La sfacciataggine della Russia nel cyber spazio
I governi occidentali hanno recentemente attribuito alla Russia un massiccio attacco informatico contro la Georgia. In questa e altre situazioni, la sfacciataggine dell’attacco era evidentemente un obiettivo in sé. Ma la Russia non è l’unica minaccia informatica
Il più recente attacco informatico attribuito pubblicamente alla Russia dai governi occidentali ha avuto luogo contro la Georgia nell’ottobre 2019: svariati siti web di autorità statali, servizi pubblici, media e altre organizzazioni sono stati messi offline e deturpati. A febbraio 2020, i governi di Stati Uniti, Regno Unito e alcuni altri paesi hanno accusato pubblicamente la Russia ; in riferimento a tali eventi, l’Unione europea ha chiesto un “comportamento responsabile nel cyber spazio ”, ma non si è spinta fino ad accusare esplicitamente la Russia.
Nella sua dichiarazione, il Regno Unito ha espresso elevata fiducia nell’attribuzione , affermando che l’attacco è stato condotto "quasi certamente (95% +)" dai militari russi. Eppure, né il Regno Unito né nessun altro dei partner internazionali che hanno attribuito l’attacco alla Russia hanno condiviso alcuna prova, e non sorprende che il governo russo abbia insistito su questo punto per delegittimare l’attribuzione: “Non esiste, e non può esistere, alcuna prova del coinvolgimento delle agenzie ufficiali russe in attività dannose alle reti internet georgiane".
La mancanza di prove è ovviamente problematica, anche se tutto sommato, se si pensa bene a quale attore potrebbe avere le capacità, le risorse e la motivazione per bloccare Internet in Georgia e aumentare la sfiducia verso le istituzioni governative in questa repubblica del Caucaso meridionale, si può raggiungere un livello di sicurezza del 95% senza nemmeno guardare un singolo file di log estratto dai server.
Questo non solo perché la Russia e la Georgia sono in conflitto da lungo tempo, ma anche perché la Russia utilizza attacchi informatici contro i vicini almeno dalla metà degli anni 2000, o da quando Internet si è diffuso in questi paesi. Tra i principali esempi vi sono attacchi contro l’Estonia nel 2007, contro la Georgia nel 2008 e contro l’Ucraina in più occasioni dal 2014 (si veda in particolare questo capitolo di Piret Pernik per maggiori dettagli). Anche se le prove non sono definitive in ciascuno di questi casi, ne esistono alcune (o molte) in tutti; è difficile trovare spiegazioni coerenti e alternative che non coinvolgano attori russi.
Inutile dire che molti altri paesi utilizzano cyber spionaggio e attacchi informatici; come ha detto Nicu Popescu , "che la Russia sia molto attiva nello spionaggio informatico dovrebbe essere fonte di preoccupazione, ma certamente non di indignazione". Eppure, il comportamento della Russia nel cyber spazio dovrebbe effettivamente destare particolare preoccupazione.
La Russia è diversa
Due elementi in particolare distinguono l’approccio della Russia: la natura molto pubblica degli attacchi e l’utilizzo degli strumenti informatici per danneggiare infrastrutture fisiche o avere dirette conseguenze offline. Entrambi violano le regole non dette che caratterizzano, con poche eccezioni, l’attività informatica degli attori statali nel cyber spazio. Ad esempio, la Cina è da tempo impegnata nello spionaggio informatico contro attori economici e politici in Occidente, ma usa i materiali ottenuti a fini più tradizionali: per avvantaggiare i propri attori economici nazionali e per la raccolta di informazioni, on per dirottare la conversazione politica imbarazzando pubblicamente attori politici di altri paesi, come ha fatto la Russia con i democratici statunitensi nelle elezioni presidenziali del 2016.
Gli Stati Uniti hanno sì condotto attacchi informatici mirati contro infrastrutture fisiche, soprattutto (con la cooperazione di Israele) contro le strutture di arricchimento nucleare dell’Iran con il worm Stuxnet , ma sono stati compiuti sforzi per ridurre al minimo gli effetti collaterali. Al contrario, ad esempio, un attacco informatico russo ha causato arresti parziali della rete elettrica ucraina , lasciando intenzionalmente al buio centinaia di migliaia di civili. Intenzionalmente o no, il malware NotPetya (attribuito alla Russia, maggiori dettagli più sotto) ha causato in tutto il mondo danni nell’ordine di miliardi di dollari, sconvolgendo aeroporti, logistica e persino ospedali : chi ha sviluppato questo malware, non l’ha fatto certo con l’intenzione di tenerlo segreto. Al contrario, anche il programma di spionaggio globale statunitense denunciato da Edward Snowden doveva rimanere riservato, e in effetti sarebbe potuto rimanere sconosciuto al pubblico se non fosse stato per questo singolo whistleblower.
