Lo sviluppo di capacità offensive e di deterrenza nel cyber warfare
Il Centro Studi Esercito ha avviato una ricerca sul tema dello sviluppo delle tecnologie e della dottrina Cyber i cui esiti saranno presentati al pubblico il prossimo 20 ottobre. Abbiamo chiesto alcune anticipazioni ad Alessandro Rugolo, responsabile del progetto cyber, e Claudio Catalano, esperto di settore e membro del gruppo di progetto.
In cosa consiste l’information warfare strategica?
Catalano: La “information warfare” è un termine entrato nel vocabolario del Dipartimento della Difesa americano dalla metà degli anni ’90, per includere forme di guerra come l’attacco alla
catena di comando e controllo, l’intelligence, la guerra elettronica, le operazioni psicologiche, la guerra informatica, la guerra delle informazioni economiche e appunto la Cyberwarfare o guerra cibernetica.
Di fatto la “information warfare strategica” consiste nello sfruttamento delle informazioni a fini strategici e la guerra cibernetica è diventato in tempi più recenti un sinonimo di“information warfare strategica” data la pervasività del dominio cibernetico nelle operazioni militari e nell’infrastruttura digitale dell’economia di un Paese.
Il Rapporto Rand del 1996 individua sette caratteristiche tipiche dello “strategic information warfare”: base barriere delle tecnologie informatiche, confini tradizionali sempre più sfumati, accrescimento del potere di inganno delle tecnologie informatiche, importanza dell’intelligence strategica, difficoltà di distinguere l’atto criminale dall’attacco informatico, il problema della costruzione delle alleanze e la vulnerabilità nazionale. Molte di queste considerazioni sono ancora valide e anzi si sono accresciute in un quarto di
secolo.
Le operazioni cibernetiche includono operazioni cibernetiche offensive (OCO), difensive (DCO) o di difesa attiva (DCO-RA). Quali sono le differenze?
Rugolo: Nel tempo le Operazioni cibernetiche, cyber operations, hanno assunto sembianze diverse e nel corso delle trasformazioni hanno anche cambiato nome.
La Dottrina americana fino a pochi anni fa parlava di Computer Network Operations (CNO) che comprendeva le Computer Network Attack (CNA), le Computer Network Defense (CND) e le Computer Network Exploitation (CNE). Ora si parla di Cyberspace Operations
(CO) come di quelle operazioni in cui l’impiego di capacità cyber ha lo scopo primario di raggiungere obiettivi nel cyberspace o attraverso il cyberspace.
Le CO comprendono le Offensive Cyber Operations (OCO), ovvero quelle operazioni che hanno lo scopo di proiezione di potenza tramite l’applicazione della forza nel cyberspace o attraverso il cyberspace.
All’interno delle CO esistono anche le Defensive Cyberspace Operations (DCO) che consistono in operazioni passive ed attive condotte allo scopo di preservare la capacità di utilizzare le capacità del cyberspace e di proteggere i dati, le reti, le capacità che poggiano sulle reti e i sistemi di interesse amico.
L’ultima categoria é quella delle Defensive Cyberspace Operation Response Action (DCO-RA), si tratta in questo caso di misure o azioni difensive svolte al di fuori dalle reti da difendere allo scopo di proteggere e difendere le capacità cyber del DoD o altri sistemi di interesse.
Ho fatto riferimento alle definizioni americane in quanto sono quelle cui ci si riferisce generalmente ma é importante comprendere che non tutti gli Stati impiegano le stesse definizioni e ciò complica le cose in un mondo in cui lo scambio di informazioni è essenziale. In ogni caso e al di là da sigle e definizioni il concetto é relativamente
semplice: le operazioni possono essere offensive, quando si attacca un avversario, difensive quando ci si difende da un avversario e potremo chiamarle “predisposizioni di sicurezza”, quando si preparano i sistemi d’arma e le reti a resistere ad un possibile attacco, riducendo al minimo i rischi possibili.
Quale il confine che separa operazioni offensive da rappresaglia?
Rugolo: La rappresaglia, sia che si parli di cyberspace o di un altro dei domini militari, non cambia. La rappresaglia é una azione posta in essere da uno stato che si é sentito leso nei propri interessi da un altro stato. La rappresaglia é dunque una azione di risposta all’atto lesivo, compiuta a breve distanza di tempo. Il problema vero, quando l’azione lesiva é compiuta nel cyberspace o attraverso il cyberspace, è capire chi ha compiuto l’atto lesivo.
Ecco perché é cosi importante l’attribuzione, cioè poter attribuire, oltre ogni ragionevole dubbio, la responsabilità dell’atto, capire chi è il colpevole dell’attacco cyber.
A questo punto, se si riesce a capire chi ha compiuto il cyber attack si può optare per rispondere con un altro attacco cyber ma anche con un attacco convenzionale.
Come sono arginate le difficoltà di attribuzione?
