Discorso “Sicurezza internazionale e cyber sfide: i nuovi scenari per la difesa e la diplomazia.”

“Bocconi” Milano, 11 Ottobre 2014

E’ per me un vero piacere poter discutere con voi un tema che già da una decina d’anni e’ entrato con grande rilievo nei dibattiti e nelle attività di Governo riguardanti la sicurezza internazionale e la politica estera. Un tema che ha tuttavia acquisito una sua ancor più complessa caratterizzazione dallo scorso anno. L’emersione pubblica dell’utilizzo dei “metadata” a scopi non solo scientifici, economici, informativi, ma anche di deterrenza e di contrasto attivo è messo in risalto insieme a immense potenzialità del web, crescenti frizioni tra globalità della rete, diritti individuali e principi di sovranità.

 

Nonostante i luoghi comuni suggeriscano diversamente, le esperienze che stiamo vivendo dimostrano la continua espansione della rete, secondo una traiettoria che favorisce la globalizzazione economica e consolida quella definizione di Kenichi Omahe dei “borderless states”: società ad identità politica e culturale ma non più territoriale.

Eppure l’impatto avuto dalla consapevolezza di un utilizzo intrusivo dei metadati, da politiche assertive di importanti protagonisti della scena internazionale, le contrapposte preoccupazioni sulla tutela delle liberta e dei diritti individuali hanno creato un inversione di tendenza in quella che era sembrata sino a poco tempo fa l’accettazione di un principio assoluto di universalità e libertà della rete. Molte forze sono ora in campo per disaggregarla, filtrarla o condizionarla, con motivazioni da un lato di sicurezza nazionale, dall’altro di garanzia della privacy, del diritto all’oblio di tutela della dignità della persona. I riflessi sulla diffusione dei dati e sul loro utilizzo sono inevitabili.

Parte dei fenomeni di disaggregazione deriva anche dalle pratiche commerciali di un numero sempre più grande di providers che alterano la libera concorrenza sul web ottenendo dagli organismi regolatori corsie preferenziali che interferiscono ad esempio sulla velocità e capacità di download precostituendo accessi riservati al cloud e limitando flussi di dati che dovrebbero essere condivisi con la generalità degli utenti.

Mi è parsa essenziale questa breve premessa perché il tema della sicurezza deve essere affrontato senza mai trascurare le implicazioni che ne derivano per l’universalità e la libertà della rete, alla quale credo noi tutti dobbiamo tenere.

 

Come ha notato Dan Geer, un esperto di sicurezza internet e gestione del rischio[la sua storia è significativa. Il suo rapporto del 2003 “Cyber insecurity”, sosteneva che la posizione dominante di Microsoft nei desktop computer era un rischio per la sicurezza nazionale],”Mentre l’intera società diventa più tecnologica, anche il quotidiano dipende da una distante e remota “perfezione digitale””.

 

Eppure, l’attuale gestione del rischio non presta molta attenzione alla “distant digital perfection”,a quella aggregazione di fattori che risiedono al difuori, spesso assai lontano, dai server e firewalls della propria organizzazione. Nella finanza americana la “tempesta perfetta “del 2008 è nata da aggregazioni del rischio -bolla immobiliare, esposizione creditizia, fragilità bancaria, implicite garanzie pubbliche-che restavano in ombra, in buona parte volutamente, nelle analisi sistemiche.

Nella cyber security ci troviamo, secondo alcuni analisti, in una situazione analoga: le modalità di valutazione del rischio non tengono sufficiente conto della complessità e delle interconnessioni tra i diversi fattori.

 

Come nella finanza del 2008,nella cyber security del 2014 ogni organizzazione si dedica soprattutto ad affrontare i propri problemi, a rafforzare le “difese interne”,più’ che a guardare alle correlazioni esterne. Ma è soprattutto da queste, da sequenze di shock causati da eventi inattesi e lontani che possono derivare impatti devastanti. Se l’internet di domani sarà, come molti ritengono, meno resistente, robusto, disponibile e universale di quanto non sia oggi, i rischi di shock a cascata cresceranno.

 

Da sempre su Internet è stato più facile attaccare che difendere. La sua architettura iniziale era basata più sulla fiducia reciproca che non sulla sicurezza, con un software che persino oggi lascia molte, casuali o volute, vulnerabilità; con complicazioni per le capacità di difesa. È inevitabile che nel corso degli anni gruppi organizzati siano  riusciti ad avvantaggiarsene :che, in altri termini, i predatori siano diventati più numerosi, agguerriti, efficaci delle loro stesse prede.

