La geopolitica dei chip

Da diversi anni ormai si sente parlare di geopolitica dei semiconduttori e per me è arrivato il momento di approfondire l'argomento.

Per farlo partiamo da un recente articolo della Johns Hopkins University : "Clash of the Chips: A Comparison of US-China Semiconductor Production Capacities", di Varda He and Jennifer Roberts, pubblicato il 7 maggio 2022.

Nello studio gli autori analizzano il processo di fabbricazione dei semiconduttori (chip) da un punto di vista specificamente geopolitico e con uno specifico scopo: analizzare la competizione USA-Cina per far si che continui il dominio USA nel settore.

L'analisi mira a comprendere rischi e vantaggi dell'attuale processo produttivo americano, la produzione cinese e le criticità che gli USA dovranno affrontare per riportare alcuni processi produttivi nel proprio territorio per evitare problemi di supply chain e di sicurezza.

Parlare di confronto USA-Cina, come penso sia chiaro a tutti, significa interessare praticamente tutto il mondo, sia in considerazione delle materie prime occorrenti per la fabbricazione dei chip, sia per i luoghi dove questi sono fabbricati, sia per le politiche di influenza che mirano a proibire o favorire l'uso di componenti dell'una o dell'altra parte all'interno di prodotti militari o, più in generale, ad alta tecnologia.

In linea di massima, il processo di produzione dei chip può essere diviso in tre parti: progettazione, produzione, assemblaggio. Secondo gli autori, gli Stati Uniti sono attualmente in vantaggio nella fase di progettazione dei chip in quanto le proprie industrie controllano il 68 % del mercato mondiale.

Ma per capire bene cosa significa e in cosa consiste la sfida attuale gli autori analizzano il processo produttivo cinese individuando le differenze e i punti di forza e debolezza in confronto agli USA. Quindi, e secondo me ben più interessante, vengono individuati i principali motivi di preoccupazione nel settore della produzione di chip:

- il produttore taiwanese "Taiwan Semiconductor Manufacturing Company (TSMC)", da solo è responsabile della produzione del 50% dei chip nel mondo;

- il secondo produttore al mondo è Samsung, sudcoreano;

- gli Stati Uniti sono solo terzi con Intel;

- i primi due produttori citati sopra sono gli unici capaci di produrre i chip delle nuove generazioni (tecnologia 5 nanometri).

Par capire perché entrambi i produttori siano da considerare strategici e geopoliticamente importanti, è sufficiente considerare che sia la Corea del Nord sia la Cina sono chiaramente individuati dagli USA come "nemici" (per gli USA la Cina dal 2022 é considerata la priorità n.1 nella 2022 National Defense Strategy) e ciò significa che un eventuale conflitto nell'area metterebbe a rischio la produzione dei chip ma soprattutto la produzione nel resto del mondo di "oggetti" da essi dipendenti, quali per esempio i computers, gli smart phone e tutta l'industria automobilistica mondiale, per non parlare dell'industria militare!

Nel 2020, nel pieno di questa guerra economica tra USA e Cina, gli Stati Uniti hanno inserito la Semiconductor Manufacturing International Corp (SMIC), la più grande società cinese produttrice di chip (detentrice di circa il 5% del mercato mondiale) nella black list, negandole l'accesso a tecnologie americane.

Ecco da cosa nasce la necessità degli USA di riportate sul territorio americano parte o tutta la catena di produzione dei chip ed ecco perché il 6 aprile 2022 la Casa Bianca ha stanziato 52 miliardi di dollari di sovvenzioni per produttori di chip locali.

Naturalmente la guerra economica USA-Cina nel settore dei semiconduttori ha influenze su tutto il mondo. In Europa per esempio si riflette nella impossibilità della società ASML Holding NV, con sede legale nei Paesi Bassi, di vendere le proprie tecnologie alle società presenti nella Black List statunitense, e guarda caso la ASML si occupa proprio di tecnologie legate all'industria di produzione dei chip.

Cerchiamo ora di fare un passo avanti nella comprensione di questo fenomeno globale legato ai semiconduttori. Per farlo mi avvalgo di un altro articolo: "The geopolitics of semiconductors: implications for Australian business", pubblicato da KPMG il 25 giugno 2021. Vi si parla di un altro aspetto non ancora toccato, relativo alla produzione del silicio impiegato per la produzione dei chip. Secondo quanto pubblicato infatti la Cina detiene il 64% della produzione del silicio per semiconduttori, mentre la Russia il 9 %, seguita dal Giappone (7%) e da USA (5%) e Norvegia (5%). É abbastanza chiaro che se gli USA vogliono realmente riportare in casa la produzione di chip, devono partire dalla base e quindi dalla produzione di silicio per semiconduttori. L'Australia considera l'attuale confronto sulla produzione dei semiconduttori un rischio elevato, nonostante sia uno dei principali alleati degli USA.

