Da diversi anni si parla di guerra cibernetica, di cyber armi e di attacchi informatici che coinvolgono nazioni, eserciti ed enti governativi. Eppure nella letteratura di settore regna ancora una certa confusione, sia dal punto di vista terminologico che da quello concettuale. A livello internazionale, poi, non esiste una definizione univoca di cyberspazio, né di cyber-arma, né di cyber-attacco, mentre si fa ancora oggi una terribile confusione, soprattutto mediatica, fra cyber guerra, cyber spionaggio, cyber terrorismo, cyber attivismo e cyber crimine, concetti nettamente differenti fra loro per motivazioni, tempi, modalità, obiettivi e strumenti.

Va di moda, ne parlano tutti, ma in molti non ci hanno ancora capito granché, purtroppo nemmeno coloro che sarebbero chiamati a governare istituzionalmente il fenomeno. Qualcuno pensa che sia una specie di Matrix, qualcuno lo ritiene un concetto nettamente separato dalla vita reale, la maggior parte ne ignora profondamente la natura o se ne disinteressa del tutto. Le dichiarazioni fornite sul tema da capi di stato, premier, leader, generali ed esponenti di agenzie governative tradiscono purtroppo una scarsa comprensione generale degli aspetti fondamentali, delle origini, della cause e delle priorità di un problema piuttosto complesso che non va assolutamente sottovalutato, trascurato o, come spesso avviene, travisato.

Non si tratta di un gioco. Oggi, con l’enorme diffusione della connettività e il suo largo uso per le telecomunicazioni, i servizi finanziari, l’automazione industriale, i servizi pubblici, le infrastrutture critiche e le smart city, praticamente qualsiasi sistema o servizio primario è collegato al cyberspazio: acqua, gas, corrente elettrica, ospedali e servizi sanitari, telecomunicazioni e trasporti. Malauguratamente, però, la sicurezza è stata raramente una priorità nell’allestimento e nell’erogazione di questi servizi, pertanto adesso ci ritroviamo con un elevato e complesso rischio di compromissione.

Quello del cyberspazio, fra l’altro, è uno di quei panorami dove niente è come sembra. Gli Stati Uniti, ad esempio, accusano da tempo la Cina di attuare massicce campagne di cyber spionaggio nei confronti degli enti governativi, della difesa, delle aziende e delle infrastrutture critiche statunitensi, esagerando eccessivamente la minaccia. Eppure gli Stati Uniti utilizzano i satelliti cinesi per le operazioni militari in corso in Africa e beneficiano degli enormi investimenti di capitali cinesi sul proprio territorio, investimenti che verrebbero sicuramente danneggiati da un eventuale attacco informatico dirompente. Lo stesso accade per Russia, India ed Iran, quando è ormai stata definitivamente accertata la responsabilità di Stati Uniti e Israele per gli attacchi informatici perpetrati ai danni dell’Iran (e non solo) mediante i worm Stuxnet, Duqu, Flame e Wiper.

Un’insieme di evidenti contraddizioni, falsità ed ipocrisie che ricordano molto da vicino la campagna mediatica da tempo intrapresa da Israele contro l’Iran per denunciarne l’intenzione di produrre testate nucleari al fine di attaccare il suolo israeliano, un tema trattato molto spesso dai media di tutto il mondo, dimenticando però che Gaza e Cisgiordania sono due regioni letteralmente immerse in territorio israeliano, i cui confini mutano di giorno in giorno a causa degli espropri e delle occupazioni: un attacco nucleare dell’Iran contro Israele non raderebbe al suolo anche i territori dell’alleata Palestina? Basterebbe solo questa semplice considerazione a ridicolizzare le assurde accuse di Israele e dei suoi alleati.

Da troppo tempo governi ed eserciti utilizzano i media mainstream, sempre passivamente asserviti, per rilasciare dichiarazioni di facciata e lanciare reciproche accuse su fantomatici attacchi cibernetici, dimenticando ogni volta che qualsiasi azione intrapresa sul piano informatico e in grado di causare effetti distruttivi sul piano reale potrebbe generare gravi sofferenze e numerose vittime fra gli ignari cittadini. Ecco perché le dichiarazioni di generali e segretari alla difesa suonano alquanto ridicole ed irrispettose verso i loro stessi cittadini, ovvero coloro che dovrebbero godere della massima priorità di salvaguardia nei piani di difesa cibernetica.

