Un titolo qualsiasi dai giornali di oggi, 23 febbraio 2023: “Attacco hacker all’Italia dopo la visita di Meloni a Kiev: colpiti siti del governo, imprese, carabinieri e banche”. I presunti responsabili scrivono che hanno colpito i “siti russofobi” (Sic!). mentre il nostro governo assicura che questa volta l’agenzia per la cybersicurezza si è mossa tempestivamente, evitando danni permanenti ai siti sotto attacco. Episodi del genere sono comunque sempre più all’ordine del giorno e né i siti pubblici né quelli privati possono dirsi sicuri e protetti al cento per cento. L’articolo del nostro collaboratore Alberto Poggi affronta proprio questo tema.
(La redazione di Periscopio)

C’era una volta Cappuccetto rosso nel paradiso di internet…
Poi ha incontrato i pirati.

Un bilancio dei danni provocati nel nostro Paese dall’attacco informatico segnalato dalla Francia qualche giorno fa, è ancora in corso di definizione, ma ciò che più sconcerta, stando alle indicazioni della nostra Agenzia per la cybersicurezza è che decine di aziende non sanno neanche di essere sotto attacco, mentre dovrebbero immediatamente aggiornare i loro sistemi.

A dispetto della scarsa attenzione mediatica riservata alle problematiche connesse con la sicurezza informatica, l’Italia è, secondo diverse fonti [vedi Qui] e [Qui], nella top five dei paesi più colpiti al mondo dai malware digitali. A fronte di questa alta vulnerabilità, l’Italia investe appena lo 0,08% del PIL in cybersicurezza, ultimo tra i Paesi del G7, anche se il trend sembra avviato finalmente verso una crescita  decisa.

Anche l’impatto sulla nostra quotidianità non è trascurabile. Se solo scorriamo le cronache dello scorso anno, sono diversi i disservizi provocati da attacchi hacker. Nella lista troviamo il CUP della Regione Lazio, Trenitalia ed Eni.

I danni economici diretti o indiretti di questa guerra non-convenzionale sarebbero ingenti, ma si sa, noi italiani – dalla pubblica opinione alla leadership politica – nutriamo una forte idiosincrasia per la prevenzione. Secondo le stime della nostra Agenzia per la cybersicurezza, mancherebbero centomila figure professionali specializzate. Ma anche una formazione di base diffusa sui rischi connessi con la digitalizzazione se, come sembra da una prima ricostruzione, l’ultimo grave episodio di pirateria sarebbe riconducibile in primis al mancato aggiornamento di uno specifico software.

I consigli della mamma 

Chiunque usi un computer dovrebbe infatti sapere che per navigare in rete con una relativa tranquillità, non basta attenersi alle poche avvertenze comportamentali che anche la mamma faceva a Cappuccetto rosso:
1 ) Non accettare inviti allettanti da sconosciuti. Ovvero non cliccare sul primo link interessante che ci viene offerto, senza prima averne verificato la fonte.
2 ) Evitare di abbandonare il sentiero già battuto per scorciatoie poco note.  Fuor di metafora, non visitare siti di cui non si hanno riferimenti o referenze.
3 )  Non scartare pacchetti o regali offerti senza ragione.  Quindi, mai aprire allegati di email sospette o ambigue, anche se inviate da indirizzi noti. Molto spesso infatti, le porte ai malintenzionati vengono aperte dall’interno, per negligenza, sciatteria o superficialità.

Qualcuno potrebbe obiettare che il grido d’allarme sul cybercrime proviene soprattutto da organizzazioni del settore, ovvero da coloro che hanno tutto l’interesse a “gonfiare” stime e reale entità del fenomeno. Purtroppo, questo non è vero. I dati raccolti, infatti, si riferiscono ai soli “eventi” in qualche modo documentati e/o documentabili ed a riprova di questo, basterebbe citare, ad esempio, il Global Risk Report del World Economic Forum che dal 2019 ha posto il rischio derivante dagli attacchi informatici di varia natura e finalità, al primo posto per impatto e probabilità di accadimento, insieme ai disastri naturali ed agli effetti globali del climate change.

