Sun Tzu, vissuto probabilmente nel VI-V secolo a.C., è una figura leggendaria della storia militare cinese e autore de L’Arte della Guerra, uno dei testi più influenti nella storia della strategia militare. Ma come può un testo così antico avere rilevanza nel contesto della cyber security odierna?
Sun Tzu, avendo una profonda comprensione della natura umana e delle dinamiche di potere, insegnava che la vera vittoria viene ottenuta non solo attraverso la forza, ma anche attraverso l’intelligenza, la strategia e la comprensione del nemico.
Questi principi si applicano sorprendentemente bene alla moderna guerra informatica, dove la preparazione e la strategia possono essere più efficaci delle armi tradizionali.
Indice degli argomenti
La guerra invisibile: cyber attacchi e strategie senza armi
Nel 2007, il mondo ha assistito a una dimostrazione concreta dell’insegnamento di Sun Tzu: “La suprema arte della guerra è sottomettere il nemico senza combattere”.
Durante l’attacco informatico all’Estonia, gli aggressori riuscirono a paralizzare l’intera nazione senza schierare un solo soldato e senza sparare un solo colpo. Banche, reti elettriche e di comunicazioni furono messe fuori uso, rivelando la vulnerabilità delle società moderne alle minacce digitali.
Sun Tzu avrebbe riconosciuto in questo attacco un esempio perfetto di vittoria ottenuta attraverso la superiorità strategica piuttosto che con la forza bruta.
In un’epoca in cui la tecnologia digitale è onnipresente, la guerra si è spostata nel cyber spazio, dove il potere di un attacco informatico può essere devastante quanto, se non più, di un attacco fisico.
NIS 2, DORA, GDPR e la necessità di anticipare il nemico
Le normative NIS 2 e DORA, concepite in risposta all’intensificarsi delle minacce informatiche in Europa, costituiscono una codificazione strategica per la protezione delle infrastrutture digitali critiche.
Queste normative non si limitano a delineare semplici requisiti tecnici, ma si configurano come fondamenta di una difesa integrata, innalzando gli standard di sicurezza a un livello che permette di anticipare e neutralizzare potenziali attacchi.
Contestualmente, il GDPR, con le sue stringenti disposizioni sulla protezione dei dati personali, estende questa logica preventiva anche all’ambito della privacy, imponendo alle organizzazioni l’adozione di misure di sicurezza proattive per salvaguardare le informazioni sensibili.
Questa impostazione normativa rispecchia fedelmente gli insegnamenti dell’antico stratega cinese Sun Tzu, il quale, nella sua celebre opera L’Arte della Guerra, affermava che “il supremo successo consiste nel rompere la resistenza del nemico senza combattere.” In questo contesto, “rompere la resistenza” si traduce nell’annientamento delle minacce informatiche prima che esse possano effettivamente compromettere le infrastrutture o i dati.
NIS 2, DORA e GDPR, pertanto, non devono essere considerati semplicemente come un insieme di norme e obblighi, bensì come una strategia di difesa avanzata, finalizzata a dissuadere e prevenire gli attacchi informatici, rendendo il contesto digitale europeo più sicuro e resiliente.
Questa strategia non solo protegge, ma instaura una posizione di forza, in cui la sicurezza è concepita in modo tale da scoraggiare i potenziali aggressori, eliminando la minaccia prima ancora che possa concretizzarsi.
Strategia e difesa: il valore della cyber intelligence
La saggezza di Sun Tzu ci insegna che la guerra, sia essa fisica o digitale, richiede:
- preparazione,
- adattabilità,
- una profonda comprensione delle dinamiche in gioco.
Nel contesto della cyber security, ciò significa sviluppare strategie che non solo rispondano agli attacchi, ma li prevengano, utilizzando la strategia, l’anticipazione e la superiorità informativa come strumenti chiave.
