Gli esperti di Kaspersky, insieme agli studenti di politica della LSE, hanno esplorato il ruolo della cyber-attribution e il modo in cui l’attribuzione tecnica, ovvero la conduzione di un’indagine tecnica per identificare i responsabili di un incidente informatico, può essere resa più trasparente e compresibile per il grande pubblico. In un documento presentato all’Open-ended Working Group (OEWG) delle Nazioni Unite, gli esperti spiegano come avviene la cyber-attribution, il motivo per cui la trasparenza sia la chiave per una maggiore stabilità informatica e propongono modi per renderla più accessibile a una più ampia comunità di stakeholder.
Quando le notizie di un cyberattacco vengono diffuse dai media, spesso ci si interroga su chi siano i responsabili e quali ragioni si nascondano dietro all’attacco. Per quanto riguarda le motivazioni vengono spesso fatte diverse speculazioni, dal mondo e dalle stesse vittime. Comprendere l’origine e le ragioni di questi attacchi consente alle organizzazioni di costruire difese adeguate, colmare le lacune e aumentare la propria cyber-resilience. I politici e i leader del settore sono spesso desiderosi di ottenere questa informazione, ed è in questo caso che gli aspetti tecnici di un attacco assumono un ruolo significativo.
Il documento rivela che la cyber-attribution è un processo complesso in cui si intrecciano questioni tecniche, legali e politiche fondamentali per ottenere una descrizione di un attacco il più completa possibile. Uno degli elementi è l’attribuzione tecnica, ovvero il processo utilizzato dai ricercatori di cybersecurity, tra cui gli esperti di Kaspersky, per analizzare gli incidenti informatici da un punto di vista tecnico. Il risultato finale di questo processo è la conoscenza dell’identità degli attaccanti: non le personalità specifiche di un gruppo, ma i dettagli tecnici che distinguono un particolare threat actor.
Gli autori sostengono che, sebbene la cyber-attribution, pubblica o privata, rimanga una prerogativa esclusiva degli Stati, essa può avere conseguenze notevoli anche per altri stakeholder. Inoltre, mentre le parti legali e politiche dell’attribuzione raramente raggiungono il grande pubblico, l’attribuzione tecnica ci riesce e può essere resa più trasparente e accessibile, per aiutare la società a migliorare le proprie difese e contribuire a una maggiore credibilità dell’analisi attraverso ulteriori revisioni da parte di altri stakeholder.
Gli autori propongono percorsi per migliorare la trasparenza del processo di attribuzione tecnica, concentrandosi sull’attuazione delle norme (ad esempio, la norma 13(b) del rapporto del GGE delle Nazioni Unite relativa alla cyber-attribution), su maggiori chiarimenti e sulla creazione di consenso nella comunità internazionale. Una maggiore cooperazione tra fornitori, comunità tecnica e Stati può migliorare il processo di attribuzione tecnica. Se i ricercatori disponessero di un numero più alto di informazioni provenienti da fonti trasparenti e accessibili di diversi Stati, avrebbero maggiori strumenti per prevenire e difendersi da questi attacchi.
Le strategie sopra descritte costituiscono un aspetto chiave del processo tecnico di attribuzione: superano i singoli incidenti e mirano a costruire una conoscenza che possa essere utile in un contesto più ampio. Nessun ente da solo può avere successo nel definire un’attribuzione. Tuttavia, gli esperti affermano che l’esistenza di un’attribuzione tecnica trasparente e accessibile alla comunità internazionale sia attualmente sospesa, poiché gli Stati nazionali non hanno la volontà politica di vincolarsi a obblighi legali formali nel cyberspazio.
“L’attribuzione tecnica non è una magia, ma è un processo difficile e impossibile senza la condivisione di conoscenze ed esperienze. È necessario un maggiore dialogo tra ricercatori di sicurezza, diplomatici e mondo accademico per evitare che agiscano come silos. Se l’attribuzione tecnica rimane riservata e gestita solo all’interno di circoli ristretti, le vittime e il resto del mondo rimarranno all’oscuro. E come sappiamo, l’oscurità porta scompiglio, crea escalation e instabilità. Dobbiamo unire i nostri sforzi e le nostre conoscenze, è l’unico modo per costruire un mondo più sicuro,” ha commentato Anastasiya Kazakova, Senior Public Affairs Manager di Kaspersky.
“Il pubblico, così come i responsabili politici, sono abituati a ricevere informazioni sull’attribuzione dal settore della cybersecurity, attraverso articoli pubblicati sui media o sui blog dei fornitori. È difficile per loro valutare queste informazioni senza avere una maggiore conoscenza del processo generale di attribuzione e delle sue intrinseche ambiguità e compromessi. Con questo documento speriamo di fornire una più chiara comprensione di come affrontiamo questa delicata questione, inoltre intendiamo considerarlo come il primo passo verso la promozione di una discussione più ampia all’interno della community di cybersecurity e verso la definizione di pratiche comuni nel settore,” ha aggiunto Ivan Kwiatkowski, senior security researcher presso il Global Research and Analysis Team (GReAT) di Kaspersky.
“È necessario aumentare la comunicazione, la trasparenza e l’accessibilità alle informazioni sulle attività informatiche tra gli Stati, pur mantenendo la protezione dei dati sensibili per la sicurezza nazionale e individuale. La sfida è grande, tuttavia non è la prima volta che la community internazionale affronta questioni che richiedono lo sviluppo di competenze e la cooperazione tra attori pubblici e privati. Questo documento analizza la complessità dell’attribuzione tecnica e indica i meccanismi transfrontalieri e interprofessionali esistenti da cui possiamo imparare,” ha affermato Julia Ryng, Project and Research Associate presso LSE IDEAS.
“Il cyberspazio è un settore relativamente nuovo delle relazioni internazionali e con questo documento speriamo di fare luce sul tema dell’attribuzione tecnica nella cybersecurity. Ci auguriamo che possa stimolare ulteriori discussioni tra i professionisti del settore e i responsabili politici e che, alla fine, vengano istituiti meccanismi istituzionali che portino a un cyberspazio più sicuro e protetto,” ha commentato Kenddrick Chan, Deputy Head of the Digital International Relations project di LSE IDEAS.
È possibile leggere la copia completa della presentazione su Securelist.