Se gli Stati Uniti vedono la Cina come un competitor globale in tutti i settori e soprattutto nelle nuove tecnologie, la Cina non é da meno e già da diversi anni ha capito che la globalizzazione può essere un vantaggio ma anche un rischio. Nel 2015 ha lanciato la sua nuova policy chiamata "Made in China 2025" con l'obiettivo di raggiungere e superare l'Occidente nelle tecnologie emergenti e tra queste la produzione di chip.

Come è facile intuire non tutti i problemi del settore sono attribuibili allo scontro tra superpotenze, consideriamo per un attimo ciò che è accaduto nel 2020 e 2021 con interi settori produttivi bloccati a causa del COVID 19. Quali sono stati i risvolti della mancata produzione di chip ? Blocchi di produzione nel settore automotive con mancati guadagni di circa 60 miliardi di dollari. É chiaro che la globalizzazione e la delocalizzazione selvaggia che abbiamo visto negli anni passati non funziona se non nel breve termine e in situazioni di relativa pace.

Alessandro RUGOLO

Per approfondire:

- Clash of the Chips: A Comparison of US-China Semiconductor Production Capacities - The SAIS Review of International Affairs (jhu.edu)

- 2 charts show how much the world depends on Taiwan for semiconductors (cnbc.com)

- U.S. blacklists dozens of Chinese firms including SMIC, DJI (cnbc.com)

- TSMC aumenta la produzione della tecnologia a 5 nanometri - tuttoteK

- U.S. blacklists dozens of Chinese firms including SMIC, DJI (cnbc.com)

- The Geopolitics of semiconductors - KPMG Australia (home.kpmg)

- China Tops Threats in New Defense Strategy - Defense One

- NDS Fact Sheet (defense.gov)

- The U.S.-China Conflict Over Chips Is About to Get Uglier - BNN Bloomberg

Zero trust: cosa significa?

Il mondo della sicurezza è in continua evoluzione e con esso, il linguaggio impiegato da tecnici e industria della sicurezza e delle nuove tecnologie.

Uno dei termini sempre più presente nell'ultimo anno è "Zero Trust". Ma siamo sicuri di sapere di che si tratta?

Come faccio sempre in questi casi è opportuno procedere dall'inizio, ovvero dalla definizione.

Per capire cosa significa Zero Trust è utile trovare una pubblicazione di riferimento e in questo caso si tratta della NIST 800-207. Come già detto tante volte il NIST (National Institute of Standards and Technologies del Dipartimento del Commercio degli Stati Uniti d'America) è una fonte inesauribile di informazioni.

La pubblicazione 800-207 in particolare si occupa del framework Zero Trust. 

Al momento si tratta dello standard di riferimento sia per le organizzazioni governative americane (dal maggio 2021 obbligatorio a seguito di un ordine esecutivo del presidente Biden) che per tutti coloro che in qualche modo hanno a che fare con il modello di lavoro distribuito e in cloud. Secondo Gartner entro il 2025 almeno il 60% delle organizzazioni (pubbliche e private) impiegheranno il framework Zero Trust. 

 

I principi chiave del framework 800-207 sono essenzialmente tre:

- verifica continua. Ovvero mai fidarsi di niente e nessuno;

- limitazione del raggio di interesse in caso di incidente. Mettere in atto una serie di procedure e accorgimenti tecnici che consentano di limitare i danni di un eventuale incidente;

- raccolta automatica e continua di dati di contesto e comportamentali per garantire una risposta accurata.

Il modello Zero Trust si basa sull'assunto che la verifica una tantum dell'utente, dei suoi privilegi e dei dispositivi e servizi utilizzati non è sufficiente a garantire la sicurezza di un sistema in continua evoluzione in cui le tecnologie e i rischi sono anch'essi in continua evoluzione.

Il termine "Zero Trust" è stato introdotto da John Kindervag (Forrester Research Analyst) con il significato di non fidarsi mai e verificare sempre!

Naturalmente ciò significa raccogliere molti dati e informazioni, che elaborati, consentono di avere una idea precisa della situazione degli utenti (privilegi, orari, luoghi di probabile connessione ecc.), dispositivi servizi e rischi cui la nostra organizzazione è soggetta.

