1
XXVII CONVEGNO SISP
UNIVERSITÀ DI FIRENZE CESARE ALFIERI 12 - 14 SETTEMBRE 2013
SEZIONE 8. RELAZIONI INTERNAZIONALI
8.8. Intelligence e Globalizzazione: Il caso italiano (II)
8.8.4. Guerra dal cyberspazio. La difesa delle reti infrastrutturali critiche dalla minaccia cibernetica
NICCOLÒ DE SCALZI – LEOPOLDO GUDAS – LUIGI MARTINO UNIVERSITÀ DEGLI STUDI DI FIRENZE – FACOLTÀ DI SCIENZE POLITICHE
Prima bozza. Si prega di non citare.
Sono benvenute osservazioni e commenti: [email protected] [email protected], [email protected]
2
I. | Premessa
Il dibattito specialistico sul rischio (reale o meno) di una guerra cibernetica potrebbe aver già
mietuto la prima vittima: la chiarezza, elemento fondamentale per chi si misura con le necessità di
pianificazione della difesa di uno Stato1. Un primo elemento incontrovertibile è che la sicurezza dei
moderni Stati informatizzati passa attraverso le sue infrastrutture industriali, gli eserciti possono
essere aggirati e le popolazioni colpite semplicemente manomettendo il funzionamento dei sistemi
automatizzati che gestiscono dighe, centrali elettriche o reti autostradali. A fronte di questa realtà vi
sono degli elementi che contribuiscono a generare malintesi e fraintendimenti i cui effetti possono
essere potenzialmente dannosi per la mancata consapevolezza della reale posta in gioco e dunque
del necessario sostegno politico a opportuni investimenti nel comparto tecnologico della difesa. Tra
gli elementi forieri di fraintendimenti intorno ai rischi di una guerra cibernetica ci sentiamo di
sottolineare:
- La tendenza diffusa, a livello di mass media e opinione pubblica, a considerare semplici
azioni di sabotaggio informatico o spionaggio industriale mediante intrusioni in sistemi
computerizzati siano azioni di cyber-war tout-court.
- La tendenza diffusa a considerare la minaccia cyber ad infrastrutture critiche come un
problema di competenza dei ministeri di telecomunicazioni e infrastrutture piuttosto che un
problema da delegare ad un organo ad hoc del ministero della difesa o dell’intelligence;
- La tendenza diffusa a considerare gli attacchi informatici come un rischio esclusivamente
legato alla dimensione virtuale della nostra vita, come cercheremo di dimostrare col
concetto di reti cyber-fisiche e per via della crescente centralità dei sistemi SCADA nei
complessi industriali un attacco informatico può rapidamente produrre effetti nel mondo
reale.
A nostro avviso2, la grammatica della guerra cibernetica è semplicemente differente da quella della
guerra nucleare o da quella convenzionale: se la logica rimane indissolubilmente legata agli scopi
politici di un conflitto, a livello operativo la mancata comprensione della grammatica della guerra
cibernetica con i suoi mezzi, le sue armi e le sue peculiarità impedirà di tradurre in dividendi
politici gli investimenti in tecnologie informatiche e armamenti cibernetici. Una condizione
deficitaria che porrà gli Stati in balia delle scorribande di gruppi tecnologicamente organizzati con
intenzioni criminali. Le possibilità di colmare questo gap esistono se si accetta di misurarsi con una 1 John Arquilla, D. Ronfeldt, “Cyberwar is coming” in J. Arquilla, D. Ronfeldt (a cura di) In Athena’s Camp: Preparing for Conflict in the Information Age, Rand Corporation, 1993, pp. 23-59. Per un punto di vista contrario si veda T. Rid, “Think Again: Cyberwar”, in «Foreign Policy», march-april 2012. Consultabile: http://www.foreignpolicy.com/articles/2012/02/27/cyberwar. Consultato il 7 agosto 2013. 2 Ci sembra cioè convincente la posizione espressa da Scott Borg. Vd. ID., “Logica della guerra cibernetica” in «Limes», Quaderni speciali, Aprile 2012, pp. 47-53
3
“gioco” completamente nuovo: se la deterrenza “classica” non è più applicabile, occorrerà misurarsi
in termini di dissuasione tecnologica, se gli eserciti saranno aggirabili mediante il controllo di
infrastrutture vitali, occorrerà organizzare il comparto difesa per la protezione di queste
infrastrutture spesso in mani private. Gli strumenti di comprensione esistono e sono quelli mutuati
dalla teoria matematica dei grafi che consente una schematizzazione dell’ossatura portante di una
rete infrastrutturale e la scienza delle reti (network science) che consente la comprensione delle
interazioni e dei risultati prodotti nel mondo del c.d. internet of things.
1.1. | Infrastrutture Critiche, concetto e definizioni
Secondo l’enciclopedia Treccani con il termine infrastruttura s’intende: “Il complesso degli
impianti e delle installazioni occorrenti all'espletamento di servizi”3. In un’interpretazione estesa
alla sicurezza nazionale sono prese in considerazione le infrastrutture dal cui funzionamento
“continuo e coordinato” dipende lo sviluppo, la sicurezza e la qualità della vita nei paesi
industrializzati. Per la loro importanza e strategicità, e per il loro carattere di necessità, tali
infrastrutture sono definite così infrastrutture critiche (IC)4. L’importanza di questo complesso di
sistemi e tutto fuorché un concetto astratto o esclusivamente teoretico, i sistemi d’infrastrutture di
cui è dotato uno stato moderno sono altamente interconnessi e mutualmente dipendenti, sia
fisicamente sia attraverso tecnologie di informazione e comunicazione (i cosiddetti sistemi cyber-
based)5. Nel campo delle IC, come dimostrato dal famoso caso del black-out in Italia del 28
settembre 20036, il failure di una infrastruttura critica può facilmente innescare effetti, direttamente
o indirettamente, su altre infrastrutture e su intere popolazioni. L’impatto può inoltre riguardare
un’ampia regione ed avere effetti sia a livello nazionale sia internazionale, con ripercussioni anche
di tipo economico. Dalla nostra prospettiva la necessità di un’analisi della struttura e della ossatura
che collega e garantisce il funzionamento della vasta rete di IC è centrale: pianificare la sicurezza
nazionale di uno stato significa predisporre la difesa di tutte le sue parti comprese appunto le
singole infrastrutture, ma nel campo delle IC il concetto classico di rischio deve considerare anche
3 TRECCANI.IT, definizione di “infrastruttura”, Roma, Istituto della Enciclopedia Italiana, 2013. Consultato in data 17 agosto 2013. 4 D. PEDERSON, D. DUDENHOEFFER, S. HARTLEY, M.PERMANN, “Critical Infrastructure Interdipendency Modeling: A Survey of U.S. and International Research, U.S. Department of Energy National Laboratory, Agosto 2006, p. 1. 5 S. M. RINALDI, J. P. PEERENBOOM, T. K. KELLY, “Identifying, Understanding, and Analyzing Critical Infrastructure Interdipendencies”, IEEE Control Systems Magazine, Dec. 2001, p. 1. 6 Il 28 settembre 2003 in Italia si verificò il più lungo black out della linea elettrica italiana. L’incidente fu causato dalla caduta accidentale di un albero finito su un traliccio della linea svizzera ad alta tensione Lavorgo-Melten alle ore 03.01, e dall'allungamento dei conduttori per dilatazione termica causata da correnti elevate: la linea si aprì in protezione e non fu possibile reinserirla. Il carico si redistribuì automaticamente sulle altre linee, che andarono oltre i limiti di sicurezza e si aprirono a loro volta. La vicenda è ricostruita in maniera articolata in un report dell’agenzia confederale svizzera dell’Energia, vd. R. BACHER, U. NÄF, M. RENGGLI, W. BÜHLMANN, H. GLAVITSCH, “Report on the blackout in Italy on 28 september 2003”, Berna, Swiss Federal Office of Energy (SFOE).
4
il concetto di fragilità dell’interdipendenza tra le varie IC7. L’interdipendenza tra IC è il concetto
chiave per un’analisi sulla sicurezza giacché si tratta di “una rete di sistemi indipendenti, per la
maggior parte a proprietà privata e creati dall’uomo e un insieme di processi che funzionano
collaborativamente e sinergicamente per produrre e distribuire un flusso continuato di beni
essenziali e servizi” 8. In questa definizione appare evidente come il funzionamento “collaborativo e
sinergico” sia parte fondamentale dell’operatività di tutto l’insieme delle IC che agiscono così come
un “sistema di sistemi”9. Già nel 1997 vengono identificate otto IC “la cui distruzione o incapacità
avrebbe un impatto debilitante nella nostra (americana N.d.A.) difesa e sicurezza economica”10. La
definizione è stata in seguito ampliata dall’agenzia governativa “Critical Infrastructure Assurance
Office” (CIAO) secondo cui con il termine infrastruttura ci si riferisce alla “ossatura delle reti
interdipendenti e dei sistemi, comprese le industrie, le istituzioni (inclusi le persone e i processi) e
la distribuzione delle capacità che forniscono un flusso sicuro di prodotti e servizi essenziali per la
difesa e la sicurezza economica degli Stati Uniti, il tranquillo funzionamento del governo a tutti i
livelli e della società allo stesso tempo”11.
Le otto IC prese in considerazione dal Report del 1997 sono: (1) reti elettriche, (2) reti di gas e
petrolio: produzione e distribuzione; (3) telecomunicazioni: informazioni e comunicazioni; (4)
trasporti; (5) reti idriche; (6) sistemi bancari e finanziari; (7) servizi di emergenza e governativi; (8)
altri sistemi e servizi fondamentali per la sicurezza economica e la prosperità. Nella prospettiva
ampliata dalla definizione di IC fornita dalla Direttiva Presidenziale 63 si aggiungono anche le
infrastrutture legate all’alimentazione e all’agricoltura (incluse le fasi di produzione, conservazione
e distribuzione), lo spazio, numerose materie prime come ferro, acciaio, alluminio e anche beni
finiti, le infrastrutture sanitarie (pubbliche e private) e il sistema educativo.12
Un’analisi che voglia comprendere e analizzare le interdipendenze tra le varie IC non può
prescindere da un’ulteriore riflessione che prenda in considerazione anche i fattori correlati e i
vincoli di sistema che influenzano il funzionamento di una IC e che si trovano riportati nelle 6
“dimensioni” della figura 1.
