cyberwar

L’Italia è impreparata alla cyber-war

In Mondo Digitale by Marco Magrini1 Comment

E  se la guerra fra Israele e Palestina diventasse una cyber-guerra? Lo spettro l’ha evocato Mike Rogers, presidente del Comitato Intelligence del Congresso americano. «Ci sono nazioni impegnate sul fronte elettronico del conflitto – ha detto il deputato repubblicano durante un’intervista alla Cbs News – che potrebbe evolvere in modo molto, molto pericoloso per la stabilità» del Medio Oriente.

La cyber-guerra non è una guerra virtuale. Al contrario, è il concreto uso militare di internet, il network digitale planetario che, in appena vent’anni, ha collegato case, uffici e negozi, ma anche acquedotti, centrali elettriche, pubbliche amministrazioni e l’intero sistema dell’aviazione civile, aprendo così la strada a tante, insospettabili vulnerabilità. Rogers, pur senza menzionarlo, sembra voler puntare il dito sull’Iran, che non è nuovo ad attacchi digitali contro il nemico giurato di Israele. Ma la preoccupazione non riguarda certo il solo il Medio Oriente.

Poche settimane fa, il primo ministro britannico David Cameron ha messo sul piatto 800 milioni di sterline, più di un miliardo di euro, al fine di finanziare una nuova struttura per la cyber-difesa. La Francia, su pressione del ministro della Difesa Jean-Yves Le Drian, ha stanziato un miliardo e mezzo, può o meno per lo stesso obbiettivo. E l’Italia?

«Già la prima volta che misi piede al Pentagono, a metà anni ’80, quando ero direttore nazionale degli armamenti – racconta l’ex generale Luigi Ramponi – mi accorsi dello straordinario impegno del Dipartimento della Difesa sul fronte delle nuove tecnologie». Così, molti anni più tardi (dopo essere stato anche direttore del Sismi), quando Ramponi diventa senatore nelle fila di Forza Italia, decide di portare il problema all’attenzione del Parlamento. A forza di convegni, interpellanze e proposte di legge, riesce a fare il suo mestiere di legislatore: il 24 gennaio del 2013, il Governo Monti approva un decreto.

La «Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale» prevede, all’articolo 1, di promuovere «l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione  cibernetica e alla sicurezza informatica nazionali». Eppure, il generale Ramponi – che oggi presiede il Cestudis, Centro Studi Difesa Sicurezza, da lui stesso fondato – non è affatto contento. «Ho lavorato tanto, ma alla fine il compromesso ha annacquato tutto».

Come se non bastasse, dopo diciotto pagine di premesse, articoli e commi, all’ultima riga si legge: «Dal presente decreto non derivano nuovi oneri a carico del bilancio dello Stato». In altre parole, per l’auspicabile coordinamento delle forze in campo non c’è un solo centesimo a disposizione.

Questo non vuol dire che in Italia non esistano strutture per la difesa digitale. In tutto il mondo si chiamano Cert, acronimo che sta per computer emergency response team. Ci sono il Cert dell’Esercito, quello della Marina e quello dell’Aeronautica, coordinati dal Cert Difesa. C’è anche GovCert (del Governo), poi il Garr-Cert (che difende la rete universitaria), il Cert dell’Enel e persino il Cert della Conferenza Episcopale. Peccato che, anche solo a confronto con il budget di inglesi e francesi, siano un tantino sotto-equipaggiati. «La mia speranza – commenta Ramponi – è che alla fine saranno costretti a fare qualcosa di più. Da quando ho spiegato in Parlamento che il prossimo conflitto sarà digitale invece che convenzionale, le cose sono soltanto peggiorate».

Il primo atto di guerra digitale risale al 2007, quando l’Estonia – durante una contesa etnica con la Russia, del tutto simile a quella ucraina – viene colpita da un attacco DDos, ovvero un’alluvione di accessi che bloccano per giorni i siti del Governo e della pubblica amministrazione del Paese più digitalizzato d’Europa (dove, non a caso, ha sede il Cert della Nato). La cosa si ripete qualche anno più tardi in Georgia. Ma il caso-simbolo, il più utile a capire i confini imprevedibili della cyber-guerra, resta Stuxnet. Un software malevolo che, non partendo da internet ma da una chiavetta Usb, si è progressivamente diffuso in parte del mondo. Fin quando non è arrivato al suo unico, vero obiettivo: l’impianto di Natanz, dove gli iraniani arricchivano l’uranio. A quel punto, Stuxnet ha preso il controllo degli impianti digitali di automazione (meglio noti come Scada) e ha fatto girare le centrifughe all’impazzata, danneggiandole irreparabilmente. Un atto di guerra remoto, anonimo e invisibile, eppure capace di colpire il bersaglio, peraltro senza una sola vittima umana.

