Dopo settimane di incontri, Stati Uniti e Cina sembrano essere pronti per un primo, storico accordo sulla pirateria informatica e il cyberespionaggio. Ma, oltre sorrisi sui volti dei presidenti Obama e Xi davanti alle telecamere, cosa significa concretamente un accordo di questo tipo?

Le due parti stanno discutendo perché le aziende sono sempre più colpite da attacchi che violano i loro segreti. Lo scorso anno il Dipartimento di Giustizia americano ha incriminato cinque hacker militari cinesi per aver attaccato società statunitensi. All’inizio di questa settimana Susan Rice, National Security Advisor degli USA, ha dichiarato che l’hacking “deve essere fermato”. La Cina ha negato il proprio coinvolgimento e il Presidente Xi ha dichiarato questa settimana che anche le aziende cinesi sono sotto attacco.

Susan Rice speaks, U.S. National Security Adviser, in un intervento del 21 settembre 2015 alla George Washington University

Susan Rice speaks, U.S. National Security Adviser, in un intervento del 21 settembre 2015 alla George Washington University

Questa notte si è svolto in incontro alla Casa Bianca tra i presidenti Xi e Obama e altre figure governative statunitensi di alto livello, durante il quale dovrebbe essere discusso il tema dell’hacking.

Nel caso si dovesse giungere a qualcosa di concreto, è probabile che si tratti più di una “dichiarazione di principi”, piuttosto che di una serie di regole, secondo James Barnett, responsabile della cybersecurity prezzo la società Venable ed ex capo della sicurezza presso la Federal Communications Commission. Secondo Barnett è però importante che le due più grandi economie del mondo stiano iniziando a parlare del problema.

Il Presidente della Cina Xi Jinping al suo arrivo alla Andrews Air Force Base, nel Maryland, il 24 settembre 2015

Il Presidente della Cina Xi Jinping al suo arrivo alla Andrews Air Force Base, nel Maryland, il 24 settembre 2015

Una delle sfide per qualsiasi accordo sarà l’attribuzione delle responsabilità degli attacchi hacker. Capire chi c’è dietro un attacco informatico è notoriamente difficile e i governi sono stati storicamente riluttanti ad accusare pubblicamente un altro Paese. Le accuse verso gli hacker cinesi lo scorso anno e quelle verso la Corea del Nord per l’attacco informatico a Sony Pictures rappresentano esempi rari.

A volte gli investigatori riescono a trovare un indizio nel codice del software, ma “spesso è difficile distinguere tra un attacco sponsorizzato da uno stato e qualcos’altro”, ha spiegato Terrence Gareau, chief scientist di Nexusguard, una società di protezione DDOS con sede a San Francisco. “Non è come la costruzione di armi nucleari o il lancio di un missile. Molti degli attacchi provengono dalle università. Quando ciò accade, [il governo cinese] punta il dito contro di loro e dice ‘non siamo noi’’.

L’attribuzione è ulteriormente complicata dalla natura complessa di alcuni attacchi, che potrebbero essere sferrati diversi gruppi che lavorano insieme o separatamente per colpire una società.

Ho lavorato su decine di takedown di sistemi di importanti”, ha detto Tom Patterson, Vice Presidente delle soluzioni di sicurezza globali a Unisys. “Il gioco delle attribuzioni è inutile. Non c’è quasi mai un singolo gruppo dietro un attacco”.

Pur con tutti i suoi difetti, l’attribuzione rimane una parte importante del diritto internazionale e qualsiasi reazione al cyberespionaggio o agli attacchi dovrà, in una certa misura, basarsi su di essa.

Per il momento, gli osservatori del settore si aspettano un accordo che non porterà a un cambiamento immediato, ma che rappresenta un positivo passo avanti.

Le aziende non devono abbassare la guardia”, ha sottolineato Patterson. “La nostra forte raccomandazione alle aziende che hanno infrastrutture critiche a livello mondiale è di non guardare a questi colloqui come a un modo per proteggersi”.

L’annuncio di un eventuale accordo tra Stati Uniti e Cina è previsto per oggi.