Olivia Terragni : 1 Aprile 2022 08:56
Autore: Roberto Villani e Olivia Terragni
Data Pubblicazione: 31/03/2022
“Le minacce informatiche alla sicurezza dell’Alleanza sono complesse, distruttive e coercitive e stanno diventando sempre più frequenti. La NATO continuerà ad adattarsi al panorama in evoluzione delle minacce informatiche.
La NATO e i suoi alleati fanno affidamento su difese informatiche forti e resilienti per svolgere i compiti fondamentali dell’Alleanza di difesa collettiva, gestione delle crisi e sicurezza cooperativa. L’Alleanza deve essere preparata a difendere le sue reti e le sue operazioni dalla crescente sofisticatezza delle minacce informatiche che deve affrontare”. NATO, 23 Marzo 2021
Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Negli ultimi 15 anni le capacità dell’Alleanza a livello informatico strategico si sono evolute in modo significativo: la crescente attenzione verso gli attacchi informatici e la loro proliferazione globale ha fatto sì che il cyberspazio sia stato riconosciuto come quinto domino, ciò seguito da politiche e piani d’azione che hanno lo scopo di integrarlo nelle operazioni e nello sviluppo delle capacità degli alleati. Questi ultimi hanno scelto nel tempo le proprie politiche, chi difensive, chi offensive a seconda dei propri interessi strategici. Se ad esempio il Regno Unito non ha nascosto le sue capacità offensive che sono in grado di estendere il danno nel mondo reale come nelle intenzioni della Francia, non così è per la Germania, che si è invece concentrata su capacità difensive per proteggere la propria rete nazionale e le infrastrutture critiche, mentre la Spagna valuta l’azione in base all’entità del danno ricevuto.
Ma quale è il quadro normativo a livello internazionale? A rispondere a molte domande circa le leggi internazionali applicabili alla cyber-guerra è il famoso manuale di Tallin, che effettua – sotto l’egida del CCDCOE (NATO Cooperative Cyber Defence Centre of Excellence) – un parallelismo tra mondo fisico e mondo cibernetico. Il “Tallinn Manual on the International Law Applicable to Cyber Warfare” non è un documento ufficiale, tuttavia è uno dei più importanti lavori di riferimento giuridico sulla cyber-war. In questo manuale vengono presentati gli aspetti giuridici della responsabilità degli Stati, note sulle infrastrutture critiche e la sopravvivenza dei civili, sugli attacchi terroristici sulla figura dell’hacker – “non di per sé un nemico ma che lo può diventare” – e anche quando l’uso della forza militare è legittimata da un attacco cyber. Da leggere!
Compito della NATO è la difesa informatica, garantendo l’azione collettiva degli alleati che hanno firmato un accordo tecnico (2016), che hanno sottoscritto sottoscrivendo il loro impegno di rafforzamento, condivisione, assistenza reciproca 24 ore su 24. Le linee guida sono state approvate nel febbraio del 2019 (alla luce della competizione geopolitica trasversale con Cina e Russia) e ancora nel 2021 al vertice NATO è stata approvata la nuova politica di difesa che include anche risposte collettive.
Se la difesa informatica rimane la priorità assoluta, vi sono settori considerati prevalenti come l’Intelligenza Artificiale, tecnologia che sta cambiando “radicalmente la natura della guerra, proprio come ha fatto la rivoluzione industriale”, come ha affermato il segretario generale Jens Stoltenberg. E a questa realtà si sta adattando l’Alleanza.
In questo articolo cerchiamo di analizzare i singoli paesi coinvolti e chiarire gli interessi strategici che difendono.
Fu con l’attacco cibernetico del 27 aprile 2007 in Estonia, che il mondo scoprì come un attacco cibernetico, poteva mettere in ginocchio un paese. La reazione del Parlamento Estone attraverso le parole di alcuni illuminati rappresentanti, fu una reazione di vera paura: qualche parlamentare paragonò l’attacco cyber ad un attacco convenzionale con bombe nucleari, tanta fu la devastazione che quel giorno si abbatté sulla Repubblica Baltica, sempre troppo vicino alla Russia.
