Nel bel mezzo della nostra prima guerra informatica globale, multilaterale, del tutto imprevedibile, spetta a ciascuno di noi difendersi. Nessuna agenzia di intelligence è certa di come la dimensione cibernetica del conflitto ucraino si evolverà; nessun militare può fermare un attacco informatico. La situazione catapulta ogni organizzazione digitale in un territorio sconosciuto.
Se pensate che le battaglie in aria, terra e mare finora abbiano superato le aspettative, considerate il parallelo conflitto cyber. Tre verità evidenti rendono quello attuale un momento pericoloso per tutti noi, soprattutto perché le battute d’arresto logistiche dell’esercito russo possono rendere più allettante la prospettiva di una maggiore aggressione informatica contro interessi privati.
La prima verità: nella sfera digitale, presidenti e generali non hanno sempre il controllo. Alcuni guerrieri cibernetici sono corsari freelance che perseguono i propri obiettivi. Il governo ucraino ha reclutato adepti digitali in tutto il mondo su Telegram e ha fornito loro una sorta di manuale del caos: “Stiamo creando un esercito IT”, ha twittato il ministro ucraino della trasformazione digitale, Mykhailo Fedorov. “Abbiamo bisogno di talenti digitali… Continuiamo a combattere sul fronte cibernetico”1. Secondo la giornalista di Kiev Anastasiia Lapatina, 285.000 cyber guerrieri simpatizzanti con l’Ucraina si sono fatti avanti. “Decine di siti web strategicamente importanti sono stati abbattuti, tra cui quello della Banca Nazionale della Bielorussia”2. Inoltre, l’enigmatico gruppo hacker Anonymous ha dichiarato di essere “ufficialmente in guerra cibernetica contro il governo russo” e ha rivendicato il merito di aver chiuso il sito del Cremlino e disturbato i canali ufficiali russi3.
Ma i malware hanno colpito anche siti web e computer ucraini, probabilmente lanciati da attori statali russi o loro proxy.
L’instabilità intrinseca di questo tipo di guerra asimmetrica multi-fronte pone in serio rischio gli interessi privati, per quanto geograficamente distanti, riluttanti o restii a diventare combattenti. A dimostrazione di ciò, il 26 febbraio British Airways ha annullato tutte le operazioni a corto raggio a causa di un misterioso, catastrofico fallimento informatico, esattamente quando Aeroflot, la compagnia di bandiera russa, era stata praticamente tagliata fuori da tutti i mercati europei4. Toyota il 28 febbraio ha interrotto la produzione di veicoli in tutto il Giappone, poiché le comunicazioni dei fornitori sono state colpite da un “malfunzionamento del sistema” che sisospetta sia stato causato da un attacco informatico. “Non è mai successo prima” ha detto Tomohiro Takayama dell’azienda Kojima, fornitore di Toyota5.
Le organizzazioni vulnerabili non possono appellarsi ai propri governi per essere protette da tali ripercussioni informatiche, anche se si tratta semplicemente di obiettivi non intenzionali. Una tale capacità di schermatura a livello statale o non esiste o finora è stata nascosta molto bene.
La seconda dura verità: vendicare i danni di un attacco informatico è quasi sempre un business rischioso. Anche gli attacchi “di routine” vengono conditi con false piste tra le linee di codice che complicano la rappresaglia. Questa tipica incapacità di identificare con certezza un colpevole finora ha funzionato da freno agli attacchi di vendetta impulsiva. Il fatto che Anonymous sia così difficile da individuare rappresenta un’opportunità per le operazioni sotto falsa bandiera russa. La Russia potrebbe auto-infliggersi danni informatici, incolpare Anonymous e creare un nuovo pretesto per ulteriori azioni offensive. Un contrattacco di rappresaglia potrebbe scatenarsi in modi inaspettati e causare disastri imprevisti.
Le organizzazioni che stanno valutando controffensive private nel cyberspazio dovrebbero pensarci due volte e riflettere sui potenziali effetti a macchia d’olio. Gli scenari di escalation descritti dai modelli governativi sono spaventosi. I risultati vanno dall’interruzione dei sistemi di acqua potabile alla disattivazione delle reti elettriche, dei gasdotti e delle raffinerie.
La terza dolorosa verità: le difese informatiche oggi sono un ibrido frammentato di iniziative pubbliche e private. Le banche, i sistemi sanitari e le compagnie energetiche non mantengono eserciti privati o carri armati né sganciano bombe. Nel cyberspazio, tuttavia, le organizzazioni private devono fare i propri investimenti in misure difensive e tenerle aggiornate. In caso di attacchi informatici su larga scala, raramente vengono informate dai governi.
In questo torbido, instabile teatro di guerra, quindi, la sicurezza delle istituzioni democratiche occidentali e dei sistemi sociali dipende non solo dalla forza statale o militare, ma dalle decisioni di innumerevoli organizzazioni private. La debolezza è contagiosa; un’organizzazione che non riesce a proteggere se stessa offre un vettore che gli hacker “black hat” possono sfruttare contro altri.
Molti, tuttavia, sembrano non esserne al corrente. Un preoccupante sondaggio condotto da Vectra AI rivela che l’80% dei team di sicurezza aziendali credeva di avere visibilità “buona” o “molto buona” su attacchi diretti ai firewall, eppure nel 2021 i costi della criminalità informatica sono stati stimati in 6 miliardi di miliardi di dollari e stavano aumentando anche prima della crisi in Ucraina. Praticamente tutte le vittime di attacchi informatici aziendali credevano di avere solide difese in atto6.
Questi giorni difficili dovrebbero far venir meno anche gli ultimi barlumi di una tale convinzione. Il conflitto in Ucraina ci insegna a investire nella preparazione informatica, non nella gestione delle crisi ex post. Ogni organizzazione deve rivedere la propria tolleranza al rischio informatico e i piani di continuità aziendale, nel caso in cui i problemi informatici interrompano il funzionamento delle normali operazioni.
Le difese informatiche incentrate sulla protezione dei perimetri delle reti aziendali sono ormai sempre più superate rispetto ai moderni attacchi informatici, soprattutto in un periodo in cui i lavoratori da remoto operano su sistemi domestici e data storage in cloud non sicuri. Il rilevamento e la correzione rapidi, basati sull’intelligenza artificiale, offrono una strategia di sicurezza molto più efficace. Poiché il panorama digitale nel suo complesso è così poco regolamentato e privo di leggi
e poiché le risorse pubbliche non sono attrezzate per salvare le risorse digitali private, non abbiamo altra scelta che massimizzare le nostre difese informatiche un’organizzazione alla volta.
I passi importanti e concertati che tutto l’Occidente ha compiuto negli ultimi giorni per sostenere l’Ucraina ci permettono di concludere con una nota di speranza. I forti esempi di cooperazione che abbiamo visto a livello diplomatico, militare ed economico non hanno precedenti nel XXI secolo. Dobbiamo promuovere nel cyberspazio difese simili, innovative e basate sull’intelligenza artificiale.
Il futuro digitale più sicuro che tutti vogliamo è a portata di mano. Non nascerà però da solo né ci verrà consegnato da presidenti o generali. Tutti noi, insieme, dobbiamo combattere per realizzarlo.
L’autore è Presidente e CEO di Vectra AI, una delle principali società di rilevamento e risposta alle minacce informatiche con sede a San Jose, California.