“Sono stati gli hacker russi!” si sente ogni volta che un sito non funziona. Spesso in realtà non vi è stato alcun attacco, ma solo qualche errore nella gestione dei sistemi informatici coinvolti. In altri casi un attacco magari c’è stato davvero, ma gli autori sono altri. Ma quando l’attaccante è davvero uno Stato, che sia la Russia o un altro, come si fa a capirlo e metterlo di fronte alle proprie responsabilità? Il problema è quello dell’attribuzione dei cyber attacchi.

L’attribuzione è un concetto preesistente in diritto internazionale, ma i cyber attacchi pongono alcuni problemi nuovi. Qual è la situazione in Italia? Come risponde l’Unione europea? Come e quando è il momento di puntare il dito contro un attore esterno e come reagire?

L’attribuzione nel diritto internazionale

L’”attribuzione” nel diritto internazionale è il processo con cui si identifica l’autore di un attacco o di un’operazione svolta contro uno Stato. È un concetto importante, anche in relazione all’art. 51 dello Statuto delle Nazioni Unite , che riconosce, “nel caso che abbia luogo un attacco armato contro un Membro delle Nazioni Unite … il diritto naturale di autotutela individuale o collettiva”. La maggior parte degli Stati del mondo (inclusi quelli dell’Unione europea) sono concordi sul fatto che il diritto internazionale esistente si applichi anche al cyberspazio. Questo significherebbe che un attacco contro uno Stato, anche se svolto con “cyber armi” e non con armi convenzionali, darebbe luogo a un diritto a reagire. Sulla questione delle contromisure però non c’è consenso a livello di Nazioni Unite; ad esempio, nel giugno 2017 il Governmental Group of Experts (UN GGE) non è riuscito a produrre un report sulla questione. La reazione, comunque, non è necessariamente bellica: in questo e in altri casi vengono spesso applicate “sanzioni”, come blocchi dei conti, divieti di spostamento, ecc., o semplicemente viene denunciato pubblicamente un comportamento ritenuto inaccettabile.

Questo diritto in ogni caso presuppone che l’origine dell’attacco sia individuata e identificata in maniera credibile: un’operazione che si chiama – appunto – attribuzione, e che, per avere valore, deve essere pubblica. Un’attribuzione pubblica occorre però non solo per legittimare giuridicamente una reazione, ma anche per convincere politicamente Parlamento, opinione pubblica, paesi alleati, ecc. della sua necessità.

È opportuno specificare “pubblica” perché esiste anche un’attribuzione “riservata”, condivisa ad esempio dalle agenzie di sicurezza con il solo governo, ma basata su fonti di intelligence troppo segrete per poter essere condivise con gli alleati o con il pubblico (ad esempio perché si rivelerebbe la presenza e l’identità di una spia): in questi casi per quanto possa essere solida l’attribuzione, la possibilità di un’attribuzione pubblica credibile è limitata.

Nel seguito dell’articolo approfondiamo la questione dell’attribuzione dei cyber attacchi, ma i problemi con l’attribuzione non sono nuovi e non sono legati solo all’informatica. In un articolo su questo argomento Thomas Rid e Ben Buchanan, del King’s College London, citano ad esempio il casus belli che ha portato alla prima guerra mondiale , l’omicidio a Sarajevo dell’arciduca Francesco Ferdinando. L’Austria-Ungheria attribuì quell’attentato alla Serbia e dichiarò guerra. L’assassino, Gavrilo Princip, era davvero un agente serbo? La questione è discussa, ma i milioni di morti rimangono.

L’attribuzione dei cyber attacchi

Nei dibattiti sull’attribuzione di attacchi informatici, è diffusa la convinzione che le sfide principali siano di tipo tecnico e legate principalmente alla difficoltà di trovare evidenze concrete e incontrovertibili. Rid e Buchanan contestano queste convinzioni affermando invece che l’attribuzione non è un problema tecnico ma soprattutto politico, è quello che ne fanno gli Stati; non è una scienza esatta, ma in un certo senso “un’arte”, ogni caso è diverso ed è un problema sfumato; è una funzione di ciò che è politicamente in gioco.

Al di là della difficoltà o meno del caso, vi sono anche situazioni in cui si ritiene non valga la pena dare inizio ad indagini strutturate, ad esempio se il danno percepito è ridotto. E se un caso è difficile uno Stato potrebbe decidere di non dedicarci tempo e risorse.

Di un attacco occorre capire come, cosa, chi e perché, ma il primo passo per attribuire un attacco è capire che un attacco c’è stato. A differenza di quanto si potrebbe pensare infatti l’attaccante non sempre rivela di aver svolto un attacco. Anzi, se l’obiettivo è trafugare delle informazioni per un periodo prolungato sarà importante non farsi individuare e non far capire che si ha accesso a quei dati. Gli attacchi sono spesso individuati grazie a degli “indicatori di compromissione”, in seguito a comportamenti anomali dei sistemi informatici o a controlli periodici.

Molti attacchi non sfruttano vulnerabilità tecnologiche, ma debolezze umane, come le classiche email di phishing . Il modo in cui viene fatto un attacco può rivelare informazioni sull’attaccante: se ad esempio usa strumenti estremamente complessi si tratterà probabilmente di un attore statuale; gli orari degli attacchi possono fare capire il fuso orario dell’attaccante, le parole utilizzate la sua lingua, e un errore naturalmente può essere fatale.

