1. Sicurezza internazionale
e cyber sfide: i nuovi scenari
per la difesa e la diplomazia
Discorso dell’Ambasciatore Giulio
Terzi di Sant’Agata
2. È per me un vero piacere poter discutere con voi un tema che già da una
decina d'anni è entrato con grande rilievo nei dibattiti e nelle attività di
Governo riguardanti la sicurezza internazionale e la politica estera. Un tema
che ha tuttavia acquisito una sua ancor più complessa caratterizzazione
dallo scorso anno. L'emersione pubblica dell'utilizzo dei "metadata" a scopi
non solo scientifici, economici, informativi, ma anche di deterrenza e di
contrasto attivo è messo in risalto insieme a immense potenzialità del web,
crescenti frizioni tra globalità della rete, diritti individuali e principi di
sovranità.
Nonostante i luoghi comuni suggeriscano diversamente, le esperienze che
stiamo vivendo dimostrano la continua espansione della rete, secondo una
traiettoria che favorisce la globalizzazione economica e consolida quella
definizione di Kenichi Omahe dei “borderless states”: società ad identità
politica e culturale ma non più territoriale.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 2
3. Eppure l’impatto avuto dalla consapevolezza di un utilizzo intrusivo dei
metadati, da politiche assertive di importanti protagonisti della scena
internazionale, le contrapposte preoccupazioni sulla tutela delle liberta e
dei diritti individuali hanno creato un inversione di tendenza in quella che
era sembrata sino a poco tempo fa l’accettazione di un principio assoluto di
universalità e libertà della rete. Molte forze sono ora in campo per
disaggregarla, filtrarla o condizionarla, con motivazioni da un lato di
sicurezza nazionale, dall’altro di garanzia della privacy, del diritto all’oblio di
tutela della dignità della persona. I riflessi sulla diffusione dei dati e sul loro
utilizzo sono inevitabili.
Parte dei fenomeni di disaggregazione deriva anche dalle pratiche
commerciali di un numero sempre più grande di providers che alterano la
libera concorrenza sul web ottenendo dagli organismi regolatori corsie
preferenziali che interferiscono ad esempio sulla velocità e capacità di
download precostituendo accessi riservati al cloud e limitando flussi di dati
che dovrebbero essere condivisi con la generalità degli utenti.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 3
4. Mi è parsa essenziale questa breve premessa perché il tema della sicurezza
deve essere affrontato senza mai trascurare le implicazioni che ne derivano
per l’universalità e la libertà della rete, alla quale credo noi tutti dobbiamo
tenere.
Come ha notato Dan Geer, un esperto di sicurezza internet e gestione del
rischio[la sua storia è significativa. Il suo rapporto del 2003 "Cyber
insecurity", sosteneva che la posizione dominante di Microsoft nei desktop
computer era un rischio per la sicurezza nazionale],"Mentre l'intera società
diventa più tecnologica, anche il quotidiano dipende da una distante e
remota "perfezione digitale"".
Eppure, l'attuale gestione del rischio non presta molta attenzione alla
"distant digital perfection", a quella aggregazione di fattori che risiedono al
di fuori, spesso assai lontano, dai server e firewalls della propria
organizzazione. Nella finanza americana la "tempesta perfetta" del 2008 è
nata da aggregazioni del rischio bolla immobiliare, esposizione creditizia,
fragilità bancaria, implicite garanzie pubbliche che restavano in ombra, in
buona parte volutamente, nelle analisi sistemiche.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 4
5. Nella cyber security ci troviamo, secondo alcuni analisti, in una situazione
analoga: le modalità di valutazione del rischio non tengono sufficiente
conto della complessità e delle interconnessioni tra i diversi fattori.
Come nella finanza del 2008,nella cyber security del 2014 ogni
organizzazione si dedica soprattutto ad affrontare i propri problemi, a
rafforzare le "difese interne", più che a guardare alle correlazioni esterne.
Ma è soprattutto da queste, da sequenze di shock causati da eventi inattesi
e lontani che possono derivare impatti devastanti. Se l'internet di domani
sarà, come molti ritengono, meno resistente, robusto, disponibile e
universale di quanto non sia oggi, i rischi di shock a cascata cresceranno.
Da sempre su Internet è stato più facile attaccare che difendere. La sua
architettura iniziale era basata più sulla fiducia reciproca che non sulla
sicurezza, con un software che persino oggi lascia molte, casuali o volute,
vulnerabilità; con complicazioni per le capacità di difesa. È inevitabile che
nel corso degli anni gruppi organizzati siano riusciti ad avvantaggiarsene:
che, in altri termini, i predatori siano diventati più numerosi, agguerriti,
efficaci delle loro stesse prede.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 5
6. Per delimitare il terreno della nostra discussione vorrei trattare cinque
aspetti che mi sembrano riassumere sfide e scenari che ci troviamo dinanzi:
1. L'aspetto della complessità;
2. L'individuazione e la definizione della minaccia;
3. La libertà del web, la tutela della privacy, e le diverse concezioni della
sicurezza dello Stato;
4. La collaborazione internazionale esistente e quella auspicabile;
5. Le idee sul tappeto, e l'azione dell'Italia.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 6
7. 1. LA COMPLESSITÀ
Nei "concetti strategici" delle principali potenze la dimensione Cyber si è
aggiunta da almeno un decennio come "quinta dimensione" alle altre
quattro - terrestre, navale, aerea, e spaziale - che tradizionalmente
apparivano nei documenti di strategia militare adottati e resi noti dai
Governi.
La sua potenzialità distruttiva, l'asimmetria tra il valore di possibili obiettivi
oggetto della minaccia cibernetica e i bassissimi costi per realizzarla, la
proliferazione delle tecnologie e il loro impiego "dual use", fanno delle armi
cibernetiche qualcosa di assai simile a quelle nucleari.
Peraltro con alcune fondamentali differenze.
La più importante, sotto il profilo della sicurezza internazionale, riguarda la
assai maggiore difficoltà, praticamente l’impossibilità, di arrestare la
proliferazione delle "cyberweapons".
