Miscela Strategica – La strategia della deterrenza, efficace nell’evitare un’escalation nucleare, potrebbe incontrare altrettanta fortuna se applicata a un’eventuale guerra cibernetica?
DETERRENZA E CYBERDETERRENZA – Secondo il dizionario dei termini militari del dipartimento della Difesa statunitense, per deterrenza si intende la prevenzione di un’azione attraverso l’esistenza di una minaccia credibile di una contro-azione o la convinzione che il costo dell’azione superi i benefici percepiti. Obiettivo della cyber deterrenza è quindi quello di influenzare il processo decisionale dell’avversario al fine di prevenire azioni ostili nel cyber spazio. La deterrenza ha decisamente influenzato i comportamenti degli attori durante la Guerra Fredda al fine di scongiurare un’aggressione nucleare, convincendo le due superpotenze che il costo dell’attacco potesse eccedere i suoi benefici. A oggi si cerca di comprendere se il principio della deterrenza possa ritenersi valido anche nel contesto di un conflitto cibernetico. Ma guerra convenzionale, guerra nucleare e guerra cibernetica possono basarsi sugli stessi fondamenti? Come noto, ovunque si manifesti, la guerra per essere definita tale deve avere sempre un elemento di violenza i cui effetti siano di danno fisico e distruzione, e deve sempre avere un significato politico. Ma le fondamentali differenze tra conflitto nucleare e cyberwar necessitano di un’analisi più approfondita.
PUÒ ESSERCI DETERRENZA NEL CYBERSPACE? – La deterrenza nucleare si è basata sul presupposto di una relazione bipolare, ossia tra due potenze simmetriche: si ipotizzano pari potere e pari livello di influenza. In generale è ristretto il numero degli attori in possesso di capacità offensive nucleari, mentre il numero degli attori con potenzialità offensive nello spazio cibernetico è invece elevato, potenzialmente sconosciuto, in espansione e formato da attori pubblici e privati tra i quali intercorrono mutevoli relazioni asimmetriche. Il principio della deterrenza è impostato sulla presunzione che il proprio avversario si basi su una considerazione razionale dell’analisi costi/benefici. Ciò risulta difficilmente applicabile a una situazione caratterizzata da una sostanziale asimmetria, specie in presenza di attori che non hanno nulla da perdere. È ad esempio il caso degli hacker, convinti che la loro attività sia a bassissimo rischio di essere intercettata e punita, sentendosi al sicuro all’interno di un deregolamentato spazio cibernetico. Incrociando queste problematiche con quelle relative all’attribuzione della minaccia nel cyberspace, ne risulta un quadro in cui la deterrenza sembra avere poco spazio di manovra.
[toggle title=”Approfondimento – La difficoltà di attribuzione” state=”close” ]Quindici anni nella tecnologia informatica sono un’eternità. Eppure neanche oggi è possibile definire con certezza la paternità di un attacco cibernetico, poiché esso è per sua natura diffuso, rapido e anonimo. Il cyber-attack non usa direttamente violenza fisica, non avviene in uno spazio geograficamente definito e non coinvolge solo realtà statali. Ancor di più risulta complicato nel cyberspace, in mancanza di un’evidente “pistola fumante”, attribuire la responsabilità dell’atto e definire con certezza l’avvio e la fine delle ostilità. È necessario infatti tener conto del fatto che gli attacchi cibernetici non richiedono alcuna prossimità geografica e che non esistono sistemi di rilevamento che permettano di individuare in tempo reale l’accadimento e l’origine di un attacco. Inoltre i protocolli su cui si basa l’intera struttura di internet non permettono tecnicamente di tracciare con evidenza da chi sia stato perpetrato un attacco, specie se esso supera numerosi confini internazionali e utilizza una serie di server o di sistemi ai quali gli attaccanti si garantiscono un accesso remoto, e quindi indiretto.