 

Per delimitare il terreno della nostra discussione vorrei trattare cinque aspetti che mi sembrano riassumere sfide e scenari che ci troviamo dinanzi:

 

1.L’aspetto della complessità;

2.L’individuazione e la definizione della minaccia;

3.La libertà del web, la tutela della privacy, e le diverse concezioni della sicurezza dello Stato;

4.La collaborazione internazionale esistente e quella auspicabile;

5.Le idee sul tappeto, e l’azione  dell’Italia.

 

******

1.LA COMPLESSITA’

Nei “concetti strategici” delle principali potenze la dimensione Cyber si e’ aggiunta da almeno un decennio come “quinta dimensione” alle altre quattro-   terrestre, navale, aerea, e spaziale- che tradizionalmente apparivano nei documenti di strategia militare adottati e resi noti dai Governi.

 

La sua potenzialità distruttiva, l’asimmetria tra il valore di possibili obiettivi oggetto della minaccia cibernetica e i bassissimi costi per realizzarla ,la  proliferazione delle tecnologie e il loro impiego “dual use”, fanno delle armi cibernetiche qualcosa di assai simile a quelle nucleari.

 

Peraltro con alcune fondamentali differenze.

 

La più importante, sotto il profilo della sicurezza internazionale, riguarda la assai maggiore difficoltà, praticamente l’impossibilità, di arrestare la proliferazione delle “cyberweapons”.

 

Se l’immenso sforzo anti-proliferazione nucleare della comunità internazionale, iniziato con la Presidenza Kennedy, ha fatto sì che i Paesi “a rischio” di acquisire l’armamento atomico si contino sulle dita di una mano ,mentre Kennedy ne prevedeva molti di più’, almeno una trentina nel giro di pochi anni, la tentazione di dotarsi di “Cyberweapons” appare oggi estremamente diffusa.

 

Benché’ si tratti di programmi portati avanti in segretezza, che, diversamente da quelli nucleari, non richiedono ne’ grandi infrastrutture grandi ne’ vaste risorse umane, la corsa all’arma cibernetica è chiaramente  diventata globale. Sarebbero ormai un centinaio i paesi che accumulano capacità cibernetiche militari, anche se i programmi veramente avanzati  -secondo i calcoli di una società leader nel settore, la californiana McAfee- riguarderebbero per ora non più di una ventina di Paesi.

 

La proliferazione delle “cyberweapons” si avvantaggia inoltre della circostanza che le tecnologie dell’informazione sono “dual use” in una misura immensamente diversa da quelle nucleari. Il nucleare è confinato, in ambito civile, all’ energia e alla medicina. Le tecnologie informatiche sono l’essenza stessa della nostra vita quotidiana, della comunicazione, della scienza, dell’economia, della realtà produttiva e finanziaria, della vita sociale, politica e aggregativa.

 

Per il progresso delle nostre società le IT sono infinitamente più importanti delle tecnologie nucleari. Rovesciarne l’utilizzo a fini militari apre perciò orizzonti forse ancor più cupi di quelli di una Gotterdammerung nucleare. Sarebbe quindi auspicabile, se non fossimo nella pura astrazione, che per le “cyberweapons” valessero proposte  come quella lanciata nel giugno 1946 alle Nazioni Unite, a nome del Presidente Truman, da Bernard Baruch, affinché’ tutto l’arsenale nucleare disponibile-e solo gli Stati Uniti ne erano all’epoca detentori- fosse consegnato all’Onu, a condizione che tutti i paesi si impegnassero a non fabbricarne e ad aprirsi a ispezioni. Sappiamo che il “niet” sovietico fece naufragare il piano Baruch, alimentando la corsa all’arma nucleare. Le IT e i suoi utilizzi militari sono già diffuse a livello globale, e il genio non rientrerà più nella bottiglia.

