Come reagire alla sfacciataggine russa nel cyber spazio

(EPA/RITCHIE B. TONGO)

Il cyber diplomacy toolbox dell’Unione europea delinea le possibili reazioni UE ad attacchi informatici. Attivare le procedure e le sanzioni previste rimane difficile, anche quando tra le vittime si annovera il parlamento tedesco e la fonte degli attacchi è nota e recidiva.

Negli ultimi anni la Russia è stata regolarmente accusata di intromettersi nei processi elettorali e politici in Europa e negli Stati Uniti. Secondo questa linea di pensiero, la vittoria di Donald Trump nelle elezioni presidenziali americane del 2016 o l’esito del referendum sulla Brexit sarebbero stati facilitati dal Cremlino tramite campagne di disinformazione, messaggi divisivi promossi sui social media, hacking mirati, fughe di notizie a orologeria e finanziamenti di forze amiche.

Attacchi informatici russi hanno colpito anche politici del Vecchio Continente: lo scorso 13 maggio, la cancelliera tedesca Angela Merkel ha ufficialmente accusato i servizi militari russi di aver hackerato la rete informatica del Bundestag nel 2015 e di avere estratto documenti e comunicazioni riservate. L’intrusione informatica russa ai danni delle autorità tedesche non è un caso isolato: il cyber attacco più recente attribuito pubblicamente alla Russia dai governi occidentali è stato messo in atto contro la Georgia pochi mesi fa, nell’ottobre 2019, quando svariati siti web di autorità statali, servizi pubblici, media e altre organizzazioni sono stati messi offline. Nel febbraio 2020, molti governi tra cui quello degli Stati Uniti e del Regno Unito hanno accusato pubblicamente la Russia mentre l’Alto Rappresentate dell’Unione  per gli affari esteri e la politica di sicurezza Josep Borrell, in una dichiarazione a nome dell’Unione europea, pur astenendosi dal puntare esplicitamente il dito contro Mosca  ha condannato gli attacchi in Georgia e chiesto un “comportamento responsabile nel cyber spazio”.

Nessuno, però, tra chi ha mosso l’accusa ha condiviso alcuna prova, e non sorprende che il governo russo abbia insistito su questo punto per delegittimare l’attribuzione: “Non esiste, e non può esistere, alcuna prova del coinvolgimento delle agenzie ufficiali russe in attività dannose alle reti internet georgiane”.

La mancanza di prove è ovviamente problematica, anche se tutto sommato, se si pensa a quale attore potrebbe avere le capacità, le risorse e la motivazione per bloccare Internet in Georgia si può legittimamente pensare alla Russia senza analizzare un singolo file di log estratto dai server. Questo non solo perché la Russia e la Georgia sono in conflitto da lungo tempo, ma anche perché la Russia utilizza attacchi informatici contro i vicini almeno dalla metà degli anni 2000, o da quando Internet si è diffuso in questi paesi. Tra i principali esempi vi sono attacchi contro l’Estonia nel 2007, contro la Georgia nel 2008 e contro l’Ucraina in più occasioni dal 2014.

La pratica di sfruttare vulnerabilità informatiche di avversari e partner internazionali è ormai diffusa e non è certo prerogativa russa. Eppure, il comportamento di Mosca nel cyber spazio è ricorrente, fonte di preoccupazione e scandali.

Nel cyber spazio, la Russia è diversa

Due elementi in particolare distinguono l’approccio della Russia: la natura molto pubblica degli attacchi e l’utilizzo di strumenti informatici per danneggiare infrastrutture fisiche o avere dirette conseguenze offline. Entrambi violano le regole non dette che caratterizzano, con poche eccezioni, l’attività informatica degli attori statali nel cyber spazio. Ad esempio, la Cina è da tempo impegnata nello spionaggio informatico contro attori economici e politici in Occidente, ma usa i materiali ottenuti a fini più tradizionali: per spionaggio o per avvantaggiare i propri attori economici nazionali. Ad esempio, nel 2008 hacker cinesi violarono i sistemi informatici sia della campagna di Obama che quella di McCain ottenendo accesso a email e comunicazioni interne, ma non vi è stato uno scandalo neppur lontanamente comparabile a quello seguito all’hacking russo del 2016 per il semplice motivo che quei materiali non sono stati diffusi pubblicamente. Gli Stati Uniti hanno sì condotto attacchi informatici mirati contro infrastrutture fisiche, ad esempio (con la cooperazione di Israele) contro le strutture di arricchimento nucleare dell’Iran con il worm Stuxnet, ma sono stati compiuti sforzi per ridurre al minimo gli effetti collaterali. Al contrario, ad esempio, un attacco informatico russo ha causatoarresti parziali della rete elettrica ucraina, lasciando intenzionalmente e indiscriminatamente al buio centinaia di migliaia di civili.

Intenzionalmente o no, il malware NotPetya, attribuito alla Russia, ha causato in tutto il mondo danni nell’ordine di miliardi di dollari, sconvolgendo aeroporti, logistica e persinoospedali: chi ha sviluppato questo malware, non l’ha fatto certo con l’intenzione di tenerlo segreto. Nel caso di alcuni degli attacchi della Russia, la sfacciataggine di tali azioni e l’implausibilità delle smentite rappresentano probabilmente il senso stesso degli attacchi: dimostrare la propria capacità offensiva e la volontà di usarla senza preoccuparsi delle conseguenze.