7 V. PELINO, “Reti Cyber-Fisiche. Vulnerabilità a Random Failures e Attacchi Intenzionali, Roma, Aeronautica Militare CNMCA, p. 1. 8 A.A.V.V., “Critical Foundations: Protecting America’s Infrastructures”,Washington DC, President’s Commission on Critical Infrastructure Protection, 1997. 9 Il termine deriva dal linguaggio militare dove sistema di sistemi sta ad indicare il collegamento dei singoli dispositivi militari in un dispositivo congiunto o “joint”. Per una trattazione più estesa si rimanda a W.H. MANTHORPE JR., "The Emerging Joint System-of-Systems: A Systems Engineering Challenge and Opportunity for APL," Johns Hopkins APL Technical Digest, Vol. 17, No. 3 (1996), pp. 305–310 10 A.A.V.V., “Critical Foundations…”, op. citata 11 THE WHITE HOUSE, “Presidential Decision Directive NSC/-63”, Washington, 22 May 1998 12 THE WHITE HOUSE, “Presidential Decision…” op. citata
5
FIG. 1. Le sei dimensioni che condizionano il funzionamento di una IC
FONTE: AAVV “Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies”, IEEE Control Systems Magazine, December 2001, p. 12.
1.2. | Infrastrutture come “sistemi adattivi complessi”
Tutte le IC sin qui prese in considerazione hanno una proprietà in comune: sono tutte un complesso
di unità interagenti nelle quali intervengono spesso cambiamenti che sono il risultato di un processo
adattivo, si parla cioè di “sistemi adattivi complessi” o, secondo la dicitura anglosassone, Complex
Adaptive Systems (CASs). Secondo questa prospettiva di analisi, ciascuna componente di
un’infrastruttura costituisce una piccola parte di una rete intricata che forma l’infrastruttura nel suo
complesso. Ciascuna infrastruttura è adattiva dato che ogni sua componente è influenzata dalla
passata esperienza. Molte componenti di una IC, infatti, sono in grado di imparare dalle passate
esperienze e adattarsi alle aspettative future esattamente come gli esseri umani. Una rete,
esattamente come la natura umana, “non è statica, ma si evolve e si estende geograficamente nel
corso degli anni”13. Anche per questa ragione, lo studio di reti biologiche è sempre più importante
per i pianificatori della sicurezza delle reti tecnologiche14. Anche per queste ragioni, un’IC non è
semplicemente l’aggregazione di ogni sua componente, ma un ampio insieme di componenti che 13 V. PELINO, “Reti Cyber-Fisiche. Vulnerabilità a Random Failures e Attacchi Intenzionali”, p. 20, op. citata. 14 Si veda tra gli altri A. TERO, S. TAKAGI, T. SAIGUSA, K. ITO, D. P. BEBBER, M. D. FRICKER, K. YUMIKI, R. KOBAYASHI, “Rules for Biologically Inspired Adaptive Network Design”, Science 22 January 2010, 327 (5964), pp. 439-442
6
interagendo l’un l’altra danno vita ad una sinergia. Basti considerare, a titolo di esempio, la
consegna di energia elettrica da parte di un insieme di generatori elettrici, trasformatori e linee di
trasmissione e altre componenti collegate: la semplice aggregazione di tutti questi sistemi di per sé
non garantisce il funzionamento della linea elettrica. Solamente la creazione di un sistema inteso
come complesso di parti collegate secondo un criterio di funzionamento può garantire un’affidabile
e continuo afflusso di energia. Il comportamento del sistema come insieme o del sistema di sistemi
è dunque di più o diverso da quanto si otterrebbe della semplice somma delle sue singole parti15.
Sistemi adattivi complessi come le IC non richiederebbero necessariamente un controllo
centralizzato affinché emergano comportamenti di sistema, tuttavia per i pianificatori responsabili
del corretto funzionamento di tali sistemi diventa irrinunciabile comprendere la natura e il
comportamento delle IC. 16
1.3. | Dipendenza e Inter-dipendenza delle Infrastrutture Critiche
Con il termine “dipendenza” s’intende la relazione solitamente unidirezionale tra due infrastrutture,
come ad esempio la relazione tra rete elettrica e rete delle telecomunicazioni TLC (la seconda
dipende per il suo funzionamento dalla prima, vedi Fig. 2). La dipendenza è dunque il collegamento
o la connessione tra due infrastrutture attraverso cui lo stato di un’infrastruttura influenza e/o è
correlato al funzionamento dell’altra17
FIG. 2. Esempio di dipendenza di infrastrutture critiche da infrastruttura di rete elettrica
FONTE: A.A.V.V. “Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies”, IEEE Control Systems Magazine, December 2001 p. 14.
15 A. AXELROD AND M.D. COHEN, Harnessing Complexity: Organizational Implications of a Scientific Frontier, New York, Free Press, 1999, pp. 32-61 16 E. BONABEAU, M. DORIGO, G. THERAULAZ, Swarm Intelligence: From Natural to Artificial Systems, Oxford, U.K., Oxford University Press, 1999 17 A.A.V.V. “Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies”, IEEE Control Systems Magazine, December 2001 pp.12-14
7
Passando invece all’analisi di un insieme di molteplici infrastrutture collegate come un “sistema di
sistemi” si prende in considerazione il fattore di interdipendenza ossia una situazione nella quale le
IC sono connesse in diversi punti attraverso un’ampia varietà di meccanismi e relazioni
bidirezionali che esistono tra ogni parte della IC. Per interdipendenza s’intende dunque una
relazione bidirezionale tra due infrastrutture attraverso cui lo stato di ciascuna infrastruttura è
influenzato o correlato allo stato dell’altra., più in generale due IC sono interdipendenti quando
ciascuna è dipendente dall’altra.
FIG. 3. Esempi di interdipendenza tra IC
FONTE: AAVV “Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies”, IEEE Control Systems Magazine, December 2001, p. 15
Le relazioni complesse raccolte nella Fig. 3 illustrano le relazioni di interdipendenza tra alcune
infrastrutture. Queste connessioni sono caratterizzate da connessioni multiple tra infrastrutture.
Queste infrastrutture creano cioè una rete intricata che, a seconda delle caratteristiche dei suoi
legami, possono trasmettere effetti attraverso un ampio spettro su un’intera economia nazionale o
internazionale.
1.4. | Le dimensioni dell’interdipendenza tra Infrastrutture Critiche
Nella figura 1 sono evidenziate sei differenti dimensioni dell’interdipendenza la cui analisi è
8
necessaria per agevolare la comprensione e l’indentificazione di una interdipendenza tra IC.
Ciascuna interdipendenza ha le sue specifiche caratteristiche e i suoi effetti sull’IC. Le classi di
interdipendenza di IC sono identificabili a seconda degli strati coinvolti, si parla cioè di strato
fisico, cyber, geografico e logico.
a) L’interdipendenza fisica tra IC: due infrastrutture sono fisicamente interdipendenti, come
dice lo stesso nome, quando i legami tra gli imputs e gli outputs di ciascuna delle due
componenti sono di natura fisica. Ad esempio si parla di interdipendenza fisica quando
l’output di una infrastruttura (come una commodity prodotta) è necessario al funzionamento
della seconda (imput), il classico caso di una infrastruttura ferroviaria che per il
funzionamento ha bisogno di un impianto di energia alimentato a carbone per garantire un
funzionamento corretto e continuo18. E’ evidente che una qualsiasi interruzione del circuito
fisico di funzionamento della prima interrompe l’emissione di un output che garantisce il
funzionamento della seconda per la quale agisce come imput. Il mezzo di connessione
diretta tra le due IC fa si che un cambiamento di stato in una infrastruttura (come
l’interruzione della combustione del carbone) causa un corrispondente cambiamento di stato
per rete elettrica (che può passare ad un altro tipo di alimentazione). In termini logici il
rischio di una failure della prima IC è anche la funzione di rischio della seconda IC se tra le
due esiste una interdipendenza fisica.
b) L’interdipendenza cyber tra IC: Una IC ha una interdipendenza di tipo cyber se il suo stato
dipende dalla trasmissione di informazioni lungo l’infrastruttura informatica. Queste
infrastrutture sono relativamente nuove e sono il frutto della pervasiva informatizzazione e
automazione dei processi industriali che si è verificata nell’ultima decade. In termini più
specifici l’affidabilità delle moderne infrastrutture a livello informatico dipende da sistemi a
controllo computerizzato SCADA da cui dipende il funzionamento e il controllo di impianti
elettrici, flussi autostradali e passaggio di materie prime nel circuito industriale. Di
conseguenza lo status di queste infrastrutture dipende dagli outputs che si generano nel
circuito informatico, dato che una interdipendenza cyber connette due IC lungo il canale
elettronico o informatico. Come nel caso dell’interdipendenza fisica tra IC l’output della
prima è imput della seconda e la commodity che le due infrastrutture si scambiano è
l’informazione.
c) L’interdipendenza geografica tra IC: L’interdipendenza geografica è generalmente e
semplicemente causata dalla prossimità geografica di due IC o di elementi costituitivi delle
due IC interdipendenti. La prossimità geografica diventa fattore di interdipendenza laddove 18 AAVV “Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies”, op.citata, pp. 14-15
9
un fenomeno naturale (ad esempio un incendio o la caduta accidentale di un albero) può
creare un disturbo correlato o un cambiamento nell’interdipendenza geografica delle
infrastrutture. Questo tipo di correlazioni nei cambiamenti di stato di due IC non sono dovuti
a connessioni fisiche o cyber, ma all’influenza che l’evento esercita sulle IC interessate per
ragioni di vicinanza geografica. A titolo di esempio si consideri un cavo a fibra ottica che
transita sotto ad una ferrovia che connette geograficamente elementi di una rete elettrica, di
telecomunicazioni o di trasporto. L’interdipendenza in questo caso è solo di natura
geografica, lo stato di una infrastruttura infatti non influenza direttamente lo stato dell’altra:
il transito di un treno sulla rete ferroviaria non influenza il flusso di informazioni nel cavo a
fibra ottica o nella rete elettrica, a meno che un evento naturale o causato dall’uomo come
un terremoto o dell’esplosivo piazzato lungo la rete ferroviaria con crei delle perturbazioni
correlate alle altre infrastrutture interessate solo a causa della vicinanza geografica19.
d) L’interdipendenza logica delle IC: Due IC sono interdipendenti a livello logico se il loro
status dipende dallo status dell’altra per via di meccanismi che non sono di natura fisica,
cibernetica o geografica. L’interdipendenza logica è essenzialmente dovuta ad uno schema
di connessione che collega due componenti o due agenti di due differenti infrastrutture senza
legami fisici, cibernetici o geografici come nel caso ad esempio del congestionamento di
una rete stradale per effetto di un problema sulla rete elettrica che rende complicato il
traffico ferroviario: in questo caso l’interdipendenza è essenzialmente dovuta alla scelta
umana di prediligere questa via alternativa a causa della perturbazione nella prima
infrastruttura. Ma la rete autostradale e quella elettrica non hanno alcuna interdipendenza
fisica, cibernetica o geografica20.
1.5. | La Teoria dei Grafi nella difesa delle Infrastrutture Critiche
La centralità delle reti nella geopolitica del XXI secolo è un elemento che comporta un
ripensamento dei convenzionali approcci alla difesa sino ad oggi sperimentati: se le reti
infrastrutturali industriali sono il primo asset da difendere ne consegue un ripensamento dei rapporti
tra difesa e industria e allo stesso tempo la ricerca di una dottrina operativa che tenga conto di nuovi
strumenti necessari per l’analisi delle reti semplici e delle reti interconnesse.