I nuovi pirati

A ingarbugliare questa già complessa matassa, contribuiscono anche i risvolti geopolitici. La pirateria informatica ha infatti tanti tratti comuni con quella immortalata nel celebre romanzo “L’isola del tesoro”. I corsari che attaccavano le navi per impadronirsi di quanto di prezioso c’era nei loro carichi, compresi importanti personaggi, per i quali poi veniva richiesto un adeguato riscatto, rimandano immediatamente all’attualità, ovvero agli attacchi volti al furto di dati e alla tecnica del Ransomware, un neologismo inglese formato da ramsom (riscatto)  e da malware (software malevolo).

Molto spesso i corsari che attaccavano i galeoni spagnoli erano al soldo di Francia ed Inghilterra, o comunque godevano della loro tacita copertura politica. La collocazione dei principali gruppi hacker sembra essere ad est e rimandare alla Russia ed alla Cina. Prove ufficiali evidentemente non ce ne sono, ma forti indizi sì. Non a caso la presidenza Biden è partita proprio subendo due gravissimi attacchi informatici.

“Il primo è il Solarwinds hack: in sintesi, un attacco che ha compromesso gli aggiornamenti del software di Solarwinds, fornitore globale di soluzioni per il monitoraggio dell’infrastruttura IT (…); l’attacco è stato in realtà molto mirato, ignorando gran parte dei clienti Solarwinds, e andando dritto alla meta (governo Usa ma anche altri soggetti di interesse)…  Il secondo è l’attacco ai server Exchange di Microsoft, mosso in questo caso attraverso una serie di vulnerabilità che permettono la compromissione della posta e delle reti interne di intere organizzazioni.” (tratto da Guerre di Rete – una newsletter di notizie cyber; a cura di Carola Frediani N.100 – 21 marzo 2021) 

La reazione del governo federale non si è fatta attendere, con la costituzione di una task-force proprio dedicata al cyber-crimine, in particolare al ransomware.  Negli Stati uniti, nel 2021, sono state 2400 le organizzazioni colpite con questa tecnica criminale. Comprese 1700 tra scuole ed università, 560 strutture sanitarie. L’incremento sul 2019 è stato del 300%, rimarcando quindi una tendenza ormai ineludibile, almeno laddove esistono dati ufficiali in materia ed un accesso alla rete non soggetto a controlli governativi, quindi in gran parte dei paesi OCSE.

Nelle raccomandazioni elaborate dalla task-force statunitense, troviamo l’espressa richiesta di avviare anche azioni diplomatiche nei confronti di quegli Stati che danno copertura e/o tacita protezione alle organizzazioni di pirateria informatica. Difficile segnare il confine tra la propaganda e la reale consistenza di queste indicazioni. Ancora più complesso trovare informazioni sufficientemente attendibili su queste materie, ormai terreno di scontro aperto soprattutto tra Stati Uniti, Russia e Cina. Di mezzo ci sta la governance della rete e sostanzialmente due idee opposte della stessa.

Governance sotto accusa

La governance attuale è nata circa 50 anni fa negli Stati Uniti. Il modello è sinteticamente definibile a multi-stakeholder, poiché dall’inizio degli anni 90 del secolo scorso, il controllo della rete, fino ad allora strettamente nelle mani del governo federale USA, viene aperto ai privati.
“Tale decisione cambiò radicalmente lo sviluppo della tecnologia ed influenzò profondamente quella che sarebbe diventata la struttura dell’Internet governance. Durante quegli anni di espansione della tecnologia, Internet venne fondato su una governance limitata e ristretta. Il ruolo statale e governativo nella gestione di tale tecnologia venne quindi fortemente ridotto, privilegiando piuttosto l’autonomia e la libertà di azione del settore privato.”
(Carolina Polito “Il futuro dell’Internet governance e le crescenti spinte verso una sovranità cibernetica”  in “LA GEOPOLITICA DEL DIGITALE”, Edizioni Nuova Cultura per l’Istituto Affari Internazionali, 2019).

Questo modello si è sostanzialmente perpetuato fino ai giorni nostri, solo che la visione per certi aspetti utopica della rete quale “paradiso libertario di autodeterminazione individuale”, ha lasciato il posto ad una realtà molto più complessa e segnata da interessi economici e geopolitici ben precisi (su questi aspetti si veda ad esempio il testo di  Evgeny Morozov, “L’ingenuità della rete. Il lato oscuro della libertà di internet”, ed. Codice, 2011).

