La vacillante sicurezza informatica, a livello globale, ha prodotto una graduale intensificazione delle ricerche su tecniche e strumenti di protezione dei dati, finalizzate all’innalzamento della sicurezza dei propri sistemi informativi.
Le attuali soluzioni di mercato offrono svariate soluzioni tecniche e metodologiche che spesso risultano difficilmente integrabili: counter exploitation, threat intelligence, offensive measures, hacking back, threatscape e intelligence software analytics. Ma il termine che più degli altri viene citato è quello di cyber counterintelligence, segno inequivocabile di una crescente tendenza al riconoscimento del valore intrinseco della tipologia di attività.
Va tuttavia precisato che spesso il termine viene utilizzato impropriamente, finanche per indicare attività che nulla o poco hanno a che vedere con l’arte dell’acquisizione e della valorizzazione delle informazioni. Un esempio è quello del marketing. L’acquisizione di dati grezzi dai mercati globalizzati (market research) non si traduce in un’attività di market intelligence.
Se storicamente le attività di intelligence sono state appannaggio delle sole strutture istituzionali o governative, nell’ultimo ventennio abbiamo invece assistito ad una sostanziale migrazione di uomini e mezzi dalle strutture di intelligence dello Stato verso il mondo dell’economia, della finanza e dell’industria.
Cos’è il controspionaggio cyber
“Measures to identify, penetrate, or neutralize foreign operations that use cyber means as the primary tradecraft methodology, as well as foreign intelligence service collection efforts that use traditional methods to gauge cyber capabilities and intentions”.
Viene così descritto il controspionaggio cibernetico nel Dictionary of Military and Associated Terms del Dipartimento della Difesa USA. Quindi si tratta di un’attività di raccolta, analisi e diffusione delle informazioni presenti nel Cyberspazio per soddisfare dei requisiti cognitivi specifici, onde fornire tempestive e pertinenti risposte a supporto del processo di individuazione di tattiche e strategie di difesa/offesa nel Cyberspazio. La CCI si compone di un insieme di elementi (Tactics, Techniques and Procedures – TTP) utilizzabili per la pianificazione di azioni proattive difensive e offensive.
Nella definizione del Dipartimento della Difesa statunitense è interessante rilevare la presenza di metodi tradizionali di raccolta informazioni per misurare le capacità informatiche e le intenzioni dell’avversario. Il termine tradecraft methodology si riferisce invece all’insieme delle moderne e variegate tecniche di spionaggio digitale.
La CCI assume, pertanto, la connotazione di un cardine armonioso di tecnologie e tecniche diverse che si integrano e interagiscono in funzione dello scenario operativo. Per rendere efficaci le attività di CCI è opportuno definire un processo di contestualizzazione delle diverse metodologie e tecniche fruibili
L’importanza della counter-cyberintelligence
In uno scenario mondiale di elevata insicurezza per quanto concerne l’integrità e la riservatezza delle informazioni, il controspionaggio cibernetico (Counter Cyberintelligence – CCI) può rappresentare lo strumento più appropriato ed efficace per garantire l’individuazione di azioni proattive finalizzate alla riduzione/azzeramento delle minacce informatiche (azioni difensive), nonché all’attivazione di misure aggressive di attacco e indebolimento degli avversari (azioni offensive). Le attività di CCI possono consentire perfino di utilizzare le malicious cyber actions a proprio vantaggio per attuare degli attacchi contro gli aggressori.
Va ricordato che il filone scientifico del controspionaggio informatico ha cominciato a diffondersi nelle comunità di intelligence solo nel corso degli ultimi due decenni, pertanto non deve creare stupore la ridotta disponibilità di applicazioni software specifiche sia in ambito governativo che aziendale. Negli atti del 12° European on Cyber Warfare and Security (ECCWS) tenutosi in Finlandia nel 2013, in 44 documenti (pari a 406 pagine) si menziona la CCI solo come metodologia di contrasto allo spionaggio cibernetico, senza tuttavia entrare in approfondimenti. Solo nell’edizione del 2014 dell’ECCWS si comincia a definire una sorta di “pista” di riferimento con la definizione delle attività di Cyber Intelligence/Counterintelligence, anche se i contributi degli autori sono risultati ancora sostanzialmente manchevoli.