A nostro avviso la centralità delle reti nella pianificazione strategica del comparto difesa richiederà
in un prossimo futuro che la scienza politica e gli studi strategici sviluppino un’attenzione sempre
crescente alla teoria matematica dei grafi che consentono di schematizzare una grande varietà di 19 AAVV “Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies”, op. citata, pp. 15-16 20 AAVV “Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies”, op. citata, p. 16
10
situazioni e processi, agevolandone lo studio quantitativo e algoritmico.
FIG. 4. (a) reti semplici (b) reti interconnesse
FONTE: V. PELINO, “Reti Cyber-Fisiche. Vulnerabilità a Random Failures e Attacchi Intenzionali, Roma, Aeronautica Militare CNMCA, p. 1.
Un grafo è un insieme di nodi o vertici collegati tra loro da archi o lati. Lo studio dei grafi fu
introdotto nel 1736 come oggetto della matematica col problema dei ponti di Könisberg di Eulero:
un problema matematico ispirato da una citta reale e una situazione concreta. Eulero voleva visitare
la città seguendo un percorso che passasse una e una sola volta per ognuno dei suoi ponti per
tornale al termine al punto di partenza. Il teorema di Eulero (vedi Fig. 5) fu formulato osservando i
ponti di Könisberg (oggi Kaliningrad) e postula che sia possibile passare da un ponte (arco) una e
una sola volta e tornare nel punto di partenza solo se il numero dei ponti (archi) è pari.21
Una rappresentazione grafica del problema dei ponti di Könisberg Fonte: Wikipedia http://it.wikipedia.org/wiki/Problema_dei_ponti_di_Königsberg
Il grafo G è un oggetto matematico composto da insiemi di cui V sono i nodi (vertici o punti), E
sono gli archi (link o edge), una relazione di incidenza mette in relazione i diversi nodi e si indica in
termini matematici come G= (V,E)22. La teoria matematica dei grafi, mutuata dal teorema di Eulero
è alla base della Risk Interconnection Map elaborata ogni anno dal World Economic Forum nella
quale si identificano 5 macro insiemi di rischi (economia, ambiente, geopolitica, società e
tecnologia) e si mette in luce i nodi (gli hub) di connessione tra i vari insiemi che altro non sono che
i “punti di rottura” dell’interconnessione tra diverse infrastrutture critiche. Una failure in uno di
questi punti di interconnessione, esemplificati grazie alla teoria dei grafi, può causare il collasso di
21 B. Bollobas, Modern Graph Teory, New York NY, Springer, 1998. 22 Si veda nel dettaglio al paragrafo 1.9., p. 19
11
tutto il sistema con gli effetti “a cascata”, tipici delle reti interconnesse. Il collasso, a differenza di
quanto accade nel caso di una rete isolata, avviene in maniera repentina senza bisogno di
raggiungere un numero critico di nodi rimossi nc, ma è sufficiente un numero inferiore nc* < nc di
nodi rimossi per causare danni all’intera rete di infrastrutture critiche23. La tecnologia informatica e
le interconnessioni di vario tipo associate ad una rete IC sono dunque fattore di forza ma al tempo
stesso vulnerabilità per le reti da cui dipende la nostra vita: “in the future, advanced states might
engage in counterspace strikes, network attacks, and information warfare to disrupt US military
operations on the eve of a conflict. Cyber and sabotage attacks on critical US economic, energy, and
transportation infrastructures might be viewed by some adversaries as a way to circumvent US
strengths on the battlefield and attack directly US interest at home”24. Nella Risk Interconnection
Map, l’attacco cyber, nel caso di interconnessioni tecnologiche come quelle delle reti IC, è
confermato come più plausibile sia nel caso di attacchi provenienti da organizzazioni cyber-
terroristiche come Anonymous sia che provenga da stati organizzati nell’ambito di conflitti
convenzionali tra potenze.
FIG. 6. La Risk Interconnection Map 2013 che rappresenta i nodi di connessione dei fattori di rischio globale considerati
divisi in 6 aree. FONTE: World Economic Forum, Global Risk 2013. Eight Edition, Geneva, Risk Response Network, January 2013.
23 V. PELINO, “Reti Cyber-Fisiche. Vulnerabilità…”op.citata, p. 2. 24 NATIONAL INTELLIGENCE COUNCIL, “Global Trends 2025: A Transformed World”, Washington DC, US Government Printing Office, November 2008, p. 117.
12
1.6. | Network Science e le reti Cyber-Fisiche
La molteplicità dei nodi di interconnessione visibili da un’analisi della Figura 6 conferma la
centralità della minaccia cyber nel caso di reti IC, una minaccia in grado di causare un collasso dei
sistemi critici con ripercussioni anche su componenti fisiche della rete. Nelle reti IC, la dipendenza
della componente fisica da sistemi informatici fa si che si possa parlare, nel caso di nostro interesse,
di reti cyber-fisiche, considerati come i sistemi che integrano “le attività di comunicazione ed
elaborazione al fine di monitorare e/o controllare strutture nel mondo fisico, agendo globalmente in
maniera virtuale e localmente in maniera fisica”25. Si tratta cioè di quelle reti che la network science
spiega grazie alla teoria della reti complesse, un campo di studio dove oggi è applicata anche la
teoria dei grafi. La teoria delle reti complesse consente di osservare le reti costituite da molti nodi
come le reti cyber fisiche IC. Secondo la network science, dal punto di vista concettuale, una rete
cyber-fisica IC non è da considerarsi come la somma delle due componenti costitutive bensì il
risultato di un’interazione tra queste due componenti in grado di produrre un risultato finale che non
era esistente all’origine. L’esempio classico di questi sistemi è osservabile in natura nel volo in
formazione degli stormi, la cui morfologia oltre ad essere diversa dalla semplice somma degli
uccelli componenti lo stormo è frutto di un interazione tra i componenti dello stormo che danno vita
ad un atteggiamento cooperativo per evitare che la distanza tra loro sia tale da consentire un angolo
di entrata agevole per un falco predatore. L’assetto in formazione dello stormo è diverso dalla
semplice somma delle sue componenti, ma il risultato di una loro interazione. 26
FIG. 7. Esempio di rete cyber-fisica con interfaccia sistemi computerizzati e componente fisica.
FONTE: E.A.LEE, S. A. SESHIA, Introduction to Embedded System, a Cyber-Physical Approach, LeeShia.org, 2011, p. 5. 25 E.A.LEE, S. A. SESHIA, Introduction to Embedded System, a Cyber-Physical Approach, LeeShia.org, 2011. 26 A. KOUBÂA, B. ANDERSSON, “A Vision of Cyber-Physical Internet”, Consultabile: http://www.dei.isep.ipp.pt/~akoubaa/publications/AK-BA-RTN09-CRC.pdf.
13
L’integrazione di sistemi computerizzati che gestiscono sensori fisici grazie a software e applicativi
specifici è dunque l’elemento portante delle reti cyber-fisiche, si tratta di IC che comprendono reti
elettriche, reti idriche e reti di trasporti pubblici (autostrade, metropolitane, ferrovie) e reti di
trasporti avionici. La complementarietà di queste due componenti cyber e fisica nelle reti IC dalle
quali dipende la nostra vita è anche un fattore di vulnerabilità ed è vitale prenderlo in esame nella
difesa delle IC27. Un esempio tipico d’interazione tra sensori fisici e sistemi computerizzati per il
funzionamento di IC sono i sistemi SCADA che gestiscono tramite il loro software i controllori
logici programmabili (PLC) attraverso cui si controllano processi industriali, il corretto
funzionamento di dighe e reti infrastrutturali.28 L’aumento di attacchi cyber a sistemi SCADA,
come il caso celebre di Stuxnet, è un importante campanello di allarme tanto più che molti sistemi
SCADA gestiscono oggi anche reti IC perlopiù in mano ad attori privati. Le domande preliminari
cui cercheremo di rispondere sono
a) comprendere la struttura delle reti complesse
b) comprendere le dinamiche delle reti complesse
In un secondo momento forniremo:
c) alcuni esempi di reti complesse e modelli predittivi che ne simulino il comportamento
d) Un modello che garantisca la maggiore consapevolezza dei rischi di attacchi a IC cyber-
fisiche considerate come reti complesse.
La struttura delle reti
Una rete semplice è un insieme di nodi uniti da linee (connessioni): il numero o il grado di
connessioni legate ad un nodo è indicativo della centralità di quel nodo. Un nodo con un elevato
numero di connessioni è un hub centrale per il funzionamento dell’intera rete, proprio grazie alla
sua interconnessione. In altre parole colpire quel nodo potrebbe innescare effetti di scala maggiori
sulla IC rispetto a colpire più di un nodo isolato. Altri elementi che consideriamo sono:
I. La betwness centrality (BC) ossia il livello di comunicabilità tra nodi;
II. La distanza media tra nodi (L) ossia l’efficienza della rete in termini di percorsi tra ogni
coppia di nodi
27 V. PELINO, “Reti Cyber-Fisiche. Vulnerabilità…” op.citata, p. 7. 28 E. Byres, J. Lowe, “The Myths and Facts behind Cyber Security Risks for Industrial Control Systems”, British Columbia Institute of Technology, October 2004.
14
Le dinamiche delle reti
La distribuzione dei gradi di connessione dei singoli nodi determina la robustezza della rete, la
scienza delle reti spiega che le reti ad alto tasso tecnologico seguono il modello Small World (S-W)
Il modello S-W è dunque un modello di rete dove la distanza L tra due nodi cresce
proporzionalmente al logaritmo del numero di nodi N nella rete considerata29. La caratteristica delle
reti S-W è che laddove aumenti il tasso di casualità di connessione tra i nodi, il coefficiente di
clustering C assieme alla distanza media L tra i nodi tende progressivamente a 0.
1.7 | I rischi delle Infrastrutture Critiche
Sebbene solitamente si tenda a confondere il termine rischio con altri quali minaccia o vulnerabilità,
in realtà questi concetti non sono sinonimi bensì complementari tra di loro. Infatti il concetto di
rischio deriva dalla compresenza di una vulnerabilità e di una minaccia che interagendo tra loro
comportano un danno o un effetto negativo. Generalmente il rischio (R) viene quindi considerato
una funzione (f) delle conseguenze (C), vulnerabilità (V) e minacce (T).