Rugolo: Come tutti sappiamo é molto difficile attribuire la responsabilità di un attacco. Questo per varie ragioni. In primo luogo molti gruppi che operano nel cyberspace lo fanno in incognito, non indossano una uniforme e non portano segni distintivi. Quando pure si ha a che fare con organizzazioni militari o ben identificate, é difficile attribuire loro la responsabilità di un atto. Si cerca quindi di analizzare gli strumenti impiegati per compiere l’attacco, i software per esempio, o le metodologie di lavoro impiegate, ma anche queste sono poco attendibili.
E’ sempre possibile, in fase di creazione di codice malevolo inserire degli indizi di colpevolezza che servono ad orientare o distrarre gli analisti. Ecco perché é cosi importante l’Intelligence.
Riuscire a individuare un attaccante é un misto di lavoro tecnico e di intelligence, in cui alle “prove” che possono emergere dall’analisi del codice o del comportamento dell’attaccante, si affiancano considerazioni di carattere strategico e di analisi.
È possibile considerare una risposta cinetica a un attacco cibernetico?
Catalano: Si tratta del concetto di soglia militare oltre la quale è lecita una risposta militare ad un attacco cibernetico. La maggior parte delle operazioni cibernetiche è clandestina solo gli effetti possono essere manifesti, per cui per lo Stato aggressore di regola è facile negare qualsiasi effetto giuridico a lui imputato o persino l’esistenza di un attacco cibernetico.
Il fatto che un’operazione cibernetica colpisca obiettivi militari legittimi, ma soprattutto che produca un effettivo “vantaggio militare” può essere un criterio per attribuire carattere militare ad una operazione cibernetica prescindere dal fatto che sia condotta da personale militare. Il concetto di soglia militare è stato risolto attraverso la decisione a discrezione del Consiglio Atlantico di attivare l’art.5 del Trattato di Washington sulla difesa collettiva, senza stabilire preventivamente la causa scatenante.
La NATO ha riconosciuto il valore aggiunto di lasciare dei “toni di grigio” nell’area grigia del confine tra guerra cibernetica e crimine informatico, senza dichiarare quale è la soglia oltre la quale la NATO ritiene si debba intervenire, per impedire agli aggressori di spingersi fino alla soglia militare senza superarla e quindi colpire senza avere una risposta militare.
Ad esempio, per l’Estonia un attacco cibernetico senza conseguenze fisiche, come quello subito nel 2007, è sufficiente per richiedere l’attivazione della difesa collettiva ex art.5.
La Francia è più pragmatica e secondo la sua dottrina del 2019 ha riguardo agli effetti dell’attacco cibernetico: nel caso in cui questi provochino effetti simili ad un attacco armato, anche se non vi sono danni “fisici”, la Francia può considerare l’attacco come al di sopra della soglia in base all’origine o alla natura “militare”, al grado di intrusione o alla natura “militare” dell’obiettivo”.
Ad esempio un attacco mirato a penetrare la rete della difesa per diminuire o degradare le capacità militari francesi è al di sopra della soglia militare e può provocare una risposta armata.
L’unico esempio reale di risposta armata finora è stata quella che ha seguito un attacco cibernetico di Hamas ad Israele nel maggio 2019, quando gli israeliani hanno prima bloccato l’attacco, poi individuato l’origine dell’attacco come proveniente dal quartiere generale cibernetico di Hamas e, infine, lanciato un attacco aereo che ha distrutto l’edificio.
Quest’operazione è stata possibile anche grazie alla capacità di stabilire attribution dell’attacco. Ogni Stato ha una sua propria sensibilità riguardo l’uso della forza.
Per gli attacchi cibernetici che rientrano in un attacco cinetico, come in Georgia nel 2008, e in metodi di guerra ibrida, come ad esempio in Ucraina o Siria più di recente, chiaramente l’aggressione armata o l’attacco cinetico prevale sulle considerazioni della soglia dell’attacco cibernetico.
Fino a che punto le attività di difesa cyber dovrebbero essere di competenza della intelligence?
Catalano: Le operazioni cibernetiche offensive, che possono consistere anche semplicemente nell’intrusione e nel furto di dati a fini di spionaggio politico-militare, rientrano in un’area grigia della competenza tra agenzie dei servizi di informazione e sicurezza e delle Forze Armate.
Le prime sono culturalmente e legalmente più adatte a questo tipo di operazioni, le seconde hanno comunque il ruolo di difesa dello Stato. Questo dilemma è stato risolto negli Stati Uniti concentrando US Cyber Command a Fort Meade nella sede del NSA, con
una commistione di ruoli e competenze, mentre in Italia a partire dalla legge 56 del 2012 per finire con la legge del 2019 sul perimetro di sicurezza cibernetica nazionale si è riconosciuto un ruolo sempre maggiore dei servizi di informazione e sicurezza, in particolare del DIS, nella sicurezza cibernetica nazionale.