Dopo quell’evento e quelle impressionanti parole, la NATO – proprio a Tallin in Estonia – riorganizzò le fila del suo apparato di sicurezza cibernetico: nacque quindi il famoso manuale per la guerra cibernetica nel vincolo del diritto internazionale.
Ma cosa sappiamo dei paesi NATO e della loro capacità cibernetica? Conosciamo i modelli degli apparati di sicurezza cibernetica civili e militari di questi paesi?
Al netto che ogni comparazione tra i singoli paesi europei non può essere fatta nei minimi particolari, perché sistemi legislativi diversi, forme di Stato diverse numero di tecnici ed esperti diversi – e formazione scolastica diversa – non contribuiscono a creare una forza unica che composta da tutti i paesi, possa fare da scudo completo ad una minaccia cibernetica. Noi di RHC però cercheremo di illustrarvi le differenze in Europa.
I numerosi vertici dei paesi NATO e le continue variabili che il settore cyber logicamente comporta – upgrade dei sistemi, nuovi sistemi hardware ect. – costringono i paesi NATO ad incontri continui per migliorare ed implementare le “Policy on Cyber Defense” Bruxelles quindi vede impegnati ogni giorno gli esperti della materia al fine di ottimizzare ogni opportunità nel settore, con improvvise accelerazioni come la guerra Russia/Ucraina sta dimostrando.
Questo perché l’approccio della difesa collettiva militare previsto dalla NATO si estende anche nel cyberspazio, nuova dimensione di scontro, che come già detto in un nostro precedente articolo non avendo limiti geografici, richiede una capacità attacco/difesa ben diversa dagli altri classici terreni di confronto militare.
E come l’attuale conflitto tra Russia/Ucraina dimostra, l’obbligo di un arco di difesa cibernetica era scontato, ed in questo dal 2019 agisce il NFIU (Nato Force Integration Unit) quale collettore di integrazione delle forze locali esistenti nell’est Europa, in funzione di deterrenza e difesa da eventuali attacchi dalla Russia.
I sistemi informatici alleati che agiscono, sono integrati del NCIRC (Nato Computer Incident Response Capability) e l’NCSC (Nato Cyber Security Center) dove l’Ncirc verifica costantemente tutti i network dell’alleanza ed in caso di attacco, è la prima unità a preparare le opportune contromisure, allertando i singoli paesi ed i rispettivi cyber centri di sicurezza.
Appare chiaro che l’integrazione di tutti questi sistemi avviene utilizzando know how ed expertise che fondono pubblico e privato, soprattutto in Italia che, causa alcune scelte sbagliate del passato, non ha investito molto nel settore cyber, come purtroppo ci ricordano i numerosi attacchi che abbiamo sempre evidenziato sulle pagine di questo blog.
Ma andiamo ad analizzare alcuni paesi, partendo dalla Francia.
I nostri cugini transalpini hanno affidato al Segretario Generale della Sicurezza Nazionale e della Difesa l’incarico di costruire una strategia di contrasto alle minacce cibernetiche. Dall’ SGDSN dipende l’Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI) che disegna le strategie di attacco e difesa dei sistemi informatici francesi, avvalendosi anche della compartecipazioni di aziende private. Particolare non da poco, l’ANSSI ha due blocchi separati, uno di elaborazione minacce difesa e attacco, l’altro per la raccolta delle informazioni.
Queste due separazioni, consentono agli operatori di interfacciarsi con il comando centrale militare di difesa cibernetica chiamato C4 ossia il “Centre de coordination des crisis cyber” per verificare e valutare meglio una risposta legata all’entità dell’attacco, con particolare delega di comando al Ministero della difesa chiamato ad intervenire se l’entità dell’attacco vedrà coinvolte le forze armate o sarà di rilievo nazionale. Dipendendo questi organismi dal Segretario Generale della Difesa, gli organismi di intelligence francese, che non è il solo conosciuto DSGE, operano in stretto contatto con le agenzie cyber per lo scambio continuo di informazioni e pianificazione strategica.