R = f (C, V, T)30
Possiamo quindi affermare con maggior correttezza che una infrastruttura critica corre un “rischio”
ogni qual volta che siamo a conoscenza di una possibile interazione tra una sua vulnerabilità e una
minaccia (o pericolo) tale da comportare un danno per l’infrastruttura stessa.31 29 D. J. Watts, S. H. Strogatz, Collective dynamics of ‘small world’ network”, in Nature, n°393, 4 June 1998, pp. 440-442. Consultabile http://www.nature.com/nature/journal/v393/n6684/full/393440a0.html. 30 DEPARTMENT OF HOMELAND SECURITY, “National Infrastructure Protection Plan”, 2009, p. 32 OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY PREPAREDNESS, “Threats to Canada’s Critical Infrastructure”, 12 March 2003, p. 7
15
1.7.1 | Conseguenze
Le conseguenze, concepite come gli effetti derivanti dall’interazione tra una minaccia ed una
vulnerabilità, possono essere ricondotte a quattro differenti categorie: quelle sulla sicurezza e sanità
pubblica (es. effetti diretti verso la vita umana ed il benessere fisico); quelle in ambito economico
(es. le perdite economiche dirette ed indirette); quelle in ambito psicologico (es. gli effetti sulla
morale pubblica e sulla fiducia nell’economia nazionale e nelle istituzioni politiche); ed infine
quelle sulla governance (es. gli effetti sul capacità del governo o dell’industria di mantenere
l’ordine, garantire i servizi pubblici essenziali, la sanità e la sicurezza).
Nel campo della stima delle possibili conseguenze c’è un forte elemento di incertezza. Maggiore è
il numero di possibili effetti derivanti da un evento, minore è la capacità di previsione delle
conseguenze. Per questo motivo è necessario avere il maggior numero di informazioni reperibili e
soprattutto il più specifiche possibili.32
1.7.2 | Vulnerabilità
Il termine vulnerabilità indica le caratteristiche fisiche o gli attributi operativi che rendono un
soggetto indifeso rispetto ad un attacco o ad essere sensibile ad un determinato pericolo.33
La presenza di una vulnerabilità non implica necessariamente la possibilità di subire un danno od
una perdita. Fino a quando una minaccia specifica non interagisce con essa, la situazione non
rappresenta un rischio, in particolare se non si è a conoscenza della propria vulnerabilità e/o delle
possibili minacce ad essa collegabili. Le vulnerabilità possono essere suddivise in tre categorie:
quelle fisiche, quelle umane e quelle di tipo cyber.
Le vulnerabilità fisiche sono quelle riguardanti la struttura vera e propria, ad esempio la mancanza
di una recinzione di sicurezza, una porta rotta o un problema strutturale. Quelle umane sono
riconducibili al personale, come il mancato addestramento, l’assenza di un sostituto adeguato in un
ruolo chiave o la possibilità che un dipendente possa sabotare l’infrastruttura. Infine quelle cyber
sono identificabili con tutto ciò che riguarda il software e l’hardware, quindi a fini esemplificativi
una mancata patch per il firewall o un bug nel sistema tale da renderlo particolarmente vulnerabile
ad attacchi esterni.
31 OCIPEP, “Threats to Canada’s Critical Infrastructure”, pp. 7-9, op. citata. 32 DHS, “National Infrastructure Protection Plan”, pp. 34-35, op. citata. 33 DHS, “National Infrastructure Protection Plan”, pp. 32 e36, op. citata.
16
1.7.3 | Minacce
Le minacce, a differenza delle vulnerabilità, possono essere suddivise per categorie riguardanti i
settori minacciati (fisico, umano e cyber)34 solo in seconda battuta come sottocategoria delle
minacce malevoli. Infatti le tre principali categorie in cui si suddividono le minacce sono quella
naturale, quella accidentale e quella malevola.
Il termine minaccia naturale rappresenta quei fenomeni naturali (es. le inondazioni, le trombe
d’aria, i tornado, i terremoti, le eruzioni, le tempeste elettromagnetiche o gli tsunami) o epidemie
(es. aviaria, vaiolo, influenza suina) capaci di danneggiare seriamente una infrastruttura critica.
Invece le minacce accidentali prendono in considerazione gli errori umani (es. errore di un
macchinista può causare il deragliamento del treno bloccando l’intera tratta), i problemi meccanici
(es. una stazione elettrica centrale nel sistema, subendo un guasto può mandare in tilt tutta la rete di
distribuzione con effetto a catena) e gli errori di programmazione nei software in uso in una
infrastruttura critica (es. un bug nel programma crea una breccia nel sistema). Infine le cosiddette
minacce malevoli sono quelli attacchi alle infrastrutture critiche riconducibili a motivazioni di tipo
criminale, militare, politiche, personali o di semplice vandalismo.
Questa ultima categoria, come abbiamo già affermato, può essere suddivisa a sua volta a seconda
della tipologia di attacco subito: fisico, biologico, cyber.
Nel primo caso l’obiettivo è rendere inattiva una infrastruttura critica tramite un attacco fisico (es.
una bomba collocata in un area in cui siano presenti dei terminali dei settori finanziario e bancario
potrebbe bloccarne l’intero sistema). Nel caso di attacco biologico possiamo individuare ogni
tipologia di attacco mirato a colpire gli esseri umani all’interno dell’infrastruttura critica (es.
attraverso l’invio di antrace tramite posta o di altre tipologie di malattie infettive). Infine il
cosiddetto attacco cibernetico che è caratterizzato da una serie di peculiarità che lo rendono
particolarmente difficile da prevedere e da contrastare.
1.7.3.1 | Minaccia Cyber
L’ambiente cibernetico può essere definito come “Un dominio caratterizzato dall’uso
dell’elettronica e dello spettro elettromagnetico per conservare, modificare e scambiare dati
attraverso sistemi di rete ed infrastrutture fisiche associate.”35
34 U.S. ARMY TRAINING AND DOCTRINE COMMAND – DEPUTY CHIEF OF STAFF FOR INTELLIGENCE, “Critical Infrastructure Threats and Terrorism”, DCSINT Handbook No. 1.02, 10 August 2006, pp. I-1 e I-2. 35, DEPARTMENT OF DEFENSE, The national military strategy for Cyberspace operations (U), Chairman of the Joint Chiefs of Staff, Dec. 2006, p. ix.
17
A questa definizione si devono aggiungere altre peculiarità che caratterizzano l’ambiente
cibernetico e lo rendono particolarmente difficile da affrontare.
Generalmente esso viene ricondotto sotto l’acronimo VUCA: Volatility (V), Uncertainty (U),
Complexity (C), Ambiguity (A)36. Questo avviene poiché l’ambiente cibernetico è soggetto a
costanti modifiche, sempre più rapide nel corso del tempo, che lo rendono estremamente volatile
(V), di conseguenza siamo presenti ad un alto grado di incertezza (U) al suo interno dato
dall’impossibilità di conoscerlo perfettamente e di poter prevedere la natura o gli effetti delle
modifiche a cui è soggetto. Inoltre essendo un sistema altamente complesso (C), cioè formato da
una interazione fra più sistemi, è impossibile conoscere tutte le interazioni tra le sue parti,
comportando così un’ ambiguità (A) nella sua interpretazione, poiché le parti conosciute sono
insufficienti al fine di comprendere il sistema nel suo complesso.
In questo contesto si colloca la minaccia cyber, che si caratterizza per alcuni elementi che la
rendono particolarmente efficace e al contempo estremamente complessa da contrastare
differenziandola completamente dalle altre tipologie di minaccia tradizionali.
La prima caratteristica peculiare è l’assenza di vincoli spaziali all’interno della dimensione
cibernetica. Un attacco può partire da qualsiasi angolo del globo sia in maniera singola sia
simultaneamente ad altri attacchi coordinati. Questa caratteristica fa si che in ambito virtuale
l’anonimato sia facilmente ottenibile comportando spesso l’impossibilità di individuare
correttamente il luogo (e conseguentemente l’identità del colpevole) da dove è partito l’attacco.
Considerando anche che la tecnologia impiegata per gli attacchi è semplice da usare, facilmente
reperibile ed oltremodo economica, si può dedurre che gli attori capaci di un attacco del genere
siano sempre maggiori rompendo il monopolio della violenza un tempo prerogativa degli Stati. 37
Ad amplificare questo problema subentra l’aspetto temporale che al contempo riduce i tempi
necessari ad attaccare un obiettivo ed aumenta quelli necessari per rendersi conto di aver subito un
attacco, la velocità di propagazione della minaccia cyber è sempre più elevata. Infatti se un attacco
portato da un computer esterno avviene in immediatamente all’interno dell’IC presa di mira, spesso
tra l’attacco in senso stretto e gli effetti che ne conseguono (e la sua individuazione) può passare
molto tempo.
Inoltre il fattore temporale amplifica la minaccia rendendola estremamente fluida dato che
l’intervallo temporale che intercorre tra la scoperta di una vulnerabilità e la creazione di un nuovo
mezzo o tecnica di attacco risulta sempre minore.
36 Cfr. J.H. Scherrer e W.C. Grund, A Cyberspace Command and Control Model, Air War College, Maxwell Paper, No 47, August 2009. DEPARTMENT OF COMMAND, LEADERSHIP AND MANAGEMENT, Strategic Leadership Primer, U.S. Army War College, 2010, pp. 11-12. 37 CFR. NYE, JOSEPH S. , The Future of Power, New York, Public Affairs, 2011.
18
Infine gli attacchi possono essere facilmente automatizzati grazie alla tecnologia con il fine di
creare il maggior danno possibile.38
Gli scopi di questa tipologia di attacchi si possono ricondurre sotto quattro tipologie principali39:
¡ LOSS OF INTEGRITY - il sistema o i suoi dati vengono modificati in maniera impropria e non
autorizzata minandone il corretto funzionamento;
¡ LOSS OF AVAILABILITY - il sistema attaccato viene reso inaccessibile ad i suoi utenti finali;
¡ LOSS OF CONFIDENTIALITY - accesso ad informazioni e dati protetti da parte di persone non
autorizzate;
¡ PHYSICAL DESTRUCTION – viene arrecato un danno fisico all’infrastruttura attraverso il
controllo di sistemi di tipo SCADA.
1.8 | I rischi derivanti dall’interdipendenza delle Infrastrutture Critiche
La relazione di interdipendenza esistente tra più infrastrutture critiche aumentano in maniera
esponenziale i rischi che esse corrono. Infatti oltre ai rischi delle singole infrastrutture si devono
prendere in considerazione quelli che riguardano la rete esistente tra di esse in senso stretto (v.
Figura 2.1). Quindi conseguentemente sarebbe quindi più corretto ampliare il concetto di rischio
precedentemente esposto aggiungendo un nuovo parametro: la fragilità dell’interdipendenza.40
Infatti un evento negativo occorso ad una singola infrastruttura può propagarsi verso tutte le altre
attraverso canali, modalità e tempistiche differenti. A tale proposito sono state individuate tre
differente tipologie di trasmissione di failure tra infrastrutture critiche: a cascata, a escalation e per
cause comuni. 41
¡ CASCATA: prevede che un guasto ad una infrastruttura critica comporti l’interruzione di una
componente di un’altra IC causandone conseguentemente il blocco.
¡ ESCALATION: avviene nel momento in cui il guasto di una IC sia amplificato da una
interruzione indipendente di un’altra IC.
¡ CAUSE COMUNI: indica il blocco di due o più IC a causa delle medesima problematica.
