La situazione geopolitica a livello internazionale: la guerra passa anche dalla cybersecurity
La situazione di instabilità a livello globale, legata ai prolungati effetti del periodo pandemico, alla contrazione dell’economia e ai conflitti in corso, specialmente quello russo-ucraino, è balzata prepotentemente all’attenzione dei CEO di molte realtà a livello italiano e internazionale. Nella percezione dei decisori aziendali, la delicata situazione a livello geopolitico rappresenta uno dei principali rischi da affrontare, con possibili ripercussioni anche in termini di interruzione delle catene di fornitura e blocco della produzione.
All’interno di questo contesto, sono significativi anche i risvolti dal punto di vista della cybersecurity: secondo il Nation States, Cyberconflict and Web of Profit (McGuire, 2021), gli attacchi informatici da parte di stati nazionali sono raddoppiati negli ultimi tre anni, con un aumento del 78% degli attacchi verso catene di approvvigionamento.
Si tratta di attacchi generalmente più sofisticati rispetto al classico hacking “di tutti i giorni”. I team informatici degli Stati nazionali, infatti, dispongono di ampi finanziamenti e strumenti molto avanzati, che in genere sfruttano vulnerabilità zero-day tenute in storage in attesa del momento perfetto per colpire.
Ma da chi possono provenire i potenziali attacchi cyber?
Possiamo provare a rispondere alla domanda, individuando quattro tipologie di attori malevoli:
- Attori non statali che agiscono per conto proprio, come hacker individuali o gruppi criminali che in genere attaccano unicamente per profitto;
- Attori non statali che agiscono come proxy per uno Stato sovrano – come Killnet – gruppo hacker criminale associato più volte al Cremlino e ai servizi di sicurezza russa del FSB1;
- Uno Stato che agisce per conto proprio, come avvenuto durante l’attacco di Stati Uniti e Israele nei confronti dell’Iran con il malware Stuxnet;
- Uno Stato che agisce come proxy per uno Stato sovrano terzo.
Gli obiettivi alla base degli attacchi possono essere diversi. Tra questi:
- Acquisizione di segreti militari, industriali o politici o di informazioni relative a fondi monetari, come nel caso dei numerosi attacchi verso wallet di cryptovalute messi in atto dalla Corea del Nord;
- Sabotaggio di importanti organizzazioni, come nel caso dell’attacco iraniano di Shamoon nei confronti delle compagnie petrolifere saudite, o possibili disservizi sulle connessioni a Internet;
- Modifica dell’opinione pubblica con campagne di disinformazione effettuate grazie all’utilizzo di bot sui social network per influenzare l’opinione di altre nazioni, come successo durante le elezioni americane del 2016, o addirittura possibili cambi di regime, attraverso campagne mirate di disinformazione o attacchi a infrastrutture critiche volte a destabilizzare regimi nemici.
Dall’altra parte, anche le vittime possono variare: tanto aziende, quanto agenzie governative, infrastrutture critiche o addirittura cittadini possono essere al centro degli obiettivi. Le aziende risultano il target preferito degli attacchi da parte di attori nazionali o proxy operanti per Stati sovrani con il 35% degli attacchi subiti (McGuire, 2021), con in particolare un netto aumento di attacchi contro aziende operanti nel settore farmaceutico e della ricerca sanitaria.
Il tema degli attacchi a livello geopolitico risulta quindi sempre più all’attenzione delle imprese e degli Stati: la preoccupazione verso le possibili conseguenze, quali il furto o la perdita di dati, possibili danni alla reputazione o alla proprietà intellettuale, impone a Stati e organizzazioni di attivare diverse tipologie di contromisure.
Risulta quindi necessario cercare di minimizzare le superfici di attacco, massimizzando nel frattempo le capacità di rilevamento di potenziali intrusioni, analizzando con attenzione il traffico di rete e mappando con costanza gli asset e la superficie di attacco. Un’ulteriore arma di difesa è inoltre la formazione delle persone, con l’obiettivo di istruirle a fronteggiare e limitare le diverse tipologie di minacce che cercano di colpire le organizzazioni.
1Con la sigla FSB si fa riferimento al Federal’naja služba bezopasnosti, il Servizio federale per la sicurezza della Federazione Russa.
A cura di
Giorgia Dragoni
Digital Identity, Digital & Sustainable, Cybersecurity & Data ProtectionDirettrice degli Osservatori Digital Identity e Digital & Sustainable. Ricercatrice Senior dell’Osservatorio Cybersecurity & Data Protection.
Jacopo Polverino
Cloud Transformation e Cybersecurity & Data ProtectionRicercatore degli Osservatori Cloud Transformation e Cybersecurity & Data Protection.
Siamo a tua disposizione per informazioni e assistenza
Eleonora Evstifeew
Acquisti e abbonamenti Da Lunedì al Venerdì, dalle 09 alle 18Antonella Zagheni
Assistenza abbonati Da Lunedì al Venerdì, dalle 09 alle 18Scopri altri contenuti di Cybersecurity & Data Protection