Il caso Israele-Iran dovrebbe insegnarci il concetto di difesa-cyber

Circa un anno mezzo fa scrivevo del presunto scambio di attacchi cyber tra Teheran e Tel Aviv. Il primo avrebbe tentato di sabotare il sistema di distribuzione idrica israeliano alterando il funzionamento dei sistemi di depurazione e disinfezione dell'acqua; il secondo, a due settimane di distanza, avrebbe compromesso le infrastrutture informatiche del porto iraniano di Shahid Rajaee gettando nel caos l'intero scalo. Torno sull'argomento perché si sono verificate altre due interessanti coincidenze.

Il 26 ottobre scorso le pompe di benzina iraniane si sono bloccate per un "guasto" informatico, mentre svariati cartelloni pubblicitari digitali a Teheran e a Isfahan presentavano il messaggio "Khamenei, dove è finita la mia benzina?". A distanza di meno di una settimana venivano pubblicate su vari canali on line quello che doveva essere l'intero database degli utenti del sito di incontri israeliano Atraf. Per quanto, come spesso accade di fronte ad aggressione cyber attribuirne con certezza la paternità è impresa ardua, resta la sensazione generale che tra i due paesi sia in corso un conflitto a "bassa intensità".

Possiamo dire, parafrasando von Clausewitz, che "gli attacchi cyber non sono che la continuazione della guerra con altri mezzi". Tuttavia, se per un istante ipotizziamo la matrice statale di queste aggressioni, è decisamente interessante notare come gli obiettivi siano tutti civili. Su questo punto sono da sempre convinto come uno degli aspetti salienti di un conflitto cibernetico sia la sua asimmetria, laddove chi attacca è un gruppo militare o paramilitare e chi si difende sarà sempre un civile. Se accettiamo questa situazione si deve prendere atto di come qualsiasi teoria militare applicabile a una guerra convenzionale molto difficilmente potrà essere trasposta in quella virtuale. Ho più volte scritto e detto che infrastrutture critiche come la rete di distribuzione elettrica e idrica sono i bersagli perfetti (la prima più della seconda) per mettere in ginocchio un intero paese.

La domanda diventa quindi come sia possibile cercare di proteggerle. Escluderei l'ipotesi di militarizzarle, che presupporrebbe una nazionalizzazione. Immaginare di vincolarle a maggiori investimenti in materia di cyber security non offre per contro alcuna garanzia del risultato e comunque normativi come l'europea NIS (sicurezza delle reti e dei sistemi informativi delle infrastrutture critiche) si è già mossa in quella direzione. In realtà quello che manca è proprio il primo e più importante elemento che ha molto a che vedere con le tecnologie di cui stiamo parlando. Mi riferisco alle informazioni, in particolare alla loro veloce condivisione.

Non credo che i perimetri possano fare la differenza nel difendere quello che è stato arditamente definito come "cyber spazio nazionale", ma un'organizzazione che abbia rapidamente contezza del fatto che un attacco è in corso e di quali sono le tattiche utilizzate potrebbe abbozzare una difesa, fosse anche solo mandare off-line dei sistemi vulnerabili. Proprio su quello che viene definito "information sharing" siamo molto indietro: qualcuno evidentemente è convinto che il buon nome di pochi conti molto di più della vita di molti.