Come si può intuire, non si tratta di un lavoro semplice, ma dato l'attuale livello di rischio, probabilmente necessario. 

Il passaggio verso una organizzazione "Zero Trust" non è semplice in quanto impatta il modo di lavorare delle persone e quindi può provocare la naturale resistenza al cambiamento, ecco perché il compito di un CISO diviene ancora più complesso almeno nelle fasi di definizione del progetto e più in generale nelle prime fasi applicative.

In alcuni mercati ciò potrebbe significare nell'immediato la necessità per le aziende di prevedere un aumento delle spese di consulenza.

A ben guardare sarebbe necessario applicare i principio Zero Trust anche a livello di sviluppo software e di interazione tra i diversi componenti di una infrastruttura. Molti attacchi si basano infatti sull'assenza o debolezza di strumenti di autenticazione e verifica continua dell'integrità tra i diversi moduli. Il modello Zero Trust trova applicabilità sia a livello micro (hardware, Sistema Operativo, componenti software...) sia a livello macro (interazione tra sistemi, organizzazione aziendale...).

In generale, per la buona riuscita di un programma simile, è di estrema importanza la comunicazione interna e la capacità di supportare le esigenze dell'utente ma soprattutto la formazione interna del personale, sia per far crescere il livello di consapevolezza verso i rischi cyber, sia per minimizzare la resistenza al cambiamento. 

Il NIST 800-207 è il framework di riferimento, come abbiamo detto, ma naturalmente le principali firme della sicurezza hanno la loro propria declinazione del concetto "Zero Trust", che spesso fa riferimento ai propri prodotti. 

Ciò significa, come sempre, rischi di vendor lock-in, che devono essere attentamente valutati prima di mettere in atto qualunque programma, ma questo vale sempre e comunque.  

Alessandro Rugolo, Maurizio D'Amato, Giorgio Giacinto

Per approfondire:

- What is Zero Trust Security? Principles of the Zero Trust Model (crowdstrike.com)

- What is Zero Trust? | IBM

- Modello Zero Trust - Architettura di sicurezza moderna | Microsoft Security

- Defining Zero Trust in the Wake of the Biden Administration’s Cybersecurity Executive Order | Forcepoint

- Executive Order on Improving the Nation's Cybersecurity - The White House

- Universal ZTNA is Fundamental to Your Zero Trust Strategy | SecurityWeek.Com

Immagine: Resources - Imageware

Intelligence e sicurezza del Cyberspazio

di Calogero VINCIGUERRA


Edito dall’autore
pagg.188


Il mondo evolve sempre più velocemente, grazie alle immense possibilità offerte dalle nuove tecnologie, in particolare quelle digitali.

L’introduzione del cyberspace come quinto dominio é una conseguenza della sempre maggiore importanza del cyberspace per le operazioni militari.

Allo stesso modo é interessante notare che anche il mondo dell’intelligence cambia nel tempo, anche in funzione dei mezzi e strumenti disponibili per la raccolta e analisi dei dati e informazioni e per la produzione di intelligence. Calogero Vinciguerra, con il suo libro, ci illustra in modo chiaro i cambiamenti occorsi al mondo dell’Intelligence grazie allo sviluppo delle tecnologie dell’Informazione.

Il libro si articola in quattro capitoli principali che trattano altrettanti aspetti del mondo dell’Intelligence :

- evoluzione dell’intelligence ;

- esigenze informative e la sicurezza aziendale ;

- geografia e geopolitica del cyberspazio ;

- sicurezza del cyberspazio.

Nel primo capitolo l’autore getta le basi per una proficua lettura anche da parte di chi non é addentro alla materia, partendo dalle origini, ovvero dal significato del termine « intelligence » per poi passare all’illustrazione del ciclo intelligence. La descrizione del sistema di informazione per la sicurezza della Repubblica e elementi di intelligence economica chiudono il capitolo, accompagnando il lettore per mano verso la seconda parte.

Parlare di esigenze informative e di sicurezza aziendale non é semplice, ma l’autore riesce a farlo mettendo in evidenza l’importanza della figura dei professionisti della security, ritenuti, a ragione, ruoli fondamentali, tra questi anche il CISO (Chief Information Security Officer) e il DPO (Data Protection Officer). Sono bene illustrate le relazioni tra sicurezza nazionale e sicurezza aziendale, anche attraverso l’evidenziazione delle principali criticità esistenti, come per esempio la mancanza di un quadro legislativo in materia di security privata all’estero. L’illustrazione del concetto di « sicurezza partecipata » intesa come : « insieme degli strumenti e delle persone che interagiscono per concorrere a comuni obiettivi legati agli indicatori tipici della sicurezza » chiude il capitolo.

