IL “bollino cyber”, la certificazione della European Cyber Security Organisation (ECSO).

Roberto Villani : 9 Febbraio 2022 09:51

Autore: Roberto Villani
Data pubblicazione: 15/01/2022

Si è acceso un forte dibattito all’interno della comunità white hat, riguardo la proposta da parte della European Cyber Security Organisation (ECSO) di dotare le aziende che fanno cyber-security di una certificazione di autenticità. Un “bollino” di sicurezza riguardo l’affidabilità della azienda che sta operando nel settore cyber, sempre più in sviluppo e soprattutto senza limiti, come natura stessa dello spazio cyber e della rete.

In realtà il bollino potrebbe rappresentare un valore aggiunto per molte aziende, al netto delle capacità tecniche dei suoi appartenenti, perché offrirebbe al mercato un certificato di affidabilità che un eventuale committente statale o parastatale, valuterebbe in funzione delle sue esigenze. Il settore cyber, come abbiamo molte volte detto su queste pagine, è in continua espansione e non deve essere considerato limitato solo ai bit del computer, o della composizione di un virus aggressivo, le cui caratteristiche sono esclusivamente di dominio degli esperti; una squadra di cyber-security non è solo esperti di computer, ma come nelle migliori squadre sportive, ognuno dei suoi componenti deve esprimersi al meglio nella sua posizione.

Elementi di valutazione nelle analisi di un aggressione cibernetica, sono anche il tempo, la tecnica, il target colpito, la definizione dell’attacco, il tipo di attacco. Abbiamo più volte sottolineato come questi elementi definiscano il “profilo” del’attaccante, se pur questo è nascosto dietro delle botnet. L’attore che programma una rete di botnet per scatenare un attacco su vasta scala, lascia tracce e soprattutto dipinge una strategia post attacco, che gli esperti di cyber-intelligence inseriti nelle squadre delle aziende di security devono assolutamente avere. Ecco allora che una certificazione può dare quel dato informativo che potrebbe aiutare le aziende.

La sinergia tra le aziende private e gli Stati diviene ancor più importante e necessaria quando bisogna attribuire un attacco ricevuto. L’attribuzione dell’attaccante è uno dei punti più controversi nella moderna cyberwarfare, perché alle classiche informazioni che il target riceve con un attacco, si aggiunge anche l’importante dato da comunicare all’esterno, ossia cosa fare con questa informazione una volta acquisite. Che valore può rappresentare per me sapere chi mi ha attaccato?

Qui si innesca il dettaglio maggiore del processo di cyber-intelligence che abbiamo compiuto dopo l’attacco. L’attaccante, se individuato, viene costretto ad una serie di contromosse post attacco che possono anche compromettere la sua stessa azione. L’hacking back è il nuovo scenario in cui misurarsi, il nuovo campo di gioco che vede però la situazione ribaltata, dove colui che ha attaccato adesso deve difendersi, deve utilizzare tutte le sue potenzialità per poter rendere vani i vantaggi che l’attaccato ha elaborato, dopo un buon processo di intelligence.

Questo continuo ribaltamento di fronti, rende la cyber war molto più imprevedibile di una guerra convenzionale, come sottolineava l’ex direttore della CIA ed esperto militare Michael Hayden già nel 2007. Hayden analizzando tutte le crisi internazionali che hanno visto gli USA coinvolti negli anni del secolo breve, ed in alcune è stato anche direttamente coinvolto quale militare in carriera nell’USAF.

Infatti, aveva già previsto quali difficoltà si potevano riscontrare nella guerra cyber e soprattutto quale forza poteva avere l’intelligence all’interno di questo moderno conflitto.

Perché quindi abbiamo bisogno di informazioni e come poterle utilizzare al meglio nel conflitto cibernetico. In diverse occasioni pubblicate qui sul blog, abbiamo detto come il controllo delle informazioni che circolano in rete siano il dominus per prevedere attacchi e saperli respingere al meglio. Vi abbiamo anche detto che non considerare fattori esterni al mondo cyber nella gestione di questi attacchi sia un errore. Non comprendere nell’analisi l’elemento geografico per esempio, oppure quello economico, piuttosto che quello delle relazioni internazionali, politiche e commerciali è il più grande errore che una azienda certificata può fare, se vuole offrire un buon prodotto di cyber-security.

