Il peso degli errori dei soldati nell’era dell’IA

Ad appena tre chilometri a sud del centro di Djibouti City, la capitale della Repubblica di Djibouti, nella sede dell’aeroporto internazionale di Ambouli-Djibouti, è situata l’unica base militare permanente delle Forze Armate statunitensi in Africa. La struttura, nota col nome di “Camp Lemonnier” e dipendente dallo United States Africa Command (c.d. AFRICOM[1]), è la sede della Combined Joint Task Force – Horn of Africa (CJTF-HOA). La base, oltre ad essere sede di numerosi assetti di tutte e quattro le forze armate americane (aerei da combattimento, aerei da trasporto, unità dei Marines, dell’esercito e della Marina), ospita in una struttura separata una Task Force composta da personale del JSOC[2], della CIA e da un nucleo di UAV esclusivamente dedicati alle loro missioni. Camp Lemonnier e la sua struttura di oltre due chilometri quadrati è stato per oltre un decennio un avamposto africano sconosciuto al mondo. Fino al 2017, quando si è verificato quello che è noto come “the Strava incident”.

I soldati americani dispiegati in località remote come Afghanistan, Siria e appunto Djibouti, caricando su alcune piattaforme social i loro percorsi di allenamento sull’app di fitness Strava, hanno involontariamente mappato praticamente tutte le loro basi all’estero, compresa la sconosciuta (a quel tempo) Camp Lemonnier. Con un comportamento che all’apparenza ai soldati era sembrato innocente e privo di rischi, erano state rese disponibili a chiunque informazioni sensibili sulla posizione e sul personale delle basi militari e degli avamposti delle operazioni segrete americane.

Ma l’incidente con l’app Strava non è stato d’insegnamento per tutti.

Nel luglio del 2023 un comandante di sottomarini nucleari russo, Stanislav Rzhitsky, è stato freddato con un colpo alla schiena ed uno al petto mentre faceva jogging in un parco della città di Krasnodar. Durante l’analisi dei suoi profili social è emerso che il militare russo faceva il medesimo percorso di jogging quasi ogni giorno nella stessa fascia oraria[3]. I dati venivano caricati dalla vittima tramite l’utilizzo dell’app Strava. Gli investigatori russi sono convinti che le sue attività sui social media abbiano fornito sufficienti informazioni all’Ucraina per riuscire a localizzarlo e ad eliminarlo. I media ucraini hanno affermato che Rzhitsky era molto probabilmente il comandante del sottomarino russo responsabile di un attacco con missili da crociera Kalibr sulla città ucraina di Vinnytsia nel luglio 2022, in cui morirono 28 persone.

Nell’ambito delle operazioni militari ormai da tempo il campo di battaglia si è trasformato ed ampliato comprendendo anche, all’interno di quella che viene chiamata dimensione cyber[4], il vasto dominio interconnesso di internet dove ogni click o ogni post condiviso può avere implicazioni militari anche gravissime.

Nell’agosto del 2022, un missile ucraino ha colpito un edificio nella città di Popasna nell’Oblast di Luhans’k facendolo collassare. L’edificio era usato come posto comando da un’unità del gruppo russo Wagner. I servizi di informazione delle Forze Armate ucraine erano riusciti a localizzare l’edificio grazie alle foto condivise da alcuni soldati della Wagner sulla piattaforma di messaggistica Telegram.

Durante il primo mese dell’invasione russa in Ucraina, il governo ucraino ha implementato all’interno dell’app chiamata “DIIA”, un’applicazione utilizzata per servizi ai cittadini, una funzione chiamata “e-enemy”. Questa funzione consente ad ogni cittadino di segnalare tramite foto geolocalizzate o tramite messaggistica la posizione delle unità russe o ogni tipo di informazione utile da poter essere utilizzata dal Ministero della Difesa (movimenti di truppe, unità isolate ecc.).

Per avere un riscontro sulle informazioni ricevute dai cittadini, i Servizi Informativi ucraini hanno creato falsi profili di donne su social come Telegram e Tinder per entrare in contatto con i soldati russi dislocati in Ucraina. Una volta contattati da questi falsi profili, i soldati sono stati convinti a condividere foto scattate al fronte con le quali, in molti casi, l’intelligence ucraina è riuscita a geolocalizzare posizioni di alcune basi russe effettuando con successo attacchi mirati. Incidenti di questo tipo, causati dalle leggerezze dei soldati russi al fronte sono stati così tanti e di così grande entità, che lo Stato Maggiore russo è stato costretto ad emanare nuove direttive molto restringenti sull’utilizzo dei cellulari personali al fronte. A seguito delle nuove direttive i soldati russi possono usare soltanto cellulari senza fotocamera e senza connessione internet.

