Attacchi informatici rivolti agli organi legislativi, abbastanza “leggeri” fino a qualche anno fa.
Complessivamente gli attacchi informatici che negli ultimi anni hanno colpito gli organi legislativi di molti Stati sono stati una mera routine e in qualche modo innocui. Nella maggior parte dei casi si è trattato di “defacement” dell’home page di un sito web (cioè la modifica illecita della pagina iniziale espressione di una rivendicazione, di solito politica) unito solitamente a un attacco DDoS (Denial of Service), che impediva a qualsiasi utente di accedere al sito fino a quando il problema non fosse stato risolto dai team di sicurezza.
Oggi a livello globale attacchi di “vecchio” tipo contro istituzioni statali sono ormai condotti quasi quotidianamente da gruppi di hacker affiliati a uno Stato o semplicemente spinti da una causa (terrorismo, ambientalismo, alter-globalismo, ecc.). Possiamo citare, ad esempio, l’attacco al sito web dell’Amministrazione federale svizzera durante la visita del presidente ucraino Volodymir Zelensky a Davos il 18 gennaio; oppure il potente attacco DDoS, che il 2 febbraio ha colpito il sito web della Direzione nazionale della sicurezza informatica rumena (DNSC), sferrato solo tre giorni dopo l’attacco alla Camera dei deputati, avvenuto il 30 gennaio. In ogni caso, il dato da sottolineare è che queste operazioni non influivano sull’effettivo contenuto dei server, ma causavano disagio agli utenti e davano qualche grattacapo ai team di sicurezza.
Gli obiettivi strategici presi di mira dai gruppi criminali più esperti
Il motivo principale della “debolezza” degli attacchi contro gli organi legislativi è che la maggior parte degli attacchi più sofisticati che hanno come oggetto il furto di dati si sono concentrati su obiettivi e documenti con un livello di segretezza più alto più di quello a cui potrebbero accedere un parlamento o un senato. Per i più potenti gruppi hacker, la ricchezza di uno Stato consiste nei suoi dati altamente sensibili, sia quelli delle agenzie governative legate alla sicurezza nazionale, sia quelli dei settori chiave come la sanità o le infrastrutture critiche
Questi obiettivi, costantemente sotto attacco sin dall’inizio della pandemia del Covid, se oggetto di violazione vedono il valore dei loro dati aumentare enormemente. Questo perché i dati possono non solo essere utilizzati da Stati avversari, ma possono essere anche venduti ad attori privati che operano in questi settori per ricavarne un enorme profitto.
Perché ora, e perché i parlamenti?
La risposta è complessa e racchiude molteplici cause: il deterioramento delle principali economie mondiali, causato da anni di pandemia, da un’instabilità geopolitica e militare mai vista dalla fine della Guerra Fredda, fattori ai quali si aggiungono l’inflazione, la speculazione e, di conseguenza, l’enorme necessità per i principali attori statali e privati di anticipare le decisioni prese dai loro concorrenti, e le loro ripercussioni nel quadro di una spietata competizione globale in cui non esistono né amici né alleati.
In tutti i Paesi dell’UE e dei Paesi membri del G20 e oltre, entrambe le Camere venivano in precedenza spiate attraverso la registrazione vocale utilizzando microfoni o spyware installati negli smartphone; come si è visto nel caso NSA e in quello, più recente, della Commissione e del Parlamento dell’UE. Da poco gli organi legislativi sono diventati un obiettivo primario dei gruppi hacker più noti. Senati e parlamenti trattano un’enorme quantità di dati: anche se la maggior parte di essi non sono nello specifico dati sensibili, ma alcuni di essi sono altamente rilevanti per i quattro grandi pilastri dell’economia, come gli argomenti trattati dalle commissioni specializzate che si occupano di settori strategici.
In questo contesto, i server delle Camere detengono alcuni “tesori” che possono essere utilizzati dagli Stati avversari o venduti illegalmente al settore privato. L’attacco, purtroppo riuscito, al centro dati del Parlamento rumeno – furto di 250 gigabyte e ransomware – è quindi l’ultimo di una lunga serie di attacchi iniziata ormai da tre anni.
Tenendo conto solo degli attacchi più rilevanti accaduti negli ultimi sei mesi, meritano di essere menzionati alcuni casi. Nel settembre 2023, il Parlamento canadese ha subito un potente attacco che ha portato al furto di molti dati; il mese successivo è stata la volta di entrambe le camere delle Filippine ad essere oggetto di un hacking massiccio, seguite da quelle del Belgio. Lo stesso giorno dell’attacco al Parlamento rumeno, uno dei principali data center privati utilizzati dal Parlamento svedese (parte del cloud pubblico nazionale) è stato completamente compromesso.
Senza raggiungere la portata critica degli eventi dello scorso anno ai danni del Pentagono o del governo svizzero – in quest’ultimo caso il centro dati, gestito da aziende militari statali, è stato oggetto di un attacco ransomware con la minaccia di rendere pubblici tutti i documenti – due degli attacchi ai Parlamenti sopra citati meritano particolare attenzione.
