Il cybercrime rappresenta una minaccia crescente e costosissima in tutto il mondo. Occorre aumentare le difese per combatterla e, se possibile, neutralizzarla.
di Michael Daniel
La criminalità informatica è un grande affare. Sebbene sia difficile ottenere statistiche affidabili, le stime del costo globale dei crimini informatici variano da trilioni a decine di trilioni di dollari all’anno. Indipendentemente dalla cifra esatta, la criminalità informatica drena chiaramente risorse significative dall’economia globale e rappresenta una minaccia sostanziale alla sicurezza e alla prosperità mondiali.
Perché il problema è cresciuto così tanto? La criminalità informatica ha alcune caratteristiche che la rendono difficile da combattere per i Governi:
- Ha una struttura intrinsecamente transnazionale, mentre l’applicazione della legge opera entro i confini nazionali.
- Alcuni Stati nazionali ospitano e proteggono i criminali informatici, altri chiudono un occhio e altri ancora non hanno la capacità di combatterli.
- I difensori non dispongono di conoscenze e di approfondimenti sistemici sulla portata delle attività dei criminali informatici, il che a sua volta impedisce di colpirli efficacemente.
- I gruppi di criminali informatici si sono trasformati da due o tre persone che lavoravano insieme in grandi organizzazioni distribuite con infrastrutture estese, complesse e sofisticate, difficili da comprendere per una singola entità.
- L’enorme volume di dati dell’Internet globale rende difficile separare le attività dannose dal “rumore”.
- Internet consente ai criminali di scalare come le imprese legittime, ma permette anche di nascondere i loro numeri, le loro posizioni e le loro identità reali.
Per superare queste sfide saranno necessari innovazione e adattamento in molti settori, come l’aggiornamento dei regimi legali internazionali e la collaborazione operativa tra il settore pubblico e quello privato. Un’altra area chiave per l’innovazione è la comprensione della natura dell’ecosistema criminale.
Comprendere l’ecosistema della criminalità informatica
Sebbene possa sembrare strano applicare il termine “ecosistema” alla criminalità, esso descrive in modo appropriato il modo in cui operano i criminali informatici, che non sono più solo individui disagiati che indossano felpe con il cappuccio e vivono nel seminterrato dei loro genitori. Al contrario, tendono a operare in gruppi distribuiti e a esistere all’interno di un’ampia rete di fornitori, codificatori, acquirenti, finanziatori e partner. Pochi criminali conducono un’intera operazione dall’inizio alla fine senza il supporto di qualcun altro. Se da un lato questa complessità offre vantaggi sostanziali in termini di efficienza ed efficacia, dall’altro crea un’opportunità per le forze dell’ordine e i difensori, se si riesce a sfruttarla. Affidandosi a un ecosistema esteso per svolgere le proprie attività, i cyber criminali si sono resi più vulnerabili.
È qui che entra in gioco il progetto Cybercrime Atlas. L’Atlante è un’iniziativa ospitata dalla Partnership Against Cybercrime del World Economic Forum (WEF), progettata per mitigare alcune delle caratteristiche che rendono la criminalità informatica difficile da combattere. In particolare, l’iniziativa Atlas fornirà una piattaforma per gli analisti accademici, le aziende di sicurezza informatica, le forze dell’ordine nazionali e internazionali e le imprese globali per condividere le conoscenze sull’ecosistema della criminalità informatica. Durante la fase iniziale, il WEF ospiterà il segretariato del progetto, sostenuto da Fortinet, Microsoft, Paypal e Santander. Anche altre organizzazioni, come la Cyber Threat Alliance, sosterranno l’iniziativa con donazioni in natura di tempo e capacità.
Mappatura dell’ecosistema del crimine informatico
Il progetto Atlas è essenzialmente un database sulla criminalità informatica. Sebbene un database possa sembrare un po’ banale o superato rispetto alle dimensioni del compito, la potenza della correlazione e della combinazione di informazioni non va sottovalutata. Inoltre, le informazioni contenute in questo database non saranno solo dati casuali, né si limiteranno agli indicatori tecnici di compromissione che le aziende di cybersicurezza solitamente condividono. Al contrario, conterrà un’ampia gamma di dati provenienti da diversi tipi di fonti. Le informazioni potrebbero provenire da avvisi pubblici, società di analisi delle criptovalute, fornitori di piattaforme, registri giudiziari e materiali disponibili al pubblico – qualsiasi cosa gli analisti riescano a identificare che possa essere rilevante per comprendere l’intero ecosistema criminale.
