Parliamo qui di cyber defence, la guerra cibernetica dal cui esito dipendono in modo determinante le sorti della guerra tout court. Quali Stati sono oggi i più attrezzati per questi scenari bellici?
I più avanzati sono la Cina, l’India e la Russia, che dispongono di mastodontiche infrastrutture centralizzate e di personale altamente specializzato, oltre ad avvalersi del lavoro a distanza di giovani hacker. Si dice che i migliori non superino i 16-18 anni, in quanto le capacità ideative e innovative, determinanti in un settore così complesso e dinamico, si vanno rapidamente esaurendo con l’età.
L’Occidente per molti anni ha dimostrato una certa ritrosia nel voler considerare questa immanente minaccia come una vera e propria forma di guerra, assimilabile alla guerra terrestre, marittima, aerea o anche psicologica e mediatica.
Al contrario la Russia di Putin, già nella prima “operazione speciale” in Ucraina del 2014, ha dimostrato di saper sapientemente combinare queste nuove forme di aggressione, ottenendo risultati militari e politici certamente più brillanti e apparentemente meno violenti di quanto stia accadendo ora. Lo dimostra lo sdegno quasi unanime di oggi per l’invasione dell’Ucraina, molto più tiepido, se non assente, nel 2014.
Si trattava allora della cosiddetta hybrid warfare, una guerra subdola che, alla disarticolazione dei sistemi informatici del nemico, abbinava attacchi con forze speciali, camuffate da sedicenti rivoltosi, per delegittimare le istituzioni simulando una rivolta popolare, sostenute da una incisiva campagna di disinformazione o controinformazione mediatica (la mai tramontata disinformazia di stampo sovietico). Ma già prima del 2014 le “operazioni speciali” in Georgia e Cecenia avevano sperimentato con successo queste tattiche di guerra ibrida, che trovano l’Occidente ancora oggi impreparato.
Per anni, tanto in ambito Nato quanto nell’Unione Europea e nei singoli Paesi occidentali, si è parlato quasi esclusivamente in termini di cyber defence, ovvero delle misure atte a proteggere i nostri sistemi da attacchi esterni, senza pensare a sistemi e misure di ritorsione verso l’aggressore. Vero è che, in termini di diritto internazionale, è molto difficile perseguire gli autori di questi attacchi, in quanto è facile far figurare come proveniente dal Canada o dal Messico un attacco originato invece in Cina.
In poche parole, se paragonassimo le alleanze occidentali che fronteggiano i Paesi di cui sopra ad un duello schermistico, vedremmo combattere le prime con uno scudo di cartongesso e un occhio bendato e gli avversari armati di scudi di acciaio e sciabola, per di più senza particolare rispetto dell’etica sportiva!
Ora la guerra in Ucraina sembra aver risvegliato gli animi e gli intelletti; finalmente in UE si comincia a parlare di cyber warfare, anziché di sola defence. La stessa UE ha recentemente sottolineato la necessità di una forte integrazione civile-militare delle risorse cibernetiche.
Questa rinnovata attenzione verso il mondo militare Nato ed UE riconosce che esso è indubbiamente molto più attrezzato per operare in contesti conflittuali ed è già notevolmente avanzato, integrato ed efficiente nel settore rispetto alle organizzazioni civili. Di fatto le forze armate di ciascun paese già dispongono di strutture e sistemi operativi per la difesa da attacchi cibernetici.
Dunque, possiamo guardare al futuro con un certo ottimismo? Forse sì, se lo leggiamo in chiave euro-atlantica, ma le prospettive nel panorama italiano sono disarmanti. Vediamo perché.
È di qualche giorno fa la notizia di un attacco simultaneo a più portali istituzionali italiani – tra i quali ospedali ed ASL, CSM e diversi Ministeri – da parte di Killnett, la colonna cibernetica dell’armata russa. La notizia è stata molto enfatizzata dai nostri media nazionali, pur se la Difesa ha negato di avere avuto percezione della sua gravità ed intensità.
È qui il caso di tenere presente che, proprio perché è subentrata nelle cancellerie europee la consapevolezza della minaccia cibernetica, il PNRR ha destinato ingenti risorse all’adeguamento delle strutture della cyber defence del nostro Paese. E, come accade in tutti i settori della vita economico-amministrativa dello Stato, dove circolano soldi si avventano gli avvoltoi di turno.
Non è da escludere dunque che l’enfasi posta sull’attacco degli hacker di Killnett fosse finalizzata a drenare risorse verso questa o quella amministrazione, che le destinerà poi a questa o quella ditta specializzata.
L’attacco di Killnett, perlomeno per le dimensioni con cui ci è stato raccontato, pare in realtà proprio una fake, dicono originata dai Russi, cosa dubbia. In breve: a livello internazionale abbiamo fatto una figura non esattamente esaltante.
La facilità con cui siamo caduti in questa trappola, se di trappola si è trattato, è stata probabilmente frutto della endemica mania di protagonismo di qualche settore o esponente della nostra pubblica amministrazione – della serie: siamo stati i primi a scoprire l ‘attacco… – ovvero di ricerca di immagine a tutti i costi, ovvero di virtualità a scapito della concretezza. Ma questo sarebbe il difetto minore.
Il vero problema risiede nella frammentazione e compartimentazione delle risorse e delle strutture per la difesa cibernetica, a seguito della distribuzione a pioggia dei fondi destinati per la protezione dei punti sensibili da possibili attacchi informatici. Una distribuzione avvenuta negli anni, senza un progetto unitario verso le varie amministrazioni dello Stato, ognuna delle quali si è avvalsa di ditte diverse senza, in molti casi, avere le competenze e l’expertise necessarie per definire i requisiti di progetto, per controllarne la realizzazione e per validare il prodotto finito.
Ovviamente ciò ha comportato una scarsissima, se non inesistente, integrazione dei diversi sistemi e soprattutto, per una sorta di gelosia istituzionale, perché le ditte realizzatrici di ciascun progetto erano molto interessate a garantirsi anche la manutenzione e l’aggiornamento nel tempo del sistema.
Ciò in totale controtendenza rispetto all’ineludibile requisito della monoliticità, ovvero della unicità di direzione e controllo, che dovrebbe essere posto alla base di qualunque sistema nazionale di difesa cibernetica, ovvero di una trasparente integrazione e dei processi di verifica, validazione, gestione delle emergenze.