Durante tutte le esercitazioni della NATO l’uso dei cellulari personali è rigorosamente vietato e molto spesso, prima dell’inizio dell’esercitazione, i telefonini vengono requisiti e restituiti al termine delle attività. Tuttavia, non è insolito che alcuni soldati ne abbiano uno di scorta per tenerlo sul fondo del loro sacco a pelo in modo da poter mantenere l’accesso al mondo esterno.

Nell’era della connessione ad ogni costo contenere gli errori dei singoli soldati è una sfida gigantesca che richiede attenzione e dedizione continua. Con le generazioni di giovani soldati l’equilibrio da mantenere è molto delicato poiché la loro vita è strettamente legata all’accesso ai loro telefoni e ad Internet in generale.

Tagliarli completamente fuori da questo mondo può avere diversi effetti dannosi.

La Marina britannica sta faticando moltissimo a reclutare marinai da assegnare alle forze sottomarine, a causa del desiderio dei giovani di poter accedere ai social media. I marinai inglesi assegnati ai sottomarini nucleari, quando sono imbarcati, possono ricevere due messaggi di testo da 60 parole ogni settimana. Ai quali non possono rispondere. Si può facilmente comprendere come ciò sia lontano anni luce dal desiderio di costante connettività a cui sono abituati ormai tutte le giovani generazioni.

La negazione dell’accesso ad internet o dell’utilizzo dei social media non sembra una possibile soluzione per la mitigazione dei rischi.

Piuttosto la formazione di una consapevolezza sui rischi che si possono correre, una corretta educazione sull’uso dei social media e una forte coscienza informativa, possono essere gli strumenti per provare a contenere queste vulnerabilità e per proteggere dagli errori commessi dalla componente umana nel dominio cyber.

Quest’ultima considerazione è da tenere bene a mente soprattutto in un presente in cui gli strumenti a disposizione dell’IA sono ormai talmente avanzati da non necessitare più di campagne di attacchi cyber che “pescano a strascico” con l’obiettivo di colpire qualcuno, ma che sono in grado di sferrare attacchi di una precisione tale da poter essere utilizzati e tarati sui singoli soggetti. Una delle app social dove gli attacchi sono diventati più pericolosi e mirati è “Linkedin”.

Nel 2021, l’MI5[5] ha rivelato che oltre 10.000 appartenenti all’apparato di sicurezza del Regno Unito sono stati presi di mira da campagne di spear phishing[6], rilevando mezzo milione di account fasulli, molto spesso spacciati per reclutatori di grandi aziende o famose multinazionali, che avevano lo scopo di manipolare le persone contattate per indurle a condividere informazioni riservate.

Nel 2019, l’ex agente della CIA Kevin Mallory è stato condannato per aver condiviso segreti militari con l’intelligence cinese[7]. Il primo contatto lo aveva avuto sulla piattaforma “Linkedin” da un accademico cinese che lavorava per l’Accademia Cinese di Scienze Sociali. Per capire il livello di pericolosità che può emergere da un social come questo per il personale governativo basta ricordare che, ogni anno, il servizio di Trust & Safety di Linkedin cancella qualcosa come 30 milioni di account falsi.

Per dimostrare la grande criticità dell’aspetto della vulnerabilità umana all’interno delle unità militari alleate, i ricercatori del NATO Strategic Communications Centre of Excellence[8] hanno condotto un esperimento durante un’importante esercitazione militare. Utilizzando i social media, il gruppo di ricerca è stato in grado di identificare i partecipanti all’esercitazione e di incoraggiarli a unirsi a falsi gruppi Facebook che sembravano ufficialmente collegati all’esercitazione. Analizzando questi profili, sono stati in grado di identificare altri soldati, la posizione precisa delle truppe e i relativi recapiti, nonché di visualizzare fotografie dell’equipaggiamento. La cosa più preoccupante è che alcuni soldati sono stati convinti ad abbandonare le proprie posizioni e a non svolgere i propri compiti.