Non vi suggeriamo di fare come i grandi Big Player perché il supporto a quella azienda arriva direttamente dagli USA, ma creare una rete di specialisti in settori multidisciplinari, potrebbe essere un buon investimento. Un esperto di analisi economica per esempio, potrebbe dare valutazioni su acquisizioni, fusioni e progetti delle aziende quotate in borsa, che magari stanno investendo soldi su tecnologia quantistica, il prossimo futuro cui molti paesi mirano.

La Cina sta recuperando questo gap tecnologico perché ha compreso benissimo come non si possano intercettare i messaggi basati su crittografia quantistica, mantenendo quindi il riserbo su diverse operazioni e sugli interessi da proteggere.

Allo stesso tempo sempre il dragone cinese, ha stretto collaborazione con il Pakistan fornendo a Karachi i nuovi satelliti prodotti a Pechino per avere un corridoio spaziale privo del controllo USA, e non volete per questo un esperto o un appassionato conoscitore delle relazioni internazionali nel vostro team di cyber security, che sappia “leggere” queste informazioni?

Per quanto anche leggere una cartina geografica, monitorare una semplice app di controllo marittimo delle imbarcazioni, potrebbe fornirvi dettagli importanti nella vostra analisi, perché guardando i flussi commerciali delle navi, e le posizioni delle unita navali militari schierate negli oceani, potrebbe farvi identificare il vostro attaccante, al fine di capire perché ha compiuto l’attacco.

Non da meno potrebbe essere utile un esperto o appassionato di spazio, perché la prossima frontiera di scontro, anzi la prossima cyber-frontiera è lo spazio. La guerra cibernetica per Il controllo dello spazio celeste è già in atto e molti paesi, seguendo indicazioni, stanno valutando come muoversi. Anche se la Cina è arrivata tardi nello spazio cosmico – il vantaggio USA e RUSSIA è storico, cui poi si è aggiunta l’Europa ed in ultimo Pechino, solo dal 2002 ha iniziato ad investire massicciamente. Sono nate aziende che hanno iniziato a guardare nello spazio con molta più tenacia del Capitano Kirk dal ponte di comando della sua “Enterprise”.

Non escludere neanche l’analisi geopolitica in un buon processo di cyber-intelligence, perché notizie importanti come gli ultimi arresti compiuti dal FSB russo, che ha disarticolato una cyber gang criminale, aiutano ad elaborazioni ed analisi, le quali viste sotto una doppia lente, restituiscono informazioni importanti.

Un paese – la Russia – da sempre indicato come base di molte cyber gangs, che nel pieno di una crisi internazionale con movimenti di truppe militari e PMC ai confini con l’Ucraina, disarticola una cyber-gang? E per quale motivo? Cosa avevano fatto quei cattivi pirati informatici di cosi grave, lo sappiamo? Possiamo escludere che disarticolando la cyber-gang di fatto non siano sparite anche cyber-prove compromettenti che avrebbero messo sotto accusa il governo di Mosca?

Insomma il “bollino” alle aziende di cyber-security o quantomeno una certificazione di provata affidabilità, potrebbe essere quel lasciapassare utile alle esigenze del nostro paese, etichettato come “scimpanze” nella comunità hacker internazionale, perché privo di consapevolezza e di adeguate difese.

Potrebbe dare riscatto a tutte quelle aziende che non avendo potuto partecipare a bandi ufficiali in passato, hanno perduto risorse umane di valore, perché captate da società di altri paesi, soprattutto quei paesi che si affacciandosi sul panorama internazionale sfruttano eventi di rilevanza turistica o industriale, per avere disponibile nuova linfa intellettuale e professionale.

Potrebbe fornire importanti indicatori di valutazione sia del personale, sia della specificità del settore in cui l’azienda di cyber-security vuole offrire. Ma soprattutto darebbe alla nostra ACN, la collaborazione di una rete composta da esperti multidisciplinari per non essere bucata dai cyber-eserciti, che gli Stati più preparati nel cyber-mondo stanno migliorando sempre di più.

Roberto Villani
Dilettante nel cyberspazio, perenne studente di scienze politiche, sperava di conoscere Stanley Kubrick per farsi aiutare a fotografare dove sorge il sole. Risk analysis, Intelligence e Diritto Penale sono la sua colazione da 30 anni.