Download - Discorso cybersecurity

Transcript
Page 1: Discorso cybersecurity

Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Discorso dell’Ambasciatore Giulio Terzi di Sant’Agata

Page 2: Discorso cybersecurity

2Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

È per me un vero piacere poter discutere con voi un tema che già da una decina d'anni è entrato con grande rilievo nei dibattiti e nelle attività di Governo riguardanti la sicurezza internazionale e la politica estera. Un tema che ha tuttavia acquisito una sua ancor più complessa caratterizzazione dallo scorso anno. L'emersione pubblica dell'utilizzo dei "metadata" a scopi non solo scientifici, economici, informativi, ma anche di deterrenza e di contrasto attivo è messo in risalto insieme a immense potenzialità del web, crescenti frizioni tra globalità della rete, diritti individuali e principi di sovranità.

Nonostante i luoghi comuni suggeriscano diversamente, le esperienze che stiamo vivendo dimostrano la continua espansione della rete, secondo una traiettoria che favorisce la globalizzazione economica e consolida quella definizione di Kenichi Omahe dei “borderless states”: società ad identità politica e culturale ma non più territoriale.

Page 3: Discorso cybersecurity

3Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Eppure l’impatto avuto dalla consapevolezza di un utilizzo intrusivo dei metadati, da politiche assertive di importanti protagonisti della scena internazionale, le contrapposte preoccupazioni sulla tutela delle liberta e dei diritti individuali hanno creato un inversione di tendenza in quella che era sembrata sino a poco tempo fa l’accettazione di un principio assoluto di universalità e libertà della rete. Molte forze sono ora in campo per disaggregarla, filtrarla o condizionarla, con motivazioni da un lato di sicurezza nazionale, dall’altro di garanzia della privacy, del diritto all’oblio di tutela della dignità della persona. I riflessi sulla diffusione dei dati e sul loro utilizzo sono inevitabili. Parte dei fenomeni di disaggregazione deriva anche dalle pratiche commerciali di un numero sempre più grande di providers che alterano la libera concorrenza sul web ottenendo dagli organismi regolatori corsie preferenziali che interferiscono ad esempio sulla velocità e capacità di download precostituendo accessi riservati al cloud e limitando flussi di dati che dovrebbero essere condivisi con la generalità degli utenti.

Page 4: Discorso cybersecurity

4Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Mi è parsa essenziale questa breve premessa perché il tema della sicurezza deve essere affrontato senza mai trascurare le implicazioni che ne derivano per l’universalità e la libertà della rete, alla quale credo noi tutti dobbiamo tenere.Come ha notato Dan Geer, un esperto di sicurezza internet e gestione del rischio[la sua storia è significativa. Il suo rapporto del 2003 "Cyber insecurity", sosteneva che la posizione dominante di Microsoft nei desktop computer era un rischio per la sicurezza nazionale],"Mentre l'intera società diventa più tecnologica, anche il quotidiano dipende da una distante e remota "perfezione digitale"".Eppure, l'attuale gestione del rischio non presta molta attenzione alla "distant digital perfection", a quella aggregazione di fattori che risiedono al di fuori, spesso assai lontano, dai server e firewalls della propria organizzazione. Nella finanza americana la "tempesta perfetta" del 2008 è nata da aggregazioni del rischio bolla immobiliare, esposizione creditizia, fragilità bancaria, implicite garanzie pubbliche che restavano in ombra, in buona parte volutamente, nelle analisi sistemiche.

Page 5: Discorso cybersecurity

5Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Nella cyber security ci troviamo, secondo alcuni analisti, in una situazione analoga: le modalità di valutazione del rischio non tengono sufficiente conto della complessità e delle interconnessioni tra i diversi fattori.Come nella finanza del 2008,nella cyber security del 2014 ogni organizzazione si dedica soprattutto ad affrontare i propri problemi, a rafforzare le "difese interne", più che a guardare alle correlazioni esterne. Ma è soprattutto da queste, da sequenze di shock causati da eventi inattesi e lontani che possono derivare impatti devastanti. Se l'internet di domani sarà, come molti ritengono, meno resistente, robusto, disponibile e universale di quanto non sia oggi, i rischi di shock a cascata cresceranno.Da sempre su Internet è stato più facile attaccare che difendere. La sua architettura iniziale era basata più sulla fiducia reciproca che non sulla sicurezza, con un software che persino oggi lascia molte, casuali o volute, vulnerabilità; con complicazioni per le capacità di difesa. È inevitabile che nel corso degli anni gruppi organizzati siano riusciti ad avvantaggiarsene: che, in altri termini, i predatori siano diventati più numerosi, agguerriti, efficaci delle loro stesse prede.

Page 6: Discorso cybersecurity

6Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Per delimitare il terreno della nostra discussione vorrei trattare cinque aspetti che mi sembrano riassumere sfide e scenari che ci troviamo dinanzi:

1. L'aspetto della complessità;2. L'individuazione e la definizione della minaccia;3. La libertà del web, la tutela della privacy, e le diverse concezioni della

sicurezza dello Stato;4. La collaborazione internazionale esistente e quella auspicabile;5. Le idee sul tappeto, e l'azione dell'Italia.

Page 7: Discorso cybersecurity

7Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

1. LA COMPLESSITÀNei "concetti strategici" delle principali potenze la dimensione Cyber si è aggiunta da almeno un decennio come "quinta dimensione" alle altre quattro - terrestre, navale, aerea, e spaziale - che tradizionalmente apparivano nei documenti di strategia militare adottati e resi noti dai Governi.La sua potenzialità distruttiva, l'asimmetria tra il valore di possibili obiettivi oggetto della minaccia cibernetica e i bassissimi costi per realizzarla, la proliferazione delle tecnologie e il loro impiego "dual use", fanno delle armi cibernetiche qualcosa di assai simile a quelle nucleari.Peraltro con alcune fondamentali differenze.La più importante, sotto il profilo della sicurezza internazionale, riguarda la assai maggiore difficoltà, praticamente l’impossibilità, di arrestare la proliferazione delle "cyberweapons".Se l'immenso sforzo anti-proliferazione nucleare della comunità internazionale, iniziato con la Presidenza Kennedy, ha fatto sì che i Paesi "a rischio" di acquisire l'armamento atomico si contino sulle dita di una mano, mentre Kennedy ne prevedeva molti di più, almeno una trentina nel giro di pochi anni, la tentazione di dotarsi di "Cyberweapons" appare oggi estremamente diffusa.