 

Una seconda fondamentale differenza rispetto all’ “era atomica” riguarda il grande ritardo nel definire strategie operative, basi giuridiche, perimetri di alleanze ,principi di dialogo e valori etici per la sicurezza cibernetica e la sua dimensione militare. Dopo il blocco di Berlino e l’accesso sovietico all’arma atomica, i “concetti strategici” dei due blocchi cominciarono ad assumere connotazioni precise, sino ad evolvere attraverso le due essenziali fasi della “deterrenza”: la prima basata sulla risposta massiccia e poi una seconda incentrata su flessibilità e gradualità di reazione. Ci vollero, è vero vent’anni, dal primo test nucleare sovietico del ’49,perche’si creassero le condizioni per l’avvio-a Helsinki nel ’69- di negoziati intesi a mantenere la deterrenza in equilibrio, contenendo la minaccia e la dimensione degli arsenali. In campo “cyber”, si deve notare come Arpanet, il precursore di Internet ,e le ricerche del Pentagono su queste nuove tecnologie risalgano a più di quarant’anni fa. E come episodi di “cyberwar” non siano mancati nell’ultimo decennio. Cionostante, come ha notato il Presidente della Cyber Conflict Studies Association:” Siamo al 1946,per la Cybersecurity. Abbiamo queste nuove, potentissime armi, ma non abbiamo tutto l’impianto concettuale e dottrinale che sostenga e regoli le possibilità di impiego di questi armamenti  o un tipo di deterrenza.Peggio,non sono solo Stati Uniti e Urss a disporre di queste armi ,ma sono milioni e milioni di persone in giro per il mondo che vi hanno accesso”.

La complessita’e’ funzione di un avanzamento tecnologico che sembra tendere all’infinito.La legge di Moore e’ ben lontana dall’aver esaurito la sua  progressione geometrica.

 

Secondo Cisco a fine 2012 erano quasi 9 miliardi i “devices” collegati a Internet.Diventeranno almeno 40 miliardi nei prossimi sei anni,espandendo la cosiddetta “internet of things”,dove qualsiasi gadget della vita quotidiana munito di un chip diventa parte dell’infinita serie di reti che producono “metadati”.

 

L’evoluzione stessa del web e’parte della sua complessita’;genera nuove norme di comportamento;”personalizza”le informazioni;orienta tendenze e social networks;mentre l’espansione dimensionale genera a sua volta dinamiche e mutazioni imprevedibili.2.500 quadrilioni di nuovi bytes confluiscono ogni giorno in Internet.

 

La complessita’ riguarda l’utilizzo dei “metadati”:di quell’informazione cioe’ che descrive la natura della comunicazione,piu’che il suo contenuto. Un’innovazione che ha portato negli ultimi anni a svolte molto significative nei campi piu’ disparati,dall’intelligenza artificiale -ad esempio le auto senza guidatore messe a punto dal Dipartimento ricerca di Google-,alla medicina ,dalla metereologia all’analisi economica,dalle strategie commerciali a quelle militari.Nell’attivita informativa i “metadata” sono diventati lo scorso anno motivo di imbarazzo per Washington dopo la fuga a Hong Kong di Edward Snowden e la generosa ospitalita’ tempestivamente offertagli dal Cremlino.Con la grande rete dei “metadati”i Governi che hanno capacita’ tecnologiche avanzate-non solo gli Usa- raccolgono tutto cio’che puo’avere qualche interesse o collegamento con la sicurezza militare,economica,per la stabilita’ sociale e l’attivita’ di Governo.

 

Negli Stati di Diritto, nelle democrazie occidentali, dove l’intelligence e’ sottoposta a vincoli e controlli parlamentari, gli sconfinamenti ad esempio sul terreno della proprietà intellettuale, della concorrenza industriale, della riservatezza nei mercati finanziari, non e’ certo impossibile, ma si tratta di materie severamente regolate, vigilate e sanzionate.

 

Lo stesso non si può certo affermare per i Paesi che si reggono su sistemi autoritaria “democrazia condizionata”, dove la libertà d’informazione e di espressione politica  sulla rete è censurata o filtrata  .

 

L’utilizzo americano  dei “metadati” a fini di antiterrorismo ha provocato preoccupazioni europee per la tutela della privacy, e irritazione soprattutto del Governo tedesco per le intercettazioni avvenute al cellulare del Cancelliere Merkel.Ma anche Hillary Clinton,da Segretario di Stato, veniva intercettata dalla BND tedesca.E’necessario perciò definire più avanzate norme di comportamento anzitutto tra i Paesi Nato.

