Comandante delle Forze di Difesa del Cyberspazio: Siamo in una fase di conflitto, forse vicina a una fase di guerra

• Russia e Bielorussia sono attualmente la principale fonte di minacce nel cyberspazio, ammette il generale Karol Molenda in un'intervista al CIS.
• Le Forze di difesa del cyberspazio conducono non solo operazioni difensive, ma anche offensive.
• Karol Molenda illustra inoltre come la Polonia stia costruendo un modello di sicurezza informatica unico all'interno della NATO, basato sulla cooperazione, lo scambio di informazioni e l'integrazione con il settore privato.
• La sicurezza informatica sarà uno dei temi principali della conferenza autunnale "Industria per la difesa". Leader del mondo industriale, scientifico e governativo si riuniranno a Katowice il 15 ottobre per discutere di come rafforzare la resilienza e il potenziale di difesa della Polonia di fronte alle nuove sfide geopolitiche e tecnologiche.

Nell'ambito dell'operazione "Podlasie Sicura", l'esercito sta proteggendo il confine tra Polonia e Bielorussia. Cosa stanno difendendo le Forze di Difesa del Cyberspazio?

Infrastruttura ICT militare e, indirettamente, un'enorme quantità di dati sensibili e preziosi dal punto di vista della sicurezza nazionale. Le Forze di Difesa Militare (WOC) rispondono a un impegno assunto nel 2016. All'epoca, l'Alleanza Atlantica decise che anche il cyberspazio era un ambito operativo in cui potevano essere condotte operazioni militari. Ciò rese necessaria la creazione di unità separate dedicate alla sicurezza informatica.

Le Forze di Protezione Civile sono principalmente responsabili delle CyberOps, contrastando gli attacchi ai sistemi e alle infrastrutture IT. Siamo piuttosto unici rispetto ad altri rami delle forze armate perché non solo addestriamo, ma conduciamo anche operazioni qui e ora, in tempo di pace .

Siamo in guerra nel cyberspazio? Ce lo spiega il generale.

Spesso sentiamo parlare i politici di una "guerra informatica". Ma secondo te, di pace?

Secondo il diritto internazionale, nessuno ci ha dichiarato guerra, quindi, da soldato, parlo di tempo di pace. Tuttavia, a mio parere, nel cyberspazio dovremmo piuttosto parlare di stati di competizione, conflitto e guerra.

Per quanto riguarda CyberOps, penso che siamo già nella fase di conflitto, forse vicini alla fase di guerra.

Quando diresti che è sicuramente in corso una guerra?

La soglia della guerra non è definita chiaramente. La NATO si sta generalmente allontanando dalla definizione di un confine rigido, perché se un avversario sa dove si trova, opererà sempre sul confine e verificherà cosa succede quando lo attraversa.

Se un attacco dovesse danneggiare infrastrutture critiche, causando feriti o morti, sarebbe difficile affermare che siamo ancora in conflitto. Sarebbe un argomento abbastanza forte per considerarlo una guerra. Per ora, stiamo respingendo gli attacchi.

Quanta difesa e quanta azione offensiva sono presenti nelle operazioni WOC?

Il nostro impegno maggiore è rivolto a contrastare gli attacchi, ma identifichiamo anche le infrastrutture e le attività dei nostri avversari, apprendendo le loro tattiche, tecniche e procedure che utilizzano contro di noi o i nostri partner. Allo stesso tempo, stiamo anche sviluppando capacità offensive.

Senso?

Disponiamo di tre unità dedicate a fornire competenze per l'intero spettro di operazioni. Ogni unità dispone di team pronti a condurre operazioni di difesa attiva e offensive. Possiedono le conoscenze e gli strumenti necessari per ottenere risultati nello spazio digitale avversario nel caso in cui la nostra infrastruttura venisse attaccata in modo tale che fattori politici decidessero di non limitarsi a difenderci.

Tuttavia, se qualcuno vuole prendere in considerazione l'idea di attaccare, deve prima di tutto essere in grado di difendersi. Ad esempio, all'inizio della guerra su vasta scala in Ucraina, i russi sono caduti vittime di gruppi come Anonymous . Si è scoperto che, sebbene fossero molto attivi esternamente, non erano in grado di difendersi dagli strumenti che loro stessi utilizzavano.

