Il caso FireEye fa emergere un dilemma ancora aperto rispetto alla responsabilità della difesa di attori privati che ricoprono un ruolo centrale nel contesto degli interessi nazionali, ponendo la questione: chi ha la responsabilità per la difesa delle aziende strategiche nazionali in caso di attacchi cyber sponsorizzati dagli Stati? L’analisi di Luigi Martino, Università di Firenze
Il caso FireEye ha messo in evidenza come il cyberspazio sia sempre di più un fattore abilitante per il raggiungimento di obiettivi politici. Infatti, da un’attenta analisi emergono delle differenze sostanziali tra il data-leak avvenuto ai danni di Leonardo (azienda strategica nazionale) e l’attacco subito dalla società americana leader nel settore info-sec: da un lato abbiamo un classico esempio di insider threat che si conferma essere una minaccia endogena in ogni azienda o organizzazione che opera in settori strategici; dall’altro lato invece assistiamo a un salto di qualità delle dinamiche che interessano il dominio cyber, soprattutto da un punto di vista politico.
Sono essenzialmente due le questioni degne di nota che emergono dal caso FireEye: in primo luogo, l’attribuzione della responsabilità degli attacchi cyber sta travalicando sempre di più i limiti tecnico-giuridici del concetto “oltre ogni ragionevole dubbio” favorendo, invece, un approccio di “public disclosure” al fine di garantire un’attribuzione di tipo (geo)politico; inoltre, le attività di “hacking as service” effettuate tramite azioni sponsorizzate da attori statali hanno raggiunto capacità tali da prevaricare i confini nazionali focalizzandosi sempre di più su attori civili che operano in settori strategici ed essenziali per uno Stato.
Il primo elemento (l’attribuzione della responsabilità pubblica) potrebbe, nel lungo periodo, portare a un rischio di escalation politico-militare dovuta alle accuse reciproche di responsabilità e quindi minare la fiducia (trust e confidence) che è alla base di ogni processo di cooperazione internazionale. Il secondo elemento invece è molto più rischioso nel breve periodo, perché fa emergere una corsa al finanziamento di attività di cyber proxy attacks (attacchi informatici per procura) da parte degli attori statali i quali, affidandosi a attori non statali (esempio mercenari) puntano a raggiungere obiettivi politico-militari. In questo caso, uno degli aspetti più pericolosi è dato dal sempre più diffuso concetto “hack back” ovvero la possibilità per gli attori privati di rispondere a un attacco informatico in modo autonomo attraverso il concetto di legittima difesa.
Il pericolo imminente è dato dal fatto che gli attori malevoli nel cyberspazio sfruttano le caratteristiche dell’anonimato e offuscamento e in genere coprono le loro tracce usando strumenti di hacking sviluppati da altri attori.
Allo stesso tempo, uno dei limiti dell’attribuzione della responsabilità “oltre ogni ragionevole dubbio” è dato dal fatto che è molto difficile essere certi che un computer (o uno strumento ICT) che sembra essere dietro un attacco informatico non sia stato violato. In termini politici, dunque, l’approccio hack back potrebbe facilmente causare l’attribuzione della responsabilità contro attori sbagliati.
Tuttavia, il caso FireEye fa emergere un dilemma ancora aperto rispetto alla responsabilità della difesa di attori privati che ricoprono un ruolo centrale nel contesto degli interessi nazionali, ponendo la questione: chi ha la responsabilità per la difesa delle aziende strategiche nazionali in caso di attacchi cyber sponsorizzati dagli Stati?