L’attribuzione della responsabilità, tuttavia, è solo una parte del problema, e la domanda più pertinente potrebbe essere che cosa fare per mitigare il rischio che tali eventi si ripetano. L’ampio dibattito pubblico – molto polarizzato – su presunte o confermate interferenze da parte della Russia ha avuto infatti poche conseguenze pratiche. È vero, sono stati fatti piccoli passi avanti a livello dell’UE o in alcuni paesi specifici, ma non vi è ancora stato un dibattito pubblico di sostanza mirato ad affrontare direttamente le vulnerabilità che avrebbero permesso al Cremlino di avere un impatto così determinante. Solo concentrandosi su queste vulnerabilità piuttosto che su un determinato attore esterno che potrebbe sfruttarle, è possibile rendere i processi democratici più trasparenti e solidi, riducendo la minaccia proveniente da fattori sia interni che esterni.

Vi sono modi per dissuadere chi ha condotto l’attacco, e allo stesso tempo lavorare sulle vulnerabilità che lo hanno reso possibile?

Deterrenza difficile

Nel delineare le potenziali risposte del Regno Unito alla minaccia di un attacco informatico russo, Thornton e Miron del King’s College di Londra sembrano concludere che non ci siano opzioni convincenti di deterrenza a disposizione. A loro avviso azioni di rappresaglia sono sia illegali che immorali; ad esempio, anche se un attacco informatico che interrompe la rete elettrica di un paese potesse essere attribuito in modo convincente alla Russia, ciò non potrebbe giustificare un attacco simile contro quel paese, poiché tale operazione sarebbe in definitiva contro la popolazione civile e potrebbe avere un costo sostanziale. Si porrebbe il problema della proporzionalità, poiché gli attacchi informatici come NotPetya possono causare molte conseguenze indesiderate, ben oltre l’intenzione e il controllo di coloro che hanno avviato l’operazione. Il rischio di escalation li renderebbe anche estremamente pericolosi.

Politica e diplomazia

Anche se la cyber security è questione pertinente alla difesa, prendere a prestito gergo e logiche militari è fondamentalmente fuorviante. Ad esempio, quando si parla di sicurezza informatica, soluzioni centralizzate a livello statale non possono funzionare: buone pratiche di cybersecurity devono essere implementate da aziende, fornitori di servizi e privati cittadini. Tutti dovrebbero essere quindi incentivati a fare la loro parte, poiché la scarsa consapevolezza dei rischi rende le persone e le organizzazioni più vulnerabili. Da questo punto di vista, è l’Enisa – l’agenzia europea per la cyber security – che svolge un utile ruolo di coordinamento e offre raccomandazioni su specifici aspetti.

Le risposte politiche e diplomatiche non sono più facili di quelle tecniche, ma sono altrettanto necessarie: la deterrenza dovrebbe probabilmente fare più affidamento su iniziative multilaterali, come il cyber diplomacy toolbox dell’Unione europea piuttosto che sulla dimostrazione di capacità offensive o difensive. La riluttanza della maggior parte dei paesi europei nell’attribuire ufficialmente attacchi informatici ha determinato i forti limiti di questo framework lanciato nel 2017, in seguito a discussioni basate su un “non-paper” del Consiglio dell’Unione europea che trova le proprie radici nelle conclusioni sulla cyber diplomazia pubblicate dal Consiglio stesso nel 2015. In sostanza si tratta di un impegno a favorire sedi multilaterali per definire quali comportamenti sono accettabili nel cyber spazio e a trovare una risposta comune ad attacchi informatici, riconoscendo la natura negoziale e inevitabilmente diplomatica del processo. Tra le opzioni possibili, vi sono anche sanzioni condivise a livello UE contro individui, organizzazioni o stati, ma fino ad ora non è mai stato possibile raggiungere il livello di accordo necessario per introdurle. Il già citato caso dell’attacco informatico russo al Bundestag, ufficialmente attribuito alla Russia dalle autorità tedesche nei mesi scorsi, potrebbe però fornire le basi per un primo caso di sanzioni UE legate a cyber attacchi: l’impegno diretto su questo fronte di un “peso massimo” all’interno dell’UE come la Germania e l’identificazione da parte di investigatori tedeschi di chi da parte russa avrebbe condotto l’attacco possono fare la differenza. Il dialogo in corso tra i partner UE potrebbe infatti portare a una dichiarazione comune e all’introduzione di sanzioni contro l’hacker operante per i servizi russi  che avrebbe materialmente contribuito all’attacco (l’accusato è il trentenne Dmitri Badin). Si tratterebbe di un piccolo passo, ma comunque di una decisione che ufficializzerebbe l’applicabilità del cyber diplomacy toolbox.

Considerato quanto è complesso il percorso per reagire ad un attacco informatico al Bundestag, è difficile immaginare nel breve periodo risposte diplomatiche forti da parte dell’UE a cyber attacchi russi condotti contro paesi come Ucraina e Georgia. Più realistici potrebbero essere invece nuovi programmi di assistenza dedicata alla cyber security e mirati ai paesi del partenariato orientale, anche considerando l’impatto negativo di attacchi informatici sulla fiducia nelle istituzioni e nei processi democratici.

E infine, che dire della Russia? Stabilire un dialogo attivo con Mosca può essere difficile fintanto che il Cremlino insiste nel negare qualsiasi responsabilità in tali eventi, ma dovrebbero essere messi in atto tutti gli sforzi per assicurare che ci siano canali di comunicazione aperti per ridurre il rischio di escalation.

Giorgio Comai è ricercatore dell’Osservatorio Balcani e Caucaso Transeuropea (OBCT)

Europea è un'iniziativa di:

IAI CSSF CESPI ECFR CSSF movimentoeuropeo OCBT VillaVigoni