Nella primavera del 2007 l’Estonia fu colpita da una campagna di attacchi informatici della durata complessiva di 22 giorni. Iniziati il 27 aprile, presero di mira le reti informatiche delle principali organizzazioni estoni, tra le quali il parlamento, le banche, i ministeri, i giornali, le emittenti televisive, e i singoli cittadini.

La maggior parte degli attacchi che ebbero un impatto sul pubblico furono di tipo denial of service (blocco del normale traffico di un server sovraccaricandolo di traffico internet), spesso eseguiti da singoli individui o tramite utilizzo di botnet (reti di computer infettati da software dannoso) utilizzate per la distribuzione di spam.

Inoltre, si verificarono spamming su importanti portali di notizie e defacement (modifica del contenuto visibile di una pagina web), incluso quello del sito web del Partito della Riforma Estone, il primo partito del Paese. Il risultato per i cittadini estoni fu che i bancomat e i servizi bancari online furono messi fuori uso; i dipendenti governativi non furono in grado di comunicare tra loro tramite e-mail; i giornali e le emittenti televisive si trovarono nella condizione di non essere in grado di dare le notizie.

Anche se i tipi di attacco erano ben noti, non avevano eguali in termini di dimensioni e varietà rispetto a un paese delle dimensioni dell’Estonia, fortemente interconnesso, per cui un attacco su vasta scala alla disponibilità di servizi digitali pubblici ebbe un effetto significativo sullo stile di vita dei cittadini comuni, delle istituzioni e delle imprese.

La causa scatenante dell’evento fu la decisione del governo estone di spostare un monumento alle truppe dell’Armata Rossa da un incrocio trafficato nel centro di Tallinn a un vicino cimitero militare. Inaugurato dalle autorità sovietiche nel 1947, il “Soldato di Bronzo” era originariamente chiamato “Monumento ai Liberatori di Tallinn”.

Raffigurante un soldato sovietico a capo chino con un pugno chiuso, fu eretto nel luogo di sepoltura delle truppe sovietiche che morirono durante la presa di Tallinn nella Seconda guerra mondiale. Da allora il monumento aveva sviluppato due identità ben distinte: per la minoranza russa locale rappresentava il liberatore dal nazismo mentre per gli estoni era il simbolo doloroso di mezzo secolo di oppressione sovietica.

I lavori per lo spostamento del monumento iniziarono il 26 aprile, ma la decisione suscitò indignazione nei media di lingua russa e i russofoni scesero in piazza. Le proteste furono esacerbate da false notizie che affermavano che la statua, e le vicine tombe di guerra sovietiche, erano state distrutte. Nella capitale estone esplosero due notti di disordini e saccheggi che costarono 1 morto, 156 feriti, e circa 1.000 arresti. A Mosca, furono organizzate proteste davanti l’ambasciata estone ostacolandone l’accesso ai dipendenti. Il culmine si raggiunse il 2 maggio, quando l’ambasciatore estone fu aggredito durante una conferenza stampa.

L’Estonia rispose rapidamente incolpando il Cremlino ma, successivamente, ammise di non avere prove dirette che collegassero gli attacchi cibernetici al governo russo. Nonostante gli attacchi del 2007 provenissero da indirizzi IP russi, le istruzioni online fossero in lingua russa, per questioni di opportunità politica, le accuse di coinvolgimento della Russia furono giudicate infondate persino da esperti della NATO (alla quale l’Estonia aveva avuto accesso solo tre anni prima) e della Commissione Europea.

A condizione di anonimato, un funzionario del governo estone dichiarò alla BBC che le prove suggerivano che l’attacco fosse stato orchestrato da Mosca, e bande malintenzionate avevano poi colto l’opportunità di unirsi e fare la propria parte per attaccare l’Estonia, ma accuse ufficiali al governo russo non vennero mai formalizzate.

Gli sviluppi successivi

Il 2007 è stato un campanello d’allarme, che ha aiutato gli estoni a diventare esperti di difesa informatica. A poco più di un anno di distanza, il 28 maggio del 2008, Tallinn sarebbe diventata, su iniziativa di Germania, Italia, Estonia, Lituania, Lettonia, Repubblica Slovacca e Spagna, la sede del Centro di Eccellenza per la Difesa Cibernetica della NATO (NATO Cooperative Cyber Defence Centre of Excellence – CCDCOE) riferimento principale dell’Alleanza Atlantica per la sicurezza informatica. E non solo. Il governo estone istituì anche un’unità di volontari per la difesa informatica che integravano (e tutt’ora integrano) le capacità dei principali esperti informatici del paese, formati dal ministero della difesa.

