ROMA – Quando il presidente Joe Biden è entrato in carica lo scorso 20 gennaio, si è trovato davanti un quadro veramente triste in termini di sicurezza informatica: la sua amministrazione ha dovuto farsi carico delle ansie di una nazione intera, che chiede risposte rispetto a una campagna di spionaggio informatico – SolarWinds Orion – che ormai dura da mesi, un attacco la cui portata e impatto reale forse non saranno mai del tutto noti.
SolarWinds ha rappresentato la goccia che ha fatto traboccare il vaso. Abbiamo assistito a continue compromissioni di sistemi e violazioni di dati nel corso dell’ultimo decennio, ma questa campagna sta mostrando in tutta la sua forza come gli attacchi informatici siano armi sempre più utilizzate nei conflitti geopolitici e, soprattutto, quali siano la vulnerabilità che presentano anche delle superpotenze come gli Stati Uniti, attrezzate e preparate per contrastare il crimine informatico ma, in questo caso, in balia di avversari ben finanziati e molto creativi.
L’approccio attuale alla sicurezza informatica nazionale, adottato dagli USA e dalla maggior parte delle nazioni nel mondo e in buona parte incentrato sulle operazioni offensive e di deterrenza, ha fallito. Nei suoi primi cento giorni, l’amministrazione Biden dovrà correggere la rotta e riaffermare la propria posizione sulla sicurezza, raddoppiando le difese informatiche. Questo significherà anche abbandonare la vecchia presunzione che le regole della guerra convenzionale si applichino al mondo cyber perché, di fatto, essere una superpotenza cyber a livello globale non significa automaticamente possedere le migliori difese oltre a una buona capacità offensiva.
Dotarsi di una postura adeguata per proteggersi dagli hacker finanziati da stati stranieri, come quelli che operano dalla Russia, richiederà ai Paesi di concentrare i propri sforzi sulla difesa da più attacchi simultanei alla catena di approvvigionamento, come avvenuto con SolarWinds Orion; anche se sarebbe pazzesco pensare di riuscire a prevederli tutti. Inoltre, i governi dovranno ripensare i propri piani di cyber sicurezza nazionale per individuare e difendersi dal susseguirsi di campagne sempre diverse e articolate, organizzate dalle nazioni avversarie. Le strategie di prevenzione utilizzate oggi, i sistemi di difesa rigidi, basati sulle firme, fermano solo le minacce conosciute e si riveleranno inutili contro questi nuovi attacchi sofisticati.
Quando lavoravo alla CIA, ho potuto notare chiaramente come chi opera al servizio di uno stato si adoperi per condurre attività informatiche dannose ancora prima delle operazioni sul campo di battaglia, creando quel framework sottile difficile da identificare che permette di condurre poi delle rapide rappresaglie o garantirsi in futuro un vantaggio strategico.
Per quanto riguarda SolarWinds Orion, in particolare, sembra si sia trattato di un’operazione di raccolta di informazioni e spionaggio condotta per infiltrarsi ai più alti livelli del governo degli Stati Uniti e delle infrastrutture critiche nazionali, gettando le basi per ulteriori azioni di disturbo e sabotaggio all’interno di organizzazioni pubbliche e private. Un‘azione di portata enorme se consideriamo come la superficie di cyber-attacco degli Stati Uniti sia vasta e sia in continua crescita in virtù di supply chain sempre più complesse e globali.
Abbiamo bisogno che la comprensione di quanto sia urgente adottare cyber difese appropriate giunga ai più alti livelli di governo, con l’obiettivo di mettere in sicurezza i servizi pubblici e i servizi di base su cui tutti noi facciamo affidamento. Tutto questo richiederà un impegno senza precedenti in termini di risorse, per espandere le politiche e le strategie di sicurezza informatica, e una nuova leadership in grado di dirigere le operazioni informatiche nazionali e adottare nuove tecnologie per la resilienza.