Le infrastrutture critiche sono quindi da considerarsi come un network in cui ogni singola rete è
interconnessa alle altre, conseguentemente l’unico modo per garantirne la robustezza deriva dalla
38 OCIPEP, “Threats to Canada’s Critical Infrastructure”, pp. 37-39, op. citata. 39 TRADOC – DCSINT, “Critical Infrastructure Threats and Terrorism”, pp. VII-3 e VII-4, op. citata. 40 PELINO VINICIO, “Reti Cyber Fisiche”, p.1, op. citata. 41 AAVV, “Critical Infrastructure Interdependencies”, p. 21, op. citata.
19
loro struttura a livello di rete e dalla loro conseguente capacità di resistere ad attacchi mirati o
randomici diretti verso di essa.
FIG. 9 – Interconnessioni tra le reti di varie Infrastrutture critiche
FONTE: AAVV, Critical Infrastructure Interdependency Modeling: A Survey of U.S. and International Research, Idaho National Laboratory, August 2006, p.3
1.9 | Teoria dei grafi applicata alle difesa delle Infrastrutture Critiche
L’introduzione della teoria dei grafi all’interno della IC permette, come abbiamo visto
precedentemente, di rappresentare matematicamente le reti ed identificarne in maniera più accurata
le vulnerabilità da difendere. Andiamo ad introdurre brevemente alcuni concetti42:
Grafo – formato da un insieme di elementi detti nodi (o vertici) collegati tra loro da archi (o lati)
dato un Grafo ),( EVG = dove V indica l’insieme dei nodi ed E indica l’insieme degli archi.
42 Cfr ALBERT, RÉKA E BARABÁSI, ALBERT-LÁSZLÓ, “Statistical Mechanics of Complex Networks”, Reviews of Modern Physics, Volume 74, January 2002. EASLEY, DAVID E KLEINBERG, JON, Networks, Crowds, and Markets: Reasoning about a Highly Connected World, Cambridge University Press, 2010. PELINO VINICIO, “Reti Cyber Fisiche”, op. citata.
20
Indici fondamentali di un grafo:
¡ Dimensione – dato dal numero di nodi N presenti in un grafo.
¡ Densità (D) – Indica il numero di relazioni esistenti all’interno di un grafo
¡ Degree Centrality (Grado dei vertici) (k) – in un grafo non orientato il grado di un nodo
Vv∈ è dato dal numero di archi incidenti a v. Esso viene indicato con k(v) o kv. Il grado
medio dei vertici di un grafo viene invece indicato con <k> ed è dato dalla media dei valori di
grado dei vertici del grafo.
In un grado orientato si devono distinguere fra il numero di archi orientati verso il nodo (archi
entranti) e quelli orientati verso i nodi adiacenti (archi uscenti) avendo così due differenti tipi
di gradi: In-degreee (grado “entrante”) e Out-degree (grado “uscente”).
In nodi con un grado maggiore possono essere considerati come dei punti cruciali della rete e
per questo vengono definiti come Hub.
Gli hub rivestono un ruolo importante nella struttura di una rete a seconda di come tendono a
connettersi nel grafo. Infatti una rete può dirsi di tipo assortativo quando i suoi hub tendono a
connettersi tutti tra di loro (tipico delle reti sociali), mentre sarà riconducibile alla tipologia
non assortativa quando eviteranno di connettersi a vicenda (tipico delle reti biologiche).
FIG. 10 – (a) rete non assortativa dove gli hub sono indicati in blu; (b) e rete
assortativa dove gli archi tra hub sono di colore blu.
¡ Legge di distribuzione dei gradi – un grafo è detto regolare quando tutti i suoi vertici hanno
lo stesso grado. Il valore del grado dei nodi è caratterizzato dalla funzione di distribuzione
P(k) che indica la probabilità che un nodo selezionato a caso abbia esattamente un numero
pari a k archi.
21
¡ Closeness Centrality (CC) – misura la centralità indiretta di un nodo attraverso la centralità
per vicinanza, cioè quanto un nodo è vicino a tutti gli altri vertici del grafo. Maggiore è la CC
di un nodo e minore è la distanza media di esso da un altro nodo. Un nodo con alta CC è
estremamente interconnesso rispetto agli altri nodi ed avrà una facilità di interazione
maggiore all’interno del grafo.
¡ Betweenness Centrality (BC) – misura la centralità indiretta di un nodo attraverso la sua
posizione “strategica” all’interno del grafo. Maggiore è il livello di BC di un nodo e maggiore
sono le geodetiche che passano da esso.
¡ Gradi di separazione (l) – indica il numero medio di passi che occorrono per connettere due
nodi del grafo appartenenti alla stessa componente connessa. Serve ad indicare la distanza tra
due nodi u e v in un grafo G e viene indicata con l(u,v).
¡ Coefficiente di Clustering (Aggregazione) (C) – misura quanto i nodi vicini tendono ad
essere legati (aggregati) tra loro. Il coefficiente di clustering di un nodo u, indicato con Cu è
dato dalla proporzione tra il numero di collegamenti tra i nodi vicini ad u ed il numero di
collegamenti massimi che potrebbero esistere tra loro. (tra 0 e 1). Invece il coefficiente di
Clustering di un grafo G è dato dalla media dei coefficienti Ci dei singoli vertici.
FIG. 11 - Clustering calcolato per il nodo u (scuro), i segmenti scuri indicano la presenza di un collegamento mentre quelli tratteggiati ne indicano l’assenza.
¡ Resilienza – termine che indica la capacità di una rete di resistere alla frammentazione in
seguito a cambiamenti al suo interno. Nel caso delle infrastrutture critiche implica anche la
capacità di continuare a fornire i servizi per cui essa è preposta.
22
1.9.1 | Principali modelli di network
I principali modelli di rete utilizzati in questo ambito sono due: Watts-Strogatz (o Small World);
Barabási-Albert (o Scale Free).
¡ Small World – introdotto nel 1998 da Watts e Strogatz43, prevede di partire da un grafo
ordinato (un reticolo) di dimensione finita per poi aggiungere o modificare al suo interno in
maniera casuale alcuni collegamenti esistenti tra i nodi. In questo modo si riesce a ricreare un
coefficiente di clustering abbastanza elevato in modo da essere simile a quello presente nei
network reali, a differenza di quanto facevano i modelli precedenti (random).
FIG. 12 – Passaggio da lattice a small world
FONTE: ALBERT E BARABÁSI, “Statistical Mechanics of Complex Networks”, p. 67, op. citata.
Questo modello è caratterizzato dal fatto che al suo interno la maggior parte dei nodi non
risulta essere necessariamente adiacente, ma per ogni coppia di nodi esiste un cammino
relativamente breve in grado di unirli.
Generalmente al suo interno i nodi tendono a creare piccoli cluster collegati fra loro da
almeno un arco, definito generalmente “arco debole” (weak links”) che giocano un ruolo
rilevante nella rete.
¡ Scale Free – Sviluppato da Barabási e Albert nel 199944, questo modello riesce a catturare
alcune proprietà presenti nelle reti reali che il modello precedente non riusciva ad inglobare.
Questo modello si caratterizza per il fatto che la sua distribuzione del grado segue una legge
di potenza (power law) a differenza dei modelli precedenti che assumevano un distribuzione
di Poisson.
Queste reti presentano pochi vertici con un elevato grado (Hub) e molti nodi con un grado
basso, questo comporta l’assenza di una centralità tipica all’interno della rete. Inoltre al
43 WATTS, DUNCAN J. E STROGATZ, STEVEN H., “Collective Dynamics of ‘Small.World’ Networks”, Nature, Volume 393, June 1998. 44 BARABÁSI, ALBERT-LÁSZLÓ E ALBERT, RÉKA, “Emerge of Scaling in Random Networks”, Science, Volume 286, 15 October 1999 BARABÁSI, ALBERT-LÁSZLÓ; ALBERT, RÉKA E JEONG, HAWOONG, “Mean-field theory for scale-free random networks”, Physica A, Volume 272, 1999, ALBERT, RÉKA E BARABÁSI, ALBERT-LÁSZLÓ, Statistical Mechanics of Complex Networks, Reviews of Modern Physics, Volume 74, January 2002 BARABÁSI, ALBERT-LÁSZLÓ, “Scale-Free Networks: A Decade and Beyond”, Science, Volume 325, 24 July 2009
23
contrario dei modelli precedenti vengono considerate due nuove possibilità: che non solo gli
archi ma anche i nodi possono variare di numero all’interno della rete e che due nodi non si
connettono indipendentemente dal loro grado, ma che in realtà esistono collegamenti
preferenziali che indicano come un nuovo nodo tenderà a collegarsi ad uno con un grado
elevato.
1.9.2 | Applicazione nella realtà
Dopo aver appurato che il modello più vicino alle reti presenti nel mondo reale è quello cosiddetto
Scale Free sviluppato da Barabási e Albert, passiamo ad individuare come questo possa aiutarci a
difendere le infrastrutture critiche.
1.9.2.1 | Difesa delle reti delle IC
Il primo passo necessario da perseguire per difendere una rete è considerare la sua struttura.
1. Quali sono i nodi identificabili come Hub?
2. Quali sono i nodi con maggior livello di BC?
3. Come si comportano gli Hub all’interno della rete? Tendono a connettersi tra loro (rete di
tipo assortativo) o tendono ad evitare collegamenti tra di essi (rete di tipo non assortativo)?
FIG. 13 – (a) Nodi blu indicano gli hub ed i nodi rossi i BC; (b) attacco verso un hub
(b) attacco verso un BC Come possiamo vedere nella Figura 13 una rete reagisce in maniera diversa ad un attacco subito
verso un proprio hub rispetto ad uno contro un nodo con alto livello di BC.
Nel caso rappresentato abbiamo una rete di tipo non assortativo dove gli hub non sono collegati tra
di loro ed i nodi con un alto livello di BC hanno quindi una rilevanza notevole, comportando
addirittura la perdita di un intero cluster a seguito della perdita di uno di essi (Figura 13 (c)).
24
Invece nel caso di un attacco ad un hub possiamo notare come la rete, nonostante subisca un
notevole disagio dalla sua perdita, subisca una perdita minima in termini di nodi e collegamenti.
Evidentemente la struttura ha una sua rilevanza, infatti se la rete fosse stata di tipo assortativo gli
hub avrebbero rappresentato una vulnerabilità della rete maggiore rispetto ai BC. (Figura 14)
FIG. 14 – (a) rete di tipo assortativo con hub e rispettivi collegamenti in blu; (b)
attacco verso un hub e conseguenti effetti sulla rete
Tuttavia la difesa di una rete non dipende unicamente dalla sua struttura ma anche dal tipo di
attacco che si vuole evitare.