«Dopo Stuxnet il cyberspazio è ufficialmente diventato il quinto dominio militare, dopo terra, aria, mare e spazio», commenta Loïc Guézo, “security evangelist” di TrendMicro, la multinazionale giapponese della sicurezza. «Su questo nuovo fronte, l’importante è una risposta coordinata e tempestiva. Il guaio è che non c’è una legge che imponga a chi viene attaccato di informare immediatamente i governi».

Q uel che preoccupa il congressman Rogers, il premier Cameron, il ministro Le Drian e anche l’ex generale Ramponi è che, anche fra i terroristi, si possono nascondere degli ingegneri software. È che sul web c’è un mercato nero di Zero-day, vulnerabilità di programmi e sistemi operativi finora sconosciute, indispensabili chiavi di accesso per qualsivoglia attacco. È che tutto è collegato all’internet, non solo le centrifughe di Natanz, ma anche le centrali elettriche che fanno funzionare la società moderna. «Tre anni fa, nei computer di una centrale dell’Enel, dotata di sistemi Scada, è stata trovata una versione di Stuxnet, ovviamente del tutto innocua perché non era quello il suo obiettivo», assicura un esperto di sicurezza italiano che chiede di restare anonimo.

Un’inchiesta del New York Times, ha rivelato che gli autori di Stuxnet sono i servizi militari di Stati Uniti e Israele. Secondo la rivista Defense News Israele ha esportato l’anno scorso tre miliardi di dollari di prodotti per la difesa digitale e il premier Benjamin Netanyahu ha creato il Cyber Comando Nazionale, alle sue dirette dipendenze. A detta degli analisti militari, insieme a Washington e a Gerusalemme, anche Pechino e Mosca stanno ammassando da anni armamenti digitali, virus – probabilmente più sofisticati di Stuxnet – che sfruttano vulnerabilità sconosciute del mondo elettronico parallelo. Il quale però, è pericolosamente “interfacciato” con quello reale.

Una cosa va detta. Se Francia e Inghilterra superano l’Italia negli investimenti in cyber-difesa, può anche dipendere dal fatto che hanno entrambe un grattacapo in più: le centrali nucleari. È vero che una convenzione internazionale proibisce agli impianti termonucleari di essere direttamente collegati a internet. I computer della centrale sono separati da quelli dell’ufficio accanto. Però, i sistemi Scada ci sono anche lì. E, come dimostra la storia di Stuxnet, internet non è del tutto necessaria, per attaccare il sistema elettronico di un’infrastruttura critica.

Non è fantascientifico immaginare che, in qualche server di qualche angolo del mondo, ci siano già virus dormienti pronti ad attaccare le più critiche delle infrastrutture: dagli ospedali agli acquedotti. «In questo scenario – commenta Gastone Nencini, country manager di TrendMicro – la sicurezza si fa con la prevenzione, che non dovrebbe essere vista come un costo ma come la difesa degli asset strategici di un Paese». Non foss’altro perché la militarizzazione dell’internet si è già largamente realizzata, «con plotoni di ingegneri informatici – parole di Ramponi – al posto della fanteria», con il malware intelligente per davvero al posto delle bombe e con il radicale ammodernamento di un mestiere antico: quello della spia.

Tutto è cambiato nel 2007, quando gli Stati Uniti hanno incassato la loro Pearl Harbour digitale: qualcuno si è infilato nei computer di quasi tutte le agenzie federali, scaricando terabyte e terabyte di informazioni segrete. «È stato un governo straniero – dichiarò più tardi Jim Lewis, un funzionario del Dipartimento di Stato – ma francamente non sappiamo quale». Da allora, gli investimenti in cyber-difesa (e in cyber-attacco) sono schizzati alle stelle.

Nel caso di un (improbabile) attacco navale o terrestre all’Italia, sappiamo già cosa succederebbe: le forze Nato entrerebbero in azione. Ma in caso di un (non inverosimile) attacco digitale a un’infrastruttura critica, cosa accadrebbe? Purtroppo, poco o nulla. «Ci vogliono intelligence, protezione e resilienza», sintetizza Ramponi con il piglio da generale. In parole più semplici, è meglio prepararsi per tempo.

Pubblicato su L’Epresso+, agosto 2014