Se l'immenso sforzo anti-proliferazione nucleare della comunità
internazionale, iniziato con la Presidenza Kennedy, ha fatto sì che i Paesi "a
rischio" di acquisire l'armamento atomico si contino sulle dita di una mano,
mentre Kennedy ne prevedeva molti di più, almeno una trentina nel giro di
pochi anni, la tentazione di dotarsi di "Cyberweapons" appare oggi
estremamente diffusa.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 7
8. Benché si tratti di programmi portati avanti in segretezza, che,
diversamente da quelli nucleari, non richiedono nè grandi infrastrutture
grandi nè vaste risorse umane, la corsa all'arma cibernetica è chiaramente
diventata globale. Sarebbero ormai un centinaio i paesi che accumulano
capacità cibernetiche militari, anche se i programmi veramente avanzati -
secondo i calcoli di una società leader nel settore, la californiana McAfee -
riguarderebbero per ora non più di una ventina di Paesi.
La proliferazione delle "cyberweapons" si avvantaggia inoltre della
circostanza che le tecnologie dell'informazione sono "dual use" in una
misura immensamente diversa da quelle nucleari. Il nucleare è confinato, in
ambito civile, all'energia e alla medicina. Le tecnologie informatiche sono
l'essenza stessa della nostra vita quotidiana, della comunicazione, della
scienza, dell'economia, della realtà produttiva e finanziaria, della vita
sociale, politica e aggregativa.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 8
9. Per il progresso delle nostre società le IT sono infinitamente più importanti
delle tecnologie nucleari. Rovesciarne l'utilizzo a fini militari apre perciò
orizzonti forse ancor più cupi di quelli di una Gotterdammerung nucleare.
Sarebbe quindi auspicabile, se non fossimo nella pura astrazione, che per le
"cyberweapons" valessero proposte come quella lanciata nel giugno 1946
alle Nazioni Unite, a nome del Presidente Truman, da Bernard Baruch,
affinché tutto l'arsenale nucleare disponibile - e solo gli Stati Uniti ne erano
all'epoca detentori - fosse consegnato all'Onu, a condizione che tutti i paesi
si impegnassero a non fabbricarne e ad aprirsi a ispezioni. Sappiamo che il
"niet" sovietico fece naufragare il piano Baruch, alimentando la corsa
all'arma nucleare. Le IT e i suoi utilizzi militari sono già diffuse a livello
globale, e il genio non rientrerà più nella bottiglia.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 9
10. Una seconda fondamentale differenza rispetto all'"era atomica" riguarda il
grande ritardo nel definire strategie operative, basi giuridiche, perimetri di
alleanze, principi di dialogo e valori etici per la sicurezza cibernetica e la sua
dimensione militare. Dopo il blocco di Berlino e l'accesso sovietico all'arma
atomica, i "concetti strategici" dei due blocchi cominciarono ad assumere
connotazioni precise, sino ad evolvere attraverso le due essenziali fasi della
"deterrenza”: la prima basata sulla risposta massiccia e poi una seconda
incentrata su flessibilità e gradualità di reazione. Ci vollero, è vero
vent'anni, dal primo test nucleare sovietico del '49, perchè si creassero le
condizioni per l'avvio-a Helsinki nel '69- di negoziati intesi a mantenere la
deterrenza in equilibrio, contenendo la minaccia e la dimensione degli
arsenali. In campo "cyber", si deve notare come Arpanet, il precursore di
Internet,e le ricerche del Pentagono su queste nuove tecnologie risalgano a
più di quarant'anni fa. E come episodi di "cyberwar" non siano mancati
nell'ultimo decennio. Ciononostante, come ha notato il Presidente della
Cyber Conflict Studies Association: "Siamo al 1946, per la Cybersecurity.
Abbiamo queste nuove, potentissime armi, ma non abbiamo tutto
l'impianto concettuale e dottrinale che sostenga e regoli le possibilità di
impiego di questi armamenti o un tipo di deterrenza. Peggio, non sono solo
Stati Uniti e Urss a disporre di queste armi, ma sono milioni e milioni di
persone in giro per il mondo che vi hanno accesso".
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 10
11. La complessità è funzione di un avanzamento tecnologico che sembra
tendere all'infinito. La legge di Moore è ben lontana dall'aver esaurito la
sua progressione geometrica.
Secondo Cisco a fine 2012 erano quasi 9 miliardi i "devices" collegati a
Internet. Diventeranno almeno 40 miliardi nei prossimi sei
anni,espandendo la cosiddetta "internet of things", dove qualsiasi gadget
della vita quotidiana munito di un chip diventa parte dell'infinita serie di
reti che producono "metadati".
L'evoluzione stessa del web è parte della sua complessità;genera nuove
norme di comportamento; "personalizza" le informazioni;orienta tendenze
e social networks; mentre l'espansione dimensionale genera a sua volta
dinamiche e mutazioni imprevedibili. 2.500 quadrilioni di nuovi bytes
confluiscono ogni giorno in Internet.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 11
12. La complessità riguarda l'utilizzo dei "metadati": di quell'informazione cioè
che descrive la natura della comunicazione, più che il suo contenuto.
Un'innovazione che ha portato negli ultimi anni a svolte molto significative
nei campi più disparati, dall'intelligenza artificiale - ad esempio le auto
senza guidatore messe a punto dal Dipartimento ricerca di Google - alla
medicina, dalla meteorologia all'analisi economica,dalle strategie
commerciali a quelle militari. Nell'attività informativa i "metadata" sono
diventati lo scorso anno motivo di imbarazzo per Washington dopo la fuga
a Hong Kong di Edward Snowden e la generosa ospitalità tempestivamente
offertagli dal Cremlino. Con la grande rete dei "metadati" i Governi che
hanno capacità tecnologiche avanzate - non solo gli Usa - raccolgono tutto
ciò che può avere qualche interesse o collegamento con la sicurezza
militare,economica, per la stabilità sociale e l'attività di Governo.
Negli Stati di Diritto, nelle democrazie occidentali, dove l'intelligence è
sottoposta a vincoli e controlli parlamentari, gli sconfinamenti ad esempio
sul terreno della proprietà intellettuale, della concorrenza industriale, della
riservatezza nei mercati finanziari, non è certo impossibile, ma si tratta di
materie severamente regolate, vigilate e sanzionate.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 12
13. Lo stesso non si può certo affermare per i Paesi che si reggono su sistemi
autoritaria "democrazia condizionata", dove la libertà d'informazione e di
espressione politica sulla rete è censurata o filtrata.
