La guerra cyber non avrà luogo

7 agosto 2014

Cyber war will not take place

di Giuseppe Fiore

Cyber War Will Not Take Place è un libro che nasce da un saggio dallo stesso titolo pubblicato nel gennaio del 2012 da Thomas Rid sul JSS – Journal of Strategic Studies[1]. Successivamente l’editore Taylor & Francis rende lo studio accessibile online e consultabile gratuitamente mentre la rivista Foreign Policy ne pubblica una versione più corta apparsa sullo stesso JSS. Nel marzo del 2013 con questo titolo volutamente provocatorio si concretizza il libro edito dalla Oxford University Press.

Sin dalle prime pagine si trovano i tratti distintivi di una visione in controtendenza con le abituali argomentazioni portate a supporto della cosiddetta cyber war.

Partendo con la classica definizione di Clausewitz di cosa rappresenta un atto di guerra[2], questo libro espone sin dall’inizio, una prospettiva diversa dalla visione standardizzata che ci viene comunemente proposta nella trattazione del tema la quale arriva a prevedere, al suo estremo, una cyber Hiroshima[3].

Termini come cyber war e cyberspace nonostante siano stati ampiamente utilizzati – e lo siano ancora – nei mezzi di comunicazione, nelle relazioni ufficiali, nei report di think tank e tra accademici, non convincono pienamente Thomas Rid che attraverso una chiara esposizione arriva alla sorprendente conclusione che è alquanto improbabile che la cosiddetta cyber war si verifichi in futuro. Secondo l’autore, infatti, tutti gli attacchi informatici che si sono susseguiti nel corso degli ultimi decenni sono semplicemente versioni sofisticate e/o diverse di tre attività antiche come la guerra stessa: sovversione, spionaggio e sabotaggio.

Per rendere la lettura del testo più agevole l’autore ha provveduto ad una divisione in otto capitoli che possono essere letti come singoli saggi a se stanti.

Scorrendo i capitoli di Cyber War Will Not Take Place offriremo un’idea panoramica dell’argomento come introduzione alla lettura; dopo di che ci rivolgeremo alle possibili fonti e alle probabili influenze che il testo lascia come valido contributo per lo sviluppo del dibattito accademico e non solo.

Con il giusto mix tra rigore analitico e la presentazione di dettagli con esempi tecnici, il testo tocca questioni chiave che forniscono un quadro di riferimento utile per l’esame e l’analisi di tali attacchi. Identificando le tre categorie citate, che costituiscono l’impianto centrale del testo, l’autore spazza via la visione del pensiero comune che si ha sul tema della cosiddetta guerra cibernetica – cyber war, come già detto. In questo modo gli «offensive and violent political acts»[4] nel cyber-spazio ricadono nelle categorie di sabotaggio, spionaggio e sovversione. Di conseguenza essendo queste categorie naturalmente più grandi del cyber-spazio e della percezione che si ha di esso, si arriva alla conclusione finale che molte di queste tipologie di attacchi non possono essere definiti come atti di guerra (secondo la definizione di Clausewitz) ma che, invece, con molta probabilità, ogni futura cyber war non potrà che coinvolgere l’uso di queste tre diverse categorie. Quanto ora detto implica a priori, nel ragionamento di fondo, che il cyber-spazio non è un luogo sicuro. Secondo Thomas Rid, minacce di ogni tipo riempiono il cyber-spazio, tuttavia esse non vengono rappresentate come minaccia di guerra imminente oppure come un nuovo catastrofico e tanto paventato 11 settembre in versione elettronica.

Come definito da Clausewitz il prerequisito per la guerra è rappresentato da un atto di forza. Da ciò discende una definizione più precisa dell’idea di guerra: essa è principalmente e imprescindibilmente «violenza». Allo stesso modo, Thomas Rid nel secondo capitolo richiama l’attenzione sull’assenza di violenza in quasi tutti gli attacchi informatici. Scrive Rid: «not a single human being has ever been killed or hurt as a result of a code-triggered cyber attack»[5]. L’autore afferma che ogni seria discussione sulla cyber war necessariamente si basa sul fondamento e la natura stessa del concetto di violenza e di come questa sia applicata al cyberspace. La violenza, infatti, «somministrata attraverso il cyber-spazio è meno diretta in almeno quattro modi: è meno fisica, meno emotiva, meno simbolica e di conseguenza meno strumentale agli usi più tradizionali della violenza politica». Prende forma nella trattazione la figura importante dell’essere umano come mezzo e obiettivo al tempo stesso delle varie declinazioni di forza. Ogni atto ostile nel cyber-spazio non coinvolge la dimensione esistenziale dell’attore per cui il corpo umano in maniera alienante diventa mezzo attraverso il quale si perpetra l’atto stesso. La tecnologia in questo senso ha alterato drasticamente gli strumenti attraverso i quali si attua questa azione ma non ha modificato nella sostanza la vulnerabilità dell’essere umano.