Sun Tzu ci ricorda che la migliore difesa non è la forza bruta, ma l’abilità di prevedere le mosse del nemico e neutralizzarle prima che diventino una minaccia. Questo approccio strategico è essenziale per affrontare le sfide complesse e in continua evoluzione del cyber spazio.
In altri termini, per neutralizzare le minacce o, quantomeno, ridurle a un livello accettabile, è necessario implementare misure proattive, come richiesto dall’analisi dei rischi. Quest’ultima rappresenta una pratica comune alla Direttiva NIS 2, al Regolamento DORA e al GDPR.
Applicare il pensiero di Sun Tzu nella cyber security
La saggezza di Sun Tzu ci insegna che la guerra, per lui fisica e per noi digitale, richiede preparazione, adattabilità e una profonda comprensione delle dinamiche in gioco.
Nel contesto della cyber security, ciò significa sviluppare strategie che non solo rispondano agli attacchi, ma li prevengano, utilizzando l’anticipazione, la formazione, la consapevolezza, la capacità di cogliere i segnali deboli e quindi la superiorità informativa come strumenti chiave.
Anche altre frasi del grande stratega possono essere facilmente e proficuamente adattate al contesto della cyber security.
Pertanto, come abbiamo già fatto in un articolo dedicato a Napoleone, proviamo ad analizzarne alcune dalla sua produzione “timeless” organizzate per macro filoni.
La vittoria si ottiene quando si è preparati a ogni imprevisto
La frase di Sun Tzu, “La vittoria si ottiene quando si è preparati a ogni imprevisto,” è sorprendentemente attuale e pertinente nel contesto della cybersecurity moderna. In un ambiente digitale sempre più complesso e minaccioso, l’essere preparati a ogni eventualità è fondamentale per proteggere le infrastrutture critiche, le reti aziendali e i dati sensibili.
La cyber security non è più soltanto una questione di prevenzione contro attacchi noti, ma richiede un approccio olistico che prevede la preparazione a imprevisti e minacce emergenti. Questo si traduce nell’adozione di misure di sicurezza proattive, come:
- l’analisi continua delle vulnerabilità;
- l’implementazione di sistemi di rilevamento delle intrusioni;
- l’utilizzo di intelligenza artificiale per anticipare e rispondere a comportamenti anomali prima che diventino dannosi.
Inoltre, la frase di Sun Tzu sottolinea l’importanza di una cultura della sicurezza che permei tutta l’organizzazione. Ogni membro del team deve essere consapevole dei potenziali rischi e pronto ad agire in modo coordinato di fronte a un attacco.
Questo implica non solo una formazione continua, ma anche la simulazione di scenari di attacco (come i Red Team Exercises) per testare e migliorare la resilienza dell’organizzazione.
Infine, l’essere preparati a ogni imprevisto nella cyber security significa anche avere piani di risposta agli incidenti ben definiti e testati. Quando un attacco riesce a superare le difese, la rapidità e l’efficacia con cui si risponde può fare la differenza tra un contenimento efficace e un disastro su larga scala.
In sintesi, l’antica saggezza di Sun Tzu ci ricorda che, nel campo della cyber security, la preparazione a ogni eventualità non è solo un vantaggio strategico, ma una necessità per sopravvivere e prevalere in un contesto di minacce in continua evoluzione.
La vittoria si ottiene quando ci sono un generale capace e un sovrano che non interferisce
Anche questo aforisma di Sun Tzu offre una lezione fondamentale nel contesto moderno della cyber security. Essa sottolinea l’importanza di una leadership competente e dell’autonomia operativa per coloro che sono direttamente coinvolti nella difesa contro le minacce informatiche.
Nel campo della cyber security, il “generale capace” può essere paragonato ai responsabili della sicurezza informatica, come i Chief Information Security Officers (CISO) o i team di sicurezza che gestiscono e proteggono le infrastrutture digitali.
Questi esperti devono essere dotati non solo delle competenze tecniche necessarie per affrontare le minacce, ma anche della capacità strategica di prevedere e rispondere in modo efficace agli attacchi.