I criminali informatici che operano in Polonia sono finanziati dal GRU e dall'FSB

Chi rappresenta oggi la minaccia più grande per noi nel cyberspazio?

In termini di CyberOps, la nostra sfida più grande è contrastare i gruppi APT (Advanced Persistent Threats) . Si tratta di gruppi sponsorizzati da stati a cui sono stati assegnati compiti specifici per colpire le infrastrutture di un determinato paese e ottenere risultati.

Si tratta di unità militari o di criminali finanziati dallo Stato?

"Paesi diversi hanno approcci diversi a questo problema. Esistono diversi rapporti pubblici che indicano chiaramente che uno di questi gruppi opera all'interno del GRU, il servizio di intelligence militare russo . Gli esperti lo hanno designato APT28. L'FSB ha APT29. Oggi monitoriamo quasi 20 gruppi di questo tipo presso la Foreign Intelligence Agency."

I gruppi APT hanno il via libera e un ombrello protettivo. Se qualcuno attacca per conto della Federazione Russa, la probabilità che la Federazione Russa lo estraderà dopo la nostra indagine è pari a zero. Ecco perché l'FBI inserisce i membri identificati del gruppo APT nelle liste dei ricercati: c'è la possibilità che vengano arrestati se, ad esempio, si recano in altri Paesi .

Cosa significano queste abbreviazioni?

"Queste designazioni vengono assegnate da esperti in base al modus operandi dei gruppi o agli strumenti utilizzati. L'attribuzione non è facile; richiede anni di esperienza. Questi gruppi in genere attaccano sotto bandiera straniera , prendendo il controllo di infrastrutture straniere e solo allora conducono operazioni offensive utilizzandole."

Oggi, assistiamo senza dubbio alla maggior parte delle attività provenienti da Russia e Bielorussia. Praticamente ogni giorno si tenta di influenzare in qualche modo l'infrastruttura militare o i nostri partner.

Quali metodi utilizzano questi gruppi?

"In molti casi, questi gruppi utilizzano soluzioni semplici, solitamente strumenti di ingegneria sociale, per rubare le credenziali di accesso. Gli esperti ora affermano che gli aggressori non violano la sicurezza, ma accedono al sistema. Naturalmente, se l'ingegneria sociale non funziona e l'avversario viene individuato, prova tattiche più sofisticate, anche contro i nostri partner. Poiché gli aggressori sfruttano gli anelli più deboli del sistema, dobbiamo garantire il miglioramento della sicurezza informatica in tutte le nostre reti."

Potresti farmi un esempio?

"Abbiamo notato questo schema, ad esempio, all'interno del sistema di supporto all'Ucraina. Circa il 90% di tutti gli aiuti militari passa attraverso il nostro Paese e coinvolgiamo i nostri partner nei settori della logistica e dei trasporti . Gli avversari se ne sono accorti e hanno iniziato a prendere di mira le entità con cui condividiamo informazioni. Presumono di poter estrarre dati importanti."

Ecco perché abbiamo stipulato numerosi accordi con i partner in materia di supporto militare. Si tratta di un modello senza precedenti: grazie alla nostra esperienza, abbiamo iniziato a sviluppare una prospettiva polacca sulla sicurezza informatica.

Cosa significa la prospettiva polacca sulla sicurezza informatica?

In cosa consiste esattamente?

Le forze armate, in particolare quelle informatiche, non dovrebbero concentrarsi esclusivamente sui propri sistemi. Questa filosofia porta a un falso senso di sicurezza: se la nostra infrastruttura è sicura, siamo pronti per le operazioni.

Nel frattempo, l'esercito deve anche utilizzare infrastrutture che non gli appartengono: flusso di carburante, energia, trasporti , logistica. Questi settori non sono adeguatamente preparati a contrastare i gruppi APT con missioni specifiche e strumenti sofisticati. Pertanto, se otteniamo informazioni importanti dal punto di vista della sicurezza, le condividiamo anche con i nostri partner. Ad esempio, se veniamo a conoscenza di una vulnerabilità che potrebbe essere sfruttata per attaccare un'infrastruttura, la segnaliamo.

Stiamo inoltre elaborando una filosofia completamente nuova di condivisione delle informazioni all'interno della NATO.

