Di recente si è parlato molto di cyberwarfare, ossia della declinazione digitale di quelli che un tempo erano i conflitti armati. Si concretizza in attacchi finanziati dagli Stati-nazione ai danni di entità governative e infrastrutture critiche. Gli esperti di sicurezza allertano sul fatto che il panorama degli obiettivi si sta ampliando, e che la guerra digitale ormai investe anche le aziende private.

Significa che chi si occupa di sicurezza IT commette un grave errore pensando di non doversi occupare della guerra digitale solo perché la sua azienda non è un ente governativo o della Difesa. A questo punto vale la pena comprendere bene il fenomeno in tutte le sue sfaccettature.

Guerra digitale

Gli attacchi alla cybersicurezza di uno Stato consistono in eventi sponsorizzati da Governi o da organizzazioni para-statali o governative. Gli attaccanti sono comunemente noti come "State Sponsored Actor". Non fanno dichiarazioni di guerra, e gli sponsor sono quasi sempre ben nascosti. Alcuni gruppi dietro agli attacchi sono noti, ma identificarne i componenti è un altro paio di maniche. Pensiamo per esempio agli esponenti del gruppo vietnamita Ocean Lotus, agli iraniani di Charming Kitten, ai nordcoreani del Lazarus Group, ai cinesi del Deep Panda. I ransomware più devastanti dei tempi recenti danno qualche indizio, ma flebile. Per esempio, Ryuk, Zeppelin e Sodinokibi non vengono eseguiti su computer la cui lingua è impostata su russo e affini. Da qui il sospetto che abbiano una matrice russa.

Quello che è certo è che non c'è una formalizzazione dell'avvio di un cyber conflitto. In genere la guerra digitale si compone di una serie di azioni, anche apparentemente slegate fra di loro, che nell'insieme compongono una strategia articolata individuabile solo nel lungo termine. Lo spazio cibernetico è ritenuto il quinto dominio strategico dopo terra, mare, cielo e spazio. È un dominio che non si può conquistare con una campagna armata nel senso stretto, quindi si procede con tecniche digitali.  Le azioni che caratterizzano una guerra digitale sono diverse. Tutte rientrano sotto al cappello della cyberwarfare, ma si distinguono per sfaccettature diverse.
La guerra dell'informazione, o information warfare, fonda sulla gestione e l'uso dell'informazione in ogni sua forma e a qualunque livello. Include attacchi che minano all'integrità, all'affidabilità e l'interoperabilità dell'assetto informativo. Ne sono esempi gli attacchi alle infrastrutture critiche, il cyber spionaggio, il defacement, il furto di dati.  

C'è poi il Comando e controllo, una tattica militare declinata nel campo informatico come la presa di controllo di un sistema informatico compromesso. Molto frequente negli ultimi anni è la guerra psicologica, che si materializza nelle ben note fake news. Ma anche nelle strategie per influenzare opinioni, emozioni e atteggiamenti. L'esempio più classico è quanto accaduto con le elezioni statunitensi e il caso Cambridge Analytica.

C'è inoltre un importante capitolo della guerra digitale, che da mesi tiene banco: quello del dominio tecnologico. Questa volta la guerra non è serpeggiata nei meandri bui della rete, è stata plateale e dichiarata. Parliamo dello scontro tra Stati Uniti e Cina per la 5G. La leadership tecnologica si è incarnata nella tecnologia di telecomunicazioni di ultima generazione perché da questa dipendono le Smart City, l’Internet of Things, l’Intelligenza Artificiale le interfacce uomo-macchina. L'obiettivo dichiarato era fermare le aziende cinesi leader nella 5G, i decreti presidenziali hanno centrato il segno. Sarà poi da vedere se gli Stati Uniti, dopo l'emergenza COVD-19, riguadagneranno terreno in una sfida che è tutt'altro che chiusa.

Spionaggio economico

Lo spionaggio economico fa parte della guerra digitale, ma merita un capitolo a sé stante perché interessa direttamente le aziende. È il furto della proprietà intellettuale, del know-how o dei segreti commerciali di un'azienda. Da solo costituisce il "più grande trasferimento non autorizzato di ricchezza nella storia", per usare le parole del generale Keith Alexander, ex comandante del Cyber ​​Command dell'esercito americano.

Ogni anno vengono generati migliaia di exabyte di dati. Il volume delle informazioni prodotte cresce di pari passo con l'appropriazione indebita dei segreti commerciali. Secondo il Dipartimento del Commercio, nel 2014 le proprietà intellettuali rappresentavano il 38,2% del PIL degli Stati Uniti. I segreti commerciali rubati costano agli Stati Uniti tra 225 e 600 miliardi di dollari all'anno.

