Vertice G7: lo scenario del cyber terrorismo e le difese necessarie

Di Francesco Arruzzoli*

ROMA. Nel contesto sempre più digitalizzato del nostro mondo, i vertici politici rappresentano obiettivi altamente sensibili per i cyber terroristi. Questi attacchi possono compromettere non solo la sicurezza delle informazioni ma anche la stabilità politica e la fiducia del pubblico. Dal 13 al 15 giugno si terrà a Borgo Egnazia in Puglia, il vertice G7 di cui fanno parte Canada, Francia, Germania, Giappone, Italia, Regno Unito, Stati Uniti. Il vertice del G7 rappresenta un’occasione cruciale per le principali economie mondiali di discutere questioni geopolitiche, economiche e sociali e la sua rilevanza globale lo rende un obiettivo primario da parte di forze avversarie di diversa natura e motivazioni: attivisti, movimenti terroristici, gruppi cyber ed intelligence di governi stranieri.

Le bandiere dei membri del G7

Negli ultimi decenni si è sviluppato sempre più il concetto di guerra asimmetrica e conflitti armati “ibridi”, dove il termine “asimmetrico” si riferisce ai conflitti irregolari, mentre il termine “ibrido” sottolinea il fatto che occorre preparare le forze a fronteggiare un’intera gamma di possibili minacce eterogenee.

L’asimmetricità dei conflitti permette anche a gruppi terroristici  e  piccole fazioni armate di fronteggiare eserciti regolari, non combattendo prettamente su un ambito cinetico tradizionale, dove avrebbero sicuramente la peggio, ma attraverso altri domini ed in particolare un dominio che negli ultimi anni si è aggiunto a quelli tradizionali (terra, aria, mare, spazio) è quello del cyberspazio.

Come la storia ci insegna un attacco cyber potrebbe avere lo stesso effetto di un attacco “convenzionale” o addirittura superiore, e spesso, non occorrono ingenti capitali o particolari risorse tecnologiche per attuarlo, ma potenzialmente, l’attacco può essere sferrato da qualsiasi parte del mondo con un semplice PC connesso ad Internet, per questo motivo eventi internazionali come il G7 sono eventi particolarmente soggetti ad attacchi cyber.

Organizzare un vertice politico del genere, in termini di sicurezza informatica può rappresentare un vero incubo: team di sicurezza di paesi diversi che devono allinearsi con procedure e protocolli, controlli di tutti i dispositivi, crittografia delle comunicazioni, alta affidabilità dei sistemi di monitoraggio e molto altro, inoltre al Paese ospitante, in questo caso l’Italia, l’onere della gestione della sicurezza di tutti i vari domini.

Le minacce cyber a cui il vertice potrebbe essere esposto, possono essere di varie tipologie, dai tentativi di infiltrarsi nei sistemi di comunicazioni per spiare le conversazioni, registrare contenuti sensibili o discussioni ad attacchi mirati ad interrompere i lavori fino a minacciare l’incolumità dei partecipanti.

La sicurezza del vertice dipende da diversi fattori e quella che tecnicamente viene chiamata la “superficie di attacco” dei sistemi informatici, cioè tutto quello che è esposto a potenziali attacchi (reti, dispositivi, dati, comunicazioni, informazioni, etc.) è potenzialmente raggiungibile da qualsiasi parte del mondo.

Eventi come G7 rischiano di essere esposti a numerose tipologie di minacce cibernetiche

Generalmente, in simili eventi, tutta l’infrastruttura di rete voce/dati locale è appositamente allestita per l’occasione, con connessioni ridondate tra linee fisse, mobili e satellitari. L’accesso alla rete Internet, ove necessario, viene filtrato a più livelli in modo che nulla possa entrare o uscire senza essere stato autorizzato e controllato, tutte le comunicazioni, le trasmissioni ed i dati sui dispositivi sono cifrati.

Tutti i dispositivi (pc, notebook, smartphone, etc..) oltre a disporre di applicazioni anti malware aggiornate, sono connessi alla rete locale solo se autenticati e autorizzati a comunicare e scambiare informazioni attraverso un modello “Zero Trust”.  Con il modello Zero Trust, nessun utente o dispositivo è considerato affidabile per accedere ad una risorsa fino a quando non ne vengono verificate l’identità e l’autorizzazione, tutti gli utenti, i sistemi e i dispositivi devono essere considerati non attendibili fino a prova contraria.

Va inoltre considerato che nell’ultimo decennio la superfice di attacco dei sistemi informatici è aumentata incredibilmente, e proprio il termine cyber ne identifica questo aspetto. Infatti il termine “cyber security” rispetto a “sicurezza informatica” non è solo la terminologia inglese di “sicurezza informatica” ma indica la convergenza tra il mondo virtuale e quello reale.

Oggi, infrastrutture tecnologiche critiche come ad es. reti elettriche, reti idriche, impianti industriali, etc..  sono sempre più governate da sistemi informatici, colpire un sistema in termini cyber può avere delle ripercussioni sul mondo fisico, ad es., un cyber attacco alla rete elettrica vuole dire “spegnere” letteralmente un quartiere, una città, una nazione.

