McAfee a TechFOr 2012
McAfee partecipa a TechFOr 2012 ponendo l’attenzione su un dibattito ancora aperto riguardante il settore della sicurezza informatica, vale a dire sulla necessità o meno che le azioni di difesa dagli attacchi informatici di una nazione debbano essere coordinati da un responsabile del governo o da un’agenzia federale. Occorre però partire da una constatazione: se in passato si tendeva a distinguere i crimini dalla guerra cibernetica, oggi non esiste più il confine tra criminalità e guerra informatica.
Padiglione 7 stand 31B
27 Aprile 2012
Redazione FORUM PA
McAfee partecipa a TechFOr 2012 ponendo l’attenzione su un dibattito ancora aperto riguardante il settore della sicurezza informatica, vale a dire sulla necessità o meno che le azioni di difesa dagli attacchi informatici di una nazione debbano essere coordinati da un responsabile del governo o da un’agenzia federale. Occorre però partire da una constatazione: se in passato si tendeva a distinguere i crimini dalla guerra cibernetica, oggi non esiste più il confine tra criminalità e guerra informatica.
Padiglione 7 stand 31B
Non c’è confine tra criminanità e guerra informatica
Nel settore della sicurezza informatica si dibatte sulla necessità o meno che le azioni di difesa dagli attacchi informatici di una nazione debbano essere coordinati da un responsabile del governo o da un’agenzia federale, come ad esempio il Department of Homeland Security.
Entrambe le idee sono valide, ma c’è una considerazione ancora più rilevante di cui si deve tener conto e che si riferisce alla conoscenza dei nostri avversari cibernetici per comprendere le loro strategie di attacco.
Nell’era in cui la difesa dai crimini informatici è diventata un oggetto di discussione, chi ne discute tende a vedere i crimini e la guerra cibernetica, così come gli individui e le organizzazioni che ci sono dietro – come due ambiti distinti. Se tale distinzione poteva essere credibile in passato, ora non è più valida. Di conseguenza, le agenzie governative, i legislatori e il settore privato devono cambiare radicalmente il loro approccio verso le difesa cibernetica.
Certe nazioni cominciano a considerare le organizzazioni di criminali informatici come degli alleati utili sia per le loro abilità di hacker, sia per la “copertura“ che offrono a una nazione disonesta per distanziarsi da un’azione che potrebbe essere definita guerra cibernetica.
Per fare degli esempi della crescita di questo fenomeno, bisogna pensare agli attacchi informatici fatti in seguito ai conflitti tra Russia e Georgia o anche in Stati più vicini: basti citare gli attacchi denial-of-service del 4 luglio dell’anno scorso che hanno colpito le agenzie federali americane, la Borsa di New York, il Nasdaq e le reti principali del settore privato. O alla serie di attacchi che recentemente sono stati segnalati con il nome di Night Dragon, che da oltre due anni hanno colpito le multinazionali del settore petrolchimico, energetico e petrolifero da parte di hacker che hanno utilizzato server cinesi. Cinque le società per ora colpite, ma sono oltre il doppio quelle nel mirino, con obiettivi di spionaggio industriale o di matrice politica.
Il rapporto Night Dragon che McAfee ha diffuso in febbraio e consegnato all’FBI descriveva strumenti e tecniche utilizzate dai criminali informatici. La Cina è stata il centro da cui sono stati sferrati gli attacchi che erano in corso da almeno due anni ai danni di una decina di multinazionali del settore petrolchimico, energetico e petrolifero, di cui cinque sono già state pesantemente colpite. Uno degli attacchi è stato individuato a novembre del 2009, ma gli altri sono stati diluiti nel corso di due anni per non attirare l’attenzione. Non si tratta di attacchi casuali condotti da "teste calde", ma di azioni mirate e furtive che sono state condotte e coordinate da hacker di livello internazionale.