Di conseguenza, gli analisti possono utilizzare questo database per generare diverse viste o mappe di varie parti dell’ecosistema criminale informatico, da cui il nome “Atlante”. Ad esempio, un analista potrebbe essere interessato ai pagamenti dei riscatti e potrebbe usare Atlas per capire come si muovono i fondi illeciti. Un altro potrebbe essere interessato a identificare le piattaforme che sembrano ospitare un gran numero di attori criminali. Un’altra ancora potrebbe concentrarsi sulle relazioni tra diversi gruppi criminali.
Questi diversi punti di vista supporteranno un’ampia gamma di attività, dal settore privato, no-profit e pubblico. Una piattaforma come Microsoft potrebbe utilizzare le informazioni dell’Atlante per sostenere azioni legali contro i soggetti che abusano dei suoi servizi, mentre le banche potrebbero utilizzare una mappa dei pagamenti per cercare di recuperare il denaro rubato. Le forze dell’ordine potrebbero utilizzare una mappa dell’infrastruttura per identificare gli obiettivi di interruzione o sequestro, e così via. Data l’esperienza passata, il progetto Atlas probabilmente supporterà analisi che non possiamo ancora prevedere.
Queste mappe avranno diversi vantaggi. In primo luogo, identificheranno i luoghi in cui i criminali sono più vulnerabili, evidenziando i singoli punti su cui agire. In secondo luogo, poiché si baseranno principalmente su informazioni open-source e del settore privato, aiuteranno i Governi a indirizzare le risorse dell’intelligence e delle forze dell’ordine verso le lacune che il settore privato non è in grado di colmare, evitando al contempo le aree in cui il settore privato possiede già molte conoscenze. Questa concentrazione renderebbe più efficiente ed efficace l’applicazione della legge e la raccolta di informazioni. Potrebbe anche fare luce sulla composizione dei gruppi criminali, rendendo più difficile che un gruppo sembri composto da 1.000 persone quando in realtà ne ha solo 10. Inoltre, fornirà una “Stele di Rosetta” per comprendere i vari nomi attribuiti a un determinato gruppo da diverse società, rendendo più facile la correlazione di ricerche e risultati.
Creando un archivio internazionale di informazioni basato su dati pubblici e informazioni condivise volontariamente, i professionisti della sicurezza informatica possono creare uno strumento che consentirà loro di combattere la criminalità in modo più efficace. Ma anche le aziende normali possono trarre grandi benefici da un progetto come l’Atlante. Ridurre la criminalità informatica non solo abbasserebbe l’attuale onere economico di attività dannose come il ransomware, ma consentirebbe anche alle imprese di continuare a espandere i servizi offerti online. Se non cambia la sua traiettoria, la criminalità dilagante nel cyberspazio porterà inevitabilmente alcuni, forse molti, consumatori e organizzazioni ad allontanarsi dall’ecosistema digitale. Non è una legge di natura che sempre più attività si svolgano nel cyberspazio e questo ripiegamento è possibile se non riusciamo a renderlo più sicuro.
A metà del 2023, l’Atlante è ancora in fase di prototipo. Come leader di un’organizzazione di condivisione delle informazioni, non mi faccio illusioni sulle sfide associate al successo di un progetto come l’Atlante della criminalità informatica. Tuttavia, le sue basi sono solide e la sua promessa come strumento per aiutare i difensori, le forze dell’ordine e altri analisti a navigare nel panorama criminale è grande. Data la posta in gioco, abbiamo l’obbligo di utilizzare ogni strumento a nostra disposizione per combattere la pericolosa minaccia rappresentata dalla criminalità informatica.
Michael Daniel è presidente di The Cyber Threat Alliance, dove si occupa di migliorare la sicurezza informatica del nostro ecosistema digitale. Ha più di 20 anni di esperienza di lavoro con il governo Usa in questo sforzo, tra cui cinque anni come coordinatore nazionale della sicurezza informatica.