E’ con il terzo capitolo che si entra nel cuore dell'argomento del libro: cyberspace. A partire dalla spiegazione dei principali termini del settore fino alla discussione sulla cartografia del cyberspace e ai problemi della dimensione giuridica legata al territorio e al possesso dei dati, l'autore ci spiega i concetti principali. La mappatura digitale del crimine, spiegata anche con alcuni esempi reali relativi agli strumenti utilizzati, conduce alle nuove esigenze di importanti figure professionali come il Data Scientist e il Criminal Intelligence Analyst, divenuti ormai indispensabili. La geopolitica del cyberspace chiude il capitolo, con l'illustrazione del potere politico-strategico e di influenza negli equilibri mondiali del cyberspace.

Nel quarto ed ultimo capitolo Vinciguerra affronta con chiarezza la sicurezza del cyberspace. Partendo dalla definizione di hacker e di cracker, l'autore prosegue ad illustrare i principali tipi di minaccia (phishing, defacing, spoofing, DoS e DDoS) per poi descrivere le APT (Advanced and Persistent Threat) secondo la definizione del NIST e i principali crimini informatici. Nello stesso capitolo si dedica un po di spazio ai concetti di cybersecurity, cyber kill chain per concludere con lla struttura di cybersicurezza nazionale.

In conclusione il libro " Intelligence e sicurezza del Cyberspazio" è un libro interessante, molto ben strutturato e facile da leggere anche per chi si avvicina alla materia per la prima volta per cui ve lo consiglio!

Alessandro Rugolo

Hackerata l'Agenzia delle Entrate?

25 luglio, a Roma la temperatura è sempre più alta, e non solo quella del meteo!

Qualche giorno fa è caduto il governo, oggi sembra che sia la volta dell'Agenzia delle Entrate. Sui social si inseguono notizie, mezze voci, smentite... "Hackerata l'Agenzia... "

L’Agenzia delle Entrate dichiara “in riferimento alla notizia apparsa sui social e ripresa da alcuni organi di stampa circa il presunto furto di dati dal sistema informativo della fiscalità, l’Agenzia delle entrate precisa di aver immediatamente chiesto un riscontro e dei chiarimenti a Sogei Spa, società pubblica interamente partecipata dal Ministero dell’Economia e delle Finanze, che gestisce le infrastrutture tecnologiche dell’amministrazione finanziaria e che sta effettuando tutte le necessarie verifiche”.

"Smentita la notizia... "

La Sogei afferma che “non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria”, chi ha ragione?

 

Come al solito in Italia non si capisce niente! 

Eppure i meglio informati dicono di aver visto le cartelle del file system, organizzate per utente, con all'interno i documenti personali, carte d'identità, passaporti... possibile che nel 2022 ci sia ancora chi organizza i dati in questo modo? Perché non un database? 

Ma si tratta veramente di dati dell'Agenzia delle Entrate?

Ma tant'é, questa è la situazione:

  

Purtroppo occorre ipotizzare il peggio: ovvero che LockBit abbia effettivamente hackerato l'Agenzia e sia in possesso dei dati. 

LockBit chiede un riscatto, pena la pubblicazione dei dati entro cinque giorni. 

Ora proviamo a considerare alcune possibili linee d'azione: 

1. lo Stato decide di non pagare il riscatto. Semplice, le conseguenze sono già chiare. I dati sottratti, sembra si tratti di 75 GB circa, saranno resi pubblici, forse in parte venduti sul mercato nero, con tutte le conseguenze del caso. Truffe, impersonificazioni, ricatti... si perché si tratta dei dati finanziari di tutti i soggetti (o parte di essi) che si trovavano nei DB dell'Agenzia delle Entrate. 

2. lo Stato decide di pagare. Gli hacker sono onesti e avuto il loro compenso restituiscono i dati sottratti e cancellano ogni copia creata. Ipotesi credibile? direi molto poco. Ma ormai la frittata è fatta, l'unica cosa da fare è sperare nella loro onestà. E se fossero disonesti, allora si ritornerebbe al caso uno con l'aggravante di aver pagato il riscatto. 

3. Lo Stato mette in moto tutte le strutture create in questi anni, attiva tutte le direttive NIS, ricorre alle innumerevoli norme regolamentari e ai suoi migliori uomini per... 