Tuttavia, per svolgere il loro compito in modo ottimale, è fondamentale che essi operino senza interferenze indebite da parte del “sovrano,” che in un contesto aziendale o governativo potrebbe rappresentare la direzione esecutiva o i decisori politici.
Un “sovrano” che interviene troppo direttamente nelle operazioni di cyber security può ostacolare la capacità del team di sicurezza di rispondere rapidamente e in modo appropriato alle minacce. Ad esempio, la mancata comprensione delle sfumature tecniche da parte della leadership potrebbe portare a decisioni che compromettono la sicurezza in favore di altre priorità, come la riduzione dei costi o la velocità operativa.
D’altro canto, un buon leader (“sovrano”) deve stabilire una governance efficace e fornire le risorse necessarie, ma poi fidarsi del giudizio del team di sicurezza, lasciandogli la libertà di operare secondo le migliori pratiche e la loro esperienza. Questo equilibrio tra autonomia e supporto è essenziale per creare un ambiente di cyber security resiliente.
Inoltre, l’aforisma di Sun Tzu mette in evidenza l’importanza della fiducia reciproca e della chiarezza dei ruoli all’interno di un’organizzazione. Quando un CISO o un team di sicurezza sanno di poter contare sul supporto della leadership senza interferenze indebite, possono pianificare e implementare strategie di difesa più efficaci e adattabili alle circostanze mutevoli delle minacce informatiche.
In sintesi, l’antica saggezza di Sun Tzu ci ricorda che, nel campo della cyber security, la vittoria contro le minacce digitali dipende non solo dalle competenze tecniche del team, ma anche da una leadership che comprenda l’importanza di lasciare agli esperti la libertà di agire secondo la loro competenza, garantendo nel contempo il sostegno necessario per affrontare le sfide in modo efficace.
Cerca di anticipare i piani del nemico e individua i suoi punti forti e deboli
Nella sua opera L’Arte della Guerra Sun Tzu raccomanda: “cerca di anticipare i piani del nemico, e individua i suoi punti forti e deboli: potrai decidere quale strategia usare per avere successo, e quale no” e ancora “Solo valutando tutto esattamente si può vincere, con cattive valutazioni si perde. Quanto esigue sono le probabilità di vittoria di chi non fa alcun calcolo!” e ancora “Il tempo impiegato nella ricognizione raramente è tempo sprecato”.
Nel contesto della cyber security, “anticipare i piani del nemico” significa sviluppare una solida capacità di intelligence sulle minacce. Questo include la raccolta e l’analisi di informazioni sulle tecniche, tattiche e procedure (TTP) utilizzate dagli attaccanti, che consente di identificare i punti forti e deboli dei sistemi di sicurezza.
Un “generale capace” in cyber security, ovvero un responsabile della sicurezza informatica, deve essere in grado di valutare accuratamente queste informazioni e di decidere quali strategie adottare per proteggere l’organizzazione.
Questo potrebbe includere l’adozione di difese proattive come:
- la segmentazione della rete;
- il monitoraggio continuo delle attività sospette;
- la gestione delle vulnerabilità attraverso patching tempestivi.
Abbiamo visto che Sun Tzu afferma anche che “Solo valutando tutto esattamente si può vincere; con cattive valutazioni si perde”. Questa massima si applica perfettamente alla cyber security, dove la valutazione accurata dei rischi e delle vulnerabilità è essenziale.
Le cattive valutazioni, come la sottovalutazione di una minaccia emergente o l’erronea allocazione delle risorse, possono portare a gravi compromessi della sicurezza. Ad esempio, ignorare un rischio elevato identificato in un’analisi della vulnerabilità può esporre l’organizzazione a un attacco devastante.
Pertanto, l’approccio alla gestione della cyber security deve essere basato su analisi precise e aggiornate, con un forte focus sulla riduzione dei rischi attraverso misure mirate e ben informate.
Ancora, Sun Tzu insegna che: “La ricognizione raramente è tempo sprecato”. Nel contesto della cyber security, questo si traduce nell’importanza della preparazione e della ricerca continua.
