L’attacco di Putin contro l’Ucraina ha portato la guerra digitale agli onori delle cronache e ha fatto scoprire ai privati cittadini i risvolti dannosi della tecnologia, facendo intuire che la nostra sicurezza fisica, oltre che digitale, non può essere data per scontata. E che un conflitto digitale può causare danni che vanno ben al di là di un furto di identità.

L’aspetto cyber del conflitto ucraino è l’occasione per fare il punto sul cyberwarfare, ossia su una minaccia concreta che in una visione globale di sicurezza, anche fisica, ha ormai un peso enorme. Ne abbiamo parlato con Mariana Pereira, Director of Email Security Products, EMEA di Darktrace.

Mariana Pereira, Director of Email Security Products, EMEA di Darktrace

Quando si parla di cyberwarfare spesso si pensa a uno o più attacchi volti a bloccare o sabotare una infrastruttura critica. Tuttavia, analizzando l’attività cyber della Russia in Ucraina, emerge l’importanza della disinformazione, della destabilizzazione dell’opinione pubblica e della messa in dubbio della credibilità delle istituzioni. Quali sono gli step di cui si può comporre una cyber guerra e quali sono i più insidiosi da gestire?

Seminare paura e disinformazione è una tattica tipicamente utilizzata nella guerra informatica. Gli attacchi DDoS che il mese scorso hanno abbattuto oltre 70 siti web del governo ucraino e, in alcuni casi, li hanno deturpati con messaggi minacciosi, non erano particolarmente sofisticati. Eppure, attacchi che attirano l'attenzione come questi sono spesso usati come diversivi per scagliare attacchi malware più dannosi.

Abbiamo già visto attacchi informatici utilizzati come ritorsione contro le sanzioni economiche, con attacchi DDoS contro istituzioni finanziarie statunitensi da parte di attori statali iraniani tra il 2011-2013, a seguito delle sanzioni relative ai programmi nucleari.

Nel caso della disinformazione, come si capisce di essere sotto attacco e come ci si difende?

In tempi di sconvolgimenti e conflitti politici, esaminare attentamente le fonti delle informazioni è più che mai essenziale. Con attacchi informatici sempre più diffusi, anche le fonti apparentemente più autorevoli possono essere compromesse, ed è quindi consigliabile incrociare più fonti per un controllo più approfondito. Per esempio, se diverse testate giornalistiche e portavoce del governo pubblicano le stesse informazioni - e lo fanno in modo indipendente - siamo di fronte a un buon indicatore di affidabilità.

A livello organizzativo, la tecnologia dovrebbe essere in grado di sostenere questo problema. La formazione alla sicurezza informatica è importante, ma non è sufficiente a proteggere un'organizzazione dagli attacchi. Un aumento delle email indesiderate nella propria posta elettronica può spesso essere segnale che gli hacker stiano testando le vostre difese, e questo dovrebbe portare a una maggiore cautela nel credere a dichiarazioni insolite fatte proprio all’interno dei contenuti delle email, comprese quelle che sembrano provenire da mittenti affidabili. In questo scenario, vedremo l'IA assumere sempre più spesso un ruolo di supporto quando questi attacchi colpiscono, individuando fin dal principio anche i segni più impercettibili di una minaccia, e fermandola alla velocità di macchina.

Nel caso dell’Ucraina, si parla ormai di attacchi informatici usati come strumento di supporto all’azione militare. Più che una strategia cyber dell’ultimo millennio sembra una strategia bellica antica, in cui si tagliavano i rifornimenti ai nemici per indebolirli e vincere le battaglie. È davvero cambiato così poco da Medioevo ad oggi?

La variabile cyber è il nuovo volto della guerra. I cyber attacchi hanno la capacità di paralizzare le infrastrutture critiche, esattamente come un ponte che viene fatto saltare o una fornitura d'acqua interrotta indeboliscono il nemico in una guerra tradizionale. Oggi, l'accesso ai beni primari è stato digitalizzato e si affida alla connettività mobile, ma può ancora essere minacciato. Nel maggio 2021, l’attacco alla Colonial Pipeline ha avuto effetti duraturi sulle forniture di petrolio e sui prezzi negli Stati Uniti.