Nel terzo capitolo, dedicato alle armi cibernetiche – cyber weapon, (scritto con il suo collega e professore Peter McBurney del Dipartimento di Informatica del King’s College di Londra) la trattazione viene presentata in tre punti. Si inizia con il delineare cosa sia una cyber weapon in termini concettuali. Poi si passa ad una classificazione degli strumenti di attacco discutendo dei più importanti casi effettivamente verificatisi. In ultimo si dibatte di come, sebbene esistano alcuni sofisticati ed effettivi strumenti offensivi di attacco, questi non possano essere definiti cyber weapon.

Per distinguere i diversi casi di utilizzazione, Thomas Rid definisce in maniera generica il concetto di cyber weapon come: «un comando/codice informatico che viene utilizzato, o concepito per essere utilizzato, allo scopo di minacciare o provocare danno fisico, funzionale o mentale a strutture, sistemi o esseri viventi»[6]. Da notare in questa definizione il requisito essenziale della violenza concepita anche come mezzo potenziale. Questa definizione è immediatamente utile per distinguere gli attacchi che potrebbero innescare il diritto di autodifesa di una nazione contro le attività quali lo spionaggio (ad esempio, fuoriuscite di proprietà intellettuale), che di fatto nel diritto dei conflitti armati non viene contemplato come attacco armato. Con questa definizione che si pone in maniera forte, entriamo in medias res (capitolo IV) dove Rid esplora i casi d’utilizzo di sabotaggio (minando la funzione prevista di un sistema) e di spionaggio (furto clandestino di informazioni), nel capitolo V. Egli osserva che, mentre il sabotaggio potrebbe potenzialmente qualificarsi come violenza e strumento a intento politico e pertanto come atto ostile, lo spionaggio non si inquadra come tale. Per questo motivo un malware, sebbene usato con lo scopo di estrapolare informazioni, quindi conducendo attività di spionaggio da remoto, non può essere considerato un’arma nel senso stretto del termine. Thomas Rid ci parla così del cosiddetto danger paradox dello spionaggio cibernetico, considerato una vera minaccia per le più avanzate economie mondiali ma non catalogabile come arma, oppure atto di guerra né tantomeno attacco armato.

Se è vero che la cyber war rimane per adesso una metafora, continua l’autore, non è lo stesso per le cyber weapon che, di contro, una volta utilizzate e quindi svelate manifestano sicuramente una minore capacità di attacco. Del resto quest’ultima osservazione – legata alle cyber weapons – ci era già stata presentata da Richard Clarke nel suo libro Cyber war[7]. Come già detto tutti gli atti di sabotaggio avvenuti tramite computer sono da considerarsi non-violenti ad esclusione di StuxNet, il famoso malware che ha colpito l’Iran allo scopo di sabotare la centrifuga della centrale di Natanz, nell’ambito dell’operazione «Giochi Olimpici», iniziata da Bush nel 2006 ma rivelata pubblicamente solo nell’estate del 2010[8]. In tal senso il quarto capitolo si conclude sottolineando che le operazioni di sabotaggio tramite computer sono da considerarsi meno violente anche se sono di sicuro un fenomeno in aumento.

Il capitolo V, ancora, ci porta nel campo dello spionaggio o meglio cyber espionage. Con esempi concreti si dimostra che la maggior parte di tutti gli «incidenti» con sfondo politico accaduti finora sono stati casi di spionaggio industriale effettuati da attivisti che hanno operato per conto di realtà governative, oppure individui che hanno agito di propria iniziativa magari prestando le loro capacità tecniche per una qualsiasi causa. Il capitolo si conclude discutendo di quali siano le relative difficoltà associate allo spionaggio effettuato in questo campo: distinguendolo ad esempio da tutto ciò che è cyber crime, oppure sottolineando le difficoltà della valutazione del danno che un’azione di questo tipo possa causare all’avversario. In ultimo, viene data un’adeguata considerazione al fattore umano nelle attività di spionaggio. Una volta che si è usciti dal mero campo d’appartenenza tecnico, una volta quindi che ci si trova a dover analizzare un’enorme mole di dati trafugati entra in gioco la capacità di rendere queste informazioni fruibili. Tale processo, inevitabilmente, richiede capacità analitiche che risiedono nel concetto di «conoscenza tacita» esplicato nel testo The Knowledge Creating Company[9]. L’analisi del contesto trasferisce e colloca le indagini nella realtà, nel mondo reale e  nella sua complessità ma, comunque, fuori dal dominio da cui si era partiti, cioè quello virtuale– online. Per sintetizzare meglio questo concetto si riporta un passo dal libro: «data can be downloaded, but not experience and skills and hunches, all of which are crucial in order to understand complex processes as well as complex decisions»[10].