Purtroppo ho esaurito le ipotesi, restano però le domande: 

1. Come è potuto accadere? 

Le norme prevedono che i dati particolarmente sensibili debbano essere come minimo cifrati... i nostri dati lo erano? 

A vedere gli screenshot pubblicati sembrerebbe proprio di no. 

2. E adesso? Chi paga per quanto accaduto? Il tecnico in fondo a destra o il Titolare dei dati? 

Contitolari più probabilmente, se l'attacco sarà confermato, dato che le organizzazioni corresponsabili potrebbero essere diverse, l'Agenzia in primis ma anche sa società Sogei. Sicuramente il Garante della Privacy potrà dire la sua. Forse si potrebbe addirittura pensare ad una class action.. ma siamo seri, come potrebbe finire se non a tarallucci e vino?

Purtoppo, qualunque cosa si possa dire non aiuterà a riportare le cose all'attimo prima dell'incidente.

Eppure a volte una sana prevenzione, la corretta informazione e formazione del personale e delle attività di bug bounty e pentesting possono essere d'aiuto.

Ma occorre sapere di che si parla... e non sempre è cosi!

Alessandro Rugolo, Danilo Mancinone, Ugo Micci, Carlo Mauceli

Per approfondire:

- Attacco ransomware all'Agenzia delle Entrate. La situazione è poco chiara (redhotcyber.com)

- Attacco ransomware all’Agenzia delle Entrate, LockBit rivendica il data breach - ICT Security Magazine

Cyber Influence, e siamo tutti parte della comunità globale!

"Cyber-Influence, un termine nuovo creato per indicare una attività antica quanto il mondo, l'influenza, svolta con metodologie e mezzi moderni (cyber) in particolare attinenti al cyberspace."

No, non si tratta di una definizione, almeno non di una definizione ufficiale! Ma semplicemente di una mia definizione.    

In un precedente articolo abbiamo visto quali sono le relazioni tra cyber warfare e Information Warfare, 

ora proviamo a chiederci che c'entra in tutto ciò la cyber-influence.

Questa volta, per trovare una guida, mi rivolgo alla Francia.

Nel mese di marzo del 2021 è uscito uno studio dell'IFRI (Institut Français des Relations Internationales) dal titolo "Cyber-influence, Les nouveaux enjeux de la lutte informationelle" firmato da Laure DE ROCHEGONDE e Elie TENENBAUM. Proverò a seguirlo per quanto possibile, cercando di semplificare per rendere comprensibile a tutti un argomento abbastanza complesso.

Questa volta la parola chiave è "influenza" e come questa possa essere impiegata nell'ambito della guerra.  

Nella NATO il concetto di STRATCOM è ben noto e tutte le Forze Armate Alleate, chi più chi meno, si sono allineate dal punto dottrinale. 

Le Operazioni Informative sono parte della STRATCOM e si dividono in tre grandi branche:

- le azioni di cooperazione civile-militare (CIMIC), aventi lo scopo di migliorare alcune condizioni sociali o economiche del paese ospite, per far si che la Forza Militare sia percepita bene e che la popolazione collabori; 

- le operazioni di Key Leader Engagement, che mirano ad influenzare primariamente i decisori;

- le Operazioni Psicologiche, che sono concepite allo scopo di modificare, mantenere o rinforzare la percezione di individui o collettività.      

Come è facile immaginare queste tre tipologie di operazioni possono essere condotte impiegando mezzi di diversa natura. 

Ci fu un tempo in cui si cercava di influenzare il prossimo stampando e distribuendo, spesso di nascosto, dei libercoli in cui si tessevano le lodi di tale persona o idea (più spesso si sparlava di qualcuno!). La carta e l'inchiostro erano il supporto indispensabile. L'area in cui questo tipo di propaganda era possibile variava da un quartiere ad una città, difficilmente si arrivava oltre.

Poi arrivarono le prime macchine che consentivano di fare tante copie in poco tempo. Ciò migliorò la velocità di diffusione. Ma per riuscire a superare il confine cittadino occorreva attendere. L'avvento di internet e soprattutto dei social ha fatto si che i confini si annullassero e con le attuali capacità di profilazione si è arrivati alla distribuzione porta a porta di prodotti di influenza personalizzati.

Oggi infatti siamo soggetti a bombardamento continuo di messaggi preparati appositamente per colpirci nei nostri punti deboli.