In quest’ottica, l’evoluzione in termini di attacco si sviluppa sul mondo fisico, ad es. eventuali impianti domotici che controllano l’illuminazione, l’apertura delle porte, gli impianti di condizionamento, nel luogo dell’evento richiederanno una attenta attività di bonifica. Un attacco a questi sistemi può essere particolarmente critico se coordinato durante i momenti salienti del vertice.

Anche attacchi cinetici portati attraverso tecnologie “cyber”, come ad es. droni a guida autonoma armati di esplosivo e realizzati “in casa”, sono contemplati come una possibile minaccia reale.

Anche piccoli droni “fatti in casa” guidati attraverso tecnologie cyber, o usati con l’ausilio di esse, possono rappresentare una seria minaccia

Oltre a considerare l’aspetto organizzativo di difesa dei sistemi, l’aspetto umano rimane sempre l’elemento più delicato, gli attacchi di ingegneria sociale attraverso tecniche di phishing potrebbero essere utilizzate verso tutto lo staff (camerieri, reception, etc..) deputato all’accoglienza, che potrebbero diventare inconsapevolmente un vettore di attacco, attivando ad es. uno spyware da una mail apparentemente sicura, o indurre il personale, magari attraverso  una telefonata con l’apparente voce di un coordinatore (grazie alle tecnologie del deep fake) , a forzare la modifica di alcune procedure di sicurezza operativa.

Un aspetto sempre più preponderante nell’ambito della cyber sicurezza ed in particolar modo in situazioni come l’evento del G7, risiede nella capacità di monitorare sia quello che avviene durante l’evento sia prima che l’evento abbia inizio, ovvero essere in grado di acquisire, analizzare e correlare tutte le informazioni, che potrebbero essere connesse all’evento.

La capacità di trasformare le informazioni su una potenziale minaccia in informazioni di “intelligence” sulla minaccia è sempre di più sviluppata attraverso piattaforme di Threat Intelligence.  Internet oggi contiene e continua a raccogliere miliardi di informazioni ogni giorno su qualsiasi cosa, persone, luoghi ed avvenimenti, sempre più spesso gli attacchi cyber vengono preparati acquisendo informazioni sulle vittime direttamente dal web, attraverso le fonti aperte (OSINT), i social network (CLOSINT) ed il DarkWeb con la presenza di Data Leak e Data breach, individuare queste informazioni e valutarne i possibili pericoli è uno dei principali compiti delle piattaforme di Threat Intelligence.

Le informazioni possono essere infatti utilizzate come veicolo di attacco in vari modi, il vertice con la sua rilevanza globale, è un obiettivo primario per attacchi basati sulla disinformazione, mirati a destabilizzare le relazioni internazionali, influenzare l’opinione pubblica e compromettere la sicurezza nazionale dei paesi partecipanti.

Ad esempio, la diffusione di informazioni false tramite social media, blog e siti di notizie false per creare sfiducia tra i leader del G7, utilizzo di bot e account falsi sui social per amplificare narrazioni false o polarizzanti, alfine di alterare la percezione pubblica sui temi trattati.

Ma c’è di più, il luogo, le persone e le organizzazioni coinvolte nella preparazione e gestione del vertice G7, civili e militari, possono essere esposte su internet in termini di informazioni lavorative e personali, informazioni di pubblico dominio che possono essere utilizzate dagli aggressori per pianificare possibili strategie di attacco.

Ad es. se si analizza il resort dove si svolgerà il vertice, attraverso le mappe di Google Earth, è possibile notare che l’intero complesso è delimitato ed isolato dal contesto circostante da campi coltivati e dal mare con vicino un porto

La posizione del resort sulla mappa di Google Earth

Una superfice aperta che, ad es., se da una parte potrebbe privilegiare attacchi con piccoli droni, dall’altra permetterebbe alle contromisure di intercettarli più facilmente.

Un probabile aggressore, per valutare l’ultimo giorno disponibile per un eventuale sopralluogo nel resort al fine di effettuare un tentativo di compromissione dei sistemi tecnologici, potrebbe sfruttare il sistema di prenotazione per verificare la disponibilità.

Il sistema di prenotazione del resort

Questi sono banali esempi servono solo a dare l’idea di quante informazioni da fonti aperte, possono essere raccolte, e come, a secondo dei casi, possono divenire critiche.

Mentre la minaccia dei cyber terroristi ai vertici politici è reale ed in costante evoluzione, una combinazione di consapevolezza, tecnologia avanzata e pianificazione strategica può ridurre significativamente i rischi. Garantire la sicurezza dei vertici politici non è solo una questione di protezione dei partecipanti, ma anche di salvaguardia della stabilità globale.

*Responsabile R&D e Centro Studi Cyber Defense Cerbeyra

© RIPRODUZIONE RISERVATA

Autore