logo-capesic-3

Com Itàlia es prepara per afrontar el terrorisme cibernètic

Home Entrades Com Itàlia es prepara per afrontar el terrorisme cibernètic
Com Itàlia es prepara per afrontar el terrorisme cibernètic

INTRODUCCIÓ

En la pròxima anàlisi es proposa explicar algunes de les mesures que Itàlia està duent a terme per contrarestar el fenomen del terrorisme cibernètic. Tanmateix, abans de començar amb el desenvolupament de la temàtica en qüestió és necessari fer algunes consideracions rellevants sobre els conceptes de ciberespai, sobirania i terrorisme cibernètic.

Així, l’espai cibernètic està format per una extensa xarxa de sistemes informàtics interconnectats entre si que estableixen interrelacions lògiques entre elles. Aquestes són capaces d’oferir a bona part de la població mundial tant efectes positius (per exemple, la possibilitat de realitzar transaccions financeres, comunicacions amb altres individus, la difusió de coneixement, etc.), com efectes negatius (robatori de la identitat, sostracció de dades, compres fraudulentes, danys als sistemes informàtics, etc.). En aquesta direcció, els efectes negatius de la xarxa no només afecten els usuaris, sinó també a la sobirania de l’Estat. De fet, la relació de poder-subjecció tradicionalment exercida de forma coercitiva per l’actor Estat cap a les persones subjectes a la seva sobirania, es troba constantment amenaçada pels perills que es presenten dins del ciberespai.

Avui en dia, una de les amenaces més virulentes contra l’Estat no està representada per bandes armades o grups insurgents, sinó per internautes o xarxes d’internautes al servei del crim organitzat o finançats per algun altre actor no estatal. Fugint de qualsevol tipus de control, aquests individus o grups d’individus poden executar atacs cibernètics contra els organismes públics o privats que controlen les infraestructures crítiques (xarxes d’energia elèctrica, hídrica, transports públics, comunicacions, sistema bancari i financer, etc.) o dirigir-los cap a la mateixa administració de l’Estat que utilitza la xarxa telemàtica per proveir serveis públics (sistema sanitari, Defensa o Seguretat, entre altres).

Per altra banda, els sistemes judicials nacionals basats en el principi de territorialitat – com en el cas d’Itàlia – no ofereixen cap protecció davant dels perills que es difonen a través del world wide web o, encara pitjor, en l’anomenat deep web, és a dir, aquella porció d’internet que no està indexada pels buscadors tradicionals. Així, la xarxa profunda es converteix en un mare magnum amb documentació organitzada en diversos arxius temàtics que, segons algunes estimacions, podria emmagatzemar en aquesta més de 550 mil milions de documents disponibles respecte als dos mil milions catalogats per Google. A la xarxa profunda es pot traficar amb drogues, armes, materials estratègics, documentació falsa – fins i tot reclutar sicaris – amb gran facilitat i utilitzant els bitcoins, una moneda virtual que explota la tecnologia peer to peer i que no està subjecta a cap règim o control.

Per això i amb l’objectiu de protegir-se contra les amenaces cibernètiques, el Govern italià intensifica la seva col·laboració amb el sector privat. En aquest context, foren elaborats dos documents de gran importància: el Quadre Estratègic per la Seguretat de l’Espai Cibernètic i el Pla Nacional per la Protecció Cibernètica i la Seguretat Informàtica. Ambdues publicacions assignen i reparteixen les funcions i competències que les diverses institucions tant públiques com privades han d’assumir per garantir la seguretat cibernètica d’Itàlia. Les amenaces cibernètiques en els dos textos, són classificades en quatre grans categories: 1) la criminalitat cibernètic (cyber crime); 2) l’espionatge cibernètic (cyber espionage); 3) la guerra cibernètica (cyber warfare); 4) el terrorisme cibernètic (cyber terrorism). A més a més, s’hauria de destacar que el passat 17 de febrer del 2017 el President del Consell de Ministres aprova un nou decret en el qual es troben detallades les funcions delegades a cada organisme de l’Estat en matèria de protecció cibernètica i seguretat informàtica nacional. No obstant això, en la present anàlisi es tracta només el terrorisme cibernètic.