È vero, che un attacco cibernetico generalizzato avrebbe come obiettivo il “Sistema Paese”, soprattutto le aziende strategiche e a valenza strategica, per cui la prima linea di difesa del campo di battaglia digitale sarebbe costituita non da militari, ma da civili e nello specifico, dal personale della sicurezza e dei servizi ICT delle aziende, delle banche e dei Ministeri, un ruolo che è stato pienamente riconosciuto dalla normativa italiana nel perimetro di sicurezza nazionale.
Rugolo: In merito alla necessaria collaborazione tra i settori, é chiaro che senza collaborazione non é possibile difendersi. Alla base di una buona collaborazione si trova la conoscenza tra le
parti e la “fiducia” che si ha. Per poter rispondere seriamente ad un attacco occorre avere una organizzazione capace di raccogliere e diffondere informazioni ma soprattutto di prendere decisioni in tempi brevi, perciò occorre stringere rapporti tra le organizzazioni civili, militari e di intelligence e migliorare il senso di reciproca fiducia.
Come contrastare la minaccia delle fake news?
Catalano: Le fake news sono semplicemente “bufale” o a volte scherzi, divulgate su internet attraverso social media o siti di informazione non professionale e possono essere disinnescate attraverso la loro verifica secondo tecniche di debunking, da giornalisti o anche da persone comuni.
Le fake news sparse per influenzare l’opinione pubblica di un Paese a fini politico-strategici possono essere ricondotte a tecniche di disinformazione nel quadro dei metodi di guerra ibrida come è successo in Ucraina dal 2014. In questo caso, l’Unione Europea ha attivato una unità all’interno del suo corpo diplomatico (Servizio Europeo di Azione Esterna) per individuare e comunicare le smentite di fake news russe dirette all’opinione pubblica dell’Europea orientale.
Le nuove tecnologie come l’Intelligenza Artificiale, attraverso un uso delle reti neurali antagoniste scoperto appena tre anni fa, nel 2017, sono in grado ormai di generare deep fake, ovvero immagini, audio o video totalmente falsi, ma talmente realistici da sembrare veri. I deep fake possono creare persone inesistenti o peggio creare filmati completamente falsi di persone reali, facendo compiere loro azioni mai avvenute.
Se utilizzati in operazioni di disinformazione, i deepfake possono far fare a uomini politici delle dichiarazioni politiche mai fatte, come accaduto per il presidente Trump in un deepfake creato dai socialisti belgi, o simulare ordini da parte di comandanti militari, generando confusione nella catena di comando e controllo nelle operazioni militari.
Le tecniche e l’utilizzo del deepfake sono ancora allo stato embrionale, per cui il fenomeno deve essere oggetti di attento studio da parte delle Forze Armate italiane e dei Paesi NATO, che potrebbero essere oggetto di tale tipo di attacchi di disinformazione.
Come ottenere una superiorità cyber e una deterrenza credibile?
Rugolo: Cominciamo col dire che per ottenere una superiorità cyber occorre crederci, intendo come Paese. Ciò presuppone una chiara politica nazionale di investimenti nella formazione e informazione. Occorre poi far sì che la superiorità cyber sia mantenuta nel
tempo e ciò comporta una chiara comprensione delle dinamiche in cui ci si muove.
Il mondo attuale è un mondo ad alta velocità dove occorrono riflessi pronti, velocità di decisione e propensione al rischio. Con ciò voglio dire che occorre che una volta creata l’organizzazione cyber la si mantenga relativamente giovane, stabilendo percorsi di carriera ad hoc e favorendo il transito tra il mondo militare e quello civile.
La deterrenza cyber, come ogni tipo di deterrenza, tende ad ottenere uno stato, una situazione in cui l’eventuale nemico consideri assolutamente non conveniente attaccare in quanto la risposta sarebbe troppo costosa.
Occorre dire che si tratta di un campo ancora abbastanza inesplorato ma che deve essere preso in considerazione. Ancora di più in uno Stato che vuole implementare principalmente la postura “difensiva”.
La cyber deterrence può essere effettuata principalmente “by denial”, ovvero impedendo all’avversario di colpirci con attacchi cyber oppure “by punishment”, ovvero rendendo chiaro ai possibili avversari di essere capaci di infliggere una punizione indimenticabile in risposta ad un eventuale attacco.
Nel primo caso, by denial, è chiaro che la “cyber deterrence” si basa principalmente sullo sviluppo importante della capacità di “cyber defence”. In questo senso occorre considerare altre capacità che influiscono come, per esempio, l’impiego della AI per l’analisi dei dati, la ricerca di minacce e la stima del rischio, l’individuazione delle vulnerabilità.
Nello stesso senso va considerata l’importanza di un’industria informatica nazionale forte e ancora la capacità di sviluppare e impiegare propriamente algoritmi di cifratura avanzata e,
più in generale, nuove tecnologie. In un tale quadro credo non ci siano dubbi sul fatto che l’Esercito potrebbe concorrere allo sviluppo anche della capacità di “cyber deterrence” nazionale, capacità giustamente collocata al livello interforze/interministeriale per le sue implicazioni diplomatiche e legali.