I recenti attacchi cibernetici nei confronti di enti governativi e istituzionali italiani hanno sollevato preoccupazioni per una potenziale guerra informatica, avvalorati dalla minaccia lanciata dal gruppo Killnet di voler dichiarare una guerra informatica nei confronti di dieci Paesi, inclusa l’Italia.
Se da un lato però la minaccia di una guerra informatica e i primi attacchi subiti dai siti italiani possano destare allarme, dall’altro lato è opportuno contestualizzare e analizzare gli impatti di questi episodi, comprendendo chi sono gli autori degli attacchi e quale fosse davvero il loro scopo.
In cosa consiste l’attacco
Dall’11 maggio di quest’anno alcuni siti governativi e istituzionali italiani, tra i quali quello del Senato, quello dell’Istituto superiore di sanità e della Polizia di Stato, sono stati oggetto di attacchi di Distributed Denial of Service (DDoS) o negazione di servizio distribuita. Trattasi di un attacco cyber che consiste nell’inviare intenzionalmente una grande mole di dati creando del traffico Internet indesiderato tale da sovraccaricare una risorsa di rete al punto da indurne l’interruzione del servizio, e quindi impedire agli utenti di accedere alla risorsa di rete. Questi attacchi possono comportate l’arresto anomalo di un server Web per un determinato periodo di tempo o, ancora, nei casi più gravi, impedire l’accesso alla rete da parte degli utenti che la utilizzano o, ancora, richiedere il pagamento di un riscatto per ottenere il ripristino dell’accesso.
Questi attacchi cyber sono stati rivendicati dal gruppo non governativo Killnet, considerato dalla CISA (agenzia governativa cyber americana) un gruppo cybercriminale filo-russo: sotto il nome di Killnet operano diversi gruppi (e.g. Legion, Mirai). Secondo il gruppo di attivisti Anonymous – di recente salito alla ribalta della cronaca per campagne con sospette infiltrazioni governative - si tratterebbe di un gruppo di giovanissimi mercenari, mossi da ragioni più economiche che patriottiche.
L‘inizio di una cyberwar? Forse no…
Alla luce della natura degli attacchi, nonché dei loro autori, la domanda che bisogna porsi allora è se questi episodi rappresentino davvero l’inizio di una guerra informatica. A ben vedere, gli attacchi subiti dagli enti governativi e istituzionali italiani non hanno comportato conseguenze con impatti materiali significativi, avendo compromesso l’indisponibilità dei siti colpiti per una durata temporanea limitata con un impatto minimo sulla confidenzialità e integrità delle informazioni. Per di più l’attacco non ha compromesso alcuna infrastruttura critica, né la continuità della fornitura di servizi essenziali per i cittadini.
Attacchi di questo genere sono mirati più a lasciare un segno mediatico piuttosto che portare un reale vantaggio militare o un danno economico. Anche un potenziale impatto reputazionale, dovuto alla perdita di fiducia da parte dei cittadini nella sicurezza dei siti delle proprie istituzioni, viene ridimensionato dalla durata ristretta della mancata disponibilità dei siti che, al contrario, hanno mostrato capacità di reazione agli attacchi. Simile ragionamento può esser fatto per gli impatti psicologici sulla popolazione che sembrerebbero ridimensionati, data la scarsa attenzione mediatica riservata all’attacco.
Compreso che lo scopo degli attacchi avesse più un fine mediatico che di deterrenza, è opportuno comprendere se gli strumenti usati dal gruppo Killnet possano essere definiti delle cyber weapons.
Nonostante non esista una definizione comunemente accettata a livello internazionale di cyber weapons, possiamo fare riferimento al Tallinn Manual che, nel contesto di un conflitto armato, li definisce come cyber means of warfare (dispositivi, software, meccanismi, ecc.) con la capacità di (i) danneggiare fisicamente o recare la morte di persone; (ii) distruggere oggetti in modo da poter produrre conseguenze tali da potersi configurare come attacchi.
Data la natura degli attacchi e la ricostruzione dei fatti presentata sinora, risulta evidente come gli attacchi di questi giorni ai siti governativi e istituzionali italiani possano essere considerati attacchi estemporanei e superficiali, il cui vero scopo è di causare un impatto mediatico e ingenerare paura nella popolazione. Per ricorrere a una metafora, gli attacchi di questi giorni sono assimilabili a una protesta “rumorosa” dinanzi al cancello chiuso di un’azienda. Per quanto rumorosi siano i manifestanti, il cancello è chiuso e non stanno arrecando alcun danno a edifici e persone.
Il precedente dell’Estonia
Ciononostante, è il caso di ricordare l’attacco nel 2007 degli attivisti russi nei confronti dell’Estonia (unico caso in cui si sarebbe potuta valutare un’invocazione dell’art. 5 NATO) che, per quanto non sofisticato, ha avuto come conseguenza la chiusura di vari siti governativi, di partiti politici, di testate giornalistiche, di banche e di privati. Nel contesto estone, ovvero di un Paese con una forte dipendenza tecnologica in vari settori, gli impatti di un DDoS sono stati rilevanti.
Le azioni di Killnet, per la tipologia dell’attacco e per le caratteristiche del gruppo che ne è autore, ad oggi hanno pertanto un obiettivo di mero disturbo, nonché impatto mediatico, piuttosto che l’ottenimento di un vantaggio militare. La percezione di un gioco di forza in corso nel cyber spazio, pertanto, al momento consisterebbe più in una questione comunicativa che fattuale.