L'utilizzo americano dei "metadati" a fini di antiterrorismo ha provocato
preoccupazioni europee per la tutela della privacy, e irritazione soprattutto
del Governo tedesco per le intercettazioni avvenute al cellulare del
Cancelliere Merkel. Ma anche Hillary Clinton,da Segretario di Stato, veniva
intercettata dalla BND tedesca. È necessario perciò definire più avanzate
norme di comportamento anzitutto tra i Paesi Nato.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 13
14. Non e ‘infatti immaginabile che sia disattivato o drasticamente ridotto
l'utilizzo dei "metadati", altro fondamentale elemento di complessità per la
cybersecurity. Abbiamo visto come Washington abbia piuttosto messo
l'accento sulle procedure autorizzative e sulla concertazione con i maggiori
Alleati. Molto lavoro è stato fatto tra Washington e le capitali europee dopo
l'esplosione, non certo casuale, del caso Snowden nel giugno dello scorso
anno.L'ex contrattista NSA è emerso a Hong Kong proprio quando Obama
stava ponendo al centro del Vertice con Xi Jinping la cybersecurity e le
intrusioni degli hackers cinesi; poco dopo Snowden è stato accolto come un
rifugiato da Mosca. Da quando si è posta anche nei rapporti tra Alleati la
questione "Big Data", è balzato agli occhi il fatto che la capacità americana
di amministrare il sistema in funzione antiterrorismo è molto affine, se non
identica, a quella che consente agli Usa di individuare l'origine degli
attacchi Cyber, e di valutare contromisure ed eventuali risposte. Vi è
qualche dubbio che sia proprio questo il motivo per il quale la defezione di
Snowden è stata cosi importante per Mosca e Pechino? Big Data ha
comunque aperto una fase nuova. Ogni persona sul Pianeta dispone di una
massa di informazioni superiore a 1600 Exabyte, massa che raddoppia ogni
tre anni. Se si pensa che nel 2000 solo 1/4 delle informazioni stoccate era
digitale, e oggi lo è il 98%, si comprendono le rapidissime mutazioni che ciò
ha prodotto nell’attività di intelligence, nella cybersecurity, e le
problematiche di natura politica, legale, etica e sociale che ne derivano.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 14
15. 2. INDIVIDUAZIONE E DEFINIZIONE DELLA MINACCIA
Nel decimo anniversario dell'attacco alle Torri Gemelle,nel 2011 quando
ero ancora a Washington, il Department of Homeland Security, la
gigantesca organizzazione deputata a tutte le attività per la sicurezza sul
territorio statunitense, organizzò una presentazione pubblica all'Idaho
National Laboratory-INL. La presentazione voleva scuotere l'opinione
pubblica sulla minaccia cyber, per coinvolgere tutti gli americani e
convincerli ad alzare la guardia.
Poco tempo prima, l'INL aveva eseguito un test segreto - poi declassificato -
in un centro nucleare di ricerca altamente protetto per verificare le
potenzialità di un attacco cyber nella distruzione dell'impianto.
L’esperimento dimostro l’impossibilità per lo stesso team di tecnici
dell'Homeland Security di salvare l'impianto. Questo episodio si inserisce
nella continua opera di sensibilizzazione praticata negli States e spiega
perché, solo nello scorso anno, i riferimenti nella stampa americana a una
“Pearl Harbour” o a un “11 Settembre cibernetico” siano stati quasi un
milione. Tuttavia, la minaccia Cyber resta troppo spesso indeterminata e
confusa, persino nell'attività legislativa e di Governo.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 15
16. Ancora negli Usa, la motivazione addotta dai proponenti di una legge sulla
sicurezza cibernetica nell'estate 2011 menzionava gli attacchi contro
Citygroup, una banca, contro RSA, un gruppo industriale, e contro il
programma nucleare iraniano con il virus Stuxnet. Tre tipologie ben
distinte: la prima una frode, la seconda un furto di proprietà intellettuale,
la terza una nuova forma di "attacco cibernetico preventivo“.
Testimoniando al Congresso un responsabile del Cybercommand dichiarava
già nel 2010 che ogni giorno le Forze Armate americane subivano milioni di
attacchi cyber, una cifra che evidentemente accumunava tutti i tentativi di
intrusione nei computer della Difesa: non solo quelli che configuravano una
qualche "minaccia”. Se distinguiamo l'aspetto della vulnerabilità da quello
della minaccia, è ‘intuitivo come una "porta“ in un programma informatico
possa varcata con finalità assai diverse.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 16
17. Quando l'intrusione costituisce una minaccia, si deve non solo rispondere,
ma la si deve prevenire. Da qui, la necessità di una strategia cyber, e di un
apparato ad essa specificamente dedicato, che colga bene il profilo
dell'autore della minacciale sue finalità, e le possibili conseguenze. Per fare
un esempio, Paesi che riferiscano essenzialmente la cybersecurity ai reparti
anticrimine della polizia postale, rischiano di essere sprovvisti di capacità
serie di valutazione e risposta nella dimensione Difesa.
Le modalità di un attacco hacker evolvono in relazione alle vulnerabilità del
loro obiettivo. Possono riguardare una persona, un'azienda, un sistema di
sicurezza; possono però anche essere "untargeted", con virus messi in
circolazione "automatica" per sottrarre ad ampio raggio identità, codici,
conti correnti, da riutilizzare in altre operazioni. Costi, capacità
organizzativa, livello della minaccia cambiano sensibilmente nei due casi,
sia dal lato dell'attacco che della difesa. Individuare gli autori potenziali
della minaccia rappresenta quindi la vera sfida per i responsabili della
cybersecurity.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 17
18. 3. LA LIBERTÀ DEL WEB, LA TUTELA DELLA PRIVACY E LE DIVERSE
CONCEZIONI DELLA SICUREZZA DELLO STATO
Il termine "internet freedom" si basa sull'idea che la libertà di espressione
online,di accesso al web, di collegarsi a utenti in ogni parte del mondo, sia
riconducibile a diritti affermatisi ben prima dell'era cyber. In particolare,
alla Dichiarazione universale dei Diritti dell'Uomo del '48 e al Covenant sui
Diritti Civili e politici, che garantisce il diritto di tutti a cercare ricevere,
diffondere informazioni e idee attraverso ogni tipo di media e senza
barriere nazionali.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 18
19. La crescente resistenza che si e verificata da alcuni decenni, in una parte
del mondo, a riconoscere concretamente l'universalità e l’indivisibilità dei
diritti umani - due principi che costituiscono l'essenza stessa del diritto
internazionale vigente - si è tramutata in esplicita rivendicazione, da parte
di paesi come la Cina, l'Iran, la Russia, e altri Stati a "democrazia
condizionata", delle "specificità culturali" che dovrebbero derogare
all'applicazione di diritti già ampiamente acquisiti nelle Convenzioni e nella
prassi internazionale del secondo dopoguerra.