Senso?

Per anni ha prevalso il principio del "bisogno di sapere". Le informazioni erano facilmente reperibili ovunque, ma ognuno le teneva per sé. Tuttavia, ci impegniamo a promuovere la filosofia del "bisogno di condividere": se hai informazioni che potrebbero essere utili al tuo partner, condividile.

Vorrei fare un esempio di collaborazione con i partner in Ucraina. Se rilevano un attacco di gruppo APT che utilizza un'infrastruttura compromessa, ci informano: questo ci permette di proteggere i nostri dispositivi e di garantire che la stessa infrastruttura non venga utilizzata contro di noi. Se tutti si proteggessero da un attacco del genere, l'avversario dovrebbe costruire una nuova infrastruttura, il che sarebbe dispendioso in termini di tempo e denaro.

Credi che ora il vantaggio sia dalla nostra parte?

"Un difensore se la passa sempre peggio. Penso che abbiamo sicuramente fatto molti progressi; conosciamo i nostri avversari molto meglio di quanto non facessimo solo pochi anni fa."

Quando osservo il nostro team, a volte ho la sensazione che li conosciamo meglio di quanto loro stessi conoscano. I nostri analisti sono in grado di individuare quando un avversario sta costruendo un'infrastruttura che potrebbe essere sfruttata per un attacco. Sulla base delle loro raccomandazioni, possiamo prepararci adeguatamente in anticipo.

Naturalmente, questo non cambia il fatto che domani potrebbe verificarsi un attacco, sfruttando, ad esempio, una vulnerabilità zero-day di cui non eravamo a conoscenza. Dobbiamo rimanere sufficientemente vigili da garantire che, anche se un avversario penetra il nostro primo livello di difesa, possiamo fermarlo. La vigilanza è fondamentale; a volte i responsabili della sicurezza non sanno nemmeno di essere stati attaccati o di avere alieni a bordo.

Qual è l'obiettivo finale di questi gruppi?

"Ricevono ordini specifici e operano come unità militari. Ottenere informazioni è sicuramente uno degli obiettivi principali, perché chi le possiede è avvantaggiato."

Tuttavia, in molti casi, l'avversario può creare dei cosiddetti punti d'appoggio, la propria presenza nell'infrastruttura e in seguito persino danneggiarla o disattivarla.

Adottiamo un approccio proattivo: disponiamo di team che intervengono attivamente sulla nostra infrastruttura, alla ricerca di vulnerabilità. Conducono anche attività di ingegneria sociale contro i nostri utenti. Revisioniamo le nostre procedure. Verifichiamo anche se i nostri team di difesa hanno rilevato queste attività attive. Allo stesso tempo, disponiamo di team che individuano avversari sulle nostre reti e su quelle dei nostri partner.

Puoi fare un esempio di tale azione?

Nell'ambito delle nostre attività di cyberhunting, abbiamo scoperto un caso in cui un aggressore stava sfruttando una funzionalità software Microsoft per raccogliere informazioni. Questa funzionalità era abilitata per impostazione predefinita e invisibile all'utente. Dopo la nostra analisi, abbiamo informato Microsoft , che ha confermato le nostre scoperte e ha apprezzato il nostro contributo.

Inoltre, abbiamo sviluppato strumenti e script che consentono alle organizzazioni di determinare autonomamente se sono state vittime di questo tipo di attacco e come proteggersi. Abbiamo reso questi strumenti disponibili al pubblico e i nostri risultati sono stati successivamente citati in rapporti internazionali sulle attività delle agenzie di intelligence straniere.

Di cosa dovrebbe preoccuparsi il proprietario di un sistema? Quali sono i segnali che indicano la presenza di un "alieno" tra noi?

"Ciò che mi preoccupa di più è il silenzio. Se ricevessimo regolarmente segnalazioni quotidiane di un avversario che sta cercando di colpire la nostra infrastruttura, e poi non succedesse nulla per una settimana, questa sarebbe la nostra preoccupazione maggiore. La probabilità che l'avversario si sia arreso è pari a zero, quindi il silenzio significa che hanno cambiato modus operandi e noi non vediamo nulla."