In Europa, miglioramenti cruciali sono già in corso dopo la presentazione della nuova strategia di sicurezza informatica dell’UE il 16 dicembre scorso, che mira ad accrescere la resilienza informatica in tutta l’Unione. Particolarmente promettente è la proposta della Commissione di lanciare una rete di centri operativi di sicurezza (SOC) in tutta l’UE alimentati dall’intelligenza artificiale, costruendo uno “scudo di sicurezza informatica” per l’UE e consentendo alle nazioni di rilevare i primi segni di un attacco. Questa proposta rappresenta un passo in avanti fondamentale negli approcci alla difesa informatica nazionali e sovranazionali, e testimonia una crescente consapevolezza da parte dell’Unione del fatto che non si possa più fare affidamento solo sulle forze degli esseri umani per sostenere la sicurezza informatica. In realtà, migliaia di organizzazioni in tutto il mondo – nel settore pubblico e privato – hanno già compreso la situazione e, a livello globale, l’IA sta già affrontando da sola una minaccia informatica ogni tre secondi ed esegue oltre 1 milione di indagini di sicurezza automatizzate a settimana.
Negli Stati Uniti, il National Defense Authorization Act (NDAA) 2021, recentemente approvato, rappresenta uno dei tasselli più importanti della legislazione degli ultimi anni in materia di cybersicurezza. Di particolare importanza è l’aver istituito nuovamente la posizione di “national cyber director” alla Casa Bianca, una figura che deve possedere l’autorità necessaria per sostenere la missione della cyber difesa nazionale. Vengono inoltre estese le competenze delle Cybersecurity and Infrastructure Security Agency (CISA), anche se, sarà necessario andare oltre e porsi come obiettivo quello che la CISA possa divenire un dipartimento autonomo e separato dal Dipartimento della Sicurezza Nazionale (DHS).
Per raggiungere la superiorità difensiva necessaria a combattere le minacce informatiche attuali e di prossima generazione, è essenziale, quindi, adottare una tecnologia che comprenda l’ambiente digitale interno e sorvegli i dati critici, piuttosto che guardare cosa fanno i nemici e cercare di prevedere le loro prossime mosse. Si tratta di un approccio necessario a tutti i livelli di governo – dagli enti statali a quelli locali – e anche a livello di singola azienda privata. Considerando la scalabilità e la complessità crescente degli ambienti digitali, è fondamentale per i team di sicurezza sfruttare tecnologie come l’intelligenza artificiale, in grado di identificare, indagare e rispondere a eventuali attività dannose all’interno della rete.
Il punto è proprio quello di spostare l’attenzione verso un aspetto cruciale: la comprensione e il rispetto del comportamento digitale definito “normale”, una comprensione che deve avvenire in modo dinamico, mentre i comportamenti stessi si evolvono, e grazie alla quale saremo più preparati e pronti a interrompere e fermare gli attacchi ai primi segni di compromissione.
In sintesi, la vicenda SolarWinds Orion ha reso evidente come chi conduce campagne di attacco ampie, che mirano a infiltrarsi nelle infrastrutture critiche, sia in grado sfruttare la supply chain e le vulnerabilità non rilevate e come le tecniche sfruttate negli attacchi promossi da uno Stato rivale diventino rapidamente un patrimonio comune per tutti gli hacker, che possono sfruttarle e adattarle per i propri scopi. Sulla scia di questi attacchi, abbiamo un’opportunità preziosa sulla quale capitalizzare se vogliamo riconquistare un vantaggio. Dobbiamo prestare attenzione alla vera lezione che questi attacchi ci hanno insegnato e, nei piani di cyber sicurezza nazionali dare priorità alla difesa informatica abbracciando le tecnologie in grado di concederci un vantaggio rispetto a chi attacca e cerca di paralizzare le difese del nostro Paese.
Marcus Fowler*
*Director of Strategic Threat di Darktrace ed ex esperto di cybersecurity della CIA