La libertà di informazione e di espressione costituiva ovviamente un
argomento molto sensibile per gli Stati autoritari già prima della diffusione
di Internet. Con essa, il problema si è aggravato. Da un lato, la libertà di
informazione e di espressione non potrà mai essere separata dai diritti
inalienabili della persona che l'Occidente pone al centro delle relazioni
internazionali, delle iniziative per promuovere stabilità, pace e sviluppo.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 19
20. Non vi è documento adottato dall'Onu che non sottolinei tale approccio. I
comportamenti di un certo numero di Paesi vanno però in direzione ben
diversa. È quindi di estrema importanza riaffermare in ogni sede
multilaterale e bilaterale che i fondamentali diritti della persona si
applicano integralmente allo spazio Cyber. Deve esser riconosciuto
universalmente il diritto di riunirsi, aggregarsi, condividere e perseguire
comuni interessi sul web come tutto ciò deve essere anche riconosciuto
per un luogo di culto,di lavoro o in uno spazio pubblico.
Le resistenze dei regimi repressivi fanno leva sul fatto che la libertà su
Internet li destabilizzerebbe e porterebbe a un "regime change". È spesso
avvenuto negli ultimi due secoli che regimi totalitari rovescino le
responsabilità della propria instabilità interna - causata appunto dalla
repressione - su ipotetici "nemici esterni”. Vengono così contrastate tutte le
forme, ad esempio, di "public diplomacy" utilizzate normalmente dai
Governi democratici per interagire con l'opinione pubblica nazionale e
estera.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 20
21. Le tecnologie che consentono di aggirare censure, di evadere la
sorveglianza, di mantenere l'anonimato, sono considerate in diversi paesi
un rischio per la sicurezza nazionale. Per la Cina o per la Russia una stretta
censura non rappresenta una violazione dei diritti, ma uno strumento per
garantire la stabilità. La limitazione della libertà di espressione prende le
forme più disparate; essa contrappone i sistemi autoritari alle democrazie
liberali; tuttavia esistono sfumature anche tra queste ultime in tema ad
esempio di negazionismo dell'Olocausto, antisemitismo, omofobia, tutela
della libertà religiosa.
Sono molti a sostenere che il principio di libertà sulla rete dovrebbe essere
assoluto e non tollerare neppure le limitazioni imposte dalla tutela della
proprietà intellettuale. È quindi evidente la necessità di trovare punti di
equilibrio, come in tutti i campi dove l'affermazione della libertà individuale
deve essere contemperata dalla considerazione dei diritti altrui.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 21
22. La liberta di informazione e di accesso al web trova un'altra criticità nel
dibattito sulla Governance di Internet. Esso a sua volta d coinvolge quello
sulla cybersecurity. Dal 1998, dopo un'ampia concertazione pubblica tra le
diverse organizzazioni coinvolte nella diffusione di Internet, emerse
l'esigenza che la governance dovesse rimanesse in mani non governative.
Si costruì un'organizzazione che avrebbe dovuto riflettere "le diversità
geografiche e funzionali di Internet, ICANN-Internet Corporation for
Assigned Names and Numbers", ripartita in autorità regionali competenti
per i cinque continenti. Struttura che è rimasta immutata dal 2004. Il suo
ruolo è rilevante e delicato perché la definizione di un’identità Internet, che
è appunto compito di ICANN, comporta il contemperamento di interessi
politici, economici, culturali contrapposti. Alla fine dalle decisioni di ICANN
escono quasi sempre vincenti e perdenti.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 22
23. Anche per tali motivi la discussione sulla rappresentatività di questa forma
di governance, e sull'influenza che su di essa mantiene la componente
americana, è destinata a rimanere centrale nell'immediato futuro.
L’obiettivo essenziale, a garanzia di un denominatore comune di libertà è
che la Governance di internet continui ad essere, di nome e di fatto,
interamente "non governativa".
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 23
24. 4 LA COLLABORAZIONE INTERNAZIONALE ESISTENTE E QUELLA
AUSPICABILE
Nel corso della mia missione a Washington, tra il 2009 e il 2011 ho avuto
ampio modo di constatare la repentina crescita di attenzione del Governo,
dei più qualificati think tanks, dei mondi economici, scientifici e
imprenditoriali americani alle sfide della cybersecurity. Non vi era giorno,
mi raccontava ad esempio già nel 2009 un alto rappresentante del
Congresso, in cui gli hackers non cercassero di sottrarre nominativi, file e
informazioni riservate dai computer dei congressmen che si occupavano di
diritti umani e di dissidenti in Cina. Nè erano certo in secondo piano, nelle
conversazioni che avevo con i più diversi interlocutori, i casi preoccupanti
avvenuti contro l'Estonia e la Georgia, così come le attività degli hackers in
ambito finanziario, nell'industria della Difesa, nel mondo dell'informazione
e delle Istituzioni.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 24
25. È stato a partire da quegli anni che il Governo americano si è impegnato a
promuovere una collaborazione stretta con i paesi Alleati in ambito
bilaterale e atlantico. Da allora l'Italia ne è sempre stata parte convinta.
Sono tuttavia d'accordo con chi sottolinea l'urgenza di fare molto di più.