Prevedi che in futuro dovremo affrontare la distruzione delle infrastrutture sfruttando punti d'appoggio conquistati?

"Non credo che questo sia uno scenario impossibile. Credo sia meglio tenerlo a mente e condurre costantemente test di penetrazione per aumentare la consapevolezza."

Il cyberspazio è notoriamente poco sicuro, soprattutto perché è un dominio in continua trasformazione a causa dell'uomo. Rimanere al passo con i cambiamenti tecnologici richiede un notevole impegno.

L'approccio polacco alla sicurezza informatica come modello per la NATO

Il WOC collabora con il settore privato. Cyber LEGION ne è un esempio. Come è nata l'idea di invitare programmatori civili a supportarvi?

"C'è un gruppo di esperti in Polonia che da tempo ha espresso la sua disponibilità ad aiutarci, ma non ha alcuna intenzione di cambiare lavoro o di indossare un'uniforme permanente. Finora li abbiamo invitati a collaborare, anche nell'ambito di Locked Shields, la più grande esercitazione di cyberdifesa."

Cyber LEGION è un'idea pensata per ottenere il loro sostegno, ma anche per dare loro un senso di missione. Ad oggi, abbiamo ricevuto oltre mille candidature e la risposta è stata incredibile. Tra i volontari ci sono esperti di fama internazionale, compresi quelli che nel 2019 hanno riso quando ho detto che li avrei ancora vestiti in uniforme.

Dopo le vacanze estive inizieremo i primi incontri con loro, per ora dobbiamo elaborare questo enorme numero di candidature.

Ciò implica la collaborazione con specialisti specifici. In quale altro modo le Donne di Colore collaborano con il settore privato?

Siamo una delle poche istituzioni della NATO ad aver sviluppato rapporti di fiducia sia con le università che con il settore privato. Abbiamo firmato accordi con tutti i maggiori fornitori di tecnologia, le cosiddette Big Tech . Contrariamente a quanto si pensa, questi accordi non riguardano il trasferimento di dati, ma la garanzia di un contatto diretto tra i nostri esperti e gli ingegneri dei fornitori.

Questo è fondamentale, soprattutto in situazioni di crisi: quando i nostri specialisti rilevano una vulnerabilità, abbiamo bisogno di contattare rapidamente le persone appropriate, non il reparto vendite. Abbiamo avuto casi in cui una vulnerabilità è stata sfruttata attivamente e, grazie a queste relazioni, il fornitore ha iniziato immediatamente a lavorare su una soluzione o ci ha fornito consigli per una protezione temporanea.

Inoltre, grazie alla fiducia che abbiamo costruito, ora siamo informati in anticipo sulle nuove vulnerabilità, prima che vengano annunciate ufficialmente. Questo ci consente di agire in modo più rapido ed efficace. Questa collaborazione bilaterale tra esperti è il fondamento della sicurezza nel mondo odierno.

In questa conversazione hai sottolineato più volte che stai facendo qualcosa di unico rispetto alla NATO. Ritieni che, dopo sei anni, il WOC DK sia unico?

"Lo è. Anche questa sensazione rasenta la certezza. Nel 2019, ci siamo resi conto che se volevamo sviluppare solide capacità informatiche, dovevamo creare noi stessi i talenti, non competere per ottenerli sul mercato. Ecco perché ci siamo concentrati sullo sviluppo a lungo termine: dai corsi di informatica nelle scuole superiori, al programma CYBER.MIL, fino all'aumento del numero di studenti nelle università militari. Oggi stiamo vedendo risultati tangibili: oltre cento nuovi sottotenenti, laureati in programmi di sicurezza informatica, si arruolano ogni anno nelle Forze di Difesa Militare."

Allo stesso tempo, sapevamo di aver bisogno di un partner che ci aiutasse ad accelerare il nostro sviluppo: da qui la collaborazione con la parte americana, avviata tramite un accordo con il Comando Europeo degli Stati Uniti. Ciò ci ha permesso di attingere all'esperienza maturata negli Stati Uniti in oltre un decennio.

Inizialmente, abbiamo dovuto anche snellire le strutture nazionali. In precedenza, diverse unità erano responsabili separatamente della sicurezza e della funzionalità del sistema. Ciò causava attriti, ritardi e lacune nella protezione. Pertanto, abbiamo optato per un modello innovativo, che combina le competenze all'interno di un'unica struttura. Ciò consente una risposta più rapida, un'analisi dei rischi più efficace e un equilibrio tra funzionalità e sicurezza.