Page 8: Discorso cybersecurity

8Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Benché si tratti di programmi portati avanti in segretezza, che, diversamente da quelli nucleari, non richiedono nè grandi infrastrutture grandi nè vaste risorse umane, la corsa all'arma cibernetica è chiaramente diventata globale. Sarebbero ormai un centinaio i paesi che accumulano capacità cibernetiche militari, anche se i programmi veramente avanzati - secondo i calcoli di una società leader nel settore, la californiana McAfee - riguarderebbero per ora non più di una ventina di Paesi.La proliferazione delle "cyberweapons" si avvantaggia inoltre della circostanza che le tecnologie dell'informazione sono "dual use" in una misura immensamente diversa da quelle nucleari. Il nucleare è confinato, in ambito civile, all'energia e alla medicina. Le tecnologie informatiche sono l'essenza stessa della nostra vita quotidiana, della comunicazione, della scienza, dell'economia, della realtà produttiva e finanziaria, della vita sociale, politica e aggregativa.

Page 9: Discorso cybersecurity

9Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Per il progresso delle nostre società le IT sono infinitamente più importanti delle tecnologie nucleari. Rovesciarne l'utilizzo a fini militari apre perciò orizzonti forse ancor più cupi di quelli di una Gotterdammerung nucleare. Sarebbe quindi auspicabile, se non fossimo nella pura astrazione, che per le "cyberweapons" valessero proposte come quella lanciata nel giugno 1946 alle Nazioni Unite, a nome del Presidente Truman, da Bernard Baruch, affinché tutto l'arsenale nucleare disponibile - e solo gli Stati Uniti ne erano all'epoca detentori - fosse consegnato all'Onu, a condizione che tutti i paesi si impegnassero a non fabbricarne e ad aprirsi a ispezioni. Sappiamo che il "niet" sovietico fece naufragare il piano Baruch, alimentando la corsa all'arma nucleare. Le IT e i suoi utilizzi militari sono già diffuse a livello globale, e il genio non rientrerà più nella bottiglia.

Page 10: Discorso cybersecurity

10Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Una seconda fondamentale differenza rispetto all'"era atomica" riguarda il grande ritardo nel definire strategie operative, basi giuridiche, perimetri di alleanze, principi di dialogo e valori etici per la sicurezza cibernetica e la sua dimensione militare. Dopo il blocco di Berlino e l'accesso sovietico all'arma atomica, i "concetti strategici" dei due blocchi cominciarono ad assumere connotazioni precise, sino ad evolvere attraverso le due essenziali fasi della "deterrenza”: la prima basata sulla risposta massiccia e poi una seconda incentrata su flessibilità e gradualità di reazione. Ci vollero, è vero vent'anni, dal primo test nucleare sovietico del '49, perchè si creassero le condizioni per l'avvio-a Helsinki nel '69- di negoziati intesi a mantenere la deterrenza in equilibrio, contenendo la minaccia e la dimensione degli arsenali. In campo "cyber", si deve notare come Arpanet, il precursore di Internet,e le ricerche del Pentagono su queste nuove tecnologie risalgano a più di quarant'anni fa. E come episodi di "cyberwar" non siano mancati nell'ultimo decennio. Ciononostante, come ha notato il Presidente della Cyber Conflict Studies Association: "Siamo al 1946, per la Cybersecurity. Abbiamo queste nuove, potentissime armi, ma non abbiamo tutto l'impianto concettuale e dottrinale che sostenga e regoli le possibilità di impiego di questi armamenti o un tipo di deterrenza. Peggio, non sono solo Stati Uniti e Urss a disporre di queste armi, ma sono milioni e milioni di persone in giro per il mondo che vi hanno accesso".

Page 11: Discorso cybersecurity

11Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

La complessità è funzione di un avanzamento tecnologico che sembra tendere all'infinito. La legge di Moore è ben lontana dall'aver esaurito la sua progressione geometrica.Secondo Cisco a fine 2012 erano quasi 9 miliardi i "devices" collegati a Internet. Diventeranno almeno 40 miliardi nei prossimi sei anni,espandendo la cosiddetta "internet of things", dove qualsiasi gadget della vita quotidiana munito di un chip diventa parte dell'infinita serie di reti che producono "metadati".L'evoluzione stessa del web è parte della sua complessità;genera nuove norme di comportamento; "personalizza" le informazioni;orienta tendenze e social networks; mentre l'espansione dimensionale genera a sua volta dinamiche e mutazioni imprevedibili. 2.500 quadrilioni di nuovi bytes confluiscono ogni giorno in Internet.

Page 12: Discorso cybersecurity

12Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

La complessità riguarda l'utilizzo dei "metadati": di quell'informazione cioè che descrive la natura della comunicazione, più che il suo contenuto. Un'innovazione che ha portato negli ultimi anni a svolte molto significative nei campi più disparati, dall'intelligenza artificiale - ad esempio le auto senza guidatore messe a punto dal Dipartimento ricerca di Google - alla medicina, dalla meteorologia all'analisi economica,dalle strategie commerciali a quelle militari. Nell'attività informativa i "metadata" sono diventati lo scorso anno motivo di imbarazzo per Washington dopo la fuga a Hong Kong di Edward Snowden e la generosa ospitalità tempestivamente offertagli dal Cremlino. Con la grande rete dei "metadati" i Governi che hanno capacità tecnologiche avanzate - non solo gli Usa - raccolgono tutto ciò che può avere qualche interesse o collegamento con la sicurezza militare,economica, per la stabilità sociale e l'attività di Governo.Negli Stati di Diritto, nelle democrazie occidentali, dove l'intelligence è sottoposta a vincoli e controlli parlamentari, gli sconfinamenti ad esempio sul terreno della proprietà intellettuale, della concorrenza industriale, della riservatezza nei mercati finanziari, non è certo impossibile, ma si tratta di materie severamente regolate, vigilate e sanzionate.

Page 13: Discorso cybersecurity

13Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Lo stesso non si può certo affermare per i Paesi che si reggono su sistemi autoritaria "democrazia condizionata", dove la libertà d'informazione e di espressione politica sulla rete è censurata o filtrata.L'utilizzo americano dei "metadati" a fini di antiterrorismo ha provocato preoccupazioni europee per la tutela della privacy, e irritazione soprattutto del Governo tedesco per le intercettazioni avvenute al cellulare del Cancelliere Merkel. Ma anche Hillary Clinton,da Segretario di Stato, veniva intercettata dalla BND tedesca. È necessario perciò definire più avanzate norme di comportamento anzitutto tra i Paesi Nato.