L'Atlantic Council ha recentemente osservato: "La Nato deve sostituire
l’ambiguità strategica con la chiarezza nell'indicare come il sistema di difesa
collettiva deve funzionare in tempi di minacce cyber,così da rafforzare la
fiducia tra alleati". Il riferimento al pregiudizio che può derivare da altri
"casi Estonia" non potrebbe essere più chiaro.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 25
26. Quando scoppiò nell'Aprile 2007 la "cyberwar" contro il suo Paese il
Ministro degli Esteri Estone, Urmas Paet fu immediato nel puntare l'indice
contro la Russia. Nuovo membro dell'Alleanza, mal visto da Mosca a causa
di un trattamento asseritamente discriminatorio nei confronti
dell'importante componente russofona, e della contestata rimozione di un
monumento celebrativo dei soldati russi nella seconda Guerra mondiale, il
Paese costituiva una delle realtà più avanzate al mondo per impiego e
diffusione delle IT. Tutto o quasi, dai servizi finanziari, alla giustizia,
all'assistenza sociale e al voto, correva sul web. Improvvisamente,
nell'Aprile 2007 l'intero sistema Paese veniva attaccato da una serie di
"botnets" [reti di computer zombie che mandano spam e dati per ottenere
un Denial of Service su larga scala]. I "botnets" contro l'Estonia
coinvolgevano più un milione di computers in 75 Paesi.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 26
27. Per la prima volta nella storia della Nato, uno stato membro sosteneva che
la "cyberwar" avesse esattamente le stesse implicazioni di un attacco
militare con forze convenzionali o non convenzionali, e che dovesse quindi
scattare l'applicazione dell'art. 5 del Trattato di Washington: "I Paesi parte
convengono che un attacco armato contro uno o più di loro in Europa o in
Nordamerica sarà considerato un attacco contro tutti loro". Ma i Paesi
Alleati, pur esprimendo in Consiglio Atlantico tutta la loro preoccupazione,
ritennero che l'Art.5 non fosse applicabile. L'Estonia era stata certamente
intimidita e danneggiata, ma non c'erano stati feriti, distruzioni fisiche,
danni economici al di là del blocco dei sistemi informatici, alla cui
riattivazione la Nato prestò in ogni caso il suo aiuto. Il punto sollevò una
serie di quesiti sul concetto stesso di "aggressione“ e sulla conseguente
legittimità dell'uso della forza da parte dello Stato aggredito.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 27
28. Il caso estone dimostra la difficoltà di applicare alla cyber security e alle IT
le esistenti categorie del diritto internazionale. Lo Statuto delle Nazioni
Unite, il principio di sovranità di non interferenza negli affari interni, la
risoluzione delle controversie escludendo l'uso della forza, la
regolamentazione di quest'ultima in un quadro di legittimità, sono i
capisaldi di relazioni internazionali concepite ben prima della
globalizzazione.
Negli ultimi vent'anni vi sono stati ulteriori progressi nella tutela dei diritti
umani, nel riconoscimento del principi di libertà, nella limitazione della
sovranità in rapporto alla "responsabilità di proteggere", nell'abolizione di
determinati tipi di armamenti, nella lotta alla proliferazione delle armi di
distruzione di massa, nell'affermarsi di norme internazionali a tutela della
scienza, dell'ambiente,nella promozione dello sviluppo sostenibile. Ma gli
aspetti particolarmente sensibili che riguardano la sicurezza dello Stato in
campo "cyber" sono rimasti sostanzialmente esclusi dai più importanti
progressi normativi.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 28
29. Se cioè avvenuto nel contesto universale delle Nazioni Unite, non molto
diverso è parso l'orientamento dei Governi in ambito europeo e atlantico.
I Paesi Nato hanno fortemente esitato sull’applicabilità dell'art. 5 del
Trattato di Washington al caso estone, ravvisando che non ricorresse
l'estremo dell'aggressione "contro l’integrità territoriale di uno Stato" così
come definita dallo Statuto dell'Onu. Tuttavia gli ambienti atlantici si
mostrarono consapevoli dell'urgenza di approfondirne le implicazioni
politiche e giuridiche. Il Nato Cooperative Cyber Defence Centre of
Excellence ha prodotto un manuale - il Tallinn Manual - sul diritto
internazionale applicabile ai conflitti cibernetici, con idee innovative che
vanno dalla ridefinizione del concetto di legittima difesa nella Cyberwar, al
principio che i civili che vi partecipano perdono le garanzie riconosciute ai
civili dal diritto internazionale nelle situazioni di conflitto. Tuttavia,il
Manuale non è stato formalmente approvato.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 29
30. Sensibilità e priorità diverse rendono ardua l'adozione anche all'interno
dell'Alleanza Atlantica di regole per lo spazio cibernetico. Ci si deve perciò
affidare all' interpretazione del diritto esistente. Un attacco cibernetico
deve essere governato, allo stato delle cose,dalle stesse regole che valgono
per gli attacchi di altra natura.
Esse sono essenzialmente tre:
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 30
31. A) Effetti
Il diritto internazionale consente il ricorso alla forza anche contro le forme
di aggressione che avvengano con mezzi diversi da quelli militari, ma che
abbiano un impatto analogo. L'apertura di una diga e la conseguente
inondazione di un territorio può avvenire attraverso il sabotaggio ed avere
lo stesso impatto di un bombardamento; lo stesso dicasi per incendi su
larga scala, per la distruzione di risorse essenziali, idriche, alimentari o
altro. Per contro, l'uso della forza non sarebbe certo giustificato come
risposta a campagne di disinformazione sul web, o a intrusioni che non
abbiano impatto equivalente a un atto di guerra. La stessa interruzione
temporanea delle comunicazioni non era stata giudicata dagli estensori
della Carta di San Francisco come un atto di guerra,che invece sussiste nel
caso di "blocco economico". Evidente quanto la distinzione diventi sottile
negli attacchi cyber.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 31
32. B) Contesto
Nell'agosto 2008 i siti web del governo georgiano sono stati attaccati da
hackers russi per diversi giorni, con "denial of service", bloccando tutte le
comunicazioni Internet mentre i tanks russi avanzavano sino a pochi
chilometri da Tblisi, e i bombardamenti causavano 1300 vittime civili. In
quel contesto, difficile negare che l'operazione cyber, collegata all'attacco
convenzionale russo contro la Georgia, non fosse un atto di guerra.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 32
33. C) Causalità e misurabilità
Servono a distinguere l’attività di intelligence e "cyber" dagli atti definibili
"di guerra". La prima può certo essere collegata ai secondi, prepararli,
amplificarne gli effetti. Ma è solo dopo che tali effetti si sono creati, come
ho accennato nel caso dell'attacco alla Georgia nel 2008, che si può
individuare l'esistenza di un vero conflitto armato, mentre l’attività
informativa e di intelligence in quanto tale non motiva di norma, nella
prassi seguita dagli Stati, l'impiego della forza, ma semmai risposte della
stessa natura e della stessa proporzione.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 33
34. La Nato e l'UE attraverso l'auspicabile revisione dei rispettivi "concetti
strategici", devono chiarire che,dinanzi a un avversario privo remore
nell'utilizzare metodi aggressivi nello spazio cyber, l'attuale "ambiguità
strategica", deve far posto a una chiara formulazione dell'impegno alla
difesa collettiva ex art.5 del Trattato di Washington applicato alla minaccia
cyber. L'aggressione Russa all'Ucraina si è compiuta tanto a terra quanto
nel "cyberspace". I siti governativi di Kiev sono stati attaccati. Lo stesso è
avvenuto per siti della Nato in coincidenza con l'annessione della Crimea
alla Russia. Poi, a fine agosto, il grande attacco informatico a JPMorgan, con
l’acquisizione incredibile di dati concernenti 86 milioni di correntisti. I Paesi
Baltici sono inquieti e ritengono di essere i prossimi nella lista di Mosca.