Le recenti interruzioni del servizio di Vodafone in Portogallo sono state di breve durata ma hanno avuto un forte impatto sulla popolazione. Ciò che è cambiato è che la potenza dell'uomo non rappresenta più il fattore decisivo nella protezione da parte delle nazioni della complessa infrastruttura IT e della tecnologia operativa (OT), ma progresso e velocità della loro stessa tecnologia.

Ciaran Martin, responsabile dell’NCSC fino al 2020, ha dichiarato alla BBC che "se l'obiettivo è conquistare l'Ucraina, non lo fai con i computer”. È davvero così secondaria l’azione cyber?

Per quanto le conseguenze dell'invasione sembrino essere terribili, i danni causati dagli attacchi informatici saranno secondari alla perdita di vite umane. Detto questo, poiché la tecnologia diventa sempre più cruciale per la vita quotidiana, i cyber attacchi continueranno a causare nuovi enormi problemi.

La preoccupazione che quest'ultima serie di cyber attacchi di ritorsione contro l'Ucraina possa portare a un'escalation di una vera e propria guerra cibernetica è ormai evidente. Eppure, dalle tecniche usate in questi attacchi, l'obiettivo sembrava focalizzato a sostenere un'invasione militare più tradizionale.

Parliamo del rischio di un allargamento del conflitto Russia-Ucraina all’Occidente. Verosimilmente, è corretto restringere il rischio alle aziende che operano in Ucraina o hanno server/piattaforme software in quel Paese (come da avviso del Csirt)? Oppure, quando si verificano tensioni internazionali di questa portata, nessuno deve sentirsi escluso a priori dal rischio?

Sin dall’inizio gli effetti di questa operazione non erano limitati all'Ucraina, con la segnalazione di almeno due appaltatori del governo con sedi in Lettonia e Lituania che sono stati colpiti. Questo episodio è stato il primo degli impatti collaterali di questo conflitto informatico sulle catene di approvvigionamento globale e delle implicazioni sugli altri Paesi occidentali che si affidano agli stessi appaltatori e fornitori di servizi. In passato, NotPetya è stato un chiaro esempio delle conseguenze involontarie che i cyber-attacchi possono avere, con un danno collaterale stimato a 10 miliardi di dollari, e oltre.

Considerate le armi informatiche esistenti, verosimilmente fino a che punto potrebbe spingersi un attacco informatico contro un’altra nazione?

Nell'era digitale, anche le organizzazioni di piccole e medie dimensioni fanno parte di complesse catene di fornitura globali, con la conseguenza di mostrarsi vulnerabili ai danni collaterali di attacchi sponsorizzati dagli stati in qualsiasi momento.

Quali sono i consigli di Darktrace per gestire il rischio informatico legato al cyberwarfare?

In Darktrace proteggiamo oltre 6.500 organizzazioni contro le minacce informatiche avanzate. Per le organizzazioni, condurre pratiche di buona igiene informatica è certamente importante, ma la realtà è che le minacce informatiche sponsorizzate dallo stato sono spesso troppo sofisticate anche per i team di sicurezza più preparati.

Per questo, c’è bisogno di essere equipaggiati con una tecnologia sofisticata come l'AI, in grado di agire più velocemente. Lo abbiamo osservato nel 2020, quando una campagna statale sofisticata condotta su larga scala è stata identificata e bloccata da diverse organizzazioni due settimane prima che fosse pubblicamente attribuita al gruppo cinese di spionaggio informatico APT41.

Con i cyber attacchi che crescono in frequenza e velocità, le tecnologie di IA saranno adottate sempre più massicciamente come strumento di difesa per rispondere agli attacchi, proprio nelle loro primissime fasi.