Cyber crime: Far West normativo

Dalle cronache recenti sulle accuse mosse alla Russia in merito alle elezioni presidenziali degli Stati Uniti e sull’uso di “straordinarie competenze informatiche” da parte delle forze militari statunitensi per attaccare l’ISIS, appare ormai evidente che il terrorismo informatico sia diventata una vera e propria minaccia a livello mondiale. Ma cosa significa questo veramente? Espressioni come spionaggio informatico, cyberterrorismo e guerra informatica sono diventate sin troppo diffuse. Quale ruolo svolge ciascuna di esse? Esistono mezzi per combatterle?

Spionaggio

Lo spionaggio informatico è l’attività più frequente e anche la più importante. Si riferisce all’uso di computer utilizzati per l’accesso a informazioni riservate. Indipendentemente dal fatto che siano gli stati nazionali o le organizzazioni terroristiche a servirsene, in qualità di cittadini, lo avvertiamo come un qualcosa di quotidiano e “normale”, come quando Donald Trump ha chiesto alla Russia di introdursi abusivamente nella posta elettronica di Hillary Clinton. Influenza la nostra percezione delle notizie e il nostro pensiero su un momento politico nel tempo. Nell’era post-Snowden, nessuno si sorprende di più di come operano i diversi stati, e questo è preoccupante.

=> Come rendere più efficaci le risorse dedicate alla sicurezza

Terrorismo

La continua proliferazione dello spionaggio informatico agisce con molta certezza da fattore di potenziamento del cyberterrorismo. Come dimostrano gli attacchi DDoS contro la Francia avvenuti lo scorso anno e i famigerati attacchi dell’Operation Ababil, si tratta in genere di attacchi di matrice politica su sistemi di computer che creano disagi imponenti.

Guerra

Infine c’è la guerra informatica, che, seppur poco visibile, è tuttavia sempre presente, e si configura come un attacco da parte di uno stato nazionale o di una organizzazione teso a danneggiare l’infrastruttura di rete o altri componenti fondamentali di un’altra nazione. Si tratta in genere di attacchi coordinati che avvengono in parallelo rispetto alle più tradizionali azioni militari.

Il panorama informatico

Misurare le competenze informatiche dei diversi paesi non è difficile. Si può fare un paragone con le armi convenzionali. Sappiamo che alcuni paesi posseggono enormi scorte di armi e che sanno come utilizzarle. Eppure, quasi tutti accettano questa realtà come uno status quo senza troppe obiezioni. Inoltre, questi stessi paesi, che vantano di competenze superiori per gli attacchi informatici, hanno molto da perdere. Ecco perché continuiamo ad assistere a un numero maggiore di attacchi da parte di paesi che hanno meno da perdere, come dimostra l’attacco alla Sony della Corea del Nord.

La verità è che non esistono normative internazionali in materia di guerra informatica, argomento, tra l’altro, che sta emergendo solo negli ultimi tempi. Quello che preoccupa di più è l’infinita serie di opportunità a disposizione degli hacker, soprattutto nell’era digitale che viviamo. Ad esempio, quasi tutti i paesi dispongono di infrastrutture energetiche. Alcune infrastrutture sono più datate di altre. Sono le vecchie strutture a porre gli stati nazionali a rischio? Oppure sono più a rischio i paesi che hanno investito pesantemente nell’infrastruttura nucleare?

=> Difesa proattiva contro i nuovi attacchi DDoS

Tutto si riduce alle notizie

Tutto si riduce all’attività geo-politica internazionale riportata dai media, che al momento definiscono l’attività informatica. Quali sono quindi le implicazioni per le varie organizzazioni? La risposta è semplice: se le organizzazioni cadono vittime del terrorismo informatico, si vedranno danneggiati i propri profitti.

Gli attacchi possono costare decine o persino centinaia di milioni, e il marchio paga in termini di reputazione. Possono colpire chiunque indistintamente per una vasta gamma di ragioni e sono altamente visibili.

Un altro fattore da prendere in considerazione è l’imminente Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR), che entrerà in vigore a marzo del 2018. Stando al regolamento, le aziende saranno tenute a segnalare violazioni di sicurezza entro 72 ore dal loro impatto. In caso di mancata segnalazione, le aziende saranno passibili di sanzioni fino al 4% del fatturato a livello mondiale oppure di 20 milioni di euro. Le organizzazioni devono quindi assegnare la massima priorità alla sicurezza IT, e in questo contesto la visibilità diventa essenziale.

L’attività informatica aumenterà in termini numerici e di livello di sofisticazione: è necessario quindi intraprendere azioni opportune non solo per implementare le tecnologie adeguate ma anche per collocare personale idoneo con competenze adeguate per consentire efficaci processi di risposta agli incidenti. La grande quantità di rischi a cui le organizzazioni sono sottoposte a causa dello spionaggio informatico e del cyberterrorismo, obbliga le aziende ad abbandonare atteggiamenti di compiacenza, visto che è in gioco la sicurezza.

Man mano che la fisionomia del campo di battaglia informatico si va sfumando, il futuro è sempre più imprevedibile. L’unica certezza è che spionaggio, terrorismo e guerra a livello informatico sono una realtà che impone alle aziende di proteggersi proattivamente, per non rischiare di diventare le prossime vittime.

Strumenti

Arbor Networks (divisione per la sicurezza di NETSCOUT), contribuisce a proteggere le più grandi reti di imprese e di fornitori di servizi dagli attacchi DDoS e dalle advanced threat. Arbor Networks Spectrum™ offre completa visibilità della rete attraverso una combinazione di acquisizione dei pacchetti e tecnologia NetFlow, consentendo il rapido rilevamento e la tempestiva mitigation delle campagne di attacco, malware e intrusioni dannose. Ricerca, analisi e approfondimenti Arbor, unitamente ai dati del sistema globale di conoscenza delle minacce ATLAS, sono disponibili sull’ATLAS Threat Portal. Per approfondimenti: www.arbornetworks.com (Twitter: @ArborNetworks)