Chiarezza sulla responsabilità collettiva in caso di minacce Cyber è quindi
necessario preservare la funzionalità dell'Alleanza.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 34
35. In senso più ampio, si è da tempo e con insistenza posto l'interrogativo se
l'enorme rilevanza dello "Cyberspace" per la sicurezza, l'economia, il
progresso dell'intera umanità non richiedano una sorta di nuova
Convenzione di Ginevra sulla "quinta dimensione" della sicurezza
internazionale. E si ricorda giustamente come esistano precedenti,
nell'adattamento di norme internazionali al progresso tecnologico e
scientifico, sui quali costruire. Dalle Regole dell'Aja sulla Guerra Aerea di
inizio anni '20, al Trattato sull'Antartico del '59, a quello sull'Outer Space
del '67, essendo gli ultimi due particolarmente interessanti perché'
proibiscono l'impiego di armi in tali ambiti. Tuttavia, non è chi non veda
anzitutto l'estrema improbabilità che i paesi più avanzati tecnologicamente
abbiano interesse a limitare il loro vantaggio, esattamente com'era
avvenuto agli albori dell'era nucleare. Inoltre, la verificabilità e
l'interdizione di "cyberweapons" resterebbe, diversamente da quanto
avviene invece per lo spazio e l'Antartico, del tutto teorica data
l’immaterialità della quinta dimensione della sicurezza.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 35
36. Diverso è il discorso per un Trattato multilaterale che miri a costruire dei
"blocchi" iniziali, basati su interessi oggettivamente comuni a tutti gli Stati:
estendendo quel principio che Obama aveva cercato di far comprendere a
Xi Jinping nel loro incontro in California lo scorso anno, turbato dal caso
Snowden. Tutti i Governi hanno interesse, ad esempio, al buon
funzionamento di Internet, nella lotta alla criminalità cyber, oggetto di
Convenzione del Consiglio d'Europa. Gli interessi comuni potrebbero
ampliarsi e produrre convenzioni di maggiore portata, per combattere la
piaga dei "botnets" e di altri tipi di intrusione che danneggiano le reti. Si
pensi all’interesse della Cina che ha il 70% dei computer infettati al mondo.
Potrebbero essere istituiti i dei "computer emergency response teams"
(CERT) riferiti a un’Autorità mondiale, collegata a entità già esistenti come il
WTO o l'International Telegraph Union (ITU).
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 36
37. Su quest'ultima bisogna fare però attenzione dato che le competenze dei
Governi nella lotta al crimine e all'utilizzo deviante di Internet non si
trasformi, come vorrebbero Paesi come Cina, Russia, Sudan e Iran, in una
facoltà di controllo governativo sulla Rete. Nel mio mandato ministeriale ho
fortemente contrastato, insieme a altri colleghi occidentali, tale
eventualità. Alla riunione ITU del Dicembre 2012 dove era sul tavolo il
rinegoziato delle regole, i Paesi intenzionati a imbavagliare il web hanno
cercato di spostare sui Governi e sulle maggiori lobby internazionali la vera
governance, sottraendola alle comunità degli utilizzatori, alle organizzazioni
“non profit” e “non statuali”: passando così dall’attuale modello “Multi
Stakeholder” di un Internet di tutti, al controllo da parte degli stati e dei
grandi gruppi di interesse.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 37
38. Come disse l'Economist all'epoca, il tentativo proponeva una versione
digitale della Guerra Fredda e della Cortina di Ferro. La riunione del
Dicembre 2012 si concluse con una netta spaccatura che non è certo
servita alla credibilità e al ruolo dell'ITU. Un collegamento di nuove regole
al WTO sembra invece più realistico. Consentirebbe di far leva infatti sui
vantaggi economici e politici che, in ultima analisi, anche paesi come la
Cina possono trarre dal mostrarsi impegnati dal contrastare le violazioni
cyber alla proprietà intellettuale. L'adesione di Pechino al WTO è stata
fondamentale per il suo sviluppo economico. Nell'attuale condizione cyber
"senza regole" la Cina è esposta a azioni di risarcimento multimiliardarie in
base allo strumento TRIPS-Trade Related Aspects of Intellectual Property
Rights,e a sanzioni previste nei confronti di "stati pirati". Dovrebbe perciò
essere a evidente per Pechino la necessità di estendere il campo normativo
del WTO alla lotta alla criminalità cyber anche attraverso l'impiego di
"computer emergency response teams"(CERTs). Una più efficace
cooperazione internazionale non può in ogni caso che partire da un
"nocciolo duro“ di Paesi Like Minded.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 38
39. Alcuni passi avanti sono stati fatti, alla Nato con il Manuale di Tallin, e un
maggior coordinamento militare-civile, e alla Ue.
Durante questo Semestre di Presidenza l'Italia ha in programma una serie
di riunioni e approfondimenti per affinare la Strategia europea di sicurezza
cibernetica, essenzialmente basata sulla prevenzione e la difesa dalla
minaccia.
Discussioni sono in corso al Foro Regionale Asean, all'Apec, all'Ocse. Manca
però un coordinamento effettivo, anche tra i Like Minded a noi più vicini
come gli Usa e i loro alleati, su spionaggio cyber e sulle vulnerabilità di
sistema, che riguardano infrastrutture la cui sopravvivenza è essenziale per
tutti i Partners dell'Alleanza, e non soltanto per uno dei suoi membri sotto
attacco.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 39
40. Un'idea interessante riguarda la creazione di un "Cyber stability
board",simile al Financial Stability Board creato dagli accordi di Basilea.
Dobbiamo fare attenzione perchè i promotori pensano a otto-dieci Paesi,
essenzialmente a quelli del circuito "Five Eyes" piu Francia, Germania,
Giappone, Corea, ma non all'Italia.