Da quell’anno in poi, gli attacchi informatici non sono più stati considerati dei semplici “fastidi” ma una serie minaccia per la sicurezza nazionale. Infatti, l’episodio del Soldato di Bronzo viene annoverato tra le prime operazioni di cyber warfare, sostenute da uno stato contro un’altra nazione mostrando con quanta facilità uno stato ostile possa sfruttare le potenziali tensioni all’interno di un’altra società.

Nonostante le banche dati esistenti comprendano eventi risalenti al 2005, il 2007 costituisce una sorta di “spartiacque” tra un “prima”, caratterizzato dalla sperimentazione delle potenzialità del nuovo strumento di offesa, e un “dopo” che ha visto una crescita esponenziale del suo utilizzo nell’area indefinita tra guerra e pace, e comunque nell’ambito di una guerra ibrida combattuta quotidianamente il più delle volte a nostra insaputa.

Guerra che comprende l’uso delle informazioni per distorcere la percezione della realtà da parte del pubblico come era appunto avvenuto con la vicenda del Soldato di bronzo e, successivamente, nel contesto della crisi della Georgia del 2008 e della Crimea nel 2014, per citare gli episodi più studiati. Dal 2016 il Cyber Space costituisce la quarta dimensione operativa della NATO, oltre a quella terrestre, aerea e navale. Nel 2019 si è aggiunta la quinta dimensione: quella spaziale.

Prima del 2007, gli attacchi cibernetici non erano contemplati nel global threat assessment, l’analisi della minaccia globale che le agenzie d’intelligence statunitense preparavano per il Congresso, e sono queste stesse agenzie ad aver concepito e sviluppato l’attuale capacità strategica di Washington in tema di cyber warfare condivisa successivamente in ambito militare.

Il giornalista David E. Sanger, corrispondente per la sicurezza nazionale per il New York Times, descrive in maniera dettagliata questo sviluppo nel suo libro The Perfect Weapon – War, Sabotage and Fear in the Cyber Age grazie al quale Washington si è collocata nell’alveo delle cosiddette “sette sorelle” della cyber warfare assieme a Russia, Cina, Regno Unito, Iran, Israele e Corea del Nord.

Gli Stati Uniti hanno anche istituito due strumenti di raccolta dati e di monitoraggio degli attacchi cyber presso due celebri think tank. Il Center for Strategic and International Studies (CSIS) di Washington, permette di consultare una cronologia degli incidenti informatici significativi dal 2006, concentrandosi sugli attacchi alle agenzie governative, alle aziende della difesa e dell’alta tecnologia, o ai crimini economici con perdite superiori a un milione di dollari. Significant Cyber Incidents | Strategic Technologies Program | CSIS

Allo stesso modo, il Council on Foreign Relations (CFR) di New York offre un tracker delle operazioni informatiche che elenca gli incidenti sponsorizzati dallo stato pubblicamente noti dal 2005 Cyber Operations Tracker | CFR Interactives esclusi, ovviamente, quelli aventi origine in madrepatria.

L’Europa ha inaugurato la propria organizzazione di monitoraggio nel novembre del 2022. Si tratta dell’European Repository of Cyber Incidents (EuRepoC), consorzio europeo formato su iniziativa dei ministeri degli esteri di Danimarca e Germania e sostenuto da due università tedesche, una austriaca e il Cyber Policy Institute estone.  Questo strumento fornisce un Cyber Incident Tracker aggiornato quotidianamente che include informazioni su tutti gli incidenti informatici che avvengono nel mondo a partire dall’anno 2000.

Classifica, inoltre, i “primi tre obiettivi” all’interno dell’UE, suddivisi per paese e settore Cyber Trackers – EuRepoC: European Repository of Cyber Incidents e pubblica articoli che analizzano le questioni attuali sulla sicurezza informatica e il conflitto cibernetico. Mentre scrivo, il portale europeo analizza 3.923 attacchi, riconducibili a 741 attori/gruppi dai quali hanno avuto origine. 293 di questi attacchi sono stati condotti da stati. Ci sono anche 3000 articoli pubblicati da 200 fonti diverse. Un patrimonio d’informazioni impressionante, che rende tangibile la dimensione della guerra cibernetica che, per propria natura, non lo è.

La prossima tappa evolutiva delle minacce informatiche è certamente legata all’utilizzo dell’intelligenza artificiale, che sta già rivoluzionando il panorama della cyber warfare introducendo nuove sfide e opportunità sia per difensori che per gli aggressori. E chissà quanto ancora deve essere ancora inventato. Oltre che della storia nazionale dell’Estonia, il Soldato di Bronzo è diventato il simbolo di un momento cruciale nella storia della sicurezza informatica e della storia contemporanea mondiale.

Il simbolo della vulnerabilità dei paesi moderni alle minacce informatiche con la conseguente necessità di sviluppare strategie di resistenza digitale efficaci per proteggere le infrastrutture critiche e la sicurezza nazionale. Un anniversario, quello del 27 aprile, che dobbiamo ricordare.