Se ci si limita a leggere le notizie sul cyber space (e relativi attacchi) si è portati a pensare che questi problemi siano tipici del mondo civile e che non hanno niente a che vedere con i sistemi d'arma degli stati più avanzati ma a ben guardare e rivolgendosi verso strutture informative più specifiche del mondo cyber, come per esempio il SANS Institute, si scopre che anche i sistemi d'arma statunitensi sono soggetti a vulnerabilità.
E' proprio nella newsletter del SANS institute che questa mattina ho letto del rapporto governativo US compitato dal "Governmental Accountability Office" per il Senato degli Stati Uniti dal titolo "Weapon System Cybersecurity, DOD just beginning to grapple with scale of vulnerabilities".
Il report analizza le criticità del settore relativo agli armamenti e mette in evidenza le lacune di alcuni sistemi, soprattutto di quelli più vecchi realizzati quando ancora si avevano poche evidenze delle potenzialità di un cyber attack.
Ma il fatto che un sistema sia di recente progettazione e realizzazione non mette al riparo da problemi di sicurezza. La complessità, l'interdipendenza da altri sistemi, la necessità di provvedere ad aggiornamenti funzionali e, talvolta, la scoperta di vulnerabilità legate ai software di base (è il caso dei sistemi operativi per esempio) costringe l'industria e la Difesa a riprendere più e più volte i sistemi per effettuare i correttivi del caso.
Il report è dunque un ottimo documento per capire quali sono i rischi cui un sistema d'arma moderno è soggetto e come si deve procede per evitare errori macroscopici partendo dal fatto che la "cybersecurity è il processo relativo alla protezione delle informazioni e dei sistemi informativi attraverso la prevenzione, l'individuazione e la risposta agli attacchi. La cybersecurity mira a ridurre la probabilità che un attaccante possa accedere ai sistemi del DoD e limitare i danni che esso potrebbe fare qualora riuscisse ad accedervi".
Il report riporta alcuni potenziali effetti negativi che possono essere sfruttati da avversari dotati di capacità di cyber attack, contro sistemi d'arma in qualche modo dipendenti da software, dai più banali quali ad esempio la possibilità di accensione e spegnimento di un sistema d'arma o la modifica di un obiettivo di un missile fino a attacchi più elaborati come la modifica del corretto livello di ossigeno di un pilota di caccia.
Gli Stati Uniti hanno in programma investimenti per circa 1.600 miliardi di dollari per i prossimi anni e i rischi legati alle nuove tecnologie e alle potenziali vulnerabilità cyber sono considerati elevati.
Questo li ha spinti a mettere in piedi delle strutture e dei processi di controllo allo scopo di limitare i danni economici e il fallimento di progetti ma gli ha anche consentito di raccogliere dati sui software e sulle vulnerabilità presenti nei sistemi d'arma di valore inestimabile.
Ci si potrebbe domandare se qualche cosa di simile viene posta in essere negli altri paesi, per esempio nel nostro, dove gli investimenti sono naturalmente minori in quanto attagliati alle ambizioni e agli obiettivi da raggiungere ma, proprio per questo, molto più soggetti a pericolo di fallimento.
Negli USA, se un progetto fallisce, è molto probabile che ve ne sia un altro con obiettivi simili che arrivi a buon fine, ma da noi (o più in generale nei paesi di piccola e media grandezza europei) il fallimento di un progetto di un sistema d'arma condurrebbe probabilmente alla mancata realizzazione di una capacità operativa con le conseguenze che è possibile immaginare.
Tutto ciò spinge a pensare che l'unica soluzione percorribile sia superare le distanze esistenti (e a volte create ad arte) tra i paesi europei e realizzare dei programmi comuni: l'alternativa è quella di restare legati a politiche delle grandi potenze e anche ai loro "dictat" in campo economico e di sviluppo dell'industria militare e delle nuove tecnologie.
Alessandro RUGOLO
Per approfondire:
- https://www.sans.org/;
- https://www.gao.gov/assets/700/694913.pdf;