Autore: Stefano Ricci – 22/07/2019
Intervistato sull’attuale stato dell’arte nel campo della cyber-security, il consulente del Pentagono Michael Bayer ha recentemente affermato come questi siano tempi di «guerra informatica dichiarata» e che, al momento, proprio gli Stati Uniti «stanno perdendo il conflitto».
Per quanto, i sistemi cibernetici statunitensi siano in grado di proiettarsi aldilà del proprio spazio virtuale e di adattarsi alla minaccia generata dall’attivismo di paesi quali Russia e Cina, la dimensione informatica a stelle e strisce è, alla prova dei fatti, completamente sprovvista di difese di alcun tipo.
Che si tratti di un attacco diretto al mainframe di uno specifico contractor del Pentagono o alla diffusione di fake news sui principali social media, spiega Security Info Watch, gli Stati Uniti (e i paesi suoi alleati, verrebbe da aggiungere) sono di gran lunga in ritardo nell’elaborazione di specifiche misure di contrasto e, soprattutto, nell’acquisizione di quella maturità in termini di supporto politico e leadership che una simile minaccia invece richiederebbe.
Al riguardo, lo stesso Senatore per il South Dakota Mike Rounds, presidente della Sottocommissione del Senato per la Cybersecurity, ha sostenuto come ci sia ancora molta strada da percorrere in questa direzione.
Troppi gli ostacoli che si frappongono a una piena presa di consapevolezza circa la minaccia cyber: elefantiasi burocratica, monopolio dell’apparato militare tradizionale, incapacità di comprendere appieno il contesto culturale in cui nasce e opera la nuova dimensione strategica rappresentata dallo spazio virtuale.
Proprio su quest’ultimo punto va allora analizzato il commento di Mike Gallagher, membro della Camera dei Rappresentanti per lo Stato del Wisconsin e co-presidente della Cyberspace Solarium Commission, il quale ha sostenuto come «la vittoria o la sconfitta (in materia cyber, nda) non dipenderà dagli algoritmi o dalla tecnologia, ma dagli esseri umani».
Saranno proprio i singoli utenti a giocare un ruolo di primo piano in questo nuovo scenario geopolitico.
Non è certo un caso che, nel 2014, presunte fonti cinesi tentarono (riuscendovi) l’accesso a più di ventidue milioni di account di impiegati di varie agenzie federali americane, comprensivi di informazioni sanitarie, familiari ed economiche.
Un simile bagaglio informativo può costituire la migliore delle fonti d’accesso ai principali database governativi.
Persino le autorità alla guida del Pentagono, luogo da sempre associato all’idea monolitica di intelligence, hanno dovuto dichiarare come i principali attacchi condotti contro la rete informatica del Dipartimento della Difesa degli Stati Uniti d’America siano stati realizzati sfruttando vulnerabilità di bassa lega, come uso improprio di password, disabilitazione erronea di firewall in specifiche sale server, chiavi usb infette e mancato impiego dei sistemi di crittazione.
A mancare, dunque, è la cultura informatica, non gli strumenti per condurre la guerra informatica o per implementare la sicurezza informatica: il Governo degli Stati Uniti, nell’aprile di quest’anno, ha lamentato come vi siano oltre 310.000 posti vacanti nel comparto della cyber-security domestica e come le stesse strutture governative siano prive di personale informaticamente avanzato.
La motivazione è tutta economica: lavoratori altamente qualificati, con un preciso bagaglio informatico, vengono più facilmente assunti nelle aziende private della Silicon Valley, dove maggiore è il compenso economico e maggiore è la libertà d’azione e di carriera.
Piuttosto che concentrare il dibattito pubblico sulla spettacolarizzazione dei ransomware, sulle infiltrazioni a mezzo malware e sugli attacchi portati a precise istituzioni pubbliche, allora, non è forse giunto il momento di focalizzare l’attenzione dei singoli anche sulla necessità di creare consapevolezza informatica?
Non è forse questa la nostra più grave carenza strategica? Nonostante un rinnovato interesse da parte dell’amministrazione Trump in materia cyber, troppi ancora sono gli ostacoli verso l’equiparazione della dimensione virtuale alle differenti dimensioni geopolitiche tradizionali.
Per fare un esempio, il budget fiscale 2020 del Governo degli Stati Uniti prevede appena il 2% delle risorse complessive da dedicare alle spese di implementazione e miglioramento del comparto cibernetico; i sistemi d’arma convenzionali sembrano farla ancora da padrone, quasi l’opinione collettiva fosse convinta della maggior probabilità d’invasione territoriale rispetto alla penetrazione dei sistemi informatici.
Prendendo in prestito le parole di Michael Bayer, la minaccia cibernetica non rientra nemmeno fra i primi venti problemi di sicurezza nazionale, con buona pace di tutte quelle “aree grigie” in cui la minaccia è, invece, reale e stringente.
In Europa, il discorso non sembra distaccarsi poi molto dalla controparte nordamericana: la European Cyber Security Organization, nata nel 2016, ha iniziato solo nei primi mesi del 2017 a ricevere call for proposal, operando con un budget triennale di appena 450 milioni di euro.
Il tutto con la speranza che singoli privati possano contribuire alla ricerca in ambiente cyber triplicando così gli investimenti precedentemente racimolati.
Una constatazione di certo poco incoraggiante ma, come suggerito proprio da Michael Bayer, «la vittoria non la si otterrà muovendo soldi o modificando le strutture esistenti, ma cambiando la cultura di quest’epoca».
Un obiettivo forse impossibile, ma che rappresenta il più efficace sistema di contrasto alla minaccia ibrida.