Fig.1 – Non utilizzando violenza fisica diretta, un cyber attack può essere perpetrato da qualunque location
LA RAPPRESAGLIA – L’efficacia della deterrenza si basa sulla capacità di vanificare l’attacco e sulla minaccia di ritorsione. Tenendo conto dell’estrema difficoltà di neutralizzare l’offesa nello spazio cibernetico, la deterrenza deve quindi potersi basare sulle capacità di rappresaglia. Anche in questo caso è necessario affrontare il problema della difficoltà di attribuzione, che rende impossibile stabilire con sicurezza la responsabilità di un cyberattack. I rischi di incolpare un soggetto sbagliato, o ancor di più che un avversario si adoperi in modo tale da far attribuire verosimilmente la paternità di un attacco a un soggetto terzo, rendono difficile l’applicazione teorica e pratica della rappresaglia nel cyberspace. Si tenga conto inoltre che, in un contesto in cui manca del tutto la fisicità dell’arma, gli effetti causati da un’azione ostile potrebbero essere gli stessi di un malfunzionamento. In mancanza di prove contrarie, un guasto particolarmente dannoso potrebbe essere considerato come un atto offensivo. Infine la necessaria dilatazione temporale della risposta, conseguenza della complessità dell’attribuzione, renderebbe l’eventuale rappresaglia logicamente disconnessa dal primo attacco e perderebbe il suo effetto deterrente.
LA SOGLIA DI TOLLERANZA – Un’ulteriore difficoltà con cui si scontra la cyber-deterrenza è la definizione di una soglia di tolleranza oltre la quale giustificare una rappresaglia. Nel definire la deterrenza nucleare si è supposto che ogni atto ostile che prevedesse l’uso di un ordigno atomico avrebbe superato tale soglia, e quindi posto le basi per una risposta con armi nucleari. Considerare allo stesso modo ogni atto ostile nel cyberspace, rischierebbe di avviare una pericolosa escalation. Gli attacchi pubblici e privati ai sistemi informatici degli Stati sono all’ordine del giorno. Sarebbe quindi necessario fissare la soglia a un punto più alto, quantomeno al livello di equivalenza negli effetti a un attacco ostile di natura convenzionale. Vi è però il rischio che tale soglia risulti arbitraria, poiché un attacco cibernetico può essere solo indirettamente violento e tali questioni devono necessariamente incrociarsi con quelle relative all’attribuzione.
Fig.2 – Tiffany Rad, manager e ricercatrice per ThreatGrid Inc., posa in ufficio. Tiffany è un ‘white hat‘, un hacker specializzato nel cercare le falle dei sistemi di sicurezza e porvi rimedio
DETERRENZA O ESCALATION? – Questa breve analisi ci permette di comprendere come sia difficile applicare il principio della deterrenza a un conflitto cibernetico. Una volta superate le difficoltà tecniche, la deterrenza potrebbe comunque rivelarsi efficace solo se applicata tra attori simmetrici, come gli Stati. Avrebbe invece poca fortuna in un contesto asimmetrico dominato da attori con alta propensione al rischio, mancando la possibile reciprocità del danno. Infine è necessario tener conto che nello spazio cibernetico la capacità offensiva si basa non tanto sulle proprie disponibilità, quanto sulle debolezze e le falle del sistema attaccato. Di conseguenza costruire una forza offensiva in grado di rendere operativa una rappresaglia, significherebbe conoscere anticipatamente e accuratamente il sistema avversario, le sue peculiarità e le sue vulnerabilità, penetrando quindi tale sistema con una postura offensiva. Tutto ciò rischia di attivare il processo di escalation piuttosto che quello virtuoso di deterrenza.
Marco Spada
[box type=”shadow” align=”aligncenter” ]Un chicco in più
Martin Libicki è l’autore di uno studio sulla deterrenza nella guerra cibernetica, ormai considerato un classico. La sua monografia, dal titolo Cyberdeterrence and Cyberwar è stata pubblicata dalla RAND Corporation nel 2009. In questo video lo studioso riassume i temi centrali della ricerca e spiega la difficoltà di applicare i classici concetti di attacco, difesa e deterrenza allo spazio cibernetico.[/box]