Il 14 ottobre 2021 la Casa Bianca ha riunito i rappresentanti di oltre 30 governi per affrontare la natura transnazionale della minaccia portata dagli attacchi ransomware. Più in generale, la cybersicurezza dello Stato (sia nel settore pubblico che privato) deve oggi essere elevata a livello di "sicurezza nazionale".
Le contromisure cibernetiche come risposta ad un attacco, forse ancor più delle sanzioni economiche, possono atteggiarsi a strumento di contromisura paradigmatico ed estremamente efficace per rispondere ad illeciti internazionali
di Nicola iuvinale
L'incontro ha portato ad una dichiarazione congiunta sulle priorità e sulle misure urgenti che i governi dovranno adottare per ridurre gli effetti dirompenti del ransomware stesso.
Tra le nazioni che hanno firmato la dichiarazione congiunta ci sono Stati Uniti, UE (e alcuni singoli Stati membri dell'UE, ad esempio Francia, Germania, Paesi Bassi, Italia, Estonia), Regno Unito, Australia, Giappone, Singapore, Canada, Israele, Brasile, Sud Africa e Nigeria; tanti altri no, come Russia e Cina.
Un ransomware è un tipo di malware che limita l'accesso al dispositivo che viene infettato, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione.
Inizialmente diffuso in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo contro strutture pubbliche e private.
Il ransomware, quindi, è una crescente minaccia alla sicurezza nazionale e globale, con gravi conseguenze economiche.
Dalle operazioni maligne contro gli operatori sanitari locali che mettono in pericolo l'assistenza ai pazienti, a quelle dirette alle aziende per limitare la loro capacità di fornire carburante, energia, generi alimentari, banche o altri beni al pubblico, il ransomware rappresenta un rischio significativo per le infrastrutture critiche, i servizi essenziali, la sicurezza pubblica, la protezione dei consumatori e la prosperità economica.
Dietro gli operatori ransomware possono nascondersi sia criminali, sia governi canaglia per attaccare altre nazioni, danneggiarle, colpirle al cuore e rubare dati.
Come con altre minacce informatiche, quella del ransomware è complessa, di natura globale e richiede anche una risposta condivisa.
La capacità di una nazione di prevenire, rilevare, mitigare e rispondere efficacemente alle minacce del ransomware dipenderà, anche in parte, dalla capacità, dalla cooperazione e dalla resilienza dei partner globali, del settore privato, della società civile e del pubblico in generale.
Gli sforzi che gli stati dovranno affrontare, includono necessariamente il miglioramento della resilienza della rete per prevenire gli incidenti, quando possibile e rispondere efficacemente quando si verificano incidenti; affrontare l'abuso dei meccanismi finanziari per riciclare pagamenti di riscatto o condurre altre attività che rendono redditizio il ransomware; interrompendo l'ecosistema del ransomware attraverso la collaborazione delle forze dell'ordine per indagare e perseguire gli attori del ransomware.
Resilienza
La resilienza della rete va oltre le capacità tecniche: richiede anche quadri politici efficaci, risorse appropriate, strutture di governance chiare, procedure di risposta agli incidenti, una forza lavoro preparata e pronta, partnership con il settore privato, leggi e nuove normative costantemente applicate.
Richiede anche la capacità di reazione concreta e immediata dello stato all'attacco informatico.
Le nazioni dovrebbero anche prendere in considerazione misure appropriate per promuovere la condivisione delle informazioni sia sugli incidenti, che tra le vittime di ransomware, con le forze dell'ordine e i team di risposta alle emergenze informatiche (CERT), anche per garantire la protezione della privacy e la tutela dei diritti umani.
Tale condivisione consente indagini e azioni penali sulla criminalità informatica e facilita un'ampia distribuzione delle fasi di mitigazione delle minacce informatiche.
Contrastare la finanza illecita
Il ransomware è principalmente un'azione a scopo di lucro, che comunemente sfrutta le reti di riciclaggio di denaro per spostare i proventi dell'attività illecita.
Il ransomware va combattuto attraverso una cooperazione internazionale rafforzata per inibire, tracciare e interdire i flussi di pagamento del riscatto, coerentemente con le leggi e i regolamenti nazionali.
La cooperazione può comprendere un'ampia gamma di attività, come gli sforzi volti a facilitare la due diligence dei clienti, la segnalazione di attività sospette e il monitoraggio delle transazioni.
L'azione per interrompere il modello di business del ransomware richiede sforzi concertati in tutti i sistemi di trasferimento di valore, comprese le risorse virtuali (criptovalute), lo strumento principale utilizzato dai criminali per i pagamenti di ransomware e il successivo riciclaggio di denaro.
Vanno migliorate la capacità delle autorità nazionali, includendo autorità di regolamentazione, unità di informazione finanziaria e forze dell'ordine per regolamentare, supervisionare, indagare e agire contro lo sfruttamento delle risorse virtuali, con protezioni appropriate per la privacy.
Le forze dell'ordine
Oltre ad attuare misure per migliorare la resilienza e proteggere il sistema finanziario globale dallo sfruttamento, i governi devono anche agire per assicurare alla giustizia gli operatori criminali ransomware.
L'attività criminale è spesso di natura transnazionale e richiede una collaborazione tempestiva e coerente tra le forze dell'ordine, le autorità di sicurezza nazionale, le agenzie di sicurezza informatica e le unità di intelligence finanziaria.