La ricognizione in cybersecurity può essere vista come il processo di threat hunting, penetration testing e l’implementazione di red team exercises. Queste attività permettono ai professionisti della sicurezza di:
- comprendere meglio il proprio ambiente IT;
- identificare potenziali punti deboli prima che vengano sfruttati;
- migliorare la resilienza contro gli attacchi.
Investire tempo e risorse in queste pratiche non è mai uno spreco, ma piuttosto un elemento essenziale per mantenere la sicurezza informatica al passo con le minacce in continua evoluzione.
Si può sapere come vincere, senza necessariamente vincere
Questo insegnamento di Sun Tzu trasfuso nella cyber security conferma che sapere come vincere significa avere una chiara comprensione delle strategie di difesa e di risposta agli attacchi, anche se non è sempre necessario o desiderabile applicarle tutte immediatamente.
Ad esempio, un’organizzazione può sviluppare capacità di difesa avanzate come sistemi di rilevamento delle intrusioni, piani di risposta agli incidenti e strategie di recupero post-attacco, ma potrebbe non dover mai utilizzarle se riesce a prevenire efficacemente gli attacchi in prima battuta.
La preparazione è, quindi, fondamentale, e la vittoria spesso risiede nel fatto che l’attacco non avviene o viene neutralizzato prima di diventare una minaccia tangibile.
La prevenzione diventa così una forma di vittoria. Sapere “come vincere” significa:
- saper anticipare le mosse dell’attaccante;
- implementare misure di sicurezza proattive;
- costruire una resilienza che scoraggi gli attacchi prima che si concretizzino.
In altre parole, la vera vittoria in cyber security consiste nell’impedire che una minaccia raggiunga il suo obiettivo. Questo potrebbe includere:
- il miglioramento continuo della postura di sicurezza;
- l’aggiornamento regolare delle difese contro nuove vulnerabilità;
- l’educazione degli utenti per evitare comportamenti rischiosi (la c.d. igiene informatica).
Inoltre, la frase di Sun Tzu fa comprendere anche che nella cyber security la prevenzione efficace è una vittoria invisibile. A differenza di una battaglia tradizionale, dove la vittoria può essere chiaramente vista e celebrata, in cyber security la vittoria spesso passa inosservata. Non ci sono trofei per le minacce sventate o per gli attacchi prevenuti, e il successo è spesso misurato dall’assenza di incidenti gravi.
Questo richiede una mentalità diversa, in cui il valore della vittoria è riconosciuto non dai risultati tangibili, ma dalla capacità di mantenere la sicurezza e la continuità operativa.
Conclusioni
In un mondo dove le minacce digitali diventano sempre più sofisticate, le antiche lezioni di Sun Tzu offrono una guida inestimabile.
Si è cercato di evidenziare come L’Arte della Guerra non sia solo un manuale per generali, ma un trattato universale sulla strategia che, applicato al cyberspazio, può aiutarci a costruire difese più forti, a prevenire attacchi devastanti e a vincere guerre invisibili senza mai dover combattere.
Oggi, come 2500 anni fa, la saggezza di Sun Tzu continua a plasmare la nostra comprensione della sicurezza e della guerra. La vera vittoria si ottiene non solo con la forza, ma con l’ingegno, la strategia e la preparazione.
Sun Tzu ci insegna che la sicurezza, in tutte le sue forme, è il risultato di un’attenta pianificazione e di una conoscenza profonda del nemico e di noi stessi.
In sintesi, una frase può riassumere al meglio il pensiero del grande generale-filosofo cinese: “L’invincibilità sta nella difesa. La vulnerabilità sta nell’attacco. Se ti difendi sei più forte. Se attacchi sei più debole.” – l’organizzazione che si prepara, si tiene aggiornata sull’evoluzione tecnologia, simula condizioni di attacco ed anticipa potenziali minacce è in vantaggio sull’attaccante.
