Così l’Italia va alla cyber-guerra

Il 18 marzo 2018 l’ing. Paolo Campobasso ci ha introdotto al mondo della cyber sicurezza con una relazione dal titolo: “Simulazione di un attacco a una banca o a una grande industria”, l’argomento è di scottante attualità e sta orientando le relazioni e gli equilibri tra le grandi potenze mondiali.

Per ricordare i temi dell’intervento viene proposto un articolo dell’Espresso firmato Carola Frediani datato 23 maggio 2013, un articolo ormai datato, che però dimostra che il tema della sicurezza informatica e dello spionaggio militare già attuale tra gli addetti ai lavori.

La più concreta minaccia informatica in questo momento per l’Italia? Il cyber-spionaggio. È questo il leitmotiv suonato al Cyber Defence Symposium, una due-giorni dedicata alla strategia nazionale di risposta agli attacchi cibernetici, come si usa ancora dire a livello ufficiale. Organizzato a Sestri Levante dalla Scuola Telecomunicazioni delle Forze Armate, l’incontro ha raccolto i vertici militari, istituzionali e aziendali dedicati alla gestione e alla difesa delle telecomunicazioni e della sicurezza informatica del Paese.

Qui, al di là delle astratte presentazioni sui sistemi di security, ad andare sul concreto ci ha pensato Paolo Campobasso, Chief Security Officer di Finmeccanica, mostrando alla platea, composta perlopiù da dirigenti di imprese ICT (Information & communication technology), le foto di alcuni velivoli da combattimento: da una parte gli Eurofighter prodotti da Alenia, dall’altra un identico aereo cinese; da un lato un F-35 Join Strike, dall’altra un identico cacciabombardiere Chungdu J-22 made in Cina. “È evidente che qua siamo di fronte a casi di penetrazione cinese ai sistemi informatici di aziende occidentali”, ha sparato a zero il capo della sicurezza di Finmeccanica. “Questa è la resa plastica di un APT, una Advanced Persistent Threat”, vale a dire di un tipo di attacco informatico organizzato, silenzioso, persistente, protratto nel tempo, che nella maggior parte dei casi punta a rubare proprietà intellettuale a governi e aziende di primo piano. “Questo oggi è il nostro problema – ha ribadito Campobasso – perché nessuna organizzazione al mondo è in grado di affrontarlo”.

Dunque quando si parla di difesa nazionale da minacce informatiche, prima ancora della retorica sulla cyberwar o della visibilità mediatica degli attivisti alla Anonymous, il primo pensiero di chi gestisce sistemi informativi delicati va a questo genere di minaccia. Lo spionaggio in versione cyber. Che è molto più insidioso di quello tradizionale. “Il problema per noi non sono le intercettazioni della magistratura, ma il fatto che siamo continuamente intercettati a livello industriale, anche se questo genere di violazioni non finiscono sui giornali”, conclude Campobasso.

Inutile dire che il convitato di pietra, per gli Stati Uniti ma anche per l’Italia, è proprio la Cina. “Tutti fanno attività di cyber-spionaggio – ha spiegato alla platea Stefano Mele, coordinatore dell’Osservatorio Infowarfare e Tecnologie Emergenti dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli” – ma il governo cinese la conduce in modo particolarmente aggressivo, una sorta di pesca a strascico. E soprattutto il furto di proprietà intellettuale in ambiti di Ricerca & Sviluppo va poi a finire in mano a società cinesi che costruiscono prodotti identici, i quali infine sono rivenduti nella stessa Europa”. È anche vero, ha precisato Mele, che secondo un documento rilasciato due mesi fa dal National Intelligence Council americano, un centro di studi strategici dell’intelligence a stelle e strisce, i principali protagonisti del cyber-spionaggio sono, oltre alla Cina, l’Iran, la Russia e la Francia.