Il cyberspace è trasversale a tutte le attività umane e veicola dati e informazioni di tutti i tipi, comprese tutte quelle informazioni sul nostro profilo psicologico raccolte in maniera automatica ormai da qualunque sito, aggregate e analizzate per ottenere dei prodotti di intelligence sui singoli e sui gruppi sociali.

Ecco perché quando pubblichiamo una foto di un piatto di linguine cozze e vongole su facebook, qualche istante dopo ci viene proposto di iscriverci al sito del super chef stellato che ci insegnerà come fare la salsa di pomodoro utilizzando i migliori prodotti (sponsorizzati) disponibili sul mercato. Naturalmente i siti su cui verremo reindirizzati sono creati da professionisti del marketing che ben sanno come catturare l'attenzione e convincere, influenzare. Difficilmente si scappa dalla rete. 

Esattamente allo stesso modo, se abbiamo dato il nostro sostegno ad un post in cui si sostiene una causa politica o sociale, nel giro di poco tempo ci verranno presentati post simili. Naturalmente ciò avviene solo se la narrativa possibile conduce verso lidi ben gestiti, altrimenti avviene il contrario, si viene isolati, i propri post sono cancellati, il proprio profilo viene bloccato...

Queste sono operazioni di influenza, condotte contro il singolo o contro gruppi sociali, grazie alla potenza delle nuove tecnologie e alla pervasività del cyberspace. 

Immaginate ora cosa può essere fatto in caso di guerra, quando tutta la forza di una Nazione è incanalata verso l'unica direzione possibile? 

Allora, ricordiamo che una regola antica come il mondo consiste nel chiedersi sempre: "Cui prodest"? Ovvero, a chi giova? Chi ha vantaggio da una o dall'altra narrativa? Chi trae vantaggio dal possedere i miei dati? Chi trae vantaggio dall'impiego delle informazioni che senza troppo preoccuparmi sono giornalmente condivise con i miei amici dei social, con la banca, con l'app contapassi, con quella che mi conta le calorie consumate e mi suggerisce cosa mangiare, con il mio supermercato di fiducia, con le piattaforme che mi aiutano nella ricerca del volo più economico per andare in vacanza, dell'hotel che fà assolutamente al caso mio, dell'app che misura i miei progressi linguistici... cominciamo a ripeterci: cui prodest? Poi magari facciamolo lo stesso, ma facciamolo consapevolmente! 

Cominciare col porsi questa domanda corrisponde ad iniziare un nuovo percorso, un percorso di consapevolezza in cui non si è più parte del gregge.

Meditate gente, meditate,

Alessandro RUGOLO

Come sempre grazie agli amici di SICYNT che mi hanno aiutato a rendere semplice e interessante l'articolo coi loro preziosi suggerimenti.

Immagine: Cyber-influence : les nouveaux enjeux de la lutte informationnelle | IFRI - Institut français des relations internationales

Per approfondire:

- Cosa bisogna sapere sul cyberspace per vivere bene: la pubblicità personalizzata - Difesa Online

- Alexa, Intelligenza Artificiale e buon senso - Difesa Online

- IFRI - Institut français des relations internationales | Institut de recherche et de débat indépendant, consacré à l’analyse des questions internationales et de gouvernance mondiale.

- Cyber-influence : les nouveaux enjeux de la lutte informationnelle | IFRI - Institut français des relations internationales

- STRATCOM, comunicazione e information influence activities - Difesa Online

- Cyber Influence and International Security > National Defense University Press > News (ndu.edu)

- Cyber Influence and Cognitive Threats | ScienceDirect

Cybersecurity Ergonomica

Ho avuto spesso modo di valutare differenti approcci alla protezione informatica, in diversi ambiti.

Molto spesso l’impostazione era troppo superficiale, le politiche di sicurezza insufficienti quando non completamente assenti, e questo esponeva l’azienda ad un fortissimo rischio di compromissione.

A mio parere, però, quasi altrettanto deleterio per la sicurezza globale è l’implementazione di policy “troppo” stringenti.

So che questo sembra essere un controsenso, forse provocatorio, ma vi prego di seguirmi nel ragionamento.

E’ un fatto acclarato che l’anello debole nei sistemi informativi è quasi sempre “Dave: l’errore umano” (non me ne vogliano i tanti amici di nome Dave!)

Se implementiamo delle policy troppo stringenti e poco user friendly, poco “ergonomiche”, come mi ha suggerito il bravissimo @roarinpenguin, inevitabilmente gli utenti, schiacciati tra l’incudine della sicurezza e il martello della produttività, cercheranno degli escamotage per rispettare formalmente le policy, e nello stesso tempo continuare a lavorare in maniera agevole.