I precedenti due capitoli si erano occupati rispettivamente di sabotaggio e spionaggio, ma l’elemento mancante della triade, inizialmente sottolineata, è costituito dagli attacchi informatici a sfondo sovversivo. Anche in questo caso Rid sovverte il pronostico, con un’esposizione elementare ma efficace. Se l’evoluzione tecnologica ha facilitato certamente il costituirsi di movimenti sovversivi – basti pensare al caso delle primavere arabe – oggi la capacità di riuscita di un’azione di questo tipo risulta essere più difficile. Infatti il proliferare di azioni di questo genere ha portato ad un’alta mobilità di dispersione dei soggetti coinvolti e quindi ad una mancanza di disciplina organizzativa che costituisce l’elemento portante dell’azione sovversiva. Pertanto si mina il fondamento di compattezza su cui essa stessa si basa. Comunque questo ragionamento va contestualizzato all’ambito in cui viene applicato, sia esso quello di una democrazia liberale oppure di un regime di tipo autoritario. Viene ricordato, inoltre, che il concetto di sovversione è più ampio e antico di quello di insurrezione e che le due cose hanno obiettivi finali diversi. Solo alcune forme sovversive estreme devono essere giudicate pericolose ed illegali per l’ordine costituito. La sfida per le moderne democrazie liberali semmai è rappresentata dal raggiungimento del giusto connubio tra un aperto confronto politico, quanto più inclusivo possibile, nella ricerca di equilibrio sottile, difficile e continuo con gli stimoli proposti dalle attività sovversive. Questa concezione inclusiva del pensiero dell’autore sicuramente sorprenderà e farà discutere molti di coloro i quali si accingeranno alla lettura di questo testo.

Andando avanti e passando in rassegna i più importanti e celebri attacchi cibernetici (Stuxnet, Aurora, il caso Estone, Georbot) a partire da quello avvenuto presumibilmente su una condotta siberiana (Urengoy-Surgut-Chelyabinsk) nel 1982, che connetteva i giacimenti di gas siberiani di Urengoy passando per il Kazakistan ed arrivando in fine sul mercato europeo, Rid mette a fuoco il problema dell’attribuzione, ovvero si propone di capire da dove sia partito un eventuale attacco, vero e fondamentale elemento di criticità per qualsiasi decisore politico. Questo rimane un problema di difficile soluzione, infatti pur apparendo un problema prettamente tecnico coinvolge sicuramente la sfera politica. Le autorità che di volta in volta indagano su un caso specifico di ‘attribuzione di paternità’ sono costrette a cooperare in maniera quanto più serrata e repentina possibile per poterlo risolvere. In maniera fin troppo semplicistica, a nostro giudizio, qui viene affermato che qualora si verificasse una cyber war allora il problema dell’attribuzione molto probabilmente sarebbe risolto.

Il lavoro, nel suo insieme, esplora le vulnerabilità che vi sono nel cosiddetto cyber-spazio aggredito da coloro che usano la violenza per fini politici, siano essi governi legittimi oppure no, talvolta anche al di fuori della classificazione schematica proposta. Di fatto il tema è molto delicato e come ricorda Michael Hayden – ex direttore della CIA e dell’NSA – National Security Agency – «raramente un argomento di tale importanza è stato tanto dibattuto con così poca chiarezza e con altrettanta minore comprensione apparente del fenomeno stesso»[11].

Uno dei limiti dell’argomentazione è costituito dalla mancanza di una definizione comunemente condivisa nell’ambito stesso della trattazione. Infatti non vi è ampio accordo su ciò che costituisce guerra cibernetica, e talvolta questa scarsa chiarezza fa il gioco di chi ne pubblicizza la minaccia. Se tutto quello che si è finora detto – dallo spionaggio alle attività sovversive passando per il sabotaggio – ricadesse sotto l’ombrello di guerra cibernetica, allora avrebbe senso mantenere un controllo quanto più coercitivo per limitare gli usi distorti del cyber-spazio. L’opera di Rid è un’avvincente antitesi di questa ipotesi, il contro-argomento di questo approccio. Il libro contiene molti esempi dai primi giorni di Internet fino ai giorni nostri, ma nessuno di questi casi riesce a sconfessare la tesi principale proposta. Rappresenta uno sforzo serio e diverso per capire quali effetti sta producendo sulla società la rivoluzione digitale che ha investito il mondo contemporaneo. La nostra immagine del mondo cibernetico diventa una immensa diceria mediatica a cui siamo costretti a dar credito senza i mezzi tecnici per interpretarla; una sorta di voyeurismo verbale per dirla con Heidegger. Difficile capire gli scenari del futuro; difficile prevedere le trasformazioni in corso.