A volte il contesto geopolitico di un attacco può immediatamente portare a dei sospetti, ma si tratta probabilmente dell’eccezione. Capire la motivazione dell’attacco è difficile ma è una parte importante del processo di attribuzione, che non è quindi meramente tecnico.

Se gli strumenti sono stati utilizzati in precedenza per altri attacchi il responsabile potrebbe essere lo stesso. Alcuni attaccanti ricorrenti prendono il nome di advanced persistent threat (APT), gruppi particolarmente sofisticati che si ritiene agiscano per conto di uno Stato o ne siano emanazione diretta. A questi gruppi vengono assegnati, solitamente da aziende di cybersecurity , dei nomi, naturalmente non ufficiali, come APT1 (un gruppo cinese), Equation Group (USA) e Fancy Bear (Russia).

Rid e Buchanan sottolineano come comunicare l’attribuzione sia parte dell’attribuzione stessa, un elemento fondamentale, da considerare come un obiettivo a sé stante. Visto il rischio di rivelare le proprie fonti e i propri metodi spesso le agenzie tendono a peccare di troppa cautela. Ci sono però almeno alcuni buoni motivi per dare più dettagli: aumentare la credibilità del messaggio e del messaggero; migliorare l’attribuzione stessa, e permettere una miglior difesa collettiva. In questo contesto hanno un ruolo anche le aziende private: già nel 2016 Herbert Lin, della Stanford University, scriveva che negli ultimi anni il loro ruolo era cresciuto, e lo stesso Dipartimento della Difesa statunitense riconosceva a denunce pubbliche effettuate da attori privati anche un ruolo di dissuasione. È importante però sottolineare che la decisione finale sull’attribuzione è sempre politica, ed è influenzata anche da questioni politiche, non solo da quelle tecniche.

Cosa fanno Italia e Unione europea

I servizi segreti italiani ogni anno aggiornano il Parlamento, e il paese, rispetto alla cybersicurezza: il Documento di sicurezza nazionale italiano 2019 è stato pubblicato nel 2020 assieme alla Relazione sulla politica dell’informazione per la sicurezza . Si segnala fra le altre cose che vi sono riportate, un aumento degli “attacchi non identificati”.

L’Italia naturalmente non è l’unico paese europeo ad avere subito attacchi. Fecero scalpore nel 2007 gli attacchi all’Estonia durante uno scontro con la Russia per lo spostamento di una statua di epoca sovietica a Tallinn. Per quanto l’attribuzione l’attribuzione sia una competenza dei singoli paesi membri, l’Unione europea sta tentando di andare nella direzione di dare risposte unitarie, in particolare con il Cyber Diplomacy Toolbox (CDT), un framework, adottato nel giugno 2017, per una risposta diplomatica unitaria da parte dell’Ue a attacchi cyber. Alcuni mesi dopo sono state adottate alcune linee guida sull’implementazione . Alcune misure previste dal CDT richiedono l’attribuzione come presupposto della loro applicazione, e sono previste anche “cyber sanzioni”.

Secondo Paul Ivan , Senior policy analyst dello Europe in the World Programme, gli stati membri e le istituzioni UE dovrebbero -fra le altre cose- fare di più per sviluppare “common threat assessments” (valutazioni comuni della minaccia) e una cultura comune dell’attribuzione dei cyber attacchi.

La Russia e i soliti sospetti

La Russia è stata ripetutamente accusata di cyber attacchi negli ultimi anni, ma in realtà, fanno notare Sven Herpig e Thomas Reinhold (in un contributo a un’edizione degli Chaillot Papers  tutta dedicata alle cyber strategie russe), quelli in cui c’è stata un’attribuzione pubblica credibile sono pochi.

Uno di questi è stato nel 2018, quando Regno Unito, Danimarca, Stati Uniti e Australia hanno attribuito pubblicamente al governo russo il cyber attacco “NotPetya”, che ha colpito tutto il mondo, a partire dall’Ucraina. Il Canada ha invece attribuito l’attacco a “attori in Russia”. Altri paesi hanno fatto dichiarazioni di supporto. Paul Ivan fa notare che nonostante fra questi ci fossero diversi stati membri dell’Unione europea e il Cyber Diplomacy Toolbox fosse già stato adottato, l’Ue non sia riuscita a concordare su un’attribuzione comune.

Un altro caso da citare è quello relativo all’attacco contro l’Organizzazione per la proibizione delle armi chimiche (OPAC), condannato dal Consiglio europeo sempre nel 2018. Gli stati non hanno fatto esplicito riferimento alla Russia, ma lo hanno fatto i presidenti del Consiglio europeo Tusk, quello della Commissione europea Juncker e l’Alto rappresentante per gli affari esteri e la politica di sicurezza Mogherini.

Ma a parte questi casi, in cui comunque la non unanimità non aiuta, continuare a puntare il dito sulla Russia senza riuscire davvero a dimostrarne le responsabilità rischia di essere controproducente, non riesce a convincere l’opinione pubblica e la comunità internazionale, e contemporaneamente (e forse paradossalmente) contribuisce comunque a rafforzare l’immagine di potenza del paese.

 

 

Questa pubblicazione è stata prodotta nell’ambito del progetto ESVEI, co-finanziato da Open Society Institute in cooperazione con OSIFE/Open Society Foundations. La responsabilità dei contenuti di questa pubblicazione è esclusivamente di Osservatorio Balcani e Caucaso Transeuropa.