Page 14: Discorso cybersecurity

14Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Non e ‘infatti immaginabile che sia disattivato o drasticamente ridotto l'utilizzo dei "metadati", altro fondamentale elemento di complessità per la cybersecurity. Abbiamo visto come Washington abbia piuttosto messo l'accento sulle procedure autorizzative e sulla concertazione con i maggiori Alleati. Molto lavoro è stato fatto tra Washington e le capitali europee dopo l'esplosione, non certo casuale, del caso Snowden nel giugno dello scorso anno.L'ex contrattista NSA è emerso a Hong Kong proprio quando Obama stava ponendo al centro del Vertice con Xi Jinping la cybersecurity e le intrusioni degli hackers cinesi; poco dopo Snowden è stato accolto come un rifugiato da Mosca. Da quando si è posta anche nei rapporti tra Alleati la questione "Big Data", è balzato agli occhi il fatto che la capacità americana di amministrare il sistema in funzione antiterrorismo è molto affine, se non identica, a quella che consente agli Usa di individuare l'origine degli attacchi Cyber, e di valutare contromisure ed eventuali risposte. Vi è qualche dubbio che sia proprio questo il motivo per il quale la defezione di Snowden è stata cosi importante per Mosca e Pechino? Big Data ha comunque aperto una fase nuova. Ogni persona sul Pianeta dispone di una massa di informazioni superiore a 1600 Exabyte, massa che raddoppia ogni tre anni. Se si pensa che nel 2000 solo 1/4 delle informazioni stoccate era digitale, e oggi lo è il 98%, si comprendono le rapidissime mutazioni che ciò ha prodotto nell’attività di intelligence, nella cybersecurity, e le problematiche di natura politica, legale, etica e sociale che ne derivano.

Page 15: Discorso cybersecurity

15Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

2. INDIVIDUAZIONE E DEFINIZIONE DELLA MINACCIANel decimo anniversario dell'attacco alle Torri Gemelle,nel 2011 quando ero ancora a Washington, il Department of Homeland Security, la gigantesca organizzazione deputata a tutte le attività per la sicurezza sul territorio statunitense, organizzò una presentazione pubblica all'Idaho National Laboratory-INL. La presentazione voleva scuotere l'opinione pubblica sulla minaccia cyber, per coinvolgere tutti gli americani e convincerli ad alzare la guardia.Poco tempo prima, l'INL aveva eseguito un test segreto - poi declassificato - in un centro nucleare di ricerca altamente protetto per verificare le potenzialità di un attacco cyber nella distruzione dell'impianto. L’esperimento dimostro l’impossibilità per lo stesso team di tecnici dell'Homeland Security di salvare l'impianto. Questo episodio si inserisce nella continua opera di sensibilizzazione praticata negli States e spiega perché, solo nello scorso anno, i riferimenti nella stampa americana a una “Pearl Harbour” o a un “11 Settembre cibernetico” siano stati quasi un milione. Tuttavia, la minaccia Cyber resta troppo spesso indeterminata e confusa, persino nell'attività legislativa e di Governo.

Page 16: Discorso cybersecurity

16Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Ancora negli Usa, la motivazione addotta dai proponenti di una legge sulla sicurezza cibernetica nell'estate 2011 menzionava gli attacchi contro Citygroup, una banca, contro RSA, un gruppo industriale, e contro il programma nucleare iraniano con il virus Stuxnet. Tre tipologie ben distinte: la prima una frode, la seconda un furto di proprietà intellettuale, la terza una nuova forma di "attacco cibernetico preventivo“. Testimoniando al Congresso un responsabile del Cybercommand dichiarava già nel 2010 che ogni giorno le Forze Armate americane subivano milioni di attacchi cyber, una cifra che evidentemente accumunava tutti i tentativi di intrusione nei computer della Difesa: non solo quelli che configuravano una qualche "minaccia”. Se distinguiamo l'aspetto della vulnerabilità da quello della minaccia, è ‘intuitivo come una "porta“ in un programma informatico possa varcata con finalità assai diverse.

Page 17: Discorso cybersecurity

17Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Quando l'intrusione costituisce una minaccia, si deve non solo rispondere, ma la si deve prevenire. Da qui, la necessità di una strategia cyber, e di un apparato ad essa specificamente dedicato, che colga bene il profilo dell'autore della minacciale sue finalità, e le possibili conseguenze. Per fare un esempio, Paesi che riferiscano essenzialmente la cybersecurity ai reparti anticrimine della polizia postale, rischiano di essere sprovvisti di capacità serie di valutazione e risposta nella dimensione Difesa. Le modalità di un attacco hacker evolvono in relazione alle vulnerabilità del loro obiettivo. Possono riguardare una persona, un'azienda, un sistema di sicurezza; possono però anche essere "untargeted", con virus messi in circolazione "automatica" per sottrarre ad ampio raggio identità, codici, conti correnti, da riutilizzare in altre operazioni. Costi, capacità organizzativa, livello della minaccia cambiano sensibilmente nei due casi, sia dal lato dell'attacco che della difesa. Individuare gli autori potenziali della minaccia rappresenta quindi la vera sfida per i responsabili della cybersecurity.

Page 18: Discorso cybersecurity

18Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

3. LA LIBERTÀ DEL WEB, LA TUTELA DELLA PRIVACY E LE DIVERSE CONCEZIONI DELLA SICUREZZA DELLO STATO

Il termine "internet freedom" si basa sull'idea che la libertà di espressione online,di accesso al web, di collegarsi a utenti in ogni parte del mondo, sia riconducibile a diritti affermatisi ben prima dell'era cyber. In particolare, alla Dichiarazione universale dei Diritti dell'Uomo del '48 e al Covenant sui Diritti Civili e politici, che garantisce il diritto di tutti a cercare ricevere, diffondere informazioni e idee attraverso ogni tipo di media e senza barriere nazionali.