Non è stato possibile rivelare i nomi delle cinque multinazionali colpite, ma McAfee ha allertato sul fatto che gli attacchi sono ancora in corso e della necessità di indagarne la motivazione. Alla base, infatti, potrebbe esserci una matrice politica. I criminali informatici si sono infiltrati nei sistemi informatici delle cinque multinazionali attraverso i relativi siti web, oppure mediante messaggi di posta elettronica, sfruttando tecniche di SQL Injection, phishing e quant’altro, e indirizzati ai dirigenti.
Una volta all’interno dei sistemi informatici, gli hacker hanno avuto accesso ai documenti relativi allo sfruttamento dei giacimenti di gas e petrolio, ai contratti di sfruttamento di queste risorse e ai piani aziendali di sviluppo ed espansione configurandosi proprio come attacchi mirati allo spionaggio industriale mediante furto di documenti riservati e non al sabotaggio.
Questa vicenda sembra ricalcare quanto successo nel 2009 a Google, quando fu bersaglio di cyber attacchi partiti da siti cinesi. Alcuni analisti avevano allora sostenuto che si fosse trattato di un’operazione del governo cinese, altri erano convinti che si fosse trattato di un’operazione di spionaggio industriale, certamente erano più sofisticati. Un evento del genere la dice lunga sulla sicurezza delle nostre infrastrutture critiche. Quelli rilevati non erano attacchi sofisticati, ma sono stati comunque in grado di raggiungere degli obiettivi.
Mentre le indagini su questi eventi stanno proseguendo, è difficile pensare che si possa arrivare a risposte definitive. Ci si chiede chi fossero gli autori: comuni criminali, agenti stranieri o forse un po’ entrambe le cose? Ma cosa importa?
Piuttosto che continuare con questo falso stratagemma – ovvero il crimine cibernetico commesso da criminali e la guerra informatica portata avanti da stati avversari – congressi, agenzie federali e settore privato saranno protetti meglio sviluppando soluzioni di forza tecnologiche, diplomatiche, militari e legali che riflettono la realtà senza confini del mondo cibernetico.
Combinare il settore privato con organismi di governo può sembrare strano, ma l’eliminazione dei confini tra i colpevoli sta avvenendo anche tra i bersagli presi di mira. Il fatto è che le reti del settore privato inevitabilmente si trovano nel mirino di attacchi verso obiettivi governativi. Oppure, usando un’altra metafora, le reti del settore privato sono parte dei rischi collaterali.
Tuttavia, mentre i potenziali danni causati dagli attacchi cibernetici non conoscono limiti e non fanno distinzione fra le vittime, sono i governi in generale ad avere inevitabilmente il maggiore potere per effettuare cambiamenti positivi, anche se il ruolo collaborativo del settore privato è vitale, in particolare per lo sviluppo tecnologico.
Infine, si vogliono segnalare tre azioni che i governi dovrebbero avviare per rafforzare la difesa dei settori pubblico e privato contro i criminali informatici.
Definire una partnership con il settore pubblico e privato. Creare un’entità super partes in modo da permettere uno scambio di fiducia e costruire un rapporto che possa fornire preziosi consigli al direttivo nazionale prima, durante e dopo gli attacchi informatici.
Sviluppare standard di sicurezza e comportamenti collaborativi. Definire standard di sicurezza per il governo americano con input provenienti dal settore privato e agenzie governative che hanno esperienza nell’ambito della sicurezza informatica. Definire processi, criteri di performance o specifiche funzionalità, non tanto prodotti o tecnologie.
Riformare il FISMSA, e adottarlo globalmente, ovvero trasformare il Federal Information Security Management Act in uno standard misurabile, ripetibile, rilevante e in una significativa misura di sicurezza applicabile ovunque. Le agenzie devono essere coinvolte per condurre un’analisi del gap annuale identificando carenze di sicurezza, creando obiettivi e piani strategici per eliminare queste differenze e acquisendo i necessari finanziamenti.
Queste non sono solo le misure che possono o dovrebbero essere prese, ma rappresentano una direzione positiva oltre che, aspetto ancora più importante, riflettere il mondo attuale.