Il Board assicurerebbe una stretta concertazione nell’attività di intelligence,
nel concordare "cybersanction" nei confronti di aggressori, e altre forme di
deterrenza, nell'adottare linee comuni con il settore privato, soprattutto
nel "certificare" le entità private e non statuali alle quali si possa
legalmente riconoscere una limitata capacità di risposta attiva.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 40
41. Un regime giuridico che leghi un certo numero di Pesi avrebbe in tale
complessa materia una efficacia assai maggiore che non una mera
regolamentazione nazionale. Una regolamentazione internazionale
incoraggerebbe una partnership pubblico/privato sinora carente (per
motivi connessi alla credibilità aziendale, alle quotazioni di borsa, alla
propensione a sottostimare enormemente nei bilanci i danni provocati dai
furti di proprietà intellettuale, dati, progetti, contatti: sulle prime
500Corporations di Fortune, il 97% è stato attaccato dagli hackers, ma solo
in minima parte sono noti i danni).
Una siffatta cooperazione internazionale consentirebbe di creare un
"network di decision makers" assai più efficace nella risposta che non i
singoli livelli nazionali. Infine un Board con i più importanti paesi like
minded potrebbe armonizzare le posizioni dei paesi partecipanti sul
fondamentale tema della privacy e dei diritti civili.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 41
42. 5. LE IDEE SUL TAPPETO E COSA FA L’ITALIA
Nel vasto dominio della cybersecurity le capacità di offesa hanno ormai
considerevolmente sopravanzato le capacità di difesa. Mentre queste
ultime poggiano su sistemi organizzativi e tecnologici in continua
evoluzione e rispondono a nozioni consolidate di sicurezza, è la
prevenzione a costituire un terreno in buona misura inesplorato e
condizionato dalle scelte più difficili.
Si tratta, in particolare, di applicare il concetto di deterrenza alla
cybersecurity: concetto essenziale nelle strategie della Difesa
convenzionale e non convenzionale, che acquista particolare complessità
per le asimmetrie e le indeterminatezze del dominio cyber.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 42
43. Una tesi che si sta affermando è quella della "tailored deterrence",termine
che si può un po' infelicemente rendere come "deterrenza ritagliata su
misura". La "tailored deterrence" mira a modificare i calcoli di un
potenziale avversario con metodi diversi dalla semplice minaccia di un
attacco di risposta.
Entrata pienamente nella dottrina strategica americana con la
"Quadriennial Defence Review del 2006", la "tailored deterrence" si è via
via affermata nelle successive elaborazioni atlantiche e nazionali riferite
alle minacce asimmetriche,specialmente terroristiche e cyber. Essa può
tradursi in:
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 43
44. A) cyber sanctions
Alzando i costi per le intrusioni le sanzioni mirate inviano un chiaro segnale
ai Governi che tollerano o promuovono le attività su grande scala degli
hacker. Possono collegarsi con azioni coordinate, e autorizzate dal governo,
con il settore privato. Nel sistema americano l’autorità di imporre sanzioni
contro autori di minacce cyber discende dai suoi poteri di dichiarare
l'"emergenza nazionale per minacce inusuali e straordinarie alla sicurezza
nazionale, alla politica estera, o all'economia". Si tratta di poteri ampi, per
misure finanziarie ad esempio, nei confronti di individui, organizzazioni o
Governi. Altre basi legali sono all'esame del Congresso. Nelle misure
sanzionatorie dovrebbero essere inserite compensazioni ai settori
dell'economia colpiti da sottrazioni di Proprietà Intellettuale. Il Capo del
Cyber Command ha definito il furto di Proprietà Intellettuale come il più
colossale trasferimento di ricchezza mai avvenuto nel corso della Storia. Le
cyber sanctions potrebbero includere misure di risarcimento alle vittime
dello spionaggio industriale, fornendo base giuridica e metodologie
d'indennizzo simile a quelle previste ad esempio dalle legislazioni antitrust,
per rivalersi nei confronti degli autori dei furti.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 44
45. B) Entità certificate e Difesa Attiva
L'idea è di creare una cornice legale che autorizzi providers privati nei
comparti economici a più elevata criticità per il sistema Paese a mettere in
atto limitate misure di difesa attiva, previa attribuzione della minaccia, di
concerto con l’autorità per la sicurezza.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 45
46. C Standards mirati di protezione e resistenza
Gli standard dovrebbero esser definiti in forma stringente e obbligatoria nei
settori di maggior interesse pubblico. In tali settori la protezione non è
sufficiente, perché non si può presumere che i tentativi di intrusione non
abbiano successo. Entra quindi nella panoplia della deterrenza la resilience:
quella specifica capacità di un sistema di mantenere le proprie funzioni
essenziali anche quando il sistema stesso viene posto sistematicamente
sotto attacco. La "resilience" deve rappresentare un ulteriore "diniego di
beneficio", ed un rischio per l'avversario, con aumento dei costi
dell’operazione e minaccia di ritorsioni. In genere si ritiene che la
"resilience" possa essere rafforzata dall’integrità del sistema, dalla sua
segmentazione, e dalla capacità di riacquistare il controllo delle parti
compromesse. In ognuna di queste operazioni sono richieste
professionalità elevate, che alcuni immaginano dover confluire a livello
nazionale in una vera e propria "Cyber Guard".
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 46
47. Sul versante europeo, i principali sviluppi hanno riguardato la
"Comunicazione Congiunta" del febbraio 2013 da parte della Commissione
Europea e dell'Alto Rappresentante per la Politica estera e di Sicurezza
Comune, sulla "Strategia europea di cybersecurity". Essa contiene
orientamenti di carattere generale per gli Stati Membri per rafforzare il loro
"network and information security-NIS".
Il Consiglio Ue ha discusso ripetutamente gli episodi di attacchi altamente
sofisticati, con sottrazione di informazioni e documenti classificati e
particolarmente sensibili, perdita di controllo di numerosi network, e altro.