Page 19: Discorso cybersecurity

19Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

La crescente resistenza che si e verificata da alcuni decenni, in una parte del mondo, a riconoscere concretamente l'universalità e l’indivisibilità dei diritti umani - due principi che costituiscono l'essenza stessa del diritto internazionale vigente - si è tramutata in esplicita rivendicazione, da parte di paesi come la Cina, l'Iran, la Russia, e altri Stati a "democrazia condizionata", delle "specificità culturali" che dovrebbero derogare all'applicazione di diritti già ampiamente acquisiti nelle Convenzioni e nella prassi internazionale del secondo dopoguerra.La libertà di informazione e di espressione costituiva ovviamente un argomento molto sensibile per gli Stati autoritari già prima della diffusione di Internet. Con essa, il problema si è aggravato. Da un lato, la libertà di informazione e di espressione non potrà mai essere separata dai diritti inalienabili della persona che l'Occidente pone al centro delle relazioni internazionali, delle iniziative per promuovere stabilità, pace e sviluppo.

Page 20: Discorso cybersecurity

20Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Non vi è documento adottato dall'Onu che non sottolinei tale approccio. I comportamenti di un certo numero di Paesi vanno però in direzione ben diversa. È quindi di estrema importanza riaffermare in ogni sede multilaterale e bilaterale che i fondamentali diritti della persona si applicano integralmente allo spazio Cyber. Deve esser riconosciuto universalmente il diritto di riunirsi, aggregarsi, condividere e perseguire comuni interessi sul web come tutto ciò deve essere anche riconosciuto per un luogo di culto,di lavoro o in uno spazio pubblico.Le resistenze dei regimi repressivi fanno leva sul fatto che la libertà su Internet li destabilizzerebbe e porterebbe a un "regime change". È spesso avvenuto negli ultimi due secoli che regimi totalitari rovescino le responsabilità della propria instabilità interna - causata appunto dalla repressione - su ipotetici "nemici esterni”. Vengono così contrastate tutte le forme, ad esempio, di "public diplomacy" utilizzate normalmente dai Governi democratici per interagire con l'opinione pubblica nazionale e estera.

Page 21: Discorso cybersecurity

21Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Le tecnologie che consentono di aggirare censure, di evadere la sorveglianza, di mantenere l'anonimato, sono considerate in diversi paesi un rischio per la sicurezza nazionale. Per la Cina o per la Russia una stretta censura non rappresenta una violazione dei diritti, ma uno strumento per garantire la stabilità. La limitazione della libertà di espressione prende le forme più disparate; essa contrappone i sistemi autoritari alle democrazie liberali; tuttavia esistono sfumature anche tra queste ultime in tema ad esempio di negazionismo dell'Olocausto, antisemitismo, omofobia, tutela della libertà religiosa.Sono molti a sostenere che il principio di libertà sulla rete dovrebbe essere assoluto e non tollerare neppure le limitazioni imposte dalla tutela della proprietà intellettuale. È quindi evidente la necessità di trovare punti di equilibrio, come in tutti i campi dove l'affermazione della libertà individuale deve essere contemperata dalla considerazione dei diritti altrui.

Page 22: Discorso cybersecurity

22Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

La liberta di informazione e di accesso al web trova un'altra criticità nel dibattito sulla Governance di Internet. Esso a sua volta d coinvolge quello sulla cybersecurity. Dal 1998, dopo un'ampia concertazione pubblica tra le diverse organizzazioni coinvolte nella diffusione di Internet, emerse l'esigenza che la governance dovesse rimanesse in mani non governative.Si costruì un'organizzazione che avrebbe dovuto riflettere "le diversità geografiche e funzionali di Internet, ICANN-Internet Corporation for Assigned Names and Numbers", ripartita in autorità regionali competenti per i cinque continenti. Struttura che è rimasta immutata dal 2004. Il suo ruolo è rilevante e delicato perché la definizione di un’identità Internet, che è appunto compito di ICANN, comporta il contemperamento di interessi politici, economici, culturali contrapposti. Alla fine dalle decisioni di ICANN escono quasi sempre vincenti e perdenti.

Page 23: Discorso cybersecurity

23Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Anche per tali motivi la discussione sulla rappresentatività di questa forma di governance, e sull'influenza che su di essa mantiene la componente americana, è destinata a rimanere centrale nell'immediato futuro. L’obiettivo essenziale, a garanzia di un denominatore comune di libertà è che la Governance di internet continui ad essere, di nome e di fatto, interamente "non governativa".

Page 24: Discorso cybersecurity

24Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

4 LA COLLABORAZIONE INTERNAZIONALE ESISTENTE E QUELLA AUSPICABILE

Nel corso della mia missione a Washington, tra il 2009 e il 2011 ho avuto ampio modo di constatare la repentina crescita di attenzione del Governo, dei più qualificati think tanks, dei mondi economici, scientifici e imprenditoriali americani alle sfide della cybersecurity. Non vi era giorno, mi raccontava ad esempio già nel 2009 un alto rappresentante del Congresso, in cui gli hackers non cercassero di sottrarre nominativi, file e informazioni riservate dai computer dei congressmen che si occupavano di diritti umani e di dissidenti in Cina. Nè erano certo in secondo piano, nelle conversazioni che avevo con i più diversi interlocutori, i casi preoccupanti avvenuti contro l'Estonia e la Georgia, così come le attività degli hackers in ambito finanziario, nell'industria della Difesa, nel mondo dell'informazione e delle Istituzioni.

Page 25: Discorso cybersecurity

25Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

È stato a partire da quegli anni che il Governo americano si è impegnato a promuovere una collaborazione stretta con i paesi Alleati in ambito bilaterale e atlantico. Da allora l'Italia ne è sempre stata parte convinta.Sono tuttavia d'accordo con chi sottolinea l'urgenza di fare molto di più. L'Atlantic Council ha recentemente osservato: "La Nato deve sostituire l’ambiguità strategica con la chiarezza nell'indicare come il sistema di difesa collettiva deve funzionare in tempi di minacce cyber,così da rafforzare la fiducia tra alleati". Il riferimento al pregiudizio che può derivare da altri "casi Estonia" non potrebbe essere più chiaro.

Page 26: Discorso cybersecurity

26Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Quando scoppiò nell'Aprile 2007 la "cyberwar" contro il suo Paese il Ministro degli Esteri Estone, Urmas Paet fu immediato nel puntare l'indice contro la Russia. Nuovo membro dell'Alleanza, mal visto da Mosca a causa di un trattamento asseritamente discriminatorio nei confronti dell'importante componente russofona, e della contestata rimozione di un monumento celebrativo dei soldati russi nella seconda Guerra mondiale, il Paese costituiva una delle realtà più avanzate al mondo per impiego e diffusione delle IT. Tutto o quasi, dai servizi finanziari, alla giustizia, all'assistenza sociale e al voto, correva sul web. Improvvisamente, nell'Aprile 2007 l'intero sistema Paese veniva attaccato da una serie di "botnets" [reti di computer zombie che mandano spam e dati per ottenere un Denial of Service su larga scala]. I "botnets" contro l'Estonia coinvolgevano più un milione di computers in 75 Paesi.

