La New space economy ha subito una crescita esponenziale: è stato stimato in più di 360 miliardi dollari il valore del mercato “Space” globale nel solo 2019 e sono ormai migliaia le aziende che ruotano attorno a tale business. L’analisi di Emanuele Galtieri, amministratore delegato di Cy4Gate, sulla rivista Airpress
L’economia dello spazio è diventata oggetto dell’interesse di sempre più nazioni e organizzazioni che vantano rilevanti budget dedicati e allocati in questo ambito, caratterizzato da forte propulsione innovativa e da opportunità economiche che crescono con tassi a double digit. In tale contesto, è agevole immaginare come il forte sviluppo della Space economy abbia, purtroppo, attirato l’interesse di molti threat actors (sia statali sia privati) affascinati dall’opportunità di avere un impatto disruptive su più servizi critici e su vasta scala.
Diverse sono le criticità da superare per rendere gli attuali sistemi satellitari maggiormente resilienti a un attacco cibernetico, considerando che la maggior parte di questi non sono stati progettati e prodotti secondo il criterio della security by design, non essendo ancora forte la consapevolezza della minaccia cyber né evidenti gli effetti di un potenziale attacco. Oltre ai rischi noti sul ground segment e sui data link concretizzatisi nell’adozione di tecniche malevole che determinano la compromissione temporanea o permanente della capacità delle stazioni di terra di dialogare con il sistema in orbita (si pensi alle tecniche di jamming, spoofing, hijacking, ecc.), sul fronte della cybersicurezza è necessario fare i conti con un nuovo e rilevante fattore di rischio legato al concetto di Global supply chain.
I sistemi satellitari presentano architetture complesse che richiedono l’integrazione di diversificate tecnologie e items provenienti da una catena di approvvigionamento globale, diversificata, non sempre chiaramente tracciabile in tema di standard di sicurezza e composta da fornitori che presentano importanti divari in termini di compliance a policies e procedures standard di cyber-security. Si tratta di una complessità che porta con sé delle vulnerabilità connaturate con un ecosistema di aziende sempre più interconnesso, distribuito geograficamente e integrato, grazie allo scambio di dati, ma non governato da medesime regole e da alti livelli di consapevolezza del rischio cibernetico. Questa configurazione globale delle fonti di approvvigionamento rende, pertanto, i sistemi spaziali (in particolare quelli destinati a usi commerciali) esposti a vulnerabilità spesso ignote a chi – operando da system integrator – assembla componenti e moduli in un satellite, rendendo così più agevole l’operato malevolo di un potenziale threat actor intenzionato a perpetrare un attacco. Inoltre, a complicare il quadro, già di per sé non semplice, si aggiunge la variabile dell’impiego da parte delle industrie di settore (specialmente start up) di componenti tecnologiche e software commerciali (“Cots”) che spesso nascono per impieghi in differenti settori di mercato e non presentano standard di sicurezza adeguati; a essi si fa ricorso con l’intento di ridurre i costi nonché i tempi necessari a rendere operativo un satellite. Ma si tratta di scorciatoie che aprono la strada a vulnerabilità sconosciute che accrescono il rischio cibernetico. Infine, la carenza strutturale di risorse umane con competenze tecniche adeguate ad assicurare la resilienza cibernetica, in generale, di aziende, infrastrutture e tecnologie e, in particolare, nel contesto spaziale, non rende particolarmente agevole il compito a chi ha le leve per intervenire e indirizzare il settore.
Appare chiaro, pertanto, che la cyber-security dei sistemi spaziali sia un tema non più rinviabile, e che i governi dovranno avere crescente sensibilità in relazione a questo specifico segmento del più ampio settore della sicurezza cibernetica. È doveroso ammettere che qualche passo in avanti, sebbene solo recentemente, sia stato fatto sotto il profilo della governance e adozione di standard per disciplinare il settore; tuttavia, ci si muove ancora in ordine sparso tra i Paesi maggiormente industrializzati su una tematica che va trattata a livello sovranazionale, se si vuole assicurare l’efficacia degli interventi di prevenzione e protezione contro gli attacchi potenzialmente devastanti a sistemi spaziali. Ad esempio, è dei primi mesi del 2022 il documento del National institute of standards and technology (Nist) che fornisce input specifici sulla protezione cibernetica applicata ai satelliti commerciali (Introduction to cybersecurity for commercial satellite operations). In Italia, nel 2019, la Presidenza del Consiglio ha emanato un documento sulla “Strategia nazionale di sicurezza per lo spazio”, il quale stabilisce le linee guida per la sicurezza non solo fisica, ma anche cibernetica, delle infrastrutture spaziali. In aggiunta, un ulteriore passo avanti viene dal Regolamento in materia di sicurezza nazionale cibernetica (Dpcm n.131 del 2020) che ha incluso lo spazio tra le attività ritenute critiche, ricadenti all’interno del perimetro di sicurezza cibernetica, con le varie prescrizioni e linee di indirizzo che ne disciplinano il contesto.
I sistemi spaziali rivestono un ruolo strategico nell’assicurare che ogni settore della società possa operare con efficienza, efficacia e senza soluzione di continuità. Pertanto, garantire la resilienza dei sistemi spaziali è la condizione irrinunciabile sulla quale riflettere per maturare consapevolezza e individuare quelle soluzioni capaci di trasformare le risorse spaziali da potenziale anello debole della catena ad asset prioritario e fattore abilitante ad assicurare la prosperità e lo sviluppo sostenibile delle nazioni.
Articolo apparso sul numero 140 della rivista Airpress