1.9.2.2 | Tipologia di attacchi alle reti delle IC
Gli attacchi vengono generalmente suddivisi in due categorie, quelli randomici e quelli mirati45. La
prima è caratterizzata dal fatto di richiedere uno sforzo minimo e dalla limitata capacità di
danneggiare una rete con un livello alto di resilienza. Invece gli attacchi mirati richiedono uno
sforzo maggiore nella propria preparazione attraverso la scelta dei propri target, ma permettono al
contempo la possibilità di creare un danno maggiore all’IC.
Partendo dal presupposto che lo scopo ottimale di una strategia di attacco sia quello di mirare a
distruggere la funzionalità della rete nel minor tempo possibile è evidente che il metodo migliore sia
quello mirato, poiché permette di procurare il massimo danno attraverso la rimozione di un numero
minimo di nodi o archi (generalmente la rimozione di un nodo comporta un danno maggiore
rispetto alla rimozione di un singolo arco poiché con la sua scomparsa vengono meno anche tutti gli
archi a lui collegati).
L’efficacia di un attacco mirato dipende in primo luogo dalla sua preparazione. Il metodo migliore
per ottimizzare l’azione riguarda la capacità del soggetto ostile di avere accesso alla topologia della 45 PELINO VINICIO, “Reti Cyber Fisiche”, pp-16-18, op. citata.
25
rete da colpire e alla sua metrica allo scopo di individuarne gli hub, le centralità ed i parametri di
cluster al suo interno.
Una volta individuati questi fattori verrà scelta la tipologia di attacco che generalmente può essere
ricondotta a due tipi: (1) Statica: cioè, calcolata inizialmente la sensibilità dei nodi da attaccare, si
rimuovono serialmente in maniera gerarchica; o (2) Adattativa: dove la gerarchia dei nodi viene
calcolata prima di ogni singolo attacco rimuovendo sempre i nodi con centralità maggiore in quel
momento.
Un attacco di tipo cyber in questo contesto si caratterizza per alcuni aspetti. Infatti se tutte le altre
minacce (naturali, accidentali e malevole) riguardano un singolo nodo della rete, o comunque più
attacchi simultanei per ogni nodo da colpire, quella cyber invece non è legata a vincoli spaziali. Un
attacco di un virus informatico ad una rete delle infrastrutture critiche potrebbe non mirare a colpire
immediatamente il nodo attaccato, ma a cercare di diffondersi in modo da provocare il maggiore
danno possibile. In questa ottica ad esempio una rete di tipo assortativo sarebbe estremamente
vulnerabile, poiché una volta individuato un hub da colpire la diffusione di un virus sarebbe
immediata. Invece un network come nella figura 13, tipico delle reti biologiche, impedirebbe una
rapida diffusione all’interno del sistema.
Questa capacità di propagazione estremamente rapida della minaccia di tipo cyber, collegata ai
possibili danni fisici che deriverebbero se questi programmi fossero mirati alle reti SCADA delle
infrastrutture critiche, fanno si che l’aspetto cibernetico assuma un ruolo preponderante all’interno
della questione. Fra tutti i settori rientranti sotto la categoria di infrastruttura critica quello dell’ICT
si erge ad essere il più sensibile, poiché al contempo esso è sia una infrastruttura critica a se stante
sia il nervo portante di tutte le altre infrastrutture critiche.46
1.10 | La strategia italiana di difesa cibernetica delle Infrastrutture Critiche
Con il Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013 contenente gli
“indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, l’Italia – seppur con
circa un triennio di ritardo rispetto ai maggiori membri dell’Unione Europea – si è dotata di una
struttura creata ad hoc per la protezione delle Infrastrutture Critiche (IC) dalle minacce provenienti
dal cyberspace47. Per la prima volta, all’interno del suddetto decreto, è stata “istituzionalizzata” una
definizione condivisa a livello legislativo e normativo del termine “spazio cibernetico”. Infatti –
46 DIPARTIMENTO INFORMAZIONI PER LA SICUREZZA, Relazione sulla politica dell’informazione per la sicurezza, 2010. p.30 47 DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 GENNAIO 2013, Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. (GU Serie Generale n.66 del 19-3-2013) URL:http://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2013-03-19&atto.codiceRedazionale=13A02504 [consultato il 29-08-2013]
26
riprendendo la definizione contenuta nel Glossario Intelligence pubblicato dal Dipartimento per
l’Informazione e la Sicurezza (DIS) – l’art. 2 definisce il cyberspace come: “L’insieme delle
infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché
delle relazioni logiche, comunque stabilite, tra di essi”48. L’approvazione del decreto in questione
esprime, essenzialmente, la volontà e la capacità degli organismi preposti alla sicurezza nazionale di
sensibilizzare in modo pragmatico le scelte dei decisori politici sui rischi di un attacco proveniente
dallo spazio cibernetico. In tal modo, anche l’Italia ha superato la sua miopia strategica e si è dotata
di una strategia difensiva per fronteggiare in modo efficace i rischi propagati dall’ambiente cyber49.
Secondo la Relazione sulla politica dell’informazione per la sicurezza del 2012 redatta dai servizi di
intelligence italiani “Il provvedimento risponde all’esigenza di definire il quadro strategico
nazionale idoneo a tutelare le infrastrutture critiche materiali e immateriali, con particolare riguardo
alla protezione cibernetica e alla sicurezza informatica nazionali. Ciò in una logica integrata volta
ad assicurare al settore il pieno apporto anche delle competenze di operatori privati interessati alla
gestione di sistemi di valenza strategica”50. Nella fattispecie, il decreto istituisce una struttura
“piramidale” stratificata su tre livelli: politico, operativo e gestionale. All’apice vi è il livello
politico rispondente alla persona del Presidente del Consiglio dei Ministri che, insieme ai Ministeri
preposti, ha il compito di elaborare gli indirizzi strategici affidati al Comitato Interministeriale per
la Sicurezza della Repubblica (CISR); il secondo livello di supporto operativo e amministrativo è
rappresentato dal Nucleo per la Sicurezza Cibernetica (organismo permanente) presieduto dal
Consigliere militare del Presidente del Consiglio; terzo ed ultimo livello è quello chiamato a gestire
le crisi attraverso il coordinamento del Tavolo interministeriale di crisi cibernetica. A tal proposito,
nella citata Relazione sulla politica dell’informazione per la sicurezza del 2012 si legge che “Nel
distinguere tre diversi livelli di intervento – il primo di indirizzo politico e coordinamento
strategico, il secondo di supporto e raccordo tra gli enti competenti, il terzo, infine, di gestione della
crisi – la direttiva istituisce presso l’Ufficio del Consigliere militare del Presidente del Consiglio dei
Ministri il Nucleo per la sicurezza cibernetica avente funzioni di raccordo delle attività svolte dagli
48 Cfr. DIPARTIMENTO DELLE INFORMAZIONI PER LA SICUREZZA, Il linguaggio degli organismi informativi. Glossario di Intelligence, in “Gnosis. Rivista Italiana di Intelligence. Quaderni di Intelligence”, De Luca Editori, Roma, 2012. URL: http://www.sicurezzanazionale.gov.it/web.nsf/pagine/glossario-intelligence#details-100 [consultato il 29-08-2013]. Per un approfondimento sul contenuto e le disposizioni previste dal DPCM 24 gennaio 2013 si rinvia a C. NERI E S. MELE, Così l’Italia si attrezza su protezione cibernetica e sicurezza informatica, in Formiche.net, 22-03-2013. URLhttp://www.formiche.net/2013/03/22/italia-si-attrezza-in-protezione-cibernetica-e-sicurezza-informatica/ [consultato il 29-08-2013] 49 Cfr. G. MASSOLO, L’Italia di fronte alle sfide di sicurezza dello spazio cibernetico, in Information Warfare 2012…op. citata., pp. 29-37. In particolare Massolo si riferisce alla Legge n. 133/2012 che inaugura anche in Italia la presa di coscienza dei pericoli e delle minacce provenienti dallo spazio cibernetico. A tal proposito si legga anche la comunicazione ufficiale della Presidenza del Consiglio, URL:http://www.governo.it/Presidenza/Comunicati/dettaglio.asp?d=70337&pg=1%2C2460%2C2774&pg_c=1 [consultato il 29-08-2013]. 50 Cfr. PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, Relazione sulla politica dell’informazione per la sicurezza 2012, cit. p. 38. In particolare si rinvia al Riquadro 9: Il DPCM del 24 gennaio 2013, pp. 38-39.
27
enti istituzionali competenti e di punto di riferimento nazionale per i rapporti con ONU, UE, NATO
nonché con altri Stati. Si individua quindi nell’ambito del Nucleo Interministeriale Situazione e
Pianificazione-NISP, l’apposito Tavolo interministeriale da attivare in caso di crisi cibernetica,
presieduto dal Consigliere militare del Presidente del Consiglio, con la partecipazione di
rappresentanti delle diverse Amministrazioni interessate”51. L’architettura istituzionale prevista dal
decreto del 24 gennaio pone al vertice della struttura il Presidente del Consiglio; in posizione
subalterna: il CISR, le strutture di intelligence (DIS-AISE-AISI) e gli Organismi “operativi”
ovvero, il Nucleo per la sicurezza cibernetica e il Tavolo interministeriale di crisi cibernetica; di
questi “il provvedimento definisce i compiti di prevenzione e di risposta in caso di attacco, nonché
quelli per il ripristino immediato della funzionalità dei sistemi colpiti”52.
Nel dettaglio, se al Presidente del Consiglio spettano funzioni decisionali e di “indirizzo strategico”
al contrario, sul piano funzionale, è il CISR (insieme al Consigliere militare del Presidente del
Consiglio) a svolgere una funzione prettamente operativa attraverso il ruolo riconosciuto al Nucleo
per la sicurezza cibernetica e al Tavolo interministeriale di crisi cibernetica. In questo ambito
dunque, una moltitudine di soggetti istituzionali vengono posizionati su pari livello di “capacità
decisionale” per affrontare un tipo di minaccia (cibernetica) che ben poco si presta ad essere gestita
da strutture burocratiche e piramidali. Va evidenziato che, allo stato attuale, l’approccio
interministeriale (attraverso il ruolo decisivo riconosciuto al CISR) è pressoché l’unico possibile, in
quanto l’Italia, nonostante gli enormi passi in avanti compiuti grazie al decreto preso in esame,
come abbiamo visto è ancora sprovvista di una definizione e classificazione condivisa di
Infrastruttura Critica. Va da sé dunque, che la partecipazione dei vari Ministeri (Ambiente, Difesa,
Interno, Infrastrutture, Sviluppo Economico, ecc.) riflette la lacuna in materia e ne consegue che
l’Infrastruttura, presa di mira da un attacco cibernetico, diviene competenza del Ministero di
riferimento come stabilisce l’art. 10 comma 2 il quale, a proposito del ruolo svolto dal Nucleo
interministeriale situazione e pianificazione (NISP) riconosciuto dal decreto come “Tavolo
interministeriale di crisi cibernetica”, così recita: “Il Tavolo, presieduto dal Consigliere militare,
opera con la presenza di un rappresentante per ciascuna delle amministrazioni indicate dall'art. 5,
comma 3, del DPCM 5 maggio 2010 e di un rappresentante rispettivamente del Ministero dello
sviluppo economico e dell'Agenzia per l'Italia digitale, autorizzati ad assumere decisioni che
impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da
altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a
partecipare rappresentanti di soggetti ed enti di cui all'art. 5, comma 6, del DPCM 5 maggio 2010,
nonché degli operatori privati di cui all'art. 11 del presente decreto, e di altri eventualmente 51 Ibidem. 52 Ivi, cit. p. 39.