Page 27: Discorso cybersecurity

27Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Per la prima volta nella storia della Nato, uno stato membro sosteneva che la "cyberwar" avesse esattamente le stesse implicazioni di un attacco militare con forze convenzionali o non convenzionali, e che dovesse quindi scattare l'applicazione dell'art. 5 del Trattato di Washington: "I Paesi parte convengono che un attacco armato contro uno o più di loro in Europa o in Nordamerica sarà considerato un attacco contro tutti loro". Ma i Paesi Alleati, pur esprimendo in Consiglio Atlantico tutta la loro preoccupazione, ritennero che l'Art.5 non fosse applicabile. L'Estonia era stata certamente intimidita e danneggiata, ma non c'erano stati feriti, distruzioni fisiche, danni economici al di là del blocco dei sistemi informatici, alla cui riattivazione la Nato prestò in ogni caso il suo aiuto. Il punto sollevò una serie di quesiti sul concetto stesso di "aggressione“ e sulla conseguente legittimità dell'uso della forza da parte dello Stato aggredito.

Page 28: Discorso cybersecurity

28Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Il caso estone dimostra la difficoltà di applicare alla cyber security e alle IT le esistenti categorie del diritto internazionale. Lo Statuto delle Nazioni Unite, il principio di sovranità di non interferenza negli affari interni, la risoluzione delle controversie escludendo l'uso della forza, la regolamentazione di quest'ultima in un quadro di legittimità, sono i capisaldi di relazioni internazionali concepite ben prima della globalizzazione.Negli ultimi vent'anni vi sono stati ulteriori progressi nella tutela dei diritti umani, nel riconoscimento del principi di libertà, nella limitazione della sovranità in rapporto alla "responsabilità di proteggere", nell'abolizione di determinati tipi di armamenti, nella lotta alla proliferazione delle armi di distruzione di massa, nell'affermarsi di norme internazionali a tutela della scienza, dell'ambiente,nella promozione dello sviluppo sostenibile. Ma gli aspetti particolarmente sensibili che riguardano la sicurezza dello Stato in campo "cyber" sono rimasti sostanzialmente esclusi dai più importanti progressi normativi.

Page 29: Discorso cybersecurity

29Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Se cioè avvenuto nel contesto universale delle Nazioni Unite, non molto diverso è parso l'orientamento dei Governi in ambito europeo e atlantico.I Paesi Nato hanno fortemente esitato sull’applicabilità dell'art. 5 del Trattato di Washington al caso estone, ravvisando che non ricorresse l'estremo dell'aggressione "contro l’integrità territoriale di uno Stato" così come definita dallo Statuto dell'Onu. Tuttavia gli ambienti atlantici si mostrarono consapevoli dell'urgenza di approfondirne le implicazioni politiche e giuridiche. Il Nato Cooperative Cyber Defence Centre of Excellence ha prodotto un manuale - il Tallinn Manual - sul diritto internazionale applicabile ai conflitti cibernetici, con idee innovative che vanno dalla ridefinizione del concetto di legittima difesa nella Cyberwar, al principio che i civili che vi partecipano perdono le garanzie riconosciute ai civili dal diritto internazionale nelle situazioni di conflitto. Tuttavia,il Manuale non è stato formalmente approvato.

Page 30: Discorso cybersecurity

30Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Sensibilità e priorità diverse rendono ardua l'adozione anche all'interno dell'Alleanza Atlantica di regole per lo spazio cibernetico. Ci si deve perciò affidare all' interpretazione del diritto esistente. Un attacco cibernetico deve essere governato, allo stato delle cose,dalle stesse regole che valgono per gli attacchi di altra natura. Esse sono essenzialmente tre:

Page 31: Discorso cybersecurity

31Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

A) Effetti Il diritto internazionale consente il ricorso alla forza anche contro le forme di aggressione che avvengano con mezzi diversi da quelli militari, ma che abbiano un impatto analogo. L'apertura di una diga e la conseguente inondazione di un territorio può avvenire attraverso il sabotaggio ed avere lo stesso impatto di un bombardamento; lo stesso dicasi per incendi su larga scala, per la distruzione di risorse essenziali, idriche, alimentari o altro. Per contro, l'uso della forza non sarebbe certo giustificato come risposta a campagne di disinformazione sul web, o a intrusioni che non abbiano impatto equivalente a un atto di guerra. La stessa interruzione temporanea delle comunicazioni non era stata giudicata dagli estensori della Carta di San Francisco come un atto di guerra,che invece sussiste nel caso di "blocco economico". Evidente quanto la distinzione diventi sottile negli attacchi cyber.

Page 32: Discorso cybersecurity

32Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

B) ContestoNell'agosto 2008 i siti web del governo georgiano sono stati attaccati da hackers russi per diversi giorni, con "denial of service", bloccando tutte le comunicazioni Internet mentre i tanks russi avanzavano sino a pochi chilometri da Tblisi, e i bombardamenti causavano 1300 vittime civili. In quel contesto, difficile negare che l'operazione cyber, collegata all'attacco convenzionale russo contro la Georgia, non fosse un atto di guerra.

Page 33: Discorso cybersecurity

33Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

C) Causalità e misurabilità Servono a distinguere l’attività di intelligence e "cyber" dagli atti definibili "di guerra". La prima può certo essere collegata ai secondi, prepararli, amplificarne gli effetti. Ma è solo dopo che tali effetti si sono creati, come ho accennato nel caso dell'attacco alla Georgia nel 2008, che si può individuare l'esistenza di un vero conflitto armato, mentre l’attività informativa e di intelligence in quanto tale non motiva di norma, nella prassi seguita dagli Stati, l'impiego della forza, ma semmai risposte della stessa natura e della stessa proporzione.