Da un lato, l’evento canadese ha impattato profondamente anche i dati del Ministero della Difesa, mentre l’incidente belga ha comportato il furto dati dell’ufficio del Primo Ministro, dell’ufficio del Re e di diversi altri ministeri. In realtà, entrambi questi attacchi altamente sofisticati hanno sfruttato l’organizzazione informatica di istituzioni diverse per avere un tale successo, il ché ci porta a presupporre che le Camere non fossero il loro obiettivo principale.
Lezioni da imparare
Abbiamo letto con interesse gli articoli pubblicati sui vari giornali nazionali ed esteri sul caso del Parlamento rumeno. Purtroppo, da anni sentiamo dire che la sicurezza informatica deve essere la “priorità zero” per tutti i governi e tutti gli enti statali, le stesse dichiarazioni senza seguito che vengono rilasciate dopo ogni incidente.
In questo contesto, le sfide sono enormi. Per primo la necessità di ogni Stato di reclutare un maggior numero di specialisti di sicurezza informatica, una sfida difficilmente compatibile con l’attuale periodo di recessione e di bilanci in crisi.
È poi necessario chiarire in quale modo una nazione voglia sviluppare il proprio “cloud governativo” o “cloud pubblico”, questi non offrono maggiore sicurezza rispetto ai server statici a meno che non siano creati ad hoc con sistemi all’avanguardia.
Peggio ancora, il sistema “cloud-based” necessita molte connessioni remote sicure e una supply chain dei dati in transito quasi blindata. Ora, come abbiamo visto negli Stati Uniti (caso Solarwinds) e in Svizzera (cloud creato e gestito da aziende militari statali), anche le migliori supply chain possono essere violate.
Inoltre, alla fine dietro un servizio cloud c’è sempre un sistema di server fisici. Nel consueto scenario anglosassone del “cloud pubblico”, garantito dalle più alte organizzazioni statali, ma anche in quella più ristretta del “cloud governativo”, l’attacco informatico svedese del 29 gennaio rappresenta il peggior incubo possibile. Infatti, uno dei database utilizzati, appartenente alla società più affidabile della Finlandia, non è ancora funzionale e la perdita di documenti, tutt’ora in corso di quantificazione, riguarda, oltre ai documenti di Stato, i dati di importanti istituzioni bancarie e commerciali.
Infine, ma non meno importante, è fondamentale scegliere le migliori tecnologie e i migliori specialisti. A questo proposito, vanno sottolineati due elementi. Il primo è che tutte le tecnologie più sicure, che includono la crittografia quantistica e l’intelligenza artificiale, non sono in mano ad aziende europee; quindi, anche se queste aziende globali (con sedi negli Stati Uniti e Cina, principalmente) possono costruire le componenti fisiche sul territorio dell’UE, si creerà comunque una dipendenza extra-UE che potrebbe non essere compatibile con le norme del GDPR.
Se andiamo oltre, già da un punto di vista tecnologico, la domanda “quis custodet custodes?”, cioè chi custodisce i (dati), la Romania come molti altri Stati dell’UE, dovrà scegliere tra affrontare la “tradizionale” sfiducia comune nei confronti delle proprie agenzie di sicurezza statali (servizi di intelligence) e la rischiosa strada della privatizzazione della sicurezza, dell’hosting e del corretto funzionamento del cloud governativo. Questo è un rischio che solo gli Stati Uniti, la Cina la Russia o Israele possono permettersi, avendo tali aziende leader mondiali nella loro giurisdizione nazionale, con tanto di interpenetrazioni colle agenzie di intelligence dei loro stati.
Questi attacchi continueranno … con l’intelligenza artificiale non si perde nulla…
Purtroppo, tali attacchi continueranno perché oltre ai dati critici/ ultrasensibili che, se trovati, saranno immediatamente commercializzati, non bisogna sottovalutare le “big tech” dell’intelligenza artificiale – così come i gruppi di criminali informatici che posseggono questa tecnologia – e i miliardi di dati di cui hanno bisogno ogni giorno per migliorarne il funzionamento.
In assenza di un quadro legale ed etico, e pur senza esserne direttamente responsabile, l’intelligenza artificiale ha trasformato in bersaglio della criminalità informatica ogni entità pubblica o privata che possiede un massiccio centro di elaborazione dati, indipendentemente dalla loro sensibilità/riservatezza. L’IA ha bisogno di peta- ed exa- bit quotidiani estratti da tutte le fonti globali possibili, legali o meno, da prendere sul web o da acquisire.
Di conseguenza, nulla è perduto per gli hacker, poiché i documenti rubati più importanti saranno immediatamente utilizzati (se l’attacco è stato pagato da un’entità) o venduti a caro prezzo, mentre il resto dei dati verrà inglobato con altri dati, costituendo così “pacchetti” che diventino interessanti, in termini di volume, per i grandi attori (legali o criminali) del campo dell’intelligenza artificiale.
Autore: Laurent Chrzanovski