EL TERRORISME CIBERNÈTIC

Una de les primeres definicions de terrorisme cibernètic es remunta als anys vuitanta, quan Barry Collin de l’Institute for Security and Intelligence de Califòrnia (els Estats Units), es refereix a la convergència del ciberespai amb el terrorisme. Anys més tard, Dorothy E. Denning del Georgetown Institue for Information Assurance de Washington (els Estats Units), especifica que per designar al ciberterrorisme com a tal hauria de complir una sèrie de requisits com per exemple que l’acció terrorista, a més de ser violenta, hauria d’estar dirigida cibernèticament contra elements físics i individus, provocar danys greus, generar por i inferir terror. En altres termes: els atacs cibernètics perpetrats contra sistemes informàtics de monitoratge electrònic dels sistemes físics – coneguts amb l’acrònim SCADA – presents en les infraestructures crítiques han de produir danys extensos i importants.

Segons el Grup de Monterrey, o Centre for the Study of Terrorism and Irregular Warfare de la Naval Postgraduate School a Monterrey, existeixen tres tipus d’atacs cibernètics: 1) aquells senzills i estructurats amb capacitat per conduir atacs contra sistemes individuals utilitzant instruments creats per altres usuaris; 2) aquells avançats i estructurats que són capaços de dur a terme atacs més sofisticats contra sistemes o xarxes amb instruments creats per aquesta finalitat; 3) i, finalment, els més complexos amb capacitat per llançar atacs coordinats buscant causar interrupcions massives en sistemes defensius integrats mitjançant sofisticats instruments de hacking.

En aquesta direcció i com a exemple, es podria produir un atac terrorista dut a terme cibernèticament per destruir, desestabilitzar o confondre les funcions de comandament i control d’un sistema informàtic que controla les xarxes de distribució d’alta tensió d’una gran ciutat. Aquesta acció, perquè realment sigui considerada com a “terrorista”, a més a més dels danys provocats al software i al hardware han de comprometre la funció principal del sistema, és a dir, la transmissió de l’energia elèctrica (els danys de la qual podrien ser incalculables en una situació de black out total en un període de temps de llarga durada). I si la població arribés a ser conscient que per culpa de l’atac haurien quedat interrompudes les comunicacions, els transports o l’avituallament d’aigua potable, el pànic i la desconfiança cap a les autoritats acabaria per comprometre la seguretat ciutadana i l’ordre públic (1) . Segons Denning, no tots els atacs informàtics han de ser considerats com a terrorisme cibernètic. Per ell, de la definició en quedarien exclosos els atacs que produeixen un mal funcionament temporal del sistema com en el cas del Denial of Service – DoS – o del Distributed Denial of Service – DDoS – (altres definicions de terrorisme cibernètic es mostren en la nota a peu de pàgina 2 ).

ANSA/ALESSANDRO DI MEO

Per altra banda, en el cas d’Itàlia i el seu Quadre Estratègic acabat d’enllestir, es defineix el terrorisme cibernètic com: “un conjunt d’accions ideològicament motivades que intenta condicionar a un Estat o a una organització internacional” (3) . Malgrat no existir una definició unívoca de terrorisme cibernètic, en aquesta anàlisi es consideren vàlides les dues citades de Denning que considera la xarxa telemàtica com a arma o objectiu per perpetrar atacs terroristes (definició que es pot emmarcar com a target oriented) i la del “Sistema d’Informació per la Seguretat de la República”, la més utilitzada, que destaca el preeminent rol instrumental d’internet per aquestes finalitats (definició tool oriented).

En relació al Quadre Estratègic, es pot afirmar que Itàlia adopta tres tipus de mesures per contrarestar el terrorisme cibernètic: 1) Preventives; 2) Defensives; 3) Repressives.

MESURES PREVENTIVES

En primer lloc, les mesures preventives esdevenen les més difícils d’implementar a causa de les dificultats relacionades amb la individualització no només de l’amenaça, sinó també de les vulnerabilitats que presenten els sistemes informàtics tant de les administracions públiques com de les petites i mitjanes empreses que, cal remarcar, són l’autèntic motor de l’aparell productiu italià. Així, identificar els perills per la seguretat nacional requereix una atenta activitat de planificació per part dels serveis d’intel·ligència. Actualment, la planificació informativa es concentra en tres macro objectius: 1) el terrorisme internacional: 2) la seguretat cibernètica; 3) la seguretat econòmica, comercial i financera.