Page 34: Discorso cybersecurity

34Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

La Nato e l'UE attraverso l'auspicabile revisione dei rispettivi "concetti strategici", devono chiarire che,dinanzi a un avversario privo remore nell'utilizzare metodi aggressivi nello spazio cyber, l'attuale "ambiguità strategica", deve far posto a una chiara formulazione dell'impegno alla difesa collettiva ex art.5 del Trattato di Washington applicato alla minaccia cyber. L'aggressione Russa all'Ucraina si è compiuta tanto a terra quanto nel "cyberspace". I siti governativi di Kiev sono stati attaccati. Lo stesso è avvenuto per siti della Nato in coincidenza con l'annessione della Crimea alla Russia. Poi, a fine agosto, il grande attacco informatico a JPMorgan, con l’acquisizione incredibile di dati concernenti 86 milioni di correntisti. I Paesi Baltici sono inquieti e ritengono di essere i prossimi nella lista di Mosca. Chiarezza sulla responsabilità collettiva in caso di minacce Cyber è quindi necessario preservare la funzionalità dell'Alleanza.

Page 35: Discorso cybersecurity

35Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

In senso più ampio, si è da tempo e con insistenza posto l'interrogativo se l'enorme rilevanza dello "Cyberspace" per la sicurezza, l'economia, il progresso dell'intera umanità non richiedano una sorta di nuova Convenzione di Ginevra sulla "quinta dimensione" della sicurezza internazionale. E si ricorda giustamente come esistano precedenti, nell'adattamento di norme internazionali al progresso tecnologico e scientifico, sui quali costruire. Dalle Regole dell'Aja sulla Guerra Aerea di inizio anni '20, al Trattato sull'Antartico del '59, a quello sull'Outer Space del '67, essendo gli ultimi due particolarmente interessanti perché' proibiscono l'impiego di armi in tali ambiti. Tuttavia, non è chi non veda anzitutto l'estrema improbabilità che i paesi più avanzati tecnologicamente abbiano interesse a limitare il loro vantaggio, esattamente com'era avvenuto agli albori dell'era nucleare. Inoltre, la verificabilità e l'interdizione di "cyberweapons" resterebbe, diversamente da quanto avviene invece per lo spazio e l'Antartico, del tutto teorica data l’immaterialità della quinta dimensione della sicurezza.

Page 36: Discorso cybersecurity

36Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Diverso è il discorso per un Trattato multilaterale che miri a costruire dei "blocchi" iniziali, basati su interessi oggettivamente comuni a tutti gli Stati: estendendo quel principio che Obama aveva cercato di far comprendere a Xi Jinping nel loro incontro in California lo scorso anno, turbato dal caso Snowden. Tutti i Governi hanno interesse, ad esempio, al buon funzionamento di Internet, nella lotta alla criminalità cyber, oggetto di Convenzione del Consiglio d'Europa. Gli interessi comuni potrebbero ampliarsi e produrre convenzioni di maggiore portata, per combattere la piaga dei "botnets" e di altri tipi di intrusione che danneggiano le reti. Si pensi all’interesse della Cina che ha il 70% dei computer infettati al mondo. Potrebbero essere istituiti i dei "computer emergency response teams" (CERT) riferiti a un’Autorità mondiale, collegata a entità già esistenti come il WTO o l'International Telegraph Union (ITU).

Page 37: Discorso cybersecurity

37Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Su quest'ultima bisogna fare però attenzione dato che le competenze dei Governi nella lotta al crimine e all'utilizzo deviante di Internet non si trasformi, come vorrebbero Paesi come Cina, Russia, Sudan e Iran, in una facoltà di controllo governativo sulla Rete. Nel mio mandato ministeriale ho fortemente contrastato, insieme a altri colleghi occidentali, tale eventualità. Alla riunione ITU del Dicembre 2012 dove era sul tavolo il rinegoziato delle regole, i Paesi intenzionati a imbavagliare il web hanno cercato di spostare sui Governi e sulle maggiori lobby internazionali la vera governance, sottraendola alle comunità degli utilizzatori, alle organizzazioni “non profit” e “non statuali”: passando così dall’attuale modello “Multi Stakeholder” di un Internet di tutti, al controllo da parte degli stati e dei grandi gruppi di interesse.

Page 38: Discorso cybersecurity

38Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Come disse l'Economist all'epoca, il tentativo proponeva una versione digitale della Guerra Fredda e della Cortina di Ferro. La riunione del Dicembre 2012 si concluse con una netta spaccatura che non è certo servita alla credibilità e al ruolo dell'ITU. Un collegamento di nuove regole al WTO sembra invece più realistico. Consentirebbe di far leva infatti sui vantaggi economici e politici che, in ultima analisi, anche paesi come la Cina possono trarre dal mostrarsi impegnati dal contrastare le violazioni cyber alla proprietà intellettuale. L'adesione di Pechino al WTO è stata fondamentale per il suo sviluppo economico. Nell'attuale condizione cyber "senza regole" la Cina è esposta a azioni di risarcimento multimiliardarie in base allo strumento TRIPS-Trade Related Aspects of Intellectual Property Rights,e a sanzioni previste nei confronti di "stati pirati". Dovrebbe perciò essere a evidente per Pechino la necessità di estendere il campo normativo del WTO alla lotta alla criminalità cyber anche attraverso l'impiego di "computer emergency response teams"(CERTs). Una più efficace cooperazione internazionale non può in ogni caso che partire da un "nocciolo duro“ di Paesi Like Minded.

Page 39: Discorso cybersecurity

39Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Alcuni passi avanti sono stati fatti, alla Nato con il Manuale di Tallin, e un maggior coordinamento militare-civile, e alla Ue. Durante questo Semestre di Presidenza l'Italia ha in programma una serie di riunioni e approfondimenti per affinare la Strategia europea di sicurezza cibernetica, essenzialmente basata sulla prevenzione e la difesa dalla minaccia. Discussioni sono in corso al Foro Regionale Asean, all'Apec, all'Ocse. Manca però un coordinamento effettivo, anche tra i Like Minded a noi più vicini come gli Usa e i loro alleati, su spionaggio cyber e sulle vulnerabilità di sistema, che riguardano infrastrutture la cui sopravvivenza è essenziale per tutti i Partners dell'Alleanza, e non soltanto per uno dei suoi membri sotto attacco.

