Il blocco temporaneo dei servizi elettronici in mezzo mondo che ha avuto un impatto inabilitante temporaneo su voli aerei, banche e Borse è stato causato da una stringa di istruzione sbagliata nell’aggiornamento di un sistema prodotto dalla società Crowdstrike, che si è scusata. L’emergenza è durata poche ore, pur le conseguenze sul traffico aereo più lunghe prima di riprendere piena funzionalità. In sintesi, non è stato un attacco cibernetico da parte di qualche potenza o gruppo da questa ispirato per ottenere l’effetto “falsa bandiera”, ma un incidente. Tutto bene, finita qui con solo danni di disagio e non di disastro economico?
Lo ho chiesto agli esperti di cyberwar che stanno aiutando il mio gruppo di ricerca euroamericano (specializzato in geopolitica economica e finanziaria) a scenarizzare la tipologia di guerra futura, con enfasi su quella economica. Questa la risposta, articolata: a) anche se non è stato un atto intenzionale, ma solo un incidente, ha fornito informazioni chiave a chi sta preparando attacchi cyber - Cina, Russia ed Iran con gruppi militari a controllo statuale e collegamenti con gruppi informali – sulla vulnerabilità dei sistemi avversari, cioè il mondo delle democrazie; b) non si può escludere un evento causato dal tipico processo di preparazione di un team di cyberwar: provocare incidenti che sembrano tali per, appunto, capire dove penetrare un sistema senza mettere in allarme chi lo difende da un attacco esterno, c) poi, il vedere come un sistema/rete informativo venga riparato è un’informazione preziosissima, aggiuntiva per l’analisi di vulnerabilità. In sintesi, non possiamo stare tranquilli perché anche se non è in atto un vero esercizio di guerra cibernetica, molto probabilmente i settori militari che ne stanno preparando gli strumenti stanno osservando attentamente il caso qui in oggetto. Se così, per quale tipo di attacco cibernetico futuro e forse già in preparazione strisciante ora?
Per rispondere, vediamo la classificazione standard della guerra informatica articolata in sette categorie: 1) spionaggio; 2) sabotaggio; 3) interruzioni di servizi; 4) attacchi alla rete elettrica; 5) attacchi di propaganda; 6) attacco all’economia; 7) attacchi a sorpresa. I miei ricercatori hanno ipotizzato che l’informazione emersa dall’incidente abbia valore strategico per una combinazione delle tipologie 3), 6) e 7) usabile a vari livelli di intensità, da quella minima per inoculare virus dormienti attivabili alla bisogna, fino ad un attacco con inabilitazione sistemica non riparabile dell’avversario in tempi utili. Nelle categorie dette ne manca un’ottava: far credere all’avversario che può contare su sistemi ipersicuri, ma in realtà penetrabili. Un mio ricercatore ha ipotizzato: visti la vulnerabilità dei sistemi Microsoft – dimostrata nell’incidente in cronaca, ma presto risolta e non per responsabilità di Microsoft stessa, ma di un suo fornitore - e il fatto che altri non abbiano subito problemi, ciò darebbe sicuramente l’idea a qualche geniaccio avversario di confermare con attacchi solo selettivi l’illusione di sistemi supersicuri penetrandoli segretamente e pazientemente con pillole velenose dormienti: qui l’attacco a sorpresa.
Quale sarebbe la giusta risposta di difesa ed eventuale contrattacco, nonché di attacco preventivo, se necessario? Si consideri che la guerra cibernetica non è ancora ben specificata come categoria giuridica. Soprattutto, è ancora una categoria non ben identificata come “guerra”. Andrebbe precisata? Qualcuno potrebbe sostenere che la guerra condotta con tali strumenti fa meno morti di una guerra cinetica con bombe e quindi la si potrebbe lasciare non specificata come mezzo di conflitto tra Stati. Secondo me questa è una fesseria e raccomando di specificare la guerra cibernetica come guerra vera e propria, nonché gli atti sopra classificati dal 2) al 7) come oggetto giuridico che richiede sanzioni e funzioni di polizia, nonché di difesa, che dovrebbero entrare nel livello costituzionale-giuridico da cui derivare leggi e funzioni statali. C’è un movimento in tal senso, ma la difesa cyber è ancora lontana da una piena categorizzazione giuridica con conseguenze di gap finanziario per rafforzarla ed estenderla. Tornando al punto: l’aggiornamento di Crowdstrike avrebbe dovuto ricevere la certificazione da un’agenzia statale, garante per altri a livello internazionale delle utenze, dopo test adeguati. Un liberista come me che invoca una funzione statalista? Certamente, perché i sistemi elettronici e loro reti sono oggetti sia di sicurezza sia di guerra che eccedono le capacità regolatorie private. Un liberista non nega la necessità dello Stato per difendere l’azione privata. Qualcuno potrebbe evidenziare l’incubo burocratico di una tale regolazione statale. Ma a questi andrebbe risposto che l’Intelligenza artificiale è in grado di tenere semplificato il processo. E se un nemico entra nel motore di tale AI? Si cercherà la massima difesa: la vita non ha certezze, ma solo probabilità. Inoltre, il nemico è bravo, da non sottovalutare, ma non imbattibile.
Forse dovrei scusarmi con i lettori per aver preso un incidente come occasione per far emergere il tema della guerra cibernetica ed enfatizzare la necessità di inserire nel livello costituzionale la difesa dai suoi attacchi. Ma siamo del tutto sicuri che sia stato un incidente e non una penetrazione? Anche se mai lo sapessimo, comunque è stata un’informazione di vulnerabilità in un ambiente globale dove la guerra cibernetica sta avendo un’evoluzione velocissima. E quando i conflitti saranno più robotizzati – evento prevedibile in un ventennio con precursori rilevanti già nel medio termine – dovremo essere pronti a difenderci (e ad attaccare), cominciando ora a mostrare la consapevolezza di una cyber-deterrenza.