Faccio un esempio concreto: per lungo tempo si è stressato sulla necessità di avere password molto complesse, che comprendessero numeri e caratteri speciali in diverse combinazioni.

Questo ha portato molti, troppi utenti a scriversi da qualche parte la password per non dimenticarla, vanificando così completamente l’obiettivo primario della policy.

Poi si è introdotto l’obbligo di cambiare la password di frequente. Gli utenti la “cambiavano”, reimpostando la precedente. Allora si è bloccato il riutilizzo. Risultato? P@ssword1, P@ssword2, P@ssword3…

Questo è solo un esempio per dire che, per ottenere una sicurezza efficace, è necessaria la cooperazione attiva di utenti e operatori cybersec.

Questo risultato si ottiene innanzitutto con la formazione, promuovendo all’interno della struttura la consapevolezza dei rischi che si corrono (#ilbersagliosiamonoi), e dei comportamenti da adottare per minimizzarli. Ma oltre a questo, chi è responsabile delle security policy deve cercare in tutti i modi l’ergonomia delle soluzioni, così da rendere il rispetto delle regole impostate non dico piacevole (non esageriamo!) ma quantomeno poco invasivo.

Inoltre, spiegare i motivi per cui si introducono determinate restrizioni, condividendo per quanto possibile le analisi di rischio che hanno portato a implementarle, aiuta immensamente nell’ottenere l’adozione da parte degli utenti.

Infine, è bene ricordare sempre che “chi rinuncia alla libertà per la sicurezza non merita nè l’una, nè l’altra” (Benjamin Franklin).

Ugo Micci

Information warfare e cyber warfare, quali sono le relazioni?

Come sempre più spesso accade, mi ritrovo a scrivere un articolo per rispondere alla curiosità degli amici. 

Questa volta la domanda arriva nel mezzo di una chiacchierata sulle operazioni di propaganda portate avanti da entrambe le parti nella recente guerra che stiamo vivendo in Europa.

La domanda postami e alla quale cercherò di dare risposta è la seguente: "In che modo la cyber influisce sul piano della guerra informativa?".

Onestamente la risposta non è facile ma sono sicuro che potremo trovare una risposta se non completa quanto meno soddisfacente.

Comincio col dire che la guerra informativa non è una caratteristica dei giorni nostri. E' sempre esistita!

Ciò che in parte caratterizza la guerra informativa odierna è la velocità di scambio e soprattutto di consumo delle informazioni e i diversi strumenti utilizzabili, figli del nostro sviluppo tecnologico.

Ma come al solito, procediamo per passi e cerchiamo di capire di che cosa parliamo.

Cosa si intende per guerra informativa o delle informazioni?

Cerchiamo di capirlo facendo riferimento alla dottrina della NATO:

"Information warfare is an operation conducted in order to gain an information advantage over the opponent. It consists in controlling one’s own information space, protecting access to one’s own information, while acquiring and using the opponent’s information, destroying their information systems and disrupting the information flow. Information warfare is not a new phenomenon, yet it contains innovative elements as the effect of technological development, which results in information being disseminated faster and on a larger scale."

Per la NATO è chiaro che:

- la guerra informativa è un'operazione (militare) che ha lo scopo di guadagnare il vantaggio informativo sull'avversario;

- consiste nel controllo e protezione del proprio spazio informativo;

- si attua con l'acquisizione delle informazioni dell'avversario, la distruzione dei sistemi di informazione, l'interruzione dei flussi di informazioni.

Leggere una delle definizioni ci permette di inquadrare meglio la questione ma siamo ancora lontani dal capire quali sono le relazioni tra cyber e information warfare. 

Per capirlo occorre specificare meglio cosa intendiamo per cyber warfare e per farlo uso una fonte governativa, la definizione riconosciuta dallo stato dell'Australia:

"The use of computer technology to disrupt the activities of a state or organisation, especially the deliberate disruption, manipulation or destruction of information systems for strategic, political or military purposes."

Dunque, riassumendo, per cyber warfare si intende l'impiego di tecnologie informatiche per :

- interrompere le attività di uno stato o di una organizzazione;

- manipolare o distruggere sistemi informativi;

- per scopo strategico, politico o militare.

Avendo fatto un minimo di chiarezza sui concetti basici di infowar e cyberwar, consapevoli delle semplificazioni necessarie dovute a definizioni parziali e non sempre comuni a tutti, possiamo ora cercare di trovare risposta alla domanda iniziale, che ripropongo per chiarezza:

In che modo la cyber influisce sul piano della guerra informativa? 