Page 40: Discorso cybersecurity

40Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Un'idea interessante riguarda la creazione di un "Cyber stability board",simile al Financial Stability Board creato dagli accordi di Basilea. Dobbiamo fare attenzione perchè i promotori pensano a otto-dieci Paesi, essenzialmente a quelli del circuito "Five Eyes" piu Francia, Germania, Giappone, Corea, ma non all'Italia. Il Board assicurerebbe una stretta concertazione nell’attività di intelligence, nel concordare "cybersanction" nei confronti di aggressori, e altre forme di deterrenza, nell'adottare linee comuni con il settore privato, soprattutto nel "certificare" le entità private e non statuali alle quali si possa legalmente riconoscere una limitata capacità di risposta attiva.

Page 41: Discorso cybersecurity

41Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Un regime giuridico che leghi un certo numero di Pesi avrebbe in tale complessa materia una efficacia assai maggiore che non una mera regolamentazione nazionale. Una regolamentazione internazionale incoraggerebbe una partnership pubblico/privato sinora carente (per motivi connessi alla credibilità aziendale, alle quotazioni di borsa, alla propensione a sottostimare enormemente nei bilanci i danni provocati dai furti di proprietà intellettuale, dati, progetti, contatti: sulle prime 500Corporations di Fortune, il 97% è stato attaccato dagli hackers, ma solo in minima parte sono noti i danni).Una siffatta cooperazione internazionale consentirebbe di creare un "network di decision makers" assai più efficace nella risposta che non i singoli livelli nazionali. Infine un Board con i più importanti paesi like minded potrebbe armonizzare le posizioni dei paesi partecipanti sul fondamentale tema della privacy e dei diritti civili.

Page 42: Discorso cybersecurity

42Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

5. LE IDEE SUL TAPPETO E COSA FA L’ITALIA Nel vasto dominio della cybersecurity le capacità di offesa hanno ormai considerevolmente sopravanzato le capacità di difesa. Mentre queste ultime poggiano su sistemi organizzativi e tecnologici in continua evoluzione e rispondono a nozioni consolidate di sicurezza, è la prevenzione a costituire un terreno in buona misura inesplorato e condizionato dalle scelte più difficili.Si tratta, in particolare, di applicare il concetto di deterrenza alla cybersecurity: concetto essenziale nelle strategie della Difesa convenzionale e non convenzionale, che acquista particolare complessità per le asimmetrie e le indeterminatezze del dominio cyber.

Page 43: Discorso cybersecurity

43Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Una tesi che si sta affermando è quella della "tailored deterrence",termine che si può un po' infelicemente rendere come "deterrenza ritagliata su misura". La "tailored deterrence" mira a modificare i calcoli di un potenziale avversario con metodi diversi dalla semplice minaccia di un attacco di risposta. Entrata pienamente nella dottrina strategica americana con la "Quadriennial Defence Review del 2006", la "tailored deterrence" si è via via affermata nelle successive elaborazioni atlantiche e nazionali riferite alle minacce asimmetriche,specialmente terroristiche e cyber. Essa può tradursi in:

Page 44: Discorso cybersecurity

44Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

A) cyber sanctionsAlzando i costi per le intrusioni le sanzioni mirate inviano un chiaro segnale ai Governi che tollerano o promuovono le attività su grande scala degli hacker. Possono collegarsi con azioni coordinate, e autorizzate dal governo, con il settore privato. Nel sistema americano l’autorità di imporre sanzioni contro autori di minacce cyber discende dai suoi poteri di dichiarare l'"emergenza nazionale per minacce inusuali e straordinarie alla sicurezza nazionale, alla politica estera, o all'economia". Si tratta di poteri ampi, per misure finanziarie ad esempio, nei confronti di individui, organizzazioni o Governi. Altre basi legali sono all'esame del Congresso. Nelle misure sanzionatorie dovrebbero essere inserite compensazioni ai settori dell'economia colpiti da sottrazioni di Proprietà Intellettuale. Il Capo del Cyber Command ha definito il furto di Proprietà Intellettuale come il più colossale trasferimento di ricchezza mai avvenuto nel corso della Storia. Le cyber sanctions potrebbero includere misure di risarcimento alle vittime dello spionaggio industriale, fornendo base giuridica e metodologie d'indennizzo simile a quelle previste ad esempio dalle legislazioni antitrust, per rivalersi nei confronti degli autori dei furti.

Page 45: Discorso cybersecurity

45Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

B) Entità certificate e Difesa AttivaL'idea è di creare una cornice legale che autorizzi providers privati nei comparti economici a più elevata criticità per il sistema Paese a mettere in atto limitate misure di difesa attiva, previa attribuzione della minaccia, di concerto con l’autorità per la sicurezza.

Page 46: Discorso cybersecurity

46Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

C Standards mirati di protezione e resistenzaGli standard dovrebbero esser definiti in forma stringente e obbligatoria nei settori di maggior interesse pubblico. In tali settori la protezione non è sufficiente, perché non si può presumere che i tentativi di intrusione non abbiano successo. Entra quindi nella panoplia della deterrenza la resilience: quella specifica capacità di un sistema di mantenere le proprie funzioni essenziali anche quando il sistema stesso viene posto sistematicamente sotto attacco. La "resilience" deve rappresentare un ulteriore "diniego di beneficio", ed un rischio per l'avversario, con aumento dei costi dell’operazione e minaccia di ritorsioni. In genere si ritiene che la "resilience" possa essere rafforzata dall’integrità del sistema, dalla sua segmentazione, e dalla capacità di riacquistare il controllo delle parti compromesse. In ognuna di queste operazioni sono richieste professionalità elevate, che alcuni immaginano dover confluire a livello nazionale in una vera e propria "Cyber Guard".

Page 47: Discorso cybersecurity

47Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Sul versante europeo, i principali sviluppi hanno riguardato la "Comunicazione Congiunta" del febbraio 2013 da parte della Commissione Europea e dell'Alto Rappresentante per la Politica estera e di Sicurezza Comune, sulla "Strategia europea di cybersecurity". Essa contiene orientamenti di carattere generale per gli Stati Membri per rafforzare il loro "network and information security-NIS".Il Consiglio Ue ha discusso ripetutamente gli episodi di attacchi altamente sofisticati, con sottrazione di informazioni e documenti classificati e particolarmente sensibili, perdita di controllo di numerosi network, e altro.Il Consiglio ha perciò richiesto a tutte le Istituzioni europee e agli Stati membri di prendere le necessarie misure per assicurare la propria cybersecurity, avvalendosi dei Computer Emergency Response Teams -CERT-EU- creati nel 2012, e dell’attività dell'apposita Agenzia Europea, la European Network Security Agency-ENISA.