L’Office of War Information[9] degli Stati Uniti, durante la Seconda Guerra Mondiale, utilizzava sui manifesti di propaganda una frase emblematica per sensibilizzare i soldati sulla questione della sicurezza informativa: Loose lips sink ships (le labbra sciolte affondano le navi).

Il generale prussiano Carl Von Clausewitz nel suo libro più famoso e studiato intitolato Vom Kriege (Della Guerra), affermava che “…la guerra è il regno dell’incertezza: i tre quarti dei fattori sui quali le azioni sono basate sono avvolti da nebbia”.

Nell’era dell’IA, dei social media e delle operazioni multidominio, la nebbia dell’incertezza è più impenetrabile e fitta che mai.

Note:

[1] Lo United States Africa Command è uno degli undici Comandi Unificati del Dipartimento della Difesa degli Stati Uniti, con sede nella città di Stoccarda, Germania. È responsabile delle operazioni militari statunitensi nel Continente e mantiene le relazioni militari con 53 nazioni africane. La sua area di responsabilità copre tutta l’Africa, ad eccezione dell’Egitto, che rientra nell’area di responsabilità dello United States Central Command. Il comandante dell’U.S. AFRICOM risponde al Segretario della Difesa.

[2] Il Joint Special Operations Command (JSOC) è un comando separato dello United States Special Operations Command (USSOCOM) ed è incaricato di studiare i requisiti e le tecniche delle operazioni speciali per garantire l’interoperabilità e la standardizzazione delle attrezzature, pianificare e condurre esercitazioni e addestramento per operazioni speciali, sviluppare tattiche congiunte per operazioni speciali ed eseguire missioni per operazioni speciali in tutto il mondo.

[3] https://edition.cnn.com/2023/07/11/europe/russian-submarine-commander-killed-krasnador-intl/index.html

[4] Il dominio cyber è uno degli ambienti delle operazioni multidominio. Gli altri universalmente riconosciuti sono terra, acqua, aria, spettro elettromagnetico, spazio e dimensione cognitiva.

[5] Il Security Service, spesso indicato come MI5 (Military Intelligence, Sezione 5), è l’ente per la sicurezza e il controspionaggio del Regno Unito. Il numero 5 rappresenta la quinta lettera dell’alfabeto, E, che sta per England: MI5 si occupa quindi di interni (mentre il MI6 si occupa della sicurezza esterna), segnatamente della protezione dalle minacce alla sicurezza nazionale: del Re e dei membri della Famiglia Reale, della democrazia parlamentare e degli interessi economici britannici, della lotta ai crimini gravi, al separatismo, al terrorismo e allo spionaggio nel Regno Unito.

[6] si tratta di attacchi informatici altamente personalizzati che prendono di mira persone o aziende specifiche. In genere, questi attacchi vengono effettuati tramite e-mail di spear phishing che appaiono legittime al destinatario e lo incoraggiano a condividere dettagli sensibili con l’autore dell’attacco.

[7] https://www.cdse.edu/Portals/124/Documents/casestudies/case-study-mallory.pdf

[8] Il Centro di Eccellenza per le Comunicazioni Strategiche della NATO è un’organizzazione militare internazionale costituita a livello multinazionale e accreditata dalla NATO, che non fa parte della Struttura di Comando della NATO, né è subordinata ad alcuna altra entità della NATO. In quanto tale, il Centro non parla quindi a nome della NATO. Il COE StratCom della NATO contribuisce a migliorare le capacità di comunicazione strategica all’interno dell’Alleanza e delle nazioni alleate.

[9] L’Office of War Information degli Stati Uniti è stato un ente governativo degli Stati Uniti d’America creato durante la Seconda guerra mondiale. Operò dal giugno 1942 al settembre 1945. Attraverso trasmissioni radiofoniche, giornali, manifesti, fotografie, film e altre forme di media, era il collegamento tra il fronte di battaglia e le comunità civili. L’ufficio stabilì anche diverse filiali all’estero, che lanciarono una campagna di informazione e propaganda su larga scala all’estero. Dal 1942 al 1945 esaminò le sceneggiature dei film, segnalando il materiale che ritraeva gli Stati Uniti in una luce negativa, incluso il sentimento contro la guerra.