En aquesta direcció, el risc cibernètic ha de ser tingut en compte en cada un dels tres àmbits. Per aquest motiu, el Quadre Estratègic suggereix adoptar tres tipus de mesures preventives: 1) físiques: a través del control de les persones que accedeixen als llocs on es troben els servers i el monitoratge constant dels usuaris que tenen accés als programes de comandament i control dels sistemes informàtics; 2) lògiques: mitjançant la utilització d’inputs informàtics certificats per limitar el compromised counterfeit hardware, és a dir, preveure la instal·lació de software potencialment maliciós amagat en el microprocessador; 3) procedimentals: amb l’adopció d’estrictes normes de conducta i protocols de seguretat cada cop més complexes.

Les mesures preventives implementades fins ara han seguit els cànons de la “seguretat integrada” a través de la col·laboració activa del sector públic i dels gestors privats de les xarxes estratègiques nacionals. El Ministeri de l’Interior també concorre en la prevenció i la investigació dels actes terroristes executats utilitzant sistemes informàtics i, en particular, contra les infraestructures crítiques informatitzades d’interès nacional. Amb decret del Ministeri de l’Interior del 9 de gener del 2008, es tracta de manera particular les estructures crítiques nacionals i també s’estableix un “Centre Nacional contra el Crim Informàtic per la Protecció de les Infraestructures Crítiques” (CNAIPIC en les seves sigles en italià). El mateix passa amb el Ministeri de Defensa, l’objectiu del qual és protegir les instal·lacions militars a Itàlia i a les Forces Armades desplegades a l’exterior. Al Reparto Informazioni e Sicurezza de l’Estat Major de Defensa li correspon analitzar, avaluar i aportar elements concrets sobre les amenaces no convencionals dirigides contra les activitats que realitza l’Exèrcit italià. Dins d’aquest, opera el CERT-Defensa, una estructura tècnica encarregada de donar assistència en matèria de seguretat informàtica i comunicacions. El CERT-Defensa promou també la divulgació de les informacions amb la finalitat de prevenir futures amenaces cibernètiques.

Tenint en compte que aquestes amenaces cibernètiques esdevindran cada cop més “híbrides” i sofisticades, les tècniques emprades per contrarestar-les seran tant simètriques com asimètriques a causa de quatre grans factors: 1) els ciberterroristes poden atacar des de qualsevol punt geogràfic; 2) poden aprofitar-se d’una sola vulnerabilitat de la xarxa o del sistema en qüestió; 3) són extremadament ràpids i sovint no permeten una resposta adequada; 4) són i queden anònimes. El Departament per la Informació i la Seguretat de la Presidència del Consell de Ministres està al càrrec de coordinar tots els esforços conjunts en matèria d’amenaces cibernètiques.

MESURES DEFENSIVES

Les mesures defensives, en canvi, es creen per la necessitat d’integrar diferents capacitats del sector públic i privat. Així, de les activitats de síntesi i anàlisi dutes a terme pel Ministeri de Defensa, es detectaren alguns softwares maliciosos. Gràcies a la investigació científica en l’àmbit universitari es pogué entendre com neutralitzar-los. En aquesta direcció, la Universitat de Trento, juntament amb el Consell Nacional d’Investigacions, alguns anys enrera obtingueren finançament de la UE per crear dos laboratoris, un ubicat a Trento i un altre a Pisa, que tracten el tema de la seguretat informàtica. Per exemple, en el malware lab de Povo, des de fa tres anys guarden i analitzen els softwares maliciosos més difosos per internet. Per altra banda, la Universitat Sapienza de Roma crea el Cyber Intelligence and Information Center, un centre d’investigació que opera en el sector de la information assurance i que té com a objectius realitzar i protegir les infraestructures crítiques, trend prediction, open-source intelligence, sistemes cyber físics i smart complex systems. De fet, la col·laboració entre les agències d’intel·ligència, les universitats i la indústria s’ha anat estrenyent progressivament.