 

Non e ‘infatti immaginabile che sia disattivato o drasticamente ridotto l’utilizzo dei “metadati”, altro fondamentale elemento di complessita’ per la cybersecurity. Abbiamo visto come Washington abbia piuttosto messo l’accento sulle procedure autorizzative e sulla concertazione con i maggiori Alleati. Molto lavoro e’ stato fatto tra Washington e le capitali europee dopo l’esplosione, non certo casuale, del caso Snowden nel giugno dello scorso anno.L’ex contrattista NSA è emerso a Hong Kong proprio quando Obama stava ponendo al centro del Vertice con Xi Jinping la cybersecurity e le intrusioni degli hackers cinesi; poco dopo Snowden e’stato accolto come un rifugiato da Mosca. Da quando si e’posta anche nei rapporti tra Alleati la questione “Big Data”, e ‘balzato agli occhi il fatto che la capacita’ americana di amministrare il sistema in funzione antiterrorismo è molto affine, se non identica, a quella che consente agli Usa di individuare l’origine degli attacchi Cyber, e di valutare contromisure ed eventuali risposte. Vi è qualche dubbio che sia proprio questo il motivo per il quale la defezione di Snowden è stata cosi importante per Mosca e Pechino? Big Data ha comunque aperto una fase nuova. Ogni persona sul Pianeta dispone di una massa di informazioni superiore a 1600 Exabyte, massa che raddoppia ogni tre anni. Se si pensa che nel 2000 solo 1/4 delle informazioni stoccate era digitale, e oggi lo e’ il 98%,si comprendono le rapidissime mutazioni che ciò ha prodotto nell’attività di intelligence, nella cybersecurity, e le problematiche di natura politica, legale, etica e sociale che ne derivano.

 

2.Individuazione e definizione della minaccia.

Nel decimo anniversario dell’attacco alle Torri Gemelle,nel 2011 quando ero ancora a Washington,il Department of Homeland Security,la gigantesca organizzazione deputata a tutte le attivita per la sicurezza sul territorio statunitense,organizzo’una presentazione pubblica all’Idaho National Laboratory-INL.La presentazione voleva scuotere l’opinione pubblica sulla minaccia cyber,per coinvolgere tutti gli americani e convincerli ad alzare la guardia.

Poco tempo prima ,l’INL aveva eseguito un test segreto-poi declassificato- in un centro nucleare di ricerca altamente protetto per verificare le potenzialità di un attacco cyber nella distruzione dell’impianto. L’esperimento dimostro ‘l’impossibilita’ per lo stesso team di tecnici dell’Homeland Security di salvare l’impianto. Questo episodio si inserisce nella continua opera di sensibilizzazione praticata negli States e spiega perché’, solo nello scorso anno, i riferimenti nella stampa americana a una “Pearl Harbour” o a un “11 Settembre cibernetico” siano stati quasi un milione. Tuttavia, la minaccia Cyber resta troppo spesso indeterminata e confusa, persino nell’attività legislativa e di Governo.

Ancora negli Usa, la motivazione addotta dai proponenti di una legge sulla sicurezza cibernetica nell’estate 2011 menzionava gli attacchi contro Citygroup, una banca, contro RSA, un gruppo industriale, e contro il programma nucleare iraniano con il virus Stuxnet. Tre tipologie ben distinte: la prima una frode, la seconda un furto di proprietà intellettuale, la terza una nuova forma di “attacco cibernetico preventivo“. Testimoniando al Congresso un responsabile del Cybercommand dichiarava già nel 2010 che ogni giorno le Forze Armate americane subivano milioni di attacchi cyber, una cifra che evidentemente accumunava tutti i tentativi di intrusione nei computer della Difesa: non solo quelli che configuravano una qualche “minaccia”. Se distinguiamo l’aspetto della vulnerabilità da quello della minaccia, è ‘intuitivo come una “porta“ in un programma informatico possa varcata con finalità assai diverse.

Quando l’intrusione costituisce una minaccia, si deve non solo rispondere, ma la si deve prevenire. Da qui, la necessità di una strategia cyber, e di un apparato ad essa specificamente dedicato, che colga bene il profilo dell’autore della minacciale sue finalità’, e le possibili conseguenze. Per fare un esempio, Paesi che riferiscano essenzialmente la cybersecurity ai reparti anticrimine della polizia postale, rischiano di essere sprovvisti di capacità serie di valutazione e risposta nella dimensione Difesa.