Nel caso di alcuni degli attacchi della Russia, la sfacciataggine di tali azioni e l’implausibilità delle smentite rappresentano probabilmente il senso stesso degli attacchi. Dimostrare la propria capacità offensiva e la volontà di usarla senza preoccuparsi delle conseguenze è probabilmente l’obiettivo principale di azioni come l’attacco informatico contro la Georgia dell’ottobre 2019.
L’attribuzione della responsabilità, tuttavia, è solo una parte del problema, e la domanda più pertinente potrebbe essere che cosa fare per mitigare il rischio che tali eventi si ripetano. È importante e necessario trovare modi per dissuadere chi ha condotto l’attacco, e allo stesso tempo lavorare sulle vulnerabilità che lo hanno reso possibile. Esaminiamo entrambi gli aspetti, partendo da una domanda di base: è davvero la Russia il problema?
È davvero la Russia il problema?
Se la domanda si riferisce ad alcuni degli scandali più noti come quelli sopra citati, la risposta è molto probabilmente un clamoroso "sì". Fidarsi dei servizi di intelligence di paesi come gli Stati Uniti e il Regno Unito può essere difficile per osservatori internazionali con uno sguardo critico; dopo tutto, si tratta delle stesse organizzazioni e governi che hanno legittimato l’invasione dell’Iraq nel 2003 con false dichiarazioni su armi di distruzione di massa in possesso di quel paese.
Fortunatamente, in molti casi di attacchi informatici la nostra fiducia nei servizi di intelligence non deve essere completa. Ciò è forse più evidente nel caso di "NotPetya", un malware che ha reso inutilizzabili sistemi informatici in vari continenti. La storia del malware è stata raccontata dal giornalista di Wired Andy Greenberg in articoli molto accessibili , nonché in maggior dettaglio in un libro dedicato alla questione. Siccome il malware ha raggiunto i sistemi informatici di tutto il mondo, esperti di sicurezza informatica hanno potuto analizzare il suo codice e le sue caratteristiche tecniche . Come descritto in dettaglio in una prima analisi della BBC sull’argomento , è stato immediatamente evidente che un attacco di questo tipo richiedeva molta preparazione e che, anche se assomigliava ad un ransomware, non era realizzato a scopo di lucro. Inizialmente è stato diffuso attraverso un software di contabilità ucraino utilizzato in tutti i settori: inizialmente era destinato alle società che gestiscono le loro attività in Ucraina e ha raggiunto il resto del mondo attraverso le filiali ucraine di società internazionali. ESET, una società di sicurezza informatica che ha lavorato direttamente sia sugli attacchi alla rete ucraina che su Not-petya, ha rilevato caratteristiche distintive che collegano i diversi attacchi. L’attribuzione è un atto politico e le società di sicurezza preferiscono astenersi dal dare risposte definitive. Forniscono però abbondanti prove che possono confermare o confutare l’attribuzione da parte degli attori statali. In breve, se i governi fanno attribuzioni basate esclusivamente su motivi politici, corrono il rischio di essere pubblicamente smentiti da società private ed esperti di sicurezza informatica.
Infine, ci sono casi in cui agenti russi sono stati colti in flagrante. Ad esempio, ad ottobre 2018 quattro membri dei servizi di sicurezza russi diretti nei Paesi Bassi con passaporti diplomatici russi sono stati catturati mentre si avvicinavano al quartier generale dell’Organizzazione per il divieto delle armi chimiche (OPCW) fuori dall’Aia con strumenti avanzati di cyber-intrusione, pile di contanti e altre prove a conferma della loro affiliazione con i servizi segreti russi. In un’operazione precedente, mentre i servizi di sicurezza russi erano impegnati a violare il server dei democratici statunitensi, venivano osservati dall’intelligence olandese . In breve, l’attribuzione ufficiale può benissimo essere un atto politico, ma il governo russo ha ripetutamente fornito buone ragioni per mettere la Russia in cima a qualsiasi indagine su un attacco informatico che potrebbe coinvolgere un attore statale.