Oltre ai testi classici, il volume attinge anche a fonti di altre discipline e a fatti meno conosciuti della sterminata ‘industria’ cibernetica, una mole di testi così ingente da essere così attuale e sempre in corso di sistemazione e di studio. Di fatto il tentativo di Rid rientra in quel filone di autori (Colin S. Gray, Erik Gartzke[12], Bruce Schneier[13], Brandon Valeriano and Ryan C. Maness[14]) in contrasto con il comune senso di percezione – il mito forse –  ed offre gli strumenti critici essenziali per intendere tale minaccia in un’ottica più misurata e lontana forse da isterismi compiacenti. La guerra cibernetica viene concepita come strumento in aggiunta, piuttosto che un sostituto, delle forme conosciute di dimostrazione della forza. Infatti, piuttosto che minacciare radicalmente le gerarchie delle potenze esistenti in campo internazionale[15], (per adesso) la cyber war appare molto più probabilmente capace di aumentare i vantaggi militari delle stesse potenze che ne fanno ricorso. Rid lo fa con un linguaggio chiaro ed uno stile agevole che l’hanno reso uno degli autori più conosciuti nell’ambito di cyber war.

 

 


[1]   Th. Rid, Cyber War Will Not Take Place, in «Journal of Strategic Studies», XXXV, n.1, 2012, pp 5-32.

[2]   Definizione di guerra: «Atto di forza che ha per scopo di costringere l’avversario a sottomettersi alla nostra volontà», C. Von Clausewitz, Della guerra, Mondadori, Milano, 1970.

[3]   A. Smirnov, Confidence and Security in the Information Society: Dialogue of Expert Communities of Russia and the States of the Asia-Pacific Region, Atti della conferenza Fifth International Conference, Shanghai 23-28.settembre 2013, ultimo accesso 7 agosto 2014, http://voiceofrussia.com/2013_09_26/Cyber-wars-can-to-lead-to-cyber-Hiroshima-expert-7509/.

[4]   Th. Rid, Cyber War Will Not Take Place, Hurst/Oxford University Press London, 2013, pp. 15.

[5]   Rid, Cyber War Will Not Take Place, cit., pp. 13.

[6]   Rid, Cyber War Will Not Take Place, cit., pp. 37.

[7]   R.A. Clarke and R.K. Knake. Cyber War: The Next Threat to National Security and What to Do About It, Harper Collins, New York, 2010.

[8]   Su questo tema consigliamo: J.P. Farwell, and R. Rohozinski. Stuxnet and the Future of Cyber War, in «Survival: Global Politics and Strategy». LIII, n.1, pp. 23-40. 2011. Inoltre: D.E. Sanger, Confront and Conceal: Obamas Secret Wars and Surprising Use of American Power, Random House, New York,  2012.

[9]   I. Nonaka e H. Takeuchi, The Knowledge Creating Company: How Japanese Companies Create the Dynamics of Innovation, Oxford University Press, New York, 1995.

[10] Rid, Cyber War Will Not Take Place, cit., pp. 110.

[11] M. Hayden, The Future of Things “Cyber”, in «Strategic Studies Quarterly», 2011, ultimo accesso 7 agosto 2014, http://chertoffgroup.com/pdf/The-Future-of-Things-Cyber-by-Michael-Hayden-Strategic-Studies-Quarterly-Spring-2011.pdf.

[12] E. Gartzke, The Mith of Cyber War: Bringing war on the internet back down on earth, University of California, San Diego, 2013. http://pages.ucsd.edu/~egartzke/papers/cyberwar_12062012.pdf.

[13] Autore di numerosi libri e articoli. Tiene un blog su questioni di sicurezza dal 2004. Attualmente Chief Technology Officer per conto di Co3 Systems, fellow presso l’Harvard Berkman Center e membro del board di EFF-Electronic Frontier Foundation.

[14] B. Valeriano e R.C Maness,The Dynamics of Cyber Conflict between Rival Antagonists, 2001-2011, in «Social Science Research Network», 2013, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2214332.

[15] A questo scopo si consiglia: N. Choucri, Cyberpolitics in International Relations, MIT Press, Cambridge, 2012.

Tag: ,

Categoria: Letture

Su