Senza entrare troppo nei dettagli tecnici, possiamo dire che tale governance, a forte trazione statunitense,  è stata fortemente contestata da diversi governi: Russia e Cina in primis, ma anche India e Brasile, per citare solo i principali. Sostanzialmente due le contestazioni sollevate: quella della sicurezza e, strettamente collegata a questa, il ruolo dell’ICANN, ovvero dell’organismo che rappresenta per così dire il cervello di internet. “Coloro che hanno contribuito alla progettazione di questa rete (…) si sono concentrati sulle sfide tecniche legate allo spostamento delle informazioni in modo rapido e affidabile. Quando pensavano alla sicurezza, prevedevano la necessità di proteggere la rete da potenziali intrusi o minacce militari, ma non prevedevano che gli stessi utenti di Internet un giorno avrebbero usato la rete per attaccarsi a vicenda.” (Craig Timberg, “A Flaw in the Design”, in The Washington Post, 30 maggio 2015)

Quello della sicurezza e quindi della pirateria informatica, è dunque una indiretta conseguenza del tipo di architettura usata per la sua costruzione, ovvero delle priorità che la sua governance si è data. Sono i limiti posti alla sovranità degli stati nello spazio cibernetico che ne impedirebbero, secondo molti governi, la sicurezza.

La prima occasione in cui queste critiche si sono espresse in modo organizzato, è stata durante il vertice della International Telecommunication Union (ITU), l’Agenzia delle Nazioni Unite responsabile per la definizione degli standard internazionali per le telecomunicazioni.
Siamo nei primi anni Duemila e gli incontri dell’Agenzia incentrati sul “digital divide”, allo scopo di sostenere lo sviluppo delle tecnologie informatiche nei paesi più poveri, si spostano sul tema della governance della rete. E’ il delegato brasiliano a denunciare lo strapotere degli Stati Uniti all’interno dell’ICANN. La negoziazione in materia si conclude nel 2012 con un nulla di fatto: 89 Paesi sottoscrivono il nuovo accordo, 55 si dichiarano contrari.

Il sovranismo conquista la Rete

L’epilogo si ha l’anno dopo, nel 2013, a seguito delle rivelazioni di Edward Snowden, il militare che rende pubblica la massiccia e duratura operazione di sorveglianza del governo degli Stati Uniti, attraverso la National Security Agency (NSA), in numerosi Paesi, anche alleati.

Il ruolo egemone degli USA e delle multinazionali statunitensi che a questa operazione da Grande Fratello hanno prestato occhi e orecchi, non può più reggere, aprendo così all’attuale capitolo della breve, ma intensa, vita di internet.  Questo inevitabile processo di globalizzazione della governance della rete, paradossalmente sta portando alla sua regionalizzazione, con un nuovo e per diversi aspetti pericoloso, protagonismo dello stato-nazione.

E’ del 2019 l’annuncio della Russia del proprio test di disconnessione dalla rete internet, con il varo di RuNet. [Vedi qui]
Tale varo fu dichiarato a scopo “difensivo”, con esplicito riferimento ad eventuali attacchi hacker dall’esterno. Che precedettero invece l’invasione dell’Ucraina, fino al tentativo, ad ostilità avviate, di impadronirsi della sua rete, condizionandone le possibilità di connessione verso  l’esterno. [Qui]

Analoga capacità sta pianificando la Cina, che nel proprio 14° Piano quinquennale per lo sviluppo economico (2021-2025) comprende la cosiddetta Digital Silk Road (la via della seta digitale) che, se da una parte è finalizzata a potenziare la connettività digitale del Paese con il resto del mondo, dall’altra non prevede affatto l’apertura della propria rete.

Il sovranismo nella rete diventa così la riaffermazione della sicurezza, con tutto quello che questo può comportare, anche in termini di flusso informativo. Su questa scia si stanno incanalando anche altre entità statali come l’India o l’Iran.  Interessante a questo proposito l’intervento del presidente francese in occasione dell’Internet Governance Forum tenutosi a Parigi nel 2018, laddove auspica il superamento della falsa dicotomia in cui finora ci si è mossi: da una parte la completa autogestione della rete, dall’altra un internet frammentato e pienamente controllato da stati autoritari.
Purtroppo si predica bene, ma si razzola male, anche nell’UE, come sembrano indicare le scelte sulla gestione dei dati in cloud.