28
interessati”53. Proprio la peculiarità e la capacità da parte di potenziali nemici di utilizzare uno
strumento informatico (virtuale) per raggiungere un target reale (materiale), ha indotto i
decisionmakers statunitensi a dotarsi di un organismo militare creato ad hoc per contrastare la
minaccia cibernetica, esulando dalle infrastrutture prese di mira e focalizzando piuttosto
l’attenzione sulla volontà di coordinare le azioni atte a contrastare gli attacchi cibernetici anche
attraverso rappresaglie di tipo militare. È il caso dell’US Cyber Command (USCYBERCOM),
organo istituito dall’Amministrazione Obama dopo che nell’autunno del 2008 un worm denominato
agent.tbz infiltrato nei network militari statunitensi, mise a dura prova l’intero sistema di sicurezza
cibernetica americano54. L’operazione di cyber-espionage che ebbe origine in una base in Medio
Oriente, prevedeva l’introduzione di una flash drive infetta in un computer portatile in uso
all’esercito americano. La risposta del Pentagono all’attacco fu l’operazione difensiva o meglio di
“pulizia” nota come “Buckshot Yankee”. L’incidente fu un punto di svolta nella presa di coscienza
che il comparto difesa richiedeva nuove regole e nuovi strumenti per affrontare minacce mai
sperimentate. La risposta operativa del Pentagono e della National Security Agency, al crescente
pericolo proveniente dallo spazio cibernetico, fu in quell’occasione l’istituzione dell’US Cyber
Command avvenuta di fatto tra il 2009 e il 201055. Il Comando collocato a Fort Meade, nel
Maryland, ed è una delle forze armate a Comando sub-unificato subordinate all’US Strategic
Command56. L’USCYBERCOM centralizza il controllo delle operazioni nello spazio cibernetico,
organizza le risorse informatiche esistenti e sincronizza la difesa delle reti militari statunitensi Il
Comando ha il compito di mettere insieme le risorse del cyberspace, la creazione di sinergie e la
sincronizzazione di effetti di combattimento per difendere l'ambiente cibernetico e l’integrità delle
informazioni. Inoltre, l’USCYBERCOM ha il compito di centralizzare il comando delle operazioni
nel cyberspace e il rafforzamento delle capacità militari cibernetiche del US DoD. La difesa messa
in campo dall’USCYBERCOM, in altre parole, ricorre paradossalmente anche all’offesa “La mia
opinione è che l'unico modo per contrastare le attività di spionaggio e le minacce informatiche sia
quello di diventare proattivi. I cinesi sono visti come la fonte di un gran numero di attacchi alle
infrastrutture informatiche occidentali, e solo di recente, anche alla rete elettrica degli Stati Uniti. Se
questi attacchi sono frutto di un piano organizzato, dovremmo risalire alla fonte di questi attacchi e
punirli” 57. Il valore strategico dello spazio cibernetico risulta centrale anche dal Quadrennial
Defense Review (QDR) del 2010, laddove la difesa del cyberspace è riconosciuta di vitale 53 DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 gennaio 2013…op. citata. 54 K. ZETTER, The Return of the Worm That Ate the Pentagon, in «Wired» Danger Room, 12-09-2011. URL:http://www.wired.com/dangerroom/tag/operation-buckshot-yankee/. [consultato il 29-08-2013] 55 Cfr. W.J.LYNN III, Defending a New Domain, Foreign Affairs, 1 Sept. 2010. URL http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain [consultato il 29-08-2013] 56 J. HSU, “U.S. Cyber Command Now Fully Online, and Seeking a Few Good Geeks”, in «Popular Science», 18 April 2010. 57 U.S. DEPARTMENT OF DEFENSE, Cyber Command Fact Sheet, 21 May 2010, URL: http://www.stratcom.mil/factsheets/Cyber_Command [consultato il 29-08-2013]
29
importanza per la sicurezza degli Stati Uniti58. Non è un caso se a tal proposito Martin C. Libicki
scrive: “The establishment of the 24th Air Force and U.S. Cyber Command marks the ascent of
cyberspace as a military domain”59. La difesa del cyberspace è divenuta di vitale importanza per gli
Stati Uniti, a tal punto che nel gennaio del 2013 il Pentagono decide di “ampliare e rafforzare le
capacità operative del CYBERCOM”, prevedendo tra l’altro la creazione di tre tipi di forze: le forze
di missione nazionale con il compito di proteggere i sistemi informatici che sottendono reti
elettriche, centrali elettriche e altre infrastrutture ritenute essenziali per la sicurezza nazionale ed
economica; le forze con missione di combattimento, per aiutare comandanti all'estero a pianificare
ed eseguire attacchi o altre operazioni offensive, ed infine le forze di protezione informatica per
fortificare le reti del Dipartimento della Difesa60.
Il CYBERCOM potrebbe essere un modello di riferimento per il caso italiano, dove si riscontra tra
l’altro l’assenza di un dispositivo militare deputato a difendere e a reagire ad attacchi provenienti
dal dominio cibernetico. Questa lacuna, in ultima analisi, è il segno di un’evidente riluttanza da
parte della classe politica italiana (nonché dell’opinione pubblica) a demandare a strutture militari la
sicurezza di un dominio (a torto associato esclusivamente a Internet), paventando un contrasto con
il principio costituzionale del ripudio della guerra (e della forza) previsti dall’art. 11 della
Costituzione61.
58 U.S. DEPARTMENT OF DEFENSE, Quadriennal Defense Review, DoD, February 2010, pp. 37-38 59 Cfr. M.C. LIBICKI, Cyberdeterrence and Cyberwar…op. citata. 60 Cfr. E. NAKASHIMA, “Pentagon to Boost Cybersecurity Force”, in «Washington Post», January 27, 2013, URL:http://www.washingtonpost.com/world/national-security/pentagon-to-boost-cybersecurity-force/2013/01/19/d87d9dc2-5fec-11e2-b05a-605528f6b712_story.html [consultato il 29-8-2013] Si rinvia anche a Silendo.org, blog italiano specializzato nel settore dell’intelligence e della politica internazionale, in particolare al post il cyber command si espande del 28 gennaio 2013, URL: http://silendo.org/2013/01/28/il-cyber-command-si-espande/ [consultato il 29-8-2013]. 61 GOVERNO ITALIANO, PRESIDENZA DEL CONSIGLIO DEI MINISTRI, Costituzione della Repubblica, -Principi Fondamentali-. In particolare l’art. 11 dispone che: “L'Italia ripudia la guerra come strumento di offesa alla libertà degli altri popoli e come mezzo di risoluzione delle controversie internazionali; consente, in condizioni di parità con gli altri Stati, alle limitazioni di sovranità necessarie ad un ordinamento che assicuri la pace e la giustizia fra le Nazioni; promuove e favorisce le organizzazioni internazionali rivolte a tale scopo. URL: http://www.governo.it/Governo/Costituzione/principi.html [consultato il 29-8-2013]
30
II. | Considerazioni conclusive
Un attacco cibernetico guidato da mani esperte è in grado di aggirare qualsiasi sistema di difesa
convenzionale. Se la sicurezza di uno Stato net-centrico passa attraverso la protezione delle sue reti
infrastrutturali critiche occorre ripensare non solo la dottrina di impiego della forza, ma anche
addestrare forze di difesa alle nuova grammatica della guerra digitale.
Se agenti ostili dovessero assumere il controllo di un solo hub chiave dell’intero insieme delle
infrastrutture critiche nazionali, nell’arco di poche ore, un’economia potrebbe collassare, intere
popolazioni rimanere senza acqua ed elettricità, il traffico aereo e ferroviario potrebbe essere
dirottato, linee metropolitane potrebbero scontrarsi causando migliaia di vittime civili. Come
abbiamo dimostrato, esiste una casistica che, seppur limitata dato l’arco temporale effettivamente
considerabile, contiene in sé tutti gli elementi che ci fanno apparire questi scenari come ben lontani
dal rappresentare semplici sceneggiature cinematografiche o esercizi teoretici. Pensare di affrontare
le nuove minacce applicando vecchi schemi considerando lo spazio cibernetico semplicemente
come un’altra dimensione di interazione strategica appare riduttivo e fuorviante. Il cyberspazio
agisce come retro-spazio per tutte le altre dimensioni e un attacco informatico può rapidamente e
facilmente passare dal mondo virtuale a quello reale. La presa d’atto di questa realtà, a nostro
avviso, è necessaria e quanto mai urgente per due ragioni connesse:
1. Una corretta comprensione della minaccia favorirà un’appropriata pianificazione della difesa
cibernetica;
2. Decisioni appropriate e efficaci da parte dei policymakers favoriranno il sostegno
economico da parte delle opinioni pubbliche a sistemi difesa ad hoc che contribuiranno alla
salvaguardia del benessere e della sicurezza delle nazioni.
Questo processo virtuoso ha ad oggi incontrato numerosi ostacoli. A nostro avviso il ritardo italiano
si è accumulato anche per queste ragioni:
1. Manca una definizione condivisa di Infrastruttura Critica, senza sapere cosa occorre
difendere è impossibile qualsiasi forma di pianificazione efficace;
2. Esistono vincoli conservativi da parte dei singoli ministeri spesso “gelosi” delle proprie
prerogative. Questi meccanismi danno vita, nonostante gli sforzi del legislatore, a organismi
come gabinetti o tavoli inter-ministeriali pletorici e giocoforza pachidermici nella loro
operatività. Caratteristica degli attacchi cibernetici è la compressione del ciclo decisionale:
affrontare queste minacce con organismi di difesa lenti significa concedere un enorme
vantaggio al nemico;
31
2.1. Corollario del punto 2 è l’errata convinzione che un attacco ad una rete
infrastrutturale critica elettrica sia di competenza del ministero dell’energia anziché
di un organo integrato di difesa sotto il controllo del ministero della difesa o
dell’intelligence. In questo senso, la creazione del NISP a seguito dell’approvazione
del D.P.C.M del 24 gennaio 2013 sembra, almeno in parte, colmare questa lacuna;
2.2. La totale assenza di un organismo militare deputato a contrastare e, laddove
necessario, contrattaccare (attraverso azioni di rappresaglia cibernetiche o cinetiche)
gli attacchi che implicano un pericolo vitale per la sicurezza della Repubblica
provenienti dallo spazio cibernetico, ambiente che ben poco si presta a essere gestito
da dottrine e organismi validi per i classici domini della conflittualità;
3. Manca una definizione chiara di dove inizia e dove finisce un attacco cibernetico ad una
infrastruttura critica, risultato di un deficit strategico le cui cause possono ritrovarsi in parte
nel punto 1 e in parte nel punto 4;
4. Dato il concetto di Interdipendenza delle Infrastrutture Critiche, occorre considerare la
difesa delle IC nel loro insieme e non separatamente: la fragilità dell’interdipendenza
rappresentata grazie alla teoria dei grafi dall’hub chiave che regge l’intera struttura è il
luogo dove calcolare la funzione di rischio dell’intero sistema nazione.