Se consideriamo che la maggior parte dei sistemi informativi (sistemi per il trattamento delle informazioni) odierni si basano sull'impiego di tecnologie informatiche è facile capire che l'influenza della cyber sulla guerra informativa è notevole.

I sistemi informativi sono realizzati per gestire e trattare informazioni, per facilitarne l'analisi, la visualizzazione e così supportare le decisioni a diversi livelli, politico, strategico militare, strategico economico e così via. Queste informazioni devono essere trattate garantendone:

- riservatezza (confidentiality), devono essere accessibili solo a chi è autorizzato a trattarle;

- integrità (integrity), devono essere mantenute nel tempo così come sono state create e tutte le modifiche devono essere registrate;

- disponibilità (availability), devono essere disponibili per l'uso.

Inoltre, vi sono due ulteriori caratteristiche che sono associate ad ogni dato o informazione, che nel mondo odierno non possono essere date per scontate:

- la autenticità, consente di dire con ragionevole certezza chi è il proprietario o colui che ha prodotto il dato o l'informazione; 

- il non ripudio, ovvero che chi genera un messaggio non possa negare di averlo fatto. 

E' chiaro che qualunque attacco giunto a buon fine portato contro riservatezza, integrità, disponibilità, autenticità e non ripudio delle informazioni in un qualunque momento del ciclo di vita delle informazioni, condotto attraverso l'uso di sistemi informatici è degno della nostra considerazione ma non risponde in modo esaustivo alla nostra domanda.

Cosa resta ancora da considerare? 

In primo luogo proviamo a pensare a come le tecnologie informatiche hanno trasformato il mondo e la società. 

Un tempo le informazioni erano condivise attraverso la discussione nelle piazze, nei salotti, nei circoli privati e venivano principalmente dai giornali, organi ufficiali che veicolavano solo un determinato tipo di informazione, più o meno controllata da stati o organizzazioni.

Oggi lo strumento di condivisione è diventato il social network di turno e l'informazione viene modificata e ritrasmessa potenzialmente da chiunque abbia un accesso a internet. Per un certo periodo si è addirittura pensato che queste nuove tecnologie potessero rendere la società più "democratica", qualunque fosse il significato attribuito al termine.

Lo sviluppo delle tecnologie dell'informazione consente oggi la raccolta di dati e informazioni, la loro analisi e la produzione di nuove informazioni in tempo reale. Ciò significa avere a disposizione delle armi potentissime in caso di info war, questo perché è possibile effettuare in tempo reale delle operazioni nello spazio informativo:

- controllare le informazioni e determinare quali meritano di essere diffuse e quali no, attraverso il controllo costante dei social e degli influencer;

- immettere nel circuito informativo di interesse informazioni false, ma credibili a supporto della tesi dominante;

- screditare le voci dissenzienti, per esempio facendo passare i loro autori come complottisti o deridendoli e costringendoli al ritiro dallo spazio informativo;

- cancellare informazioni che nel tempo non sono più utili o peggio risultano dannose al racconto precostituito.

Queste attività rientrano appieno nella information warfare e possono essere condotte (e lo sono!) sia verso lo spazio informativo esterno (quindi verso gli avversari) sia verso lo spazio informativo interno (per ridurre la discussione o influenzare l'opinione pubblica).

Per riassumere, il cyberspace influisce sul dominio informativo essenzialmente:

- consentendo di raggiungere l'avversario attraverso sistemi informatici o di comunicazione;    

- consentendo di attaccare i sistemi informatici (o le piattaforme che ne fanno uso) dell'avversario;

- consentendo di accedere ai dati e alle informazioni dell'avversario e modificarle, cancellarle o renderle indisponibili;

- consentendo il controllo dello spazio informativo proprio

- influenzando lo spazio informativo dell'avversario attraverso immissione di informazioni a vario titolo non corrette.

Allora ci si potrebbe chiedere: come faccio ad accorgermi di essere vittima di una campagna di disinformazione?

Non esiste una regola, ma questo è argomento per un'altra storia!

Alessandro Rugolo 

Come sempre grazie agli amici di SICYNT che mi hanno aiutato a rendere semplice e interessante l'articolo coi loro preziosi suggerimenti.

Immagine: Information Warfare Offensive (auth0.com)

Per approfondire:

- information warfare (nato.int)

- Instructions, Manuals, and Notices (jcs.mil)

- Information Warfare (giac.org)

- Cyber warfare | Cyber.gov.au