche e passare inosservati per molto tempo. Anche qualora la violazione venga scoperta, gli attori statali si nasconderebbero dietro a proxies e false flag, rendendo lungo e difficile il processo di attribuzione.
Non servono quindi unicamente misure straordinarie per fronteggiare quella che non è una crisi, ma una situazione endemica. Ciò che è necessario è proprio quell’approccio strategico e strutturale che l’Italia ha iniziato ad adottare negli ultimi anni. La creazione dell’Agenzia per la cybersicurezza nazionale, l’implementazione del Perimetro di sicurezza nazionale cibernetica e l’adozione della Strategia nazionale di Cybersicurezza 2022-2026 sono elementi essenziali per allinearsi con quanto già fatto nei Paesi europei e adottare un approccio efficace contro le minacce informatiche.
Davide Lo Prete,
Centro Studi Geopolitica.info