Il Consiglio ha perciò richiesto a tutte le Istituzioni europee e agli Stati
membri di prendere le necessarie misure per assicurare la propria
cybersecurity, avvalendosi dei Computer Emergency Response Teams -
CERT-EU- creati nel 2012, e dell’attività dell'apposita Agenzia Europea, la
European Network Security Agency-ENISA.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 47
48. Molto rimane però da fare, ha riconosciuto lo stesso Consiglio Europeo, sia
a livello nazionale che comunitario: adozione di quadri normativi adeguati;
riconoscere l'esistenza di crescenti minacce alla loro cybersecurity;
definizione degli obiettivi prioritari sulla prevenzione e "reazione"
(significativo che l'elaborazione a livello europeo del concetto di
"deterrenza" sia ancora molto arretrata); mappatura delle regole, prassi e
capacità in seno all'Unione; elaborazione di piani di contingenza per
rispondere a situazioni di crisi; lancio di esercitazioni e di iniziative mirate
ad accrescere la consapevolezza degli operatori istituzionali, di quelli privati
e del pubblico; valorizzazione dei CERT-UE; diffusione di informative e
rapporti valutativi tra gli Stati Membri. Durante il Semestre di Presidenza
italiana stiamo ponendo un accento soprattutto sull'aspetto del "capacity
building" comunitario e nazionale.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 48
49. L'Italia si è dotata di un Piano Nazionale per la Protezione cibernetica e la
sicurezza informatica,materia oggetto di approfondimenti successivi nel
corso degli ultimi tre anni, avviati dagli "indirizzi" definiti nel gennaio 2013
e sistematizzata dal Decreto entrato in vigore lo scorso febbraio. Il Piano
Nazionale, appare sostanzialmente "allineato“ alle strategie raccomandate
in sede europea e atlantica. Nel senso che poggia su un approccio integrato
della capacità tecnologica, operative e di analisi, mira a potenziare le
capacità di difesa, a rafforzare le modalità di contrasto e la cooperazione
internazionale nella cybersecurity. Il Piano Nazionale si diffonde quindi su
tutta una serie di indirizzi operativi, anche questi coerenti con le misure
adottate dai nostri principali partners: in primis, incentrate sull'analisi delle
minacce e delle vulnerabilità, sulla interazione pubblico-privato, sulla
raccolta ed elaborazione delle informazioni, sulla capacità di contrasto e di
attribuzione degli attacchi.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 49
50. Le criticità che si rilevano nel Piano Nazionale,indubbiamente un lodevole
adempimento che rappresenta tuttavia solo l'inizio di un arduo percorso
per l'Italia, riguardano aspetti legati sia alla qualità dell'impegno che i
diversi Governi hanno sinora dedicato alla fondamentale questione della
Cybersecurity, sia alle "condizioni di sistema" relative al grado di
informatizzazione dell'Italia. Su queste ultime, pesa anzitutto l'arretratezza
delle infrastrutture, delle tecnologie, la posizione estremamente deludente
del nostro Paese nella velocità di "download", ad es. dove precediamo solo
il Kenia tra un centinaio di altri Paesi, dall'enorme ritardo nella diffusione
della banda larga e dell'attuazione dell'Agenda Digitale, annunciata e mai
avviata da quasi tre anni: un'era geologica,in termini di Cybersecurity.
L'arretratezza "di sistema" complica qualsiasi strategia di difesa, di
contrasto attivo e di deterrenza, dove i giochi si fanno sull'onda dei
trilionesimi di secondo.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 50
51. Mentre la minaccia cyber viene indicata correttamente ormai al primo
posto tra quelle individuate dai nostri Servizi, con attacchi in continua,
rapida crescita, il 57% delle aziende del Nord Est (del Nord Est!) ha
dichiarato in un sondaggio del 2013 di non aver mai svolto un'analisi
interna sulla sicurezza cyber e di non sentirne neppure l'esigenza. E questo
mentre, nello stesso sondaggio, quasi il 50% delle aziende del Nord Est
operanti in Settori Critici indichi di aver avuto problemi legati alla
Cybersecurity; ma di non aver previsto spese specificamente dedicate alla
Cybersecurity.
Nel merito del Piano Nazionale adottato lo scorso febbraio si nota come la
sua impostazione, pur "allineata" come dicevo alle strategie atlantiche ed
europee, appaia notevolmente in ritardo e "timido" quanto ad elementi
strutturali e concettuali della cybersecurity che i nostri principali partners
hanno definito a titolo nazionale.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 51
52. In ritardo: il Cyber Command americano è entrato nella sua "operational
capability" nel Maggio 2010; analoghe funzioni sono state assunte
dall'Aprile 2013 dal Joint Forces Command britannico; in Francia il
comando operativo Cyber funziona dal 2011 e dipende dal Centro di
pianificazione e condotta delle operazioni dello Stato Maggiore, mentre
l'Agence National de la Securitè des Systemes d'information (ANSSI)esiste
dal 2009; in Germania, il Nationales Cyber-Abwehrzentrum dal 2011. Il
Piano Nazionale per la Sicurezza cibernetica si prefigge - ma con un
manifesto ritardo di alcuni anni, rispetto ai principali Paesi alleati - di
"sviluppare strutture di Comando e Controllo in grado di condurre
operazioni militari nello spazio cibernetico". Inoltre, mentre i principali
Paesi europei indicano pubblicamente le risorse a ciò destinate, tale
indicazione non compare nel piano nazionale italiano.
Discorso analogo vale in termini di "posture" del nostro apparato di Difesa
Cyber contro intrusioni e minacce, soprattutto per quanto riguarda le
misure di contrasto, di difesa attiva, le eventuali "cyber sanctions", e la
"tailored defence". Tutte tematiche di rilievo centrale nelle strategie e nel
dibattito negli altri principali Paesi alleati.
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 52
53. In conclusione, è fortemente auspicabile che anche nel nostro paese si
sviluppi una ben più precisa consapevolezza di questo aspetto della
sicurezza nazionale che ha assunto da anni un rilievo assolutamente
primario. Tale consapevolezza può essere "scomoda", come la
constatazione di una malattia da curare, da prevenire e contenere nelle
possibili ricadute, da allontanare rafforzando le capacità immunitarie
dell'organismo. Ma essa deve essere affrontata con vigore, precisione
scientifica, impegno nel sensibilizzare la società civile, il mondo delle
imprese, e della ricerca. Nell'azione diplomatica, dobbiamo pretendere di
essere parte dei gruppi più avanzati e ristretti attivi nell'utilizzo dei
"metadati", nell'intelligence sharing". Se non sarà così, soffriremo di un
altro handicap strutturale, con rischi e diseconomie per tutti noi, di cui
magari ci accorgeremo solo molto tempo dopo averli subiti e averli già
'"pagati".
Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia 53