Oggi il digitale permea ogni aspetto della nostra vita: dalle comunicazioni personali alle infrastrutture critiche che sostengono le nostre società. Questa dipendenza dalla tecnologia porta con sé nuove minacce e fenomeni, come la cyber war e il cyber crime i quali, seppur distinti, rappresentano due facce della stessa medaglia, mettendo a rischio la sicurezza di stati, aziende e individui. Vediamo insieme cosa sono, come si manifestano e, soprattutto, come possiamo difenderci.
La cyber war è definita come l’uso tecnologie digitali e di operazioni informatiche per condurre operazioni ostili contro stati, organizzazioni, infrastrutture critiche, da parte di Stati, gruppi sponsorizzati o attori non statali (es. hacktivisti).
A differenza delle guerre tradizionali non richiede armi fisiche ma sfrutta codici, reti e sistemi informatici per raggiungere obiettivi strategici. Il fine ultimo è quello di compromettere la sicurezza nazionale, destabilizzare economie o sabotare infrastrutture. Pensiamo, ad esempio, agli attacchi al programma nucleare iraniano avvenuto tramite il worm Stuxnet o alle operazioni di disinformazione attribuite a potenze straniere durante le elezioni. Questi attacchi non mirano solo a danni materiali, ma anche a creare caos sociale e politico.
Le caratteristiche principali includono:
In questa tipologia, gli attacchi possono mirare al:
Il cyber crime, al contrario, è guidato principalmente da motivazioni economiche condotte attraverso il cyberspazio. Include attività come il phishing, il ransomware, il furto d’identità e le frodi finanziarie. I criminali informatici, che operano spesso in reti organizzate, sfruttano le vulnerabilità tecnologiche per ottenere profitti, colpendo sia individui che grandi aziende, attraverso il furto di dati personali, estorsione di denaro e frodi.
Le principali tipologie di attacco sono:
Sebbene cyber war e cyber crime abbiano obiettivi diversi, condividono strumenti e tecniche simili, come l’hacking, l’ingegneria sociale e lo sfruttamento di vulnerabilità software. Le loro conseguenze possono essere devastanti e riguardano principalmente:
Le strategie di difesa variano in base alla minaccia, condividono principi comuni come prevenzione, rilevazione e risposta e devono tener conto che la formazione resta cruciale per identificare l’una o l’altra tipologia di attacco oltre ad essere fondamentale per identificare social engineering e altre tecniche comuni.
Contro la Cyber War è possibile attivare sistemi di threat intelligence, monitoraggio delle anomalie di rete (IDS e IPS) che coinvolgono più attori contemporaneamente attraverso politiche nazionali o internazionali.
Le azioni dei singoli Stati prevedono la creazione di gruppi specializzati, come il COR in Italia. Invece, le politiche tra Paesi diversi puntano a stringere accordi, come quello tra NATO e Unione Europea (EU). Questo serve a scambiarsi informazioni e ricerche importanti, e a stabilire regole comuni. Queste regole non valgono solo per le strutture vitali di un Paese, ma anche per tutte le aziende collegate tra loro, la cosiddetta supply chain. Ad esempio, direttive come NIS e NIS2 aiutano a definire come le aziende devono comportarsi per lavorare insieme in sicurezza.
Contro il Cyber Crime è invece necessaria una visione più locale accentrata sui sistemi in uso dalle aziende e dalle singole persone.
In questo caso le misure tecniche da adottare coinvolgono sia sistemi di base come firewall, endpoint protection (Antivirus e EDR), crittografia e autenticazione a più fattori; sia sistemi più complessi come i servizi di monitoraggio e risposta attivi H24 (MDR) che uniscono la tecnologia più evoluta, che sfrutta anche l'Intelligenza Artificiale per rilevare anomalie in tempo reale, alle competenze umane garantendo una protezione real-time in qualsiasi momento.
Altra misura fondamentale: la formazione delle singole persone, che acquisisce un’importanza sempre più rilevante contribuendo in modo significativo all’innalzamento del livello di sicurezza dell’azienda. La formazione deve essere mirata a supportare e riconfigurare i comportamenti del più distribuito firewall aziendale: le persone stesse.
Inoltre, fra gli approcci più comuni, non possiamo dimenticare processi quali: la gestione del rischio, mediante l’applicazione di framework di cybersecurity, la creazione di piani di incident response, disaster recovery e di backup strutturati in base alla tipologia di azienda.
Cyber war e cyber crime rappresentano minacce distinte ma interconnesse, che richiedono un approccio integrato per la difesa. La cyber war minaccia la stabilità globale, mentre il cyber crime colpisce individui e aziende con perdite economiche significative. Entrambe richiedono consapevolezza, tecnologie avanzate e cooperazione tra settori pubblico e privato.
Abbiamo visto che oltre alle politiche di sicurezza di base (MFA, firewall, EDR, Email Security), è fondamentale adottare sistemi evoluti come i servizi MDR e definire processi ben strutturati che vadano dall’adozione di framework internazionali alla creazione di piani di incident response fino alla corretta formazione del personale aziendale. Solo in questo modo possiamo incrementare il nostro livello di resilienza e bloccare sul nascere qualsiasi tentativo di intrusione, indipendentemente dall'obiettivo dell'attaccante.
In futuro, l’ulteriore evoluzione dell’intelligenza artificiale (IA) e l’aumento della connettività amplificheranno queste minacce, rendendo ancora più cruciale investire in resilienza e innovazione per anticipare e neutralizzare attacchi sempre più sofisticati e adattivi, sia di natura criminale che geopolitica.
Di Luca Bonora - CYBEROO Evangelist