Deterrenza difficile
Nel delineare le potenziali risposte del Regno Unito alla minaccia di un attacco informatico russo, Thornton e Miron del King’s College di Londra sembrano concludere che non ci siano opzioni convincenti di deterrenza a disposizione. Il Regno Unito è stato il primo paese occidentale a proclamare pubblicamente la sua capacità di condurre operazioni informatiche offensive e potrebbe effettivamente avere tale capacità. Senza prove concrete, tuttavia, la credibilità di tali affermazioni rimane limitata… il che è parte del motivo per cui la Russia ha condotto attacchi così sfacciati in passato: le sue azioni offensive possono essere ufficialmente negate, ma le sue capacità informatiche sono ora ben note.
Azioni di rappresaglia sarebbero probabilmente sia illegali che immorali; ad esempio, un attacco informatico che interrompesse la rete elettrica di un paese potrebbe essere attribuito in modo convincente alla Russia, ma ciò non potrebbe giustificare un attacco simile contro la Russia, poiché tale operazione sarebbe in definitiva contro la popolazione civile e potrebbe avere un costo sostanziale. Si porrebbe il problema della proporzionalità, poiché gli attacchi informatici come NotPetya possono causare molte conseguenze indesiderate, ben oltre l’intenzione e il controllo di coloro che hanno avviato l’operazione. Il rischio di escalation li renderebbe anche estremamente pericolosi.
Politica necessaria
Sembra preferibile la cosiddetta deterrenza per negazione (deterrence by denial): dimostrare sostanzialmente che un potenziale attacco non raggiungerebbe il risultato previsto. Nella guerra tradizionale, questo corrisponderebbe ad esempio all’avere un sistema antimissile che assicurerebbe il fallimento di qualsiasi attacco missilistico. La metafora militare è però fuorviante, poiché la sicurezza informatica non può essere garantita da una sorta di scudo esterno: anche se i media si interessano principalmente degli attori statali, questi ultimi non rappresentano la minaccia di sicurezza informatica più comune per la maggior parte delle persone e delle organizzazioni. Inoltre, è importante sottolineare che le soluzioni di sicurezza informatica centralizzata a livello statale non possono funzionare: le buone pratiche di sicurezza informatica devono essere implementate da aziende, fornitori di servizi e privati cittadini. Tutti dovrebbero essere incentivati a implementare buone pratiche, poiché la scarsa consapevolezza dei rischi rende le persone e le organizzazioni più inclini al rischio di quanto sarebbero normalmente. Tali iniziative mitigherebbero la minaccia e ridurrebbero la vulnerabilità, anche se ovviamente non possono far scomparire il problema della sicurezza informatica.
Le risposte politiche non sono più facili da trovare di quelle tecniche, ma sono altrettanto necessarie: la deterrenza dovrebbe probabilmente fare più affidamento su iniziative multilaterali, come la European Union cyber diplomacy toolbox , piuttosto che sulla dimostrazione di capacità offensive o difensive. È necessario un certo grado di solidarietà e azioni coordinate per assicurarsi che le vittime di attacchi informatici non si ritrovino ad affrontare da sole tali atti ostili. Nel contesto attuale, non sarebbe fuori luogo un filone di assistenza mirata dell’UE ai paesi del partenariato orientale, anche considerando l’impatto negativo che le cattive pratiche di sicurezza informatica possono avere sulla fiducia nelle istituzioni e nei processi democratici.
E infine, che dire della Russia? Stabilire un dialogo attivo con la Russia può essere difficile fintanto che il Cremlino insiste nel negare qualsiasi responsabilità in tali eventi, ma dovrebbero essere messi in atto tutti gli sforzi per assicurare che ci siano canali di comunicazione aperti per ridurre il rischio di escalation. Una maggiore trasparenza da parte di tutti i soggetti coinvolti e la condivisione pubblica delle prove per quanto possibile aumenterebbero la fiducia nell’attribuzione.
Alla fine, tuttavia, questo rimane un caso in cui la difesa può effettivamente essere la migliore difesa. La solidarietà e l’assistenza tra Stati, accompagnate da incentivi per gli attori privati a contribuire al bene comune adottando migliori pratiche di sicurezza informatica, sono entrambe importanti per avere un cyber spazio più sicuro.
Questa pubblicazione è stata prodotta nell’ambito del progetto ESVEI, co-finanziato da Open Society Institute in cooperazione con OSIFE/Open Society Foundations. La responsabilità dei contenuti di questa pubblicazione è esclusivamente di Osservatorio Balcani e Caucaso Transeuropa.