In particolare considerando la proiezione globale degli interessi francesi, la famosa scuola di guerra economica, produce ogni anno esperti cyber, da far confluire nella DSGE (I servizi segreti francesi per le operazioni all’estero)ovviamente, ma anche nella più importante DPSD (Dipartimento per protezione e sicurezza della difesa), l’organismo per la protezione dei materiali e impianti sensibili; anche la TRACFIN altro organismo di intelligence francese molto importante, si avvale della collaborazione e delle strategie cyber dei collaterali organismi transalpini, in quanto è l’organismo deputato a vigilare anche con operazioni di intelligence, i traffici clandestini e finanziari sospetti a danno della Francia.
Come l’Italia anche la Germania ha nelle more della sua Costituzione dei limiti oggettivi all’impiego delle forze armate, le tristi eredità del periodo bellico della seconda guerra mondiale, non hanno certo facilitato il compito degli esperti di diritto, nel far collimare le esigenze legislative Costituzionali, con una forza di difesa/attacco militare civile, del settore cibernetico. In caso di attacco cyber come deve essere considerato questo attacco? Un attacco militare? Un attacco alle Istituzioni? Un attacco ai civili? E se di attacco militare o istituzionale alle forze armate si tratta, come agire immediatamente – come i tempi cyber impongono – senza violare il dettato costituzionale che prevede un passaggio parlamentare per una risposta militare?
La Germania pur avendo nel BSI (Bundesamt fur Sicherheit in der Informationsteckinik) la sua punta di diamante per proteggere i sistemi informatici nazionali e prevenire gli attacchi cyber, è costretta comunque ad una doppio passaggio istituzionale per poter rispondere efficacemente ad un attacco cyber di rilevanza nazionale e militare. Il BSI comunque si avvale della collaborazione del MAD il servizio di controspionaggio militare tedesco, e dell’esercito tedesco per avere anche una rapida ed immediata possibilità di valutazione dell’evento cibernetico critico. Per poter rispondere in maniera rapida ad un attacco, l’intesa pubblico/privato prevede cooperazione con le aziende tedesche del settore, programmata dal governo federale tedesco – che ricordiamo essere un paese federale, quindi ogni lander ha una sua legislazione specifica su tante materie correlate al cyber mondo.
In questo quadro di accordi per una rapida risposta non è facile capire quanto sia debole o forte la Germania nel settore cyber, quindi si può ragionevolmente pensare che possa essere un target per ogni tipo di attacco, anche al fine di valutare le risposte ed avere un quadro ben più completo delle potenzialità tedesche nella cyber war.
In un documento reperibile in rete e pubblicato da Enigmasoft dal titolo “Top 20 Countries Found to have the most Cybercrime” la Spagna risultava essere uno dei paesi preferiti per gli attacchi cyber, posizione che a quanto pare è stata scalzata recensente dall’Italia, come riportato in un nostro articolo. Ma se Roma piange, Madrid non ride di certo. Il Re Felipe di Borbone, ha emanato un decreto nel 2020, dove si sottolineavano le necessita di avere personale, infrastrutture, sistemi di difesa all’avanguardia per poter respingere le minacce cyber ed attuare una trasformazione digitale.
Chiaro che la Spagna è indietro nella difesa cibernetica per mancanza di personale adeguato, anche se dispone dal 2008 di ben due centri di risposta ad attacchi cyber. Il primo L’INCIBE – Istituto Nacional de Ciber Seguridad Computer – è composto da un team di risposta rapida agli attacchi che vengono compiuti verso i cittadini e la comunità sociale – imprese, gruppi, aziende ect – il secondo il CCN-cert Centro Criptologico Nacional provvede alla difesa della istituzioni governative e militari. Quest’ultime in particolare possiedono anche una comando interforze di difesa cyber, (Mando Conjunto del ciberspacio – MCCE) che unisce le capacità militari strategiche e preventive agli altri due organismi.
L’MCCE è sotto il comando del Capo di Stato Maggiore della Difesa ed è logico supporre che le operazioni cyber siano integrate in quell’ambito professionale, ma attualmente non possono operare operazioni offensive. Anche in Spagna la collaborazione tra privato e pubblico come stavamo dicendo prima, si è resa necessaria perché le minacce sono aumentate e le esigenze hanno dimostrato come il gap era evidente, obbligando quindi il governo di Madrid ad attuare misure emergenti per formare, e specializzare i nuovi cyber soldati. In questo caso Madrid ha anche aderito ad un network con altri paesi europei per la formazione degli operatori, mandandoli a specializzarsi in quei paesi europei più all’avanguardia nel settore.