A fianco dei pirati informatici al soldo di potenze straniere, ma anche di imprese concorrenti, che irrompono nei database delle aziende nazionali, l’altro grande spauracchio, che però anche al simposio è rimasto ancora sullo sfondo, in prospettiva, è quello legato alla difesa delle infrastrutture critiche. Sistemi che gestiscono acquedotti, reti elettriche, centrali e che se pesantemente violati procurerebbero danno fisici ingenti. Aziende come la laziale Acea, che gestisce il servizio idrico a Roma e in altre province oltre a essere un distributore di energia elettrica, stanno separando i sistemi Scada, che servono al monitoraggio delle infrastrutture fisiche, dalle altre reti, per renderli più sicuri.

Ma se questo è il contesto, come si sta muovendo l’Italia a livello istituzionale? Il punto di partenza è il decreto approvato dal governo Monti lo scorso gennaio con gli “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”. Un decreto che, spiega l’ammiraglio Nicola De Felice, direttore del Centro Innovazione della Difesa, “ha definito il framework, la struttura che il Paese si deve dare per assicurare la difesa delle strutture nazionali”. In linea per altro con altri Paesi Nato e occidentali. Il problema è però che ancora siamo in una fase di transizione. Poche le risorse assegnate (e del resto il decreto dello scorso gennaio non prevede nuovi oneri a carico dello Stato). Ancora confusione nella definizione dei ruoli dei vari organismi che si occupano della materia. E l’assenza di una strategia anche offensiva, quando qua i militari guardano con un po’ di invidia ad Obama, che ha invece istituito da tempo un Cyber Command e che due mesi fa ha stanziato nuovi finanziamenti, 800 milioni di dollari in più rispetto all’anno prima, solo per lo sforzo cyber, per un totale di 4,7 miliardi di dollari; e tutto ciò proprio mentre si stanno invece riducendo le spese del Pentagono.

Nel frattempo ci si è resi conto dell’importanza della formazione. Quella ufficiale e istituzionale, qui incarnata dalla Scuola Telecomunicazioni delle Forze Armate, la quale ha appena rinnovato e ampliato degli accordi con l’Università di Genova e quella di Modena e Reggio Emilia, e che è la punta più avanzata degli studi in cyber-defence. Ma sta facendo breccia anche l’idea di uno scouting sul campo. “Le forme di reclutamento devono cambiare per poter avere risposte più rapide”, dichiara De Felice all’Espresso. “Bisogna cercare anche competenze già formate, specie in un settore dove non conta tanto il titolo di studio; cercare anche fra gli hacker etici, ovviamente vagliando la loro idoneità a servire lo Stato”.

Allo stesso modo, l’esigenza di muoversi in fretta su un terreno complesso e ostico come quello cyber, in cui l’Italia finora non ha certo primeggiato, sta di fatto spalancando le porte ai privati. Che ricordano quanto pesino sull’economia mondiale le attività criminali informatiche: un “fatturato” di 388 miliardi di dollari nel 2012. E un costo medio per le aziende che subiscono furti di dati di 3-6 milioni di euro. Il problema di simili cifre però è che in realtà è molto arduo stimare il fenomeno: “anche perché manca una legislazione internazionale a livello cyber e quindi è in primo luogo difficile definire gli stessi reati in diversi Paesi”, commenta all’Espresso Francesca Bosco, rappresentante UNICRI, l’Istituto internazionale delle Nazioni Unite per la ricerca sul crimine e la giustizia. “Inoltre gran parte dei rapporti sono fatti da privati, magari aziende specializzate in security”.

A questo proposito sono molte le imprese presenti al convegno per presentare e “vendere” i loro prodotti. Alcuni anche piuttosto sofisticati e dai risvolti delicati, come quelli che rastrellano intelligence e big data dal web, e dai social network, nuova frontiera nell’acquisizione di informazioni, con strumenti appositi, software e calcolatori avanzati. Aziende come Selex, Bip, Area, Hacking Team, tutte in pole position per ritagliarsi una fetta di una torta che sembra destinata a crescere, malgrado le ristrettezze della crisi economica.