Inoltre, chi ha detto che la difesa del cyberspazio debba essere una prerogativa di governi ed eserciti nazionali, visto che, al contrario, Internet e il Web hanno una forte connotazione transnazionale e non hanno confini definiti? Aziende, enti e singoli cittadini non hanno forse anch’essi precise responsabilità di salvaguardia della sicurezza del cyberspazio, e di conseguenza, anche di sé stessi?

Mentre sui media appaiono sempre più notizie su fantomatiche esercitazioni di cyber difesa, nessuno ha ancora denunciato l’assurdità di eventi di questo genere che hanno tuttora una forte connotazione reattiva e ben poco di proattivo. Invece nel settore della sicurezza si sa da tempo che la difesa delle informazioni e delle infrastrutture dagli attacchi deve essere oggetto di un’attenta pianificazione proattiva e di un’attuazione metodica e continuativa delle necessarie contromisure, ricorrendo alla reattività solo per fronteggiare eventi eccezionali ed imprevedibili. Si parla tanto di attacchi alle infrastrutture critiche nazionali, argomento molto di moda, ma si cita raramente la necessità di rinnovare il parco informatico dei sistemi di controllo industriale, di adottare adeguati processi e politiche di governo della sicurezza, di garantire la continuità di erogazione dei servizi primari alla popolazione, di assegnare le responsabilità di sicurezza a personale di settore che sia preparato, esperto e in possesso delle necessarie capacità ed attitudini di governo dei vari aspetti, nonché di sani principi ed etica irreprensibile.

Si parla tanto di attacchi informatici alle aziende, ma non esiste ancora un’adeguata base giuridica che indirizzi, con cognizione di causa, l’obbligatorietà di precise misure di sicurezza preventive, in considerazione della vastità e della criticità di ciascuna azienda dal punto di vista sociale, andando ben oltre i meri aspetti di tutela della privacy e di sicurezza del lavoro. Oggi il teatrino della cyber war è quasi esclusivamente mediatico, condito di imprecisioni, di incomprensioni e di errori concettuali che, oltre a conclamare la scarsa consapevolezza degli organi istituzionali, mettono a grave rischio la salute, il benessere e, potenzialmente in determinati casi, anche la salvaguardia e la sopravvivenza dei cittadini.

Da questo punto di vista, qualsiasi dichiarazione che non abbia come obiettivo centrale la salvaguardia della cittadinanza, risulta del tutto irrilevante, quando non fuorviante e dannosa. Sarebbe più opportuno investire sul potenziamento delle misure di difesa cibernetica a 360 gradi, sulla consapevolezza di sicurezza a tutti i livelli, sulla preparazione scolastica ed universitaria focalizzandola su temi di sicurezza nazionale, sulla cultura di sicurezza della società nel suo complesso. Invece, i media cianciano di investimenti sulle armi cibernetiche, sull’allestimento di team di hacker, sulla necessità o meno di considerare un attaccante cibernetico alla strega di un nemico convenzionale e, quindi, di raderne al suolo l’abitazione in caso di necessità.

Niente di nuovo, poiché da tempo si investe massicciamente negli armamenti con la scusa di stabilire, imporre ed esportare pace e democrazia, perché questa è la mentalità radicata di leader governativi, politici e militari. La miglior difesa è l’attacco, recita un vecchio detto, che potrebbe valere solo in stato di guerra dichiarata, non in tempo di pace, sebbene apparente, come quello che stiamo vivendo. La vera svolta nella difesa cibernetica si avrà quando governi ed eserciti porranno la sopravvivenza della gente comune al centro di qualsiasi considerazione, analisi o strategia, con la responsabilità di garantire che niente possa intaccare i diritti e il benessere dei cittadini. Ma se non cambieranno l’etica, i principi e le motivazioni che li animano, potremmo non vedere mai quel giorno.

Ettore Guarnaccia