La tradizione storica e anche letteraria che il Regno Unito possiede sulle attività cyber è vastissima ed appassiona sempre gli amanti dell’intelligence strategica, sia militare che civile. Dal famoso signor Walker che dal 1600, operava nei paesi esplorati ed appena scoperti sotto mentite spoglie per conto della Compagnia delle Indie, inviando a Londra messaggi apparentemente privi di significato, ma che dovevano essere decrittati dagli esperti riceventi la nota, per passare ai ragazzi di Bletchley Park ed Alan Turing che diedero un contributo notevole alla guerra contro il nazismo, sconfiggendo la macchina Enigma, per arrivare ai giorni nostri dove nella sede del GCHQ – il Government Communication Headquarter – si sviluppano tutte le azioni del Regno Unito per le strategie cyber; questi elementi di human intelligence divenuta poi cyber intelligence, hanno sempre consentito al Regno Unito di avere una marcia in più rispetto a molti altri paesi.
Londra non ha mai nascosto le sue mire espansionistiche e commerciali, pertanto fin dalle prime esigenze cyber del dei primi anni 2000, causa anche l’avvento della minaccia terroristica, gli uomini della Regina, hanno costruito solide agenzie cyber. Il National Cyber Security Programme è stato l’atto costituivo per gestire e conoscere tutta l’attività cyber che minaccia “l’isoletta”, come ironicamente è stata descritta da Bill Bryson in un suo stupendo libro.
E chiaramente il Regno Unito, insieme agli USA ed altri componenti, conosciuti come i big five, sappiamo essere parte di Echelon, di cui non vogliamo raccontarvi altro, perché ampiamente conosciuto.
Il Regno Unito fin dal 2007 e come ben descritto da Marcus Willet nel suo paper dal titolo “Why the UK’s National Cyber Force is an important step Forward” , ha messo in pratica azioni offensive Cyber, sono stati creati il Joint Forces Cyber Group che dispone di due unità interforze di esperti cyber; ed il Joint Cyber Reserve Force che operando sotto l’egida del GCHQ coordina le operazioni di cyber warfare.
Appare chiaro che le linee guida del governo di sua Maestà sono ben precise. Assicurare una difesa forte e resiliente dei network britannici, per proteggere le attività economiche – come sempre – siano esse private che pubbliche, e proteggere i dati di tutti i sudditi inglesi, ovunque nel mondo.
Contestualmente sviluppare un’industria della sicurezza cibernetica, seguendo il classico e vincente modello dei ragazzi di Bletchley Park, generando di anno in anno, nuove figure professionali militari e civili nel settore cyber per avere sempre vantaggio strategico rispetto ad ogni forma di minaccia.
A sovrintendere tutto c’e poi il National Cyber Security Centre (NCSC) come organo centrale di sicurezza cibernetica rappresenta il player a cui fanno riferimento gli organismi già elencati. L’NCSC chiaramente non può essere scollegato dal GCHQ, e quindi lo scambio di informazioni di sicurezza riservate, e l’impiego dei vari “James Bond” del servizio segreto, contribuisce ad una effettiva deterrenza che rende il Regno Unito un target non facile da attaccare. Ciò non significa che siano invincibili perché anche in questo caso, la storia ha dimostrato come la debolezza umana sia l’elemento cardine per agire all’interno di un sistema complesso e ben strutturato – le defezioni britanniche non sono mai state semplici ed hanno creato notevoli danni ai sistemi di sicurezza britannici – ma la capacità e soprattutto la reattività del Regno Unito è universalmente conosciuta.
Nel settore cyber chiaramente avviene lo stesso, e la forza numerica del NCSC composta da più di mille esperti ed in costante aumento dati gli eventi di questo primo periodo del 2022, è addestrata sia per compiere difesa che attacchi, e questo non è un particolare da poco, nella interoperabilità NATO, perchè il Regno Unito attraverso le sue strutture cyber, ha dato un bel colpo ai gruppi terroristici internazionali. E se questo può insegnare qualcosa, di certo gli attacchi ostili verso il Regno Unito saranno ben valutati prima di realizzarsi.