In un mondo sempre più digitale il tema cyberwarfare va almeno posto. Sino a che punto le azioni di spionaggio e sabotaggio sono solo crimimalità, e non guerriglia a tutto tondo?
La guerra è la continuazione della politica con altri mezzi, argomentava il generale Carl von Clausewitz intorno al 1820. Intendeva anche che in un confronto tra nazioni esiste
un continuum di possibili azioni più o meno ostili. Uno spettro di azioni in cui una non sostituisce per forza l'altra ma vi si può affiancare. Oggi molte di esse, dallo spionaggio alla
controinformazione, avvengono usando
canali, mezzi e tecnologie digitali. È il campo, a dire il vero ancora piuttosto dibattuto, della guerra digitale, o
cyberwarfare.
Di cyberwarfare se ne parla relativamente poco. Soprattutto perché
non esiste una formalizzazione di cosa sia una guerra digitale e di quando essa sia in atto. Una guerra "normale" è evidente. Ci sono eserciti sul campo, azioni militari, migliaia o milioni di persone coinvolte. Una guerra digitale non ha queste caratteristiche.
È più una guerra fredda, una successione di azioni di spionaggio o di guerriglia nel mondo digitale. Che per molti versi
non si ha nemmeno interesse a definire come cyberwarfare. Si possono anche interpretare come azioni di hacking ostile a danno delle singole istituzioni o imprese. Ma rientrano in strategie più articolate e continuate nel tempo. In quali condizioni, ad esempio, una campagna di spionaggio industriale ai danni delle aziende di una certa nazione diventa un atto di guerra? Probabilmente nessuno cercherebbe una tale
escalation, che sembrerebbe persino contro il buon senso.
In questi casi le aziende però
combattono uno scontro impari: non hanno davanti qualche criminale informatico ma gruppi molto ben organizzati. I mitologici "state sponsored actor" o
APT, Advanced Persistent Threat, a cui le aziende di sicurezza danno nomi evocativi. I russi di
Fancy Bear, i vietnamiti di Ocean Lotus, gli iraniani di Charming Kitten, i nordcoreani di Lazarus Group, i cinesi di Deep Panda... E quelli che certamente ci sono dall'altra parte della barricata, la nostra, e che non cataloghiamo.
È per questo che si è incominciato a parlare di
vittime collaterali digitali. Se il confronto tra due nazioni si gioca anche in rete, il rischio è che aziende e cittadini siano coinvolti loro malgrado. E danneggiati. Campagne di attacchi DDoS, epidemie di malware e ransomware, azioni di spionaggio continuato in settori specifici... E poi l'utilizzo dei social network come mezzi per diffondere informazioni false, e così
influenzare l'opinione pubblica in particolari momenti come le elezioni politiche.
Diventa sempre più difficile, e
fuorviante, catalogare azioni come queste nell'ambito della criminalità informatica. Certo nessuno chiederebbe di bombardare Pechino o Mosca perché non riesce a consultare la posta. O trova su facebook post fatti ad arte per confondere. E nemmeno perché un'azienda è stata bloccata da un ransomware. Ma serve una
presa di coscienza comune, anche a livello di Governi, che di criminalità pura e semplice si può parlare fino ad un certo punto. Oltre il quale il gioco si fa decisamente più complesso.
C'è però una sensibile ritrosia a mettere in campo il concetto di cyberwarfare. Sinora gli attacchi delle APT si sono potuti catalogare come azioni di spionaggio, che è ampiamente tollerato, o di sabotaggio
all'interno di conflitti già in atto. È anche per questo che diversi esperti rifiutano il concetto di guerra digitale in senso stretto. Quando il virtuale causerà danni reali, è il loro punto di vista, sarà quasi certamente all'interno di un conflitto già evidente. Avremo una
guerra "ibrida", non una guerra digitale.
Eppure il rischio che un'azione digitale causi direttamente danni evidenti e persino vittime umane l'abbiamo già corso tante volte. Gli esperti di settore amano citare
tre casi simbolici in cui si è reso palese come il malware possa agire sul mondo fisico ed essere usato in confronti tra nazioni. Il primo è storico e relativamente poco dannoso. L'utilizzo del malware
Stuxnet, nel 2009, per bloccare il funzionamento di alcuni impianti di arricchimento nucleare iraniani. Un'azione di sabotaggio ad opera - ovviamente non ce n'è l'ufficialità - di Stati Uniti ed Israele.
Sono più interessanti due sabotaggi degli anni successivi, ad opera - si ipotizza - delle "forze digitali" russe. L'utilizzo del malware
Industroyer nel 2016, per mettere fuori uso una una centrale elettrica vicino Kiev, e del malware
Triton nel 2017, per bloccare una raffineria in Arabia Saudita. La pericolosità dell'attacco del 2017 è ovvia. Gli impianti petroliferi sono ambienti ad alto rischio in cui qualsiasi malfunzionamento può portare gravi conseguenze.
Il
caso ucraino è più articolato. Analisi recenti dell'attacco fanno pensare che fosse stato progettato per creare danni permanenti, non solo un blackout di qualche ora. L'obiettivo principale di Triton pare fosse mettere fuori uso - grazie a una
vulnerabilità del loro software - i relè programmabili che proteggevano diversi componenti dell'impianto. Quando gli addetti all'impianto avessero riattivato i sistemi bloccati, questi - non più protetti dai relè - sarebbero stati
pesantemente danneggiati. Con il rischio di folgorare chi in quel momento stesse operando su di essi.
Scenari come questi mettono gli attacchi di tipo cyberwarfare in
una luce un po' diversa. Anche pensando al fatto che la sicurezza cyber del mondo industriale è quantomeno
molto migliorabile. Per ora non esistono regole o convenzioni internazionali che, di fronte alla possibile perdita di vite umane a causa di un malware, dicano cosa fare. E, perché poi si tratta anche di questo, come reagire. La sensazione è però che la questione almeno vada posta. Perché se una parte sempre più cospicua del nostro modo
sta diventando digitale, è difficile che un tratto spiacevolmente tipico dell'uomo - fare la guerra ai propri simili - resti fermo all'analogico e non faccia anch'esso il salto al digitale.