Gli attori della guerra informatica sono tanto diversi quanto maligni: reti di hacker ad hoc, organizzazioni globali altamente qualificate di cyber mercenari e gruppi finanziati dagli Stati che hanno un massiccio sostegno finanziario, obiettivi finali oscuri e nessun desiderio di fare prigionieri.
Secondo il Council on Foreign Relations "Dal 2005, trentatré paesi sono sospettati di finanziare operazioni informatiche. Cina, Russia, Iran e Corea del Nord hanno sovvenzionato il 77% di tutte le operazioni sospette. Nel 2019, ci sono state un totale di settantasei operazioni, la maggior parte delle quali sono atti di spionaggio."
Gli esperti di Odix, società israeliana proprietaria dell'innovativa tecnologia TrueCDR (Content Disarm and Reconstruction) per la prevenzione dei malware, analizzano i tre principali attori statali attivi nel cyber terrorismo e indicano alcuni strumenti di base per ridurre il cyber rischio.
Iran
Con una gamma completa di elementi tradizionali e di soft power, negli ultimi anni il regime iraniano ha iniziato a integrare la sua strategia militare facendo sempre più affidamento su programmi di cyberwarfare.
Secondo Yigal Unna, Direttore Generale dell'Israel National Cyber Directorate,nell'Aprile 2020 la Repubblica Islamica dell'Iran ha condotto "attacchi organizzati e sincronizzati che avrebbero potuto non solo sospendere l'erogazione dell'acqua alla popolazione del paese nel mezzo della crisi del coronavirus, ma anche avere conseguenze dannose o addirittura disastrose come per l'aggiunta di percentuali sbagliate di sostanze chimiche come il cloro nell'acqua ".
Unna ha suggerito che l'attacco informatico alle infrastrutture idriche israeliane è stato il primo attacco di questo tipo nella storia. Il tentativo del regime iraniano di "aumentare il cloro avrebbe probabilmente innescato uno spegnimento automatico delle stazioni di pompaggio, tagliando l'approvvigionamento idrico a decine di migliaia di civili e strutture. "
Russia
Mentre l'Iran si è concentrato sull'uso del cyberwarfare per danneggiare le infrastrutture nazionali, i Russi hanno recentemente utilizzato l'hacking per prendere di mira la proprietà intellettuale connessa alla ricerca sul covid-19. Secondo il ministro della sicurezza britannico James Brokenshire "La Gran Bretagna è sicura al 95% che gli hacker sostenuti dallo Stato russo abbiano preso di mira organizzazioni britanniche, statunitensi e canadesi coinvolte nello sviluppo di un vaccino contro il coronavirus".
Gli hacker russi sostenuti dallo Stato sono stati anche accusati di essersi infiltrati nei computer utilizzati dalle agenzie antidoping sportive e di aver rubato dati dal laboratorio chimico svizzero in cui sono stati analizzati campioni dell'agente nervino novichok utilizzato per l'attacco di Salisbury.
Da un punto di vista politico, i Russi sono stati anche accusati di aver hackerato il Comitato Nazionale Democratico e dozzine di organizzazioni sportive internazionali.
Cina
La Cina è costantemente citata come una delle forze principali dietro l'uso di hacker per prolifici attacchi di spionaggio informatico. Gli attacchi informatici cinesi diretti contro le potenze occidentali, in particolare gli Stati Uniti, sono diventati così diffusi da meritare un nuovo nome di categoria: Advanced Persistent Threats (APT). Le forze armate cinesi hanno persino formato un'unità specializzata (PLA Unit 61398), composta da hacker esperti, utilizzata in numerose campagne di spionaggio mirate alle infrastrutture critiche e alla contro-sorveglianza.
La Cina ha utilizzato la pandemia globale Covid-19 come miccia per attivare il suo programma di hacking globale: secondo Wired, "attori che lavorano per conto del governo cinese e dei suoi servizi di sicurezza hanno cercato di trarre profitto dalla crisi e rubare informazioni che potrebbero essere di beneficio per il paese, dice una fonte di sicurezza occidentale di alto livello. Questi includono attacchi a un'importante azienda di assistenza sociale nel Regno Unito ".
Come fare per proteggere al meglio le infrastrutture informatiche?
Secondo gli esperti di Odix, dare priorità alla sicurezza della posta elettronica e formare il personale sulle best practice informatiche sono il modo più efficace e attento ai costi per mantenere i dati al sicuro. Infatti, con il 94% del malware che entra nel perimetro di sicurezza aziendale tramite allegati di posta elettronica, l'integrazione di livelli di sicurezza aggiuntivi nel gateway di posta elettronica è fondamentale.
I sistemi legacy, come gli elementi di protezione basati su antivirus o sandbox sono fondamentali per proteggere i dati dalle minacce note, ma non bastano: per contrastare tutti i malware, inclusi gli zero-day, è necessario un nuovo approccio che integri i protocolli di sicurezza informatica esistenti.
L'innovativa tecnologia CDR non si basa sulla ricerca di virus o codice malevolo attraverso firme digitali con lo scopo di bloccare il file che li contiene, ma sanifica il file stesso e lo restituisce all'utente ripulito da virus o da altro codice non appropriato, senza avere alcuna necessità di aggiornare continuamente uno o più database di firme antivirus.
Grazie alla tecnologia CDR, vengono individuati tutti i malware, inclusi gli zero-day e l'utente ottiene una copia sicura del file eventualmente infetto. Il processo di sanificazione dei file Odix avviene in tempo reale, non influisce sulla continuità aziendale e non richiede l'intervento dell'utente, azzerando così i rischi legati ai comportamenti sbagliati degli utenti stessi.