Diplomazia
Oltre all'interruzione dell'ecosistema del ransomware, gli sforzi diplomatici possono promuovere un comportamento basato su regole e incoraggiare gli stati ad adottare misure ragionevoli per affrontare le operazioni di ransomware provenienti dal loro territorio.
La capacità di reazione dello stato e il "tipo di reazione"
Più in generale, la cybersicurezza dello stato (sia nel settore pubblico che privato) deve essere elevata a livello di "sicurezza nazionale".
Ricordiamo il Cyber attacco che costrinse nel 2021 il Colonial Pipeline a chiudere uno dei più grandi oleodotti Usa.
È stata messa ko una ragnatela di condutture di 8.850 chilometri, che garantisce quasi metà degli approvvigionamenti di carburanti della East Coast degli Stati Uniti: in pratica si sono paralizzate forniture per 2,5 milioni di barili al giorno di benzina, diesel e altri prodotti petroliferi, diretti dalle raffinerie del Golfo del Messico non solo verso l’area di New York ma anche a importanti centri del sud degli Usa, compreso l’aeroporto di Atlanta, il più trafficato del mondo per numero di passeggeri.
Si è trattato di uno dei più gravi attacchi cibernetici mai realizzati nella storia, che ha esposto la vulnerabilità delle infrastrutture Usa in modo impietoso, quasi quanto aveva fatto l’attacco missilistico subito dall’Arabia Saudita negli impianti di Abqaiq e Khurais a settembre 2019.
Gli attacchi hacker, il ransomware, il furto di dati, di documenti, di generalità, lo spionaggio militare e industriale vengono sistematicamente perpetrati a danni di cittadini, imprese e enti pubblici non solo da comuni criminale, ma anche da paesi "ostili" come Russia e Cina.
Nota è l'attività di spionaggio pervasiva e a tutti i livelli operata dal Partito Comunista Cinese anche in Italia attraverso hardware, telecamere, router, software, ecc..
Bisogna prendere atto che queste attività criminose, che violano le leggi dello Stato italiano, a danno di cittadini e entità pubbliche, rappresentano un'attività ostile alla nazione, alla nostra "sicurezza nazionale" e, come tale, va contrastata anche attraverso idonee azioni di "controattacco" per legittima difesa individuale e collettiva, come consentito anche, a certe condizioni, dal diritto internazionale.
La possibilità che l’uso della forza nelle relazioni internazionali coinvolga il cyberspazio è divenuta infatti una realtà concreta.
Ciò crea interessanti interrogativi in merito all’inquadramento del cyberwarfare all’interno del vigente sistema di relazioni interstatuali. Cosa accade nel momento i cui attori esteri minano la stabilità interna ovvero orientano il risultato elettorale di uno Stato attraverso l’uso del computer? È possibile una reazione armata nei confronti di una intrusione non autorizzata nei sistemi posti a difesa degli interessi politici, militari, economici, scientifici ed industriali di un Paese?
Il problema dell’inquadramento dell’attacco cyber nel sistema della Carta dell’ONU è ovvio: al tempo della stesura di questa, l’informatica non era in grado di rappresentare una minaccia.
È tuttavia, ricercando i singoli connotati di un attacco cibernetico, è possibile confrontarli con i principi dello ius in bello in vigore e trarre una disciplina unitaria.
Ove l’attacco cibernetico non integri gli estremi di una violazione dell’art. 2, par. 4 della Carta dell’ONU, lo Stato vittima può disporre comunque adeguate contromisure, concordemente con quanto previsto dai trattati internazionali.
Tra le contromisure di natura restrittiva, la prassi internazionale porta ad analizzare le sanzioni economiche, ovvero quelle restrizioni di natura patrimoniale, commerciale ed economica da parte di uno o più Stati verso un paese ritenuto colpevole di una condotta internazionale illecita.
Varie sono le tipologie di misure sanzionatorie, da embarghi su specifiche merci a restrizioni di natura finanziaria quali il blocco dei conti correnti.
L’Unione europea prevede la possibilità di applicare sanzioni economiche e finanziarie sia per la difesa dei valori comuni, che per il rafforzamento della sicurezza nell’Unione in tutte le sue forme.
Ma è possibile una risposta in kind, ovvero rispondere ad un attacco cibernetico che non integra l’uso internazionale della forza con lo stesso mezzo?
La risposta può trovarsi nella giurisprudenza, che propone tre requisiti di liceità della contromisura.
Primo: l’azione deve essere intrapresa in risposta ad un illecito internazionale posto in essere da uno Stato e deve essere contro questi rivolta.
Secondo, lo Stato vittima dell’atto illecito deve aver intimato la cessazione dell’azione lesiva ovvero chiesto il ristoro dei danni.
Terzo, gli effetti della contromisura devono essere proporzionati al pregiudizio effettivamente subito.
Ciò premesso e considerata la massima versatilità delle azioni cibernetiche, è possibile ritenere che queste, forse ancor più delle sanzioni economiche, possono atteggiarsi a strumento di contromisura paradigmatico ed estremamente efficace per rispondere ad illeciti internazionali che non costituiscano una violazione dell’art. 2 par. 4 della Carta dell’ONU.
Anche per la NATO il Cyberattacco è, a certe condizioni, un atto di guerra militare.
L'America sta adottando il COMPETES Act Il nuovo disegno di legge Usa in materia finanziaria anche per contrastare il trasferimento di valute digitali da ransomware.
Per approfondimenti: Diritto e guerra cibernetica di Saverio Setti
Comments