A més a més, una altra mesura defensiva extremadament eficaç contra els atacs cibernètics són els anomenats “sistemes d’alerta” que es basen en simulacions, exercicis i resolució de case study. En aquest àmbit, la principal tasca és saber diferenciar els diversos tipus d’amenaces cibernètiques: si són fortuïtes o bé provocades per error, o causades per una disfunció de la xarxa o determinades per un atac terrorista, entre altres. La “capacitat del sistema” depèn d’aquesta primera avaluació per defensar-se adequadament. A partir de les informacions rebudes, es pot interrompre, aïllar o utilitzar una xarxa alternativa d’emergència. En general, els “plans de contingència” preveuen la continuïtat de l’activitat cibernètica amb el menor nombre de connexions possibles a efectes d’afavorir el restabliment de la xarxa i garantir el funcionament gradual dels sistemes de comandament i control.

Ita_Ejercitacion Locked Shields 2015 - Fuente Ministerio de Defensa

MESURES REPRESSIVES

En relació a les mesures repressives, aquestes poden ser resumides en dues grans categories: 1) les objectives: llançades contra els inputs informàtics; 2) les subjectives: contra els responsables d’aquestes accions. En la primera categoria si troben les activitats de back-hack que permet identificar l’origen d’un atac cibernètic a través del rastreig de l’activitat d’un nombre IP o de l’”espectre de bits” deixat per l’atac i, d’aquesta manera, poder trobar a l’agressor. La individualització de l’atacant, segons el Manual de Tallin (un recopilatori de soft law que sintetitza les regles del Dret Internacional aplicables a la guerra cibernètica) permetria als governs l’adopció de contramesures en aquest camp. En sentit oposat, els Estats Units consideren els atacs cibernètics (inclòs el cyber terrorisme) com autèntics actes d’agressió. Aquest fet permet al govern de Washington invocar el ius ad bellum (les raons i la legitimitat del conflicte armat) i així poder llançar una ofensiva amb els mitjans i mètodes convencionals. Malgrat que les contramesures quedarien confinades en l’univers “virtual”, el combat amb mitjans i mètodes convencionals provocaria conseqüències en el món “real”.

Pel que fa a la segona categoria, en ella s’ubica la potestat punitiva de l’Estat a través de la legislació penal. Les modificacions aportades al codi penal italià en matèria de terrorisme no són fruit d’una veritable “política d’Estat” en aquest sentit, més aviat una conseqüència directa dels atacs terroristes que han sacsejat l’opinió pública mundial en els últims quinze anys: després de l’11 de setembre de l’any 2001 (atemptats dels Estats Units), s’introdueix en l’ordenament jurídic italià el delicte d’associació amb el terrorisme internacional (article 270 bis); passat l’atac del 5 de juliol del 2005 (atemptat a Londres, Regne Unit), es defineixen les conductes amb finalitat de terrorisme (article 270 sexies); posteriorment al 7 de gener del 2015 (atac terrorista contra Charlie Hebdo a París, França), s’introdueix la legislació contra els foreign fighters i, finalment, després del 22 de març del 2016 (atacs terroristes a Brussel·les, Bèlgica), es presenta a la Cambra de Diputats un projecte de llei (número 3303-A) per castigar a qui comet actes de terrorisme cibernètic amb penes que van dels 5 als 10 anys de presó.

En aquesta direcció, el codi penal italià també sanciona el sabotatge amb finalitat de terrorisme dels serveis públics essencials (article 270 quater), l’organització de viatges a l’estranger per efectuar accions terroristes (article 270 quater 1), l’adoctrinament amb finalitat de terrorisme (article 270 quinques), les conductes amb finalitat de terrorisme, les accions per desestabilitzar o destruir estructures socials fonamentals d’una comunitat (article 270 sexies) o la instigació o apologia per cometre un o més delictes de terrorisme (article 414). Amb la ratificació i plena execució de la Convenció del Consell d’Europa sobre la criminalitat informàtica signada a Budapest el 23 de novembre del 2001, també s’introdueixen en el codi penal nous subjectes de delictes informàtics.

APUNTS FINALS

Després d’aquest breu excursus, s’intenten treure algunes conclusions de tot l’exposat:

1) No existeix una definició unívoca de terrorisme cibernètic. Els terroristes poden cometre accions violentes utilitzant la xarxa telemàtica com si fos un arma o un objecte per provocar danys a les coses i a les persones, o bé com a mitjà per difondre el terror i la mateixa ideologia a través de la xarxa. Analitzant la definició de Denning i de la Presidència del Consell de Ministres (que no són antitètiques, si no complementaries), es podria dir que el terrorisme cibernètic es manifesta en la dimensió “virtual” però els seus efectes repercuteixen en l’àmbit “real”.

