Modellazione delle minacce

Descrizione

Identificazione e caratterizzazione sistematica delle minacce rivolte a un sistema, una risorsa o un dominio. Traendo origine dalle tecniche di intelligence militare e successivamente formalizzata nel campo della sicurezza informatica (STRIDE, PASTA, ATT&CK;), la modellizzazione delle minacce mappa gli attori ostili, le loro capacità, le intenzioni, le opportunità e i vettori di attacco contro un obiettivo definito. Nel settore spaziale, si applica alle risorse fisiche (satelliti, stazioni di terra, infrastrutture di lancio), ai sistemi informatici (collegamenti TT&C, flussi di dati) e a scenari ibridi (guerra elettronica, compromissione della catena di approvvigionamento).

Quando utilizzarlo

• Qualsiasi argomento che coinvolga la sicurezza spaziale, le operazioni antispaziali o la protezione delle infrastrutture orbitali.
• Analisi delle minacce ASAT (cinetiche, co-orbitali, a energia diretta, informatiche).
• Valutazione dei rischi di disturbo, spoofing o intercettazione delle comunicazioni satellitari.
• Sicurezza della catena di approvvigionamento per componenti hardware e software spaziali.
• Valutazione delle architetture spaziali nazionali o commerciali rispetto a scenari ostili.
• Quando una parte interessata chiede “cosa potrebbe andare storto e chi lo farebbe”.

Come applicarlo

1. Definire l’ambito dell’obiettivo. Identificare il sistema, la risorsa o la capacità oggetto di analisi. Stabilire i confini: cosa rientra nell’ambito (ad es. una specifica costellazione satellitare, un segmento di terra, una campagna di lancio) e cosa ne è escluso.
2. Elencare gli attori della minaccia. Elencare tutti gli avversari plausibili: Stati-nazione, attori non statali, organizzazioni criminali, minacce interne e fonti di minaccia non intenzionali (ad es. detriti, condizioni meteorologiche spaziali). Per ciascun attore, caratterizzare la capacità (sofisticazione tecnica, risorse), l’intento (obiettivi strategici, motivazione) e l’opportunità (accesso, finestre temporali).
3. Mappare la superficie di attacco. Identificare tutti i punti di ingresso, le interfacce e le dipendenze che l’obiettivo espone: collegamenti RF, canali di comando terra-spazio, meccanismi di aggiornamento software, componenti di terze parti, prossimità orbitale, accesso allo spettro elettromagnetico.
4. Identificare gli scenari di minaccia. Per ogni coppia attore-superficie, sviluppare scenari di minaccia concreti: cosa farebbe l’attore, attraverso quale vettore, sfruttando quale vulnerabilità. Utilizzare formati strutturati (attore + vettore + vulnerabilità + impatto).
5. Valutare la probabilità e l’impatto. Valutare ogni scenario in base alla probabilità (capacità dell’attore x intento x opportunità) e alla gravità delle conseguenze (degrado della missione, perdita di dati, distruzione fisica, rischio di escalation). Utilizzare una scala coerente.
6. Stabilire le priorità e raggruppare. Classificare le minacce in base al punteggio di rischio combinato. Identificare gruppi di minacce correlate che condividono vulnerabilità o attori comuni. Evidenziare le minacce con la massima priorità che richiedono attenzione immediata.
7. Identificare le misure di mitigazione e le lacune. Per ogni minaccia ad alta priorità, mappare le contromisure esistenti e identificare il rischio residuo. Segnalare le lacune in cui non esistono misure di mitigazione o in cui le difese attuali sono insufficienti.
8. Documentare ipotesi e incertezze. Indicare esplicitamente le lacune di intelligence, le ipotesi sul comportamento degli attori e i livelli di confidenza per ciascuna valutazione.

Dimensioni chiave

• Attori della minaccia — Chi: Stati-nazione, proxy, gruppi criminali, insider, pericoli naturali.
• Capacità — Cosa possono fare: sofisticazione tecnica, armi/strumenti disponibili, capacità dimostrata.
• Intenzione — Perché agirebbero: obiettivi strategici, motivazioni dottrinali, incentivi politici.
• Opportunità — Quando e come è possibile l’accesso: finestre orbitali, accesso geografico, punti di inserimento nella catena di approvvigionamento.
• Vettori di attacco — Il percorso: cinetico, elettronico, informatico, catena di approvvigionamento, operazioni di informazione.
• Vulnerabilità — Cosa può essere sfruttato: singoli punti di errore, collegamenti non crittografati, prevedibilità orbitale.
• Impatto — Categorie di conseguenze: interruzione della missione, compromissione dei dati, escalation, effetti a cascata (sindrome di Kessler).
• Probabilità — Valutazione della probabilità che combina capacità, intento e opportunità.

Risultato atteso

• Un registro strutturato delle minacce che elenchi ogni minaccia identificata con valutazioni relative ad attore, vettore, vulnerabilità, probabilità e impatto.
• Una matrice delle minacce o mappa termica con priorità che mostri le minacce più critiche.
• Analisi narrativa dei primi 3-5 scenari di minaccia con logica di attacco dettagliata.
• Identificazione delle principali misure di mitigazione e delle lacune di rischio residuo.
• Dichiarazione esplicita delle ipotesi e dei livelli di confidenza.

Limiti

• Elevata dipendenza dalle informazioni di intelligence disponibili sulle capacità e sulle intenzioni degli avversari; le lacune nelle informazioni open-source possono portare a punti ciechi o speculazioni.
• Rischio di “mirror-imaging” (presumere che gli avversari ragionino come l’analista).
• Istantanea statica: il panorama delle minacce evolve rapidamente, specialmente nello spazio dove emergono frequentemente nuove capacità.
• Non affronta intrinsecamente i rischi sistemici o strutturali (utilizzare l’analisi della resilienza a tale scopo).
• Può concentrarsi eccessivamente su minacce esotiche (ad es. EMP orbitale) sottovalutando rischi banali ma più probabili (ad es. configurazione errata del segmento di terra).
• Non adatto come strumento autonomo per raccomandazioni politiche — da abbinare a quadri di valutazione del rischio e di resilienza.