Page 48: Discorso cybersecurity

48Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Molto rimane però da fare, ha riconosciuto lo stesso Consiglio Europeo, sia a livello nazionale che comunitario: adozione di quadri normativi adeguati; riconoscere l'esistenza di crescenti minacce alla loro cybersecurity; definizione degli obiettivi prioritari sulla prevenzione e "reazione" (significativo che l'elaborazione a livello europeo del concetto di "deterrenza" sia ancora molto arretrata); mappatura delle regole, prassi e capacità in seno all'Unione; elaborazione di piani di contingenza per rispondere a situazioni di crisi; lancio di esercitazioni e di iniziative mirate ad accrescere la consapevolezza degli operatori istituzionali, di quelli privati e del pubblico; valorizzazione dei CERT-UE; diffusione di informative e rapporti valutativi tra gli Stati Membri. Durante il Semestre di Presidenza italiana stiamo ponendo un accento soprattutto sull'aspetto del "capacity building" comunitario e nazionale.

Page 49: Discorso cybersecurity

49Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

L'Italia si è dotata di un Piano Nazionale per la Protezione cibernetica e la sicurezza informatica,materia oggetto di approfondimenti successivi nel corso degli ultimi tre anni, avviati dagli "indirizzi" definiti nel gennaio 2013 e sistematizzata dal Decreto entrato in vigore lo scorso febbraio. Il Piano Nazionale, appare sostanzialmente "allineato“ alle strategie raccomandate in sede europea e atlantica. Nel senso che poggia su un approccio integrato della capacità tecnologica, operative e di analisi, mira a potenziare le capacità di difesa, a rafforzare le modalità di contrasto e la cooperazione internazionale nella cybersecurity. Il Piano Nazionale si diffonde quindi su tutta una serie di indirizzi operativi, anche questi coerenti con le misure adottate dai nostri principali partners: in primis, incentrate sull'analisi delle minacce e delle vulnerabilità, sulla interazione pubblico-privato, sulla raccolta ed elaborazione delle informazioni, sulla capacità di contrasto e di attribuzione degli attacchi.

Page 50: Discorso cybersecurity

50Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Le criticità che si rilevano nel Piano Nazionale,indubbiamente un lodevole adempimento che rappresenta tuttavia solo l'inizio di un arduo percorso per l'Italia, riguardano aspetti legati sia alla qualità dell'impegno che i diversi Governi hanno sinora dedicato alla fondamentale questione della Cybersecurity, sia alle "condizioni di sistema" relative al grado di informatizzazione dell'Italia. Su queste ultime, pesa anzitutto l'arretratezza delle infrastrutture, delle tecnologie, la posizione estremamente deludente del nostro Paese nella velocità di "download", ad es. dove precediamo solo il Kenia tra un centinaio di altri Paesi, dall'enorme ritardo nella diffusione della banda larga e dell'attuazione dell'Agenda Digitale, annunciata e mai avviata da quasi tre anni: un'era geologica,in termini di Cybersecurity.L'arretratezza "di sistema" complica qualsiasi strategia di difesa, di contrasto attivo e di deterrenza, dove i giochi si fanno sull'onda dei trilionesimi di secondo.

Page 51: Discorso cybersecurity

51Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

Mentre la minaccia cyber viene indicata correttamente ormai al primo posto tra quelle individuate dai nostri Servizi, con attacchi in continua, rapida crescita, il 57% delle aziende del Nord Est (del Nord Est!) ha dichiarato in un sondaggio del 2013 di non aver mai svolto un'analisi interna sulla sicurezza cyber e di non sentirne neppure l'esigenza. E questo mentre, nello stesso sondaggio, quasi il 50% delle aziende del Nord Est operanti in Settori Critici indichi di aver avuto problemi legati alla Cybersecurity; ma di non aver previsto spese specificamente dedicate alla Cybersecurity.Nel merito del Piano Nazionale adottato lo scorso febbraio si nota come la sua impostazione, pur "allineata" come dicevo alle strategie atlantiche ed europee, appaia notevolmente in ritardo e "timido" quanto ad elementi strutturali e concettuali della cybersecurity che i nostri principali partners hanno definito a titolo nazionale.

Page 52: Discorso cybersecurity

52Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

In ritardo: il Cyber Command americano è entrato nella sua "operational capability" nel Maggio 2010; analoghe funzioni sono state assunte dall'Aprile 2013 dal Joint Forces Command britannico; in Francia il comando operativo Cyber funziona dal 2011 e dipende dal Centro di pianificazione e condotta delle operazioni dello Stato Maggiore, mentre l'Agence National de la Securitè des Systemes d'information (ANSSI)esiste dal 2009; in Germania, il Nationales Cyber-Abwehrzentrum dal 2011. Il Piano Nazionale per la Sicurezza cibernetica si prefigge - ma con un manifesto ritardo di alcuni anni, rispetto ai principali Paesi alleati - di "sviluppare strutture di Comando e Controllo in grado di condurre operazioni militari nello spazio cibernetico". Inoltre, mentre i principali Paesi europei indicano pubblicamente le risorse a ciò destinate, tale indicazione non compare nel piano nazionale italiano.Discorso analogo vale in termini di "posture" del nostro apparato di Difesa Cyber contro intrusioni e minacce, soprattutto per quanto riguarda le misure di contrasto, di difesa attiva, le eventuali "cyber sanctions", e la "tailored defence". Tutte tematiche di rilievo centrale nelle strategie e nel dibattito negli altri principali Paesi alleati.

Page 53: Discorso cybersecurity

53Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia

In conclusione, è fortemente auspicabile che anche nel nostro paese si sviluppi una ben più precisa consapevolezza di questo aspetto della sicurezza nazionale che ha assunto da anni un rilievo assolutamente primario. Tale consapevolezza può essere "scomoda", come la constatazione di una malattia da curare, da prevenire e contenere nelle possibili ricadute, da allontanare rafforzando le capacità immunitarie dell'organismo. Ma essa deve essere affrontata con vigore, precisione scientifica, impegno nel sensibilizzare la società civile, il mondo delle imprese, e della ricerca. Nell'azione diplomatica, dobbiamo pretendere di essere parte dei gruppi più avanzati e ristretti attivi nell'utilizzo dei "metadati", nell'intelligence sharing". Se non sarà così, soffriremo di un altro handicap strutturale, con rischi e diseconomie per tutti noi, di cui magari ci accorgeremo solo molto tempo dopo averli subiti e averli già '"pagati".