2) L’evolució de la seguretat cibernètica a Itàlia té en compte els canvis geopolítics actuals: nous actors “no estatals” es conformen; els tradicionals centres de poder es transfereixen des de l’Atlàntic cap al Pacífic; les crisis econòmiques incrementen les tensions entre l’hemisferi boreal i l’austral; les controvèrsies ideològiques, culturals i religioses s’accentuen cada any que passa, entre molts d’altres. En aquests contextos, el terrorisme, en general, i el terrorisme cibernètic, en particular, representen les grans amenaces fora de les anomenades àrees de crisis pel fet que s’alimenten de la “conflictualitat latent” i utilitzen el progrés tecnològic per atacar les infraestructures crítiques públiques i privades. Així, ens trobem davant d’una estratègia “híbrida” que no pretén només un control físic del territori d’un Estat, sinó que també aposta per influenciar i controlar, a través del terror i la ideologia, a la seva població civil.

3) S’ha entrat en l’era de la informàtica quàntica en la qual predomina l’internet of everything: en els vehicles, els avions i, fins i tot, en les nostres llars. No obstant això, aquest fet emblemàtic no provoca cap queixa en l’opinió pública pels efectes devastadors que l’univers virtual podria provocar en el món real.

4) Les mesures repressives subjectives presenten tènues punts de contacte entre l’“internauta-agent” i la “jurisdicció italiana”. Com s’explica anteriorment, es pot trobar una solució al problema de la supervivència de la xarxa. Tanmateix, no es ressol l’anonimat i la individuació geogràfica del “cyber-terrorista” que hi ha darrere del teclat.

5) La major part dels aparells informàtics tecnològicament avançats són el resultat de llargues i laborioses activitats d’investigació per part dels governs i multinacionals, No obstant això, un estudi realitzat en els anys noranta ja preveia que la despesa inicial per realitzar un atac cibernètic seria extremadament poc costosa.

6) Si bé és cert que a Itàlia no es verifiquen actes de terrorisme cibernètic, que aquests es produeixin a mitjà i llarg termini no només és possible, sinó que entra dins dels escenaris de probabilitat plantejats.

Francesco G. Leone

Foto 1: Centre Nacional contra el Crim Informàtic per la Protecció de les Infraestructures Crítiques – CNAIPIC en les seves sigles en italià (Font: Polizia Postale).

Foto 2: Paolo Gentiloni (E), Primer Ministre Italià, amb Alessandro Pansa (D), Director General del Departament de la Informació per la Seguretat – DIS (Font: Alessandro di Meo / ANSA).

Foto 3: Personal civil i membres de les Forces Armades italianes durant els exercicis en ciberdefensa Locked Shields de l’any 2015 (Font: Ministeri de Defensa d’Itàlia).

1 Es pot llegir SHIMEALL, Timothy – WILLIAMS, Phil – DUNLEVY Casey “Neutralizzare la guerra cibernetica”, a revista de l’O.T.A.N., hivern 2001/2002, pàg. 18.

2 “Cyber terrorism is the use of computer network tools to shut down critical national infrastructures (such as energy, transportation, government operations) or to coerce or intimidate a government or civilian population” LEWIS, James A. “Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats”, Estats Units, 2002; “A criminal act perpetrated by the use of computers and telecommunications capabilities, resulting in violence, destruction and/or disruption of services, where the intended purpose is to create fear by causing confusion and uncertainty within a given population with the goal of influencing a government of population to conform to a particular political, social or ideological agenda”. LOURDEAU, Keith “Testimony of Keith Lourdeau, Deputy Assistant Director, Cyber Division, FBI Before the Senate Judiciary Subcommittee on Terrorism, Technology, and Homeland Security. Estats Units, 2004. “Cyber terrorism is the premeditated, politically motivated attack[s] against information, computer systems, computer programs, and data which result in violence against non-combatant targets by sub-national groups or clandestine agents” POLLITT, Mark a AA.VV. “Power and security in the Information Age. Investigating the Role of the State in Cyberspace”, Regne Unit, 2007, pàg. 98.

3 Veure Presidencia del Consejo de Ministros, “Il linguaggio degli organismi informativi”, Roma, 2013, pàg. 72.