Se si fa una ricerca in internet del termine “cyberattacco”, lo schermo si riempirà di notizie sugli ultimi e preoccupanti attacchi informatici. Alcuni criminali informatici, per esempio, hanno colpito il sito web della Banca europea per gli investimenti (BEI), il braccio creditizio dell’Unione europea. Secondo gli esperti, si tratta probabilmente dell’ultima di una serie di minacce contro le istituzioni finanziarie europee da parte di hacker filorussi in risposta al sostegno europeo all’Ucraina.
In passato, questo tipo di attacco avrebbe potuto dominare il flusso delle notizie, ma ora occupa solo una parte della rassegna stampa giornaliera. Nell’insieme, questo tipo di notizie illustrano l’ambiente in cui il mondo si trova oggi: una raffica costante di cyberattacchi quotidiani che minano governi e aziende, espongono dati sensibili e costano persino la vita.
Una “morte” lenta e dolorosa
Gli attacchi informatici sono sempre più piccoli e diffusi che nel loro insieme portano alla “morte” della vittima rispetto alla tanto discussa teoria del “Cyber Pearl Harbor”, ossia una singola violazione che scatena uno scenario apocalittico di infrastrutture paralizzate, disagi sociali e vittime umane. Questo evento ipotetico dovrebbe indurre le persone a prendere sul serio la sicurezza informatica e a cambiare questa routine.
Eppure, il timore di una Cyber Pearl Harbor persiste da più di un decennio tra politici, funzionari militari e leader aziendali che si occupano di cybersecurity in tutto il mondo. È ora di riconoscere che tale evento è un mito. In realtà, da un punto di vista tecnico, ogni scenario di minaccia significativa si è già verificato almeno una volta e la successione di attacchi accaduti negli ultimi anni, nel complesso, hanno portato allo stesso risultato. Il linguaggio allarmistico non è più necessario per stimolare un’azione difensiva: il riconoscimento della minaccia esiste già e la preparazione sostanziale è in corso.
L’uso continuo di una terminologia come Cyber Pearl Harbor (o il suo cugino iperbolico, Cyber 9/11) è problematico perché oscura la vera natura delle minacce informatiche odierne e rallenta l’apprendimento dei modi migliori per affrontarle.
Sono passati quasi 11 anni da quando l’allora Segretario alla Difesa Leon Panetta rese popolare il termine Cyber Pearl Harbor. In un discorso tenuto nell’ottobre 2012 all’Intrepid Sea, Air and Space Museum di New York, che ha ricevuto un’ampia attenzione da parte dei media, Panetta ha affermato che un attacco informatico potrebbe paralizzare gli Stati Uniti, con gli aggressori che potrebbero far deragliare treni passeggeri, contaminare le riserve d’acqua e spegnere le reti elettriche.
Tuttavia, il concetto di un’unica Cyber Pearl Harbor sembra esagerato quando la raffica di attacchi dell’ultimo decennio ha dimostrato che la vera minaccia non è un singolo big bang ma un flusso apparentemente costante di assalti minori. Inoltre, gli eventi discussi come potenziali Cyber Pearl Harbor sì sono già verificati. Si è assistito a distruzioni diffuse di dati, infrastrutture colpite, decessi in ospedali a causa di ransomware, e dati più sensibili trapelati e manipolati pubblicamente.
Si può affermare che il Cyber Pearl Harbor è un concetto semplice (e spaventoso), che fa bene ai titoli dei giornali ma nasconde una realtà ancora più complessa: lo scenario attuale è caratterizzato da minacce multiple e incessanti da parte di una vasta gamma di cybercriminali in tutto il mondo.
Reagire
Questa retorica apocalittica trae gran parte della sua forza dall’idea che siamo un bersaglio facile per un attacco che nessuno immagina a sufficienza, proprio come quello dell’aviazione giapponese alla base navale statunitense nelle Hawaii il 7 novembre 1941. È necessario che il settore pubblico e quello privato agiscano di più per prepararsi. Sarebbe piuttosto ridicolo pensare che tutti questi anni di incidenti e un clima geopolitico sempre più instabile non abbiano reso la difesa informatica una priorità assoluta per governi e aziende. Quando si tratta di grandi cyberattacchi, il fallimento dell’immaginazione sembra l’ultima delle preoccupazioni e questo lo si osserva già di continuo.
Inoltre, nonostante la percezione comune dell’opinione pubblica che la criminalità informatica sia fuori controllo, ci sono in realtà segnali di miglioramento.
Ad esempio, l’ultimo report State of Data Security di Rubrik Zero Labs ha sottolineato come le organizzazioni abbiano ottenuto miglioramenti positivi nel 2022 e ci si aspetta che questa tendenza continui in ogni settore e regione anche nel 2023
In aggiunta, la condivisione di informazioni sulle minacce informatiche tra il settore pubblico e privato continua a crescere, persino tra aziende che un tempo le tenevano nascoste – una tendenza molto positiva. L’invasione russa dell’Ucraina ne è un esempio eccellente. Oggi si sa molto di più sulle capacità informatiche russe e sulle misure difensive che producono valore rispetto al passato. Questo è il risultato di livelli di condivisione e coordinamento mai visti prima.
Sicuramente gli attacchi che vediamo ogni settimana nei notiziari mostrano chiaramente le sfide che restano da affrontare. Per esempio, troppe organizzazioni sono ancora ingenue nel comprendere a fondo quali dati hanno, quali sono critici e quali debbano essere protetti con maggiore priorità. Inoltre, un insieme più forte e coerente di standard di cybersecurity aiuterebbe a garantire la coerenza tra i settori pubblico e privato nella difesa dalle violazioni.
In fondo, la cybersicurezza è un “eterno problema”. In altre parole, non bisogna aspettarsi (o nemmeno aspettare) che un evento di enorme dimensione stimoli un miglioramento. Piuttosto, una migliore difesa informatica deriva da molti piccoli passi che si sommano a un’azione decisiva.
Una buona analogia è rappresentata dall’industria automobilistica. Le iniziative per migliorare la sicurezza delle auto non hanno fatto seguito a un evento di enorme portata, ma sono avvenute poiché il settore ha capito che era la cosa giusta da fare e che poteva così soddisfare le richieste di maggiore sicurezza da parte dei consumatori.
Lo stesso vale per la sicurezza informatica. Piuttosto che credere all’idea errata di una Cyber Pearl Harbor, è meglio che il mondo si concentri sulle vere minacce che ci attendono e su ciò che funziona o meno per difendersi da esse.
Di Steven Stone, Head of Rubrik Zero Labs, Rubrik