Nella NATO è diverso?

In molti paesi della NATO, la responsabilità è ancora frammentata, il che si traduce in un flusso di informazioni più lento e in una minaccia reale. Conosco casi in cui gli attacchi hanno avuto successo solo grazie alla mancanza di un'azione coordinata. Ci siamo concentrati sull'integrazione.

Inoltre, supportiamo attivamente anche partner esterni, comprese le infrastrutture critiche. Non è ancora la norma, ma osserviamo che sempre più Paesi, tra cui Regno Unito, Germania, Stati Uniti e Francia, riconoscono l'importanza di questo approccio e condividono visioni simili. Siamo pionieri in questo campo, ma non siamo soli in questo percorso.

L'intelligenza artificiale e i droni stanno cambiando il campo di battaglia. Come risponde il WOC?

Quindi altri stanno già imparando dalla Polonia?

Esportiamo con successo le nostre conoscenze e la nostra esperienza. Tuttavia, non sono solo gli altri a imparare da noi: lo facciamo anche noi e vogliamo farlo.

E così, ancora una volta, abbiamo ideato qualcosa di unico. Abbiamo sentito che in molte conferenze si parlava di collaborazione e condivisione di informazioni. Solo quando qualcuno chiedeva: "OK, ma cosa avete fatto esattamente in questo caso?", si taceva, perché le informazioni erano molto sensibili. Ecco perché ogni anno organizziamo il Summit CSIRT a Legionowo, uno spazio per lo scambio di informazioni sulla NATO SECRET . Tuttavia, per partecipare all'incontro, c'è una condizione per il Paese: bisogna portare il proprio caso di studio. Solo allora si possono ascoltare gli altri. L'idea è stata ripresa dagli americani, quindi il nostro evento ha ora un profilo davvero elevato.

Traiamo costantemente conclusioni, ed è per questo che la nostra struttura è in continua evoluzione. Il Direttore del Dipartimento Risorse Umane probabilmente non è particolarmente contento del fatto che riceviamo costantemente proposte organizzative e di personale, ma ciò deriva dal fatto che la tecnologia sta cambiando rapidamente. Nel 2019, quando stavamo definendo la struttura delle Forze di Difesa del Cyberspazio, non eravamo così attivi nell'intelligenza artificiale. Ora, è impossibile immaginare di non implementare questo elemento, quindi abbiamo creato l'Artificial Intelligence Implementation Center per affrontare questa tecnologia rivoluzionaria e la sua presenza nella nostra infrastruttura.

Cosa fa?

L'intelligenza artificiale può davvero supportare i comandanti analizzando vasti set di dati provenienti da sensori e sistemi, suggerendo decisioni che un tempo venivano prese dal personale di comando. Chi riuscirà a elaborare questi dati più rapidamente e a tradurli in decisioni operative ne trarrà vantaggio. Vogliamo implementare soluzioni già disponibili sul mercato, ma anche avere un team di ingegneri che comprenda queste tecnologie, possa addestrare modelli su dati classificati e implementarli nei nostri sistemi.

Sono convinto che anche i nostri avversari ci stiano lavorando, quindi se non lo facessimo, potremmo immaginare uno scenario in cui due forze si scontrerebbero: una userebbe algoritmi di intelligenza artificiale per prendere decisioni, l'altra no. È facile immaginare quale delle due avrebbe il vantaggio.

Stiamo lavorando anche su sistemi di armi autonomi, sciami di droni e analisi di dati satellitari, tutti strumenti che sfruttano l'intelligenza artificiale per aumentare l'efficacia e la resistenza alle interferenze.

Il CISI recluta i migliori giovani ufficiali – maestri e ingegneri – che hanno già maturato esperienza presso università tecniche militari. Il nostro obiettivo è creare un team che non solo comprenda la tecnologia, ma che sia anche in grado di implementarla in modo sicuro ed efficace, tenendo conto di minacce come la contaminazione dei dati. Si tratta di un investimento in capacità che saranno cruciali sui campi di battaglia del futuro.