5. Anche se la convinzione che tutti gli attacchi cibernetici abbiano a che fare con la rete delle
telecomunicazioni è sbagliata62, l’infrastruttura critica delle TLC è l’hub portante dell’intero
sistema infrastrutturale: qualsiasi pianificazione difensiva non può non tenerne conto63.
Questa situazione di ritardo continuerà ad essere difficilmente colmabile laddove si pensi che la non
applicabilità di vecchie dottrine operative ad un nuovo scenario lasci gli Stati in balia di nuovi
guerrieri digitali. Le soluzioni per una corretta analisi dei fattori di rischio e di vulnerabilità così
come le possibilità di approntare risposte tecnologiche all’altezza della sfida ci sono. Sono le
soluzioni mutuate dalla teoria matematica dei grafi e la network science con lo studio delle forme
adattive degli organismi biologicamente avanzati per quanto riguarda la schematizzazione delle reti
da difendere e il calcolo del rischio, mentre ad ingegneri informatici e sistemisti compete la messa a
punto di nuovi firewall digitali64. La situazione di anonimato garantita dagli attacchi informatici
potrebbe rimanere, anche nel futuro prossimo, una costante di questo tipo di minacce, rendendo
difficile e controproducente qualsiasi misura di rappresaglia: difficile perché non autorizzabile da
parte di organismi multilaterali di difesa senza prove chiare, controproducente perché laddove si
62 S. BORG, Logica della…op.citata. p. 47. 63 Una circostanza correttamente riportata nella Relazione dei nostri Servizi di Intelligence al Parlamento già dal 2010. 64 Si veda tra gli altri il progetto CRASH sviluppato dall’Agenzia statunitense DARPA.
32
colpisse un paese sospettato, ma non realmente colpevole, potrebbero svilupparsi atteggiamenti di
diffidenza reciprochi nocivi per la cooperazione tra gli attori del sistema internazionale. Queste
osservazioni ci portano a concludere che un investimento nella pianificazione della difesa
cibernetica sia sul versante strategico che tecnologico potrebbe migliorare il livello della difesa del
nostro paese, rendendolo progressivamente meno vulnerabile ad eventuali attacchi: condizione che
ad oggi ci sembra più “vitale” rispetto alla necessità (di certo non assente) di sviluppare strumenti
cibernetici offensivi65.
65 Si noti qui che la possibilità di distinguere tra cyberweapons offensive e difensive è tutt’oggi un tema dibattuto. U. GORI, Cyberspazio e Relazioni Internazionali: implicazioni geopolitiche e geostrategiche, in U. GORI, S. LISI (a cura di) Information Warfare 2012, Armi Cibernetiche e Processo Decisionale, FrancoAngeli, 2013, p. 21.
33
III. | Bibliografia
− A.A.V.V., “Critical Foundations: Protecting America’s Infrastructures”,Washington DC,
President’s Commission on Critical Infrastructure Protection, 1997. − A.A.V.V. “Identifying, Understanding, and Analyzing Critical Infrastructure
Interdependencies”, IEEE Control Systems Magazine, December 2001. − R. ALBERT, A.L. BARABÁSI, “Statistical Mechanics of Complex Networks”, Reviews of
Modern Physics, Volume 74, January 2002. − J. ARQUILLA, D. RONFELDT, (a cura di) In Athena’s Camp: Preparing for Conflict in the
Information Age, RAND Corporation, 1993. − R. AXELROD AND M.D. COHEN, Harnessing Complexity: Organizational Implications of a
Scientific Frontier, New York, Free Press, 1999. − R. BACHER, U. NÄF, M. RENGGLI, W. BÜHLMANN, H. GLAVITSCH, “Report on the blackout in
Italy on 28 September 2003”, Berna, Swiss Federal Office of Energy (SFOE). − A.L. BARABÁSI, R. ALBERT, “Emerge of Scaling in Random Networks”, Science, Volume
286, 15 October 1999. − A.L. BARABÁSI, R. ALBERT, RÉKA, H. JEONG, “Mean-field theory for scale-free random
networks”, Physica A, Volume 272, 1999. − A.L. BARABÁSI, “Scale-Free Networks: A Decade and Beyond”, Science, Volume 325, 24
July 2009. − E. BYRES, J. LOWE, The Myths and Facts behind Cyber Security Risks for Industrial Control
Systems, British Columbia Institute of Technology, October 2004. − B. BOLLOBAS, Modern Graph Theory, New York NY, Springer, 1998.
− E. BONABEAU, M. DORIGO, G. THERAULAZ, Swarm Intelligence: From Natural to Artificial
Systems, Oxford, U.K., Oxford University Press, 1999. − S. BORG, Vd. Id., “Logica della guerra cibernetica”, Limes, Quaderni speciali, Aprile 2012.
− C. V. CLAUSEWITZ, Della Guerra, Milano, Mondadori 2010.
− DIPARTIMENTO DELLE INFORMAZIONI PER LA SICUREZZA, Relazione sulla politica
dell’informazione per la sicurezza, 2010. − DIPARTIMENTO DELLE INFORMAZIONI PER LA SICUREZZA, Il linguaggio degli organismi
informativi. Glossario di Intelligence, in “Gnosis. Rivista Italiana di Intelligence. Quaderni di Intelligence”, De Luca Editori, Roma, 2012.
34
− DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 GENNAIO 2013, Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. (GU Serie Generale n.66 del 19-3-2013)
− EASLEY, J. KLEINBERG, Networks, Crowds, and Markets: Reasoning about a Highly
Connected World, Cambridge University Press, 2010. − K. GEERS, Strategic Cyber Security, Tallinn, Cooperative Cyber Defense Centre of
Excellence (CCDCOE), 2012. − U. GORI, S. LISI (a cura di) Information Warfare 2012, Armi Cibernetiche e Processo
Decisionale, Franco Angeli, 2013. − J. HSU, “U.S. Cyber Command Now Fully Online, and Seeking a Few Good Geeks”, in
«Popular Science», 18 April 2010. − C. JEAN, G. TREMONTI, Guerre Stellari. Società ed economia nel cyberspazio, Milano, Franco
Angeli, 2000 − KOUBÂA, B. ANDERSSON, “A Vision of Cyber-Physical Internet”, Consultabile:
− E.A.LEE, S. A. SESHIA, Introduction to Embedded System, a Cyber-Physical Approach,
LeeShia.org, 2011. − M.C. LIBICKI, Cyberdeterrence and Cyberwar, RAND Corporation, 2009.
− W.J.LYNN III, Defending a New Domain, Foreign Affairs, 1 Sept. 2010.
− W.H. MANTHORPE JR., "The Emerging Joint System-of-Systems: A Systems Engineering
Challenge and Opportunity for APL," Johns Hopkins APL Technical Digest, Vol. 17, No. 3 (1996).
− NAKASHIMA, “Pentagon to Boost Cybersecurity Force”, in «Washington Post», January 27,
2013, − NATIONAL INTELLIGENCE COUNCIL, “Global Trends 2025: A Transformed World”,
Washington DC, US Government Printing Office, November 2008. − NERI E S. MELE, Così l’Italia si attrezza su protezione cibernetica e sicurezza informatica, in
Formiche.net, 22-03-2013. − J.S. NYE, The Future of Power, New York, Public Affairs, 2011, trad. it. Smart Power, Bari
Laterza, 2012 − OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY PREPAREDNESS,
“Threats to Canada’s Critical Infrastructure”, 12 March 2003. − D. PEDERSON, D. DUDENHOEFFER, S. HARTLEY, M.PERMANN, “Critical Infrastructure
Interdependency Modeling: A Survey of U.S. and International Research, U.S. Department of Energy National Laboratory, August 2006.
35
− V. PELINO, “Reti Cyber-Fisiche. Vulnerabilità a Random Failures e Attacchi Intenzionali,
Roma, Aeronautica Militare CNMCA. − PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA
DELLA REPUBBLICA, Relazione sulla politica dell’informazione per la sicurezza 2012. − T. RID, “Think Again: Cyberwar”, Foreign Policy, March-April 2012.
− S. M. RINALDI, J. P. PEERENBOOM, T. K. KELLY, “Identifying, Understanding, and Analyzing
Critical Infrastructure Interdependencies”, IEEE Control Systems Magazine, Dec. 2001. − P.W. SINGER, Wired for War. The Robotic Revolution and Conflict in the 21st Century, New
York NY, Penguin Books, 2009. − J.H. SCHERRER E W.C. GRUND, A Cyberspace Command and Control Model, Air War
College, Maxwell Paper, No 47, August 2009. − TERO, S. TAKAGI, T. SAIGUSA, K. ITO, D. P. BEBBER, M. D. FRICKER, K. YUMIKI, R.
KOBAYASHI, “Rules for Biologically Inspired Adaptive Network Design”, Science, 22 January 2010, 327 (5964).
− THE WHITE HOUSE, “Presidential Decision Directive NSC/-63”, Washington, 22 May 1998.
− E. TIKK, K. KADRI, V. LIIS, International Cyber Incidents. Legal Considerations, Tallinn,
Cooperative Cyber Centre of Excellence (CCDCOE), 2010. − TRECCANI.IT, definizione di “infrastruttura”, Roma, Istituto della Enciclopedia Italiana, 2013.
Consultato in data 17 agosto 2013. − U.S. ARMY - DEPARTMENT OF COMMAND, LEADERSHIP AND MANAGEMENT, Strategic
Leadership Primer, U.S. Army War College, 2010. − U.S. ARMY TRAINING AND DOCTRINE COMMAND – DEPUTY CHIEF OF STAFF FOR
INTELLIGENCE, “Critical Infrastructure Threats and Terrorism”, DCSINT Handbook No. 1.02, 10 August 2006.
− U.S. DEPARTMENT OF DEFENSE, The national military strategy for Cyberspace operations (U),
Chairman of the Joint Chiefs of Staff, Dec. 2006. − U.S. DEPARTMENT OF DEFENSE, Cyber Command Fact Sheet, 21 May 2010,
− U.S. DEPARTMENT OF DEFENSE, Quadriennal Defense Review, DoD, February 2010.
− U.S. DEPARTMENT OF HOMELAND SECURITY, “National Infrastructure Protection Plan”, 2009.
− D.J. WATTS, S.H. STROGATZ, “Collective Dynamics of ‘Small.World’ Networks”, Nature,
Volume 393, June 1998.