di Stefano Mele

Nonostante stia facendo enormi passi in avanti per modernizzare e digitalizzare le proprie infrastrutture nazionali e i relativi processi, l’Arabia Saudita appare essere ancora indietro nella capacità di garantire alti standard di sicurezza cibernetica per i suoi principali asset strategici, risultando tuttora il Paese del Medio Oriente maggiormente colpito da attacchi informatici.

Se da un lato, infatti, il recente “ National Transformation Program 2030”, attraverso un investimento nei primi 5 anni del progetto di 268 miliardi di Riyal (oltre 66,5 miliardi di euro), punta in maniera ambiziosa a creare nel lungo periodo un vero e proprio ecosistema digitale e all’avanguardia in tutti i 24 enti governativi rilevanti per lo sviluppo economico saudita, dall’altro il governo di Riyad appare ancora in forte ritardo nel settore della sicurezza cibernetica, tanto sul piano strettamente tecnico, quanto soprattutto su quello strategico, di policy e legale.

E’ una riprova di quanto affermato, ad esempio, la recente ondata di attacchi cibernetici subìti a metà novembre da numerose agenzie governative saudite, tra cui la Banca Centrale, il Ministero dei Trasporti e anche l’Autorità Generale dell’Aviazione Civile, costretti a bloccare per alcuni giorni le attività a seguito della cancellazione massiva dei dati indispensabili al funzionamento dei sistemi informatici.

Seppure le informazioni disponibili siano ancora molto scarne, le società che hanno avuto modo di analizzare il malware utilizzato ( Disttrack Wiper – W32.Disttrack.B) hanno messo in evidenza la sua evidente similitudine con Shamoon , ovvero con il malware probabilmente adoperato dall’Iran per colpire nel 2012 alcune società saudite operanti nel settore energetico – come, ad esempio, Saudi Aramco – cancellando anche in quel caso i dati critici per il funzionamento dei sistemi informatici.

Questa similitudine di obiettivi e mezzi, unita alle costanti tensioni diplomatiche tra l’Arabia Saudita e l’Iran, hanno portato la maggior parte degli analisti a puntare il dito ancora una volta proprio contro il governo di Teheran. Del resto, come ampiamente analizzato all’interno del Cyber Strategy & Policy Brief di febbraio 2016, Arabia Saudita e Iran sono da tempo impegnati in una strategia di ritorsione equivalente (meglio nota con il termine “ Tit – for – Tat ”), utilizzando anche il cyber-spazio come strumento di provocazione o di reazione.

All’interno del volume di febbraio, infatti, dopo l’ennesima interruzione dei rapporti diplomatici tra i due Stati, si era già anticipato come fosse plausibile che il governo iraniano, onde evitare un’eccessiva escalation, si sarebbe potuto avvalere proprio del cyber-spazio come principale territorio di scontro nei confronti dei sauditi.

Tuttavia, considerate le scarse informazioni al momento disponibili, in questa fase preliminare di analisi risulta opportuno non escludere a priori anche altre ipotesi. Infatti, potrebbe sembrare altrettanto plausibile che soggetti terzi – quasi certamente statuali o sponsorizzati da uno Stato – possano aver simulato un attacco informatico proveniente dall’Iran per provare ad incrinare i rapporti fra i due Stati alla vigilia dell’accordo sul taglio alla produzione giornaliera di greggio. Accordo, poi, effettivamente raggiunto tra Arabia Saudita e Iran durante il 171esimo meeting dell’Organizzazione dei Paesi Esportatori di Petrolio (OPEC).

Su questa tesi, però, occorre fare due importanti riflessioni.  La prima è senz’altro che un simile attacco informatico – peraltro portato contro uno solo degli attori in gioco – difficilmente avrebbe potuto far precipitare i rapporti diplomatici tra Arabia Saudita e Iran al punto tale da far saltare un accordo su una materia così rilevante. Ne è una riprova il fatto che, nonostante quanto accaduto, l’accordo sia stato comunque siglato.

La seconda riflessione, invece, deriva dalla difficoltà di identificare uno Stato terzo non solo preparato per condurre attacchi cibernetici coordinati su più bersagli sauditi di medio-alto profilo, quanto soprattutto capace di trarre beneficio dall’auspicato naufragio dell’accordo tra i due governi. Analizzando lo scenario, però, Stati Uniti, Russia e gli altri principali attori che posseggono entrambe queste caratteristiche trarranno tutti un vantaggio economico da questo accordo. Ciò, quindi, fa venir meno un loro possibile movente e vacillare ancor di più la tesi esposta dalla maggior parte dei media internazionali.

Sul piano delle ulteriori ipotesi, allora, molto più probabile appare l’eventualità di un attacco da parte di gruppi sponsorizzati dal governo iraniano o vicini ad altri Paesi ostili al governo di Riyad. Questi soggetti, infatti, potrebbero essere intenzionati a verificare le abilità e le capacità di soglia dell’Arabia Saudita e delle sue principali istituzioni pubbliche e private, al fine di creare moderati danni politici ed economici nel breve periodo e soprattutto di acquisire preziose informazioni per future ed ipotetiche attività di conflitto nel e attraverso il cyber-spazio.

In conclusione, al di là di chi sia il reale mandante di quest’ultima ondata di attacchi cibernetici, dall’analisi complessiva delle attività politico-strategiche svolte finora dal governo di Riyad, risulta evidente come i numerosi e copiosi investimenti economici messi in campo dall’Arabia Saudita pecchino, in realtà, di un raccordo strategico e normativo capace di svolgere quel ruolo fondamentale di stimolo per il settore pubblico e privato, così come di collante per la loro reciproca collaborazione.

Nonostante il governo saudita abbia chiaramente evidenziato nella sua National Information Security Strategy del 2013 la necessità di far fronte e superare simili mancanze, al momento questa raccomandazione pare ancora ben lontana dall’essere attuata. Ciò ha fatto sì che i principali attori pubblici e privati sauditi abbiano sviluppato nel tempo sistemi di protezione e iniziative nel campo della sicurezza cibernetica solo dopo essere stati bersaglio di un attacco informatico e soprattutto in maniera individuale e non coordinata.

L’auspicio, allora, è che il governo di Riyad concentri quanto prima i suoi sforzi tanto sul piano strettamente tecnico della sicurezza cibernetica, quanto soprattutto su quello strategico, di policy e legale, al fine di affiancare al rilevante impegno economico anche una visione strategica chiara e pragmatica che sia di aiuto a tutto il settore.

Cyber Strategy & Policy Brief

Immagini Fortinet e Youtube