Negli ultimi giorni tutti nel mondo, compresi noi esperti di IT, stiamo apprendendo come la guerra tra Russia e Ucraina si stia svolgendo su piani totalmente diversi rispetto ad altri conflitti recenti, non solo per l’importanza geopolitica delle nazioni protagoniste e il loro ruolo strategico come fornitori di materie prime a livello internazionale, ma anche perché il conflitto si sta svolgendo, per la prima volta, sia sul fronte militare che su quello informatico.
I cyber attacchi, infatti, sono stati i primi ad essere inflitti e con l’inizio del conflitto fisico in territorio ucraino si stanno moltiplicando con il passare delle ore. Un esempio lampante di ciò è la dichiarazione di guerra alla Russia di Anonymous via Twitter il 24 febbraio e le successive rappresaglie già note sui maggiori giornali nel mondo.

Ci domandiamo dunque come certi eventi concatenati agli scontri tra Russia e Ucraina impatteranno sulla vita delle persone e come soprattutto anche a livello aziendale stanno cambiando le cose.

Come funzionano le armi informatiche?

Le armi informatiche irrompono nelle reti istituzionali del paese avversario, stabiliscono il controllo remoto e devastano i computer, cancellando o facendo trapelare dati e causando altre pericolose interruzioni dei servizi essenziali e delle infrastrutture critiche.

Le armi informatiche sono diverse dalle tradizionali armi “cinetiche” per un aspetto fondamentale: sono spesso meno mirabili. In altre parole, quando un paese rilascia un’arma informatica su un altro, può colpire obiettivi diversi da quelli previsti dai suoi creatori. Quando il malware si sposta all’interno della rete di un bersaglio, può inavvertitamente riversarsi negli altri. I ricercatori lo chiamano effetto “spillover”.
Mentre la Russia conduce la sua guerra contro l’Ucraina con le armi informatiche, il rischio di spillover sui paesi europei e sulle aziende di tutto il mondo continua ad aumentare.

Microsoft ha rilevato molti computer ucraini colpiti da malware “wiper” che cancella i loro contenuti in un modo difficile da recuperare. Negli ultimi giorni, Microsoft ha anche rilevato un nuovo malware (denominato “FoxBlade”) incentrato sul furto di dati sanitari, assicurativi e di trasporto dai servizi essenziali ucraini. L’analisi tecnica in corso determinerà la probabilità che questi malware si riversino dall’esterno dell’Ucraina. Ma dati gli esempi passati di diffusione di malware dall’Ucraina ad altri paesi, i governi di tutto il mondo stanno emettendo avvisi sul possibile rischio di spillover.

Allo stesso tempo molti stanno sfruttando la situazione per usare gli attacchi informatici come strumento per mettere in atto truffe, come campagne di spam e phishing che hanno come oggetto falsa beneficenza verso l’Ucraina o notizie sul conflitto in corso, o come strumento di propaganda.
Per esempio, Anonymous, il noto collettivo di hacker proveniente da tutto il mondo, sembra aver violato la TV di stato russa trasmettendo in diretta musiche e simboli dell’Ucraina, mentre un collettivo affiliato sostiene di avere in mano il sistema di controllo dei satelliti Roscosmos, l’agenzia spaziale russa.

In che modo l’Europa dovrebbe prepararsi e rispondere ai danni collaterali della guerra informatica?

Ogni paese dovrebbe elaborare una strategia nazionale per la sicurezza informatica, che dovrebbe essere visto non più come problema tecnologico ma come bene pubblico. Esperti IT, legislatori, autorità di regolamentazione, scienziati sociali e istituzioni devono collaborare per il mantenimento della sicurezza e della stabilità all’interno del paese.

Qual è lo scenario italiano?

Nel giugno 2021 è stata costituita l’Agenzia italiana per la Cybersicurezza che garantisce il coordinamento di tutte le iniziative in materia di cybersecurity a livello nazionale.
La scorsa settimana il CSIRT – il Computer Security Incident Response Team Italia – ha creato sul proprio sito delle pagine dedicate al conflitto in Ucraina, riportando aggiornamenti costanti sulla scoperta di nuovi malware o movimenti in rete legati alla guerra. Ha pubblicato anche un vademecum sulle misure di protezione delle infrastrutture digitali nazionali.

Come devono comportarsi le aziende?

Oltre al settore pubblico, l’effetto spillover potrebbe danneggiare anche il settore privato. Le aziende dovrebbero innalzare il livello di attenzione ai sistemi informatici.
Le aziende dovrebbero innalzare il livello di attenzione ai sistemi informatici, pianificando procedure di sicurezza standard che permettano all’intera organizzazione di agire in anticipo e creare processi di lavoro a tutela dei dati aziendali.
È bene assicurarsi che i propri sistemi abbiano una corretta gestione delle patch contro le vulnerabilità, dando priorità ai sistemi esposti includendo web mail, VPN e sistemi di accesso remoto. E soprattutto che dispongano di backup e piani di disaster recovery contro la perdita di dati.