È per questo che a partire dal 2016 si è registrata un'impennata delle indagini dell'FBI sullo spionaggio economico ai danni delle imprese statunitensi.

Dagli Stati alle aziende

Perché i professionisti della sicurezza informatica aziendale dovrebbero preoccuparsi del cyberwarfare? Perché le imprese sono bersaglio di attacchi informatici di stati-nazioni più spesso di quanto si rendano conto. Perché le aziende custodiscono patrimoni di dati che sono funzionali alle azioni illecite. Anzi, come ha dimostrato Cambridge Analytica, senza i dati portare avanti manipolazioni di massa è pressoché impossibile.  

Sono da considerarsi a rischio le realtà che si occupano di servizi finanziari, quelle sanitarie, di logistica, di intrattenimento. Oltre ovviamente a università e centri di ricerca. Le informazioni di cui sono in possesso servono agli attaccanti per centrare l'obiettivo di esercitare il potere e seminare il caos.
Allo stesso modo, sono a rischio le aziende produttive. Aziende che hanno colto l'opportunità di automatizzare la produzione ed entrare nell'Industria 4.0 dotando i macchinari di dispositivi IoT. Che però sono poco sicuri, quindi vulnerabili agli attacchi.  Per farsi un'idea precisa basta unire due dati. Quello sulla presenza di dispositivi IoT in azienda, che interessa ormai il 67% delle organizzazioni. E quello sugli attacchi da parte di stati-nazione contro i sistemi di controllo industriali. Secondo l'FBI sono in rapida crescita quelli che hanno sfruttato le vulnerabilità di SharePoint.

Oltre tutto, dai dati risulta che gli attacchi contro le aziende sono spesso i più sofisticati. Sia perché gli aggressori hanno enormi quantità di risorse. Sia perché sfruttano l'esperienza dei precedenti attacchi contro entità governative per scagliarsi contro le aziende.

Secondo gli esperti della società senza scopo di lucro Mitre, ciò che gli stati-nazione stanno facendo oggi ai governi, lo faranno domani alle aziende. Si parla di attacchi denial-of-service (DoS o DDoS), dell'esfiltrazione di dati, del blocco produttivo.  

Per fare qualche esempio, nel 2012 un attacco DoS di uno stato-nazione ha messo offline diverse banche statunitensi per diverse ore. Il malware Stuxnet nel 2009 ha bloccato il funzionamento di alcuni impianti di arricchimento nucleare iraniani. L'azione di sabotaggio fu addebitata per ovvie ragioni politiche a Stati Uniti e Israele, ma nessuno dei due paesi ha mai ammesso responsabilità. Nel dicembre 2014 i cyber criminali hanno danneggiato gravemente un'acciaieria in Germania manipolando e distruggendo i sistemi di controllo a tal punto che un altoforno non poteva essere chiuso correttamente. Sono poi tristemente noti alle cronache i casi di NotPetya, WannaCry, Stuxnet ed EKANS.

Che cosa fare per difendersi

Appurato che esistono buoni motivi perché tutti i responsabili della sicurezza aziendale prendano provvedimenti, ecco qualche consiglio da seguire.

È necessario monitorare gli attacchi informatici che colpiscono lo stesso settore in cui opera l'azienda, anche se avvengono in altri paesi. È un controllo da condurre con cadenza trimestrale e di cui informare il Consiglio di Amministrazione affinché tutti comprendano i rischi concreti.

Pianificare e aggiornare di conseguenza la politica aziendale di risposta agli incidenti. Dev'essere adeguata per gli attacchi degli stati-nazione e includere un contatto con le forze dell'ordine. Adeguare i termini dell'assicurazione per la sicurezza informatica e informarsi se copre gli atti di cyberterrorismo. Saperlo con certezza è importanza per la mitigazione dei danni. Inoltre, è necessario coinvolgere clienti e partner di terze parti. Spesso gli attacchi passano per la supply chain, quindi tutti devono essere allertati e pronti a reagire.

Sul fronte della tutela dei dati, si consiglia di limitare la creazione di nuovi archivi di dati. Meglio sviluppare e applicare regole che promuovano la corretta distruzione delle informazioni, e la loro cancellazione automatica dopo una data specifica. Attenersi alle disposizioni di legge, in particolare al GDPR, aiuta a tutelarsi e a proteggere adeguatamente i dati.