Le modalità di un attacco hacker evolvono in relazione alle vulnerabilità del loro obiettivo. Possono riguardare una persona, un’azienda, un sistema di sicurezza; possono però anche essere “untargeted”,con virus messi in circolazione “automatica” per sottrarre ad ampio raggio identità’, codici, conti correnti, da riutilizzare in altre operazioni. Costi, capacità organizzativa, livello della minaccia cambiano sensibilmente nei due casi, sia dal lato dell’attacco che della difesa. Individuare gli autori potenziali della minaccia rappresenta quindi la vera sfida per i responsabili della cybersecurity

 

3.La liberta’ del web,la tutela della privacy e le diverse concezioni della sicurezza dello Stato

 

Il termine “internet freedom” si basa sull’idea che la libertà di espressione online ,di accesso al web, di collegarsi a utenti in ogni parte del mondo, sia riconducibile a diritti affermatisi ben prima dell’era cyber. In particolare, alla Dichiarazione universale dei Diritti dell’Uomo del ’48 e al Covenant sui Diritti Civili e politici, che garantisce il diritto di tutti a cercare ricevere, diffondere informazioni e idee attraverso ogni tipo di media e senza barriere nazionali.

 

La crescente resistenza che si e verificata da alcuni decenni, in una parte del mondo, a riconoscere concretamente l’universalità e l’indivisibilità dei diritti umani-due principi che costituiscono l’essenza stessa del diritto internazionale vigente- si e’ tramutata in esplicita rivendicazione, da parte di paesi come la Cina, l’Iran, la Russia, e altri Stati a “democrazia condizionata”, delle “specificità culturali” che dovrebbero derogare all’applicazione di diritti già ampiamente acquisiti nelle Convenzioni e nella prassi internazionale del secondo dopoguerra.

 

La libertà di informazione e di espressione costituiva ovviamente un argomento molto sensibile per gli Stati autoritari gia’ prima della diffusione di Internet. Con essa, il problema si è aggravato. Da un lato, la libertà di informazione e di espressione non potrà mai essere separata dai diritti inalienabili della persona che l’Occidente pone al centro delle relazioni internazionali, delle iniziative per promuovere stabilità, pace e sviluppo.

 

Non vi e’ documento adottato dall’Onu che non sottolinei tale approccio. I comportamenti di un certo numero di Paesi vanno pero’ in direzione ben diversa. E’ quindi di estrema importanza riaffermare in ogni sede multilaterale e bilaterale che i fondamentali diritti della persona si applicano integralmente allo spazio Cyber. Deve esser riconosciuto universalmente il diritto di riunirsi, aggregarsi, condividere e perseguire comuni interessi sul web come tutto ciò deve essere anche riconosciuto per un luogo di culto ,di lavoro o in uno spazio pubblico.

 

Le resistenze dei regimi repressivi fanno leva sul fatto che la liberta’ su Internet li destabilizzerebbe e porterebbe a un “regime change”. E’ spesso avvenuto negli ultimi due secoli che  regimi totalitari rovescino le responsabilità della propria instabilità interna-causata appunto dalla repressione-su ipotetici “nemici esterni”. Vengono così contrastate tutte le forme, ad esempio, di “public diplomacy” utilizzate normalmente dai Governi democratici per interagire con l’opinione pubblica nazionale e estera.

 

Le tecnologie che consentono di aggirare censure, di evadere la sorveglianza, di mantenere l’anonimato, sono considerate in diversi paesi un rischio per la sicurezza nazionale. Per la Cina o per la Russia una stretta censura non rappresenta una violazione dei diritti, ma uno strumento per garantire la stabilità. La limitazione della libertà di espressione prende le forme più disparate; essa contrappone i sistemi autoritari  alle democrazie

liberali; tuttavia esistono sfumature anche tra queste ultime in tema ad esempio di negazionismo dell’Olocausto, antisemitismo, omofobia, tutela della libertà religiosa.

 

Sono molti a sostenere che il principio di libertà sulla rete dovrebbe essere assoluto e non tollerare neppure le limitazioni imposte dalla tutela della proprietà intellettuale. E’ quindi evidente la necessità di trovare punti di equilibrio, come in tutti i campi dove l’affermazione della libertà individuale deve essere contemperata dalla considerazione dei diritti altrui.

 

La liberta di informazione e di accesso al web trova un’ altra criticita’ nel dibattito sulla Governance di Internet. Esso a sua volta d coinvolge quello sulla cybersecurity. Dal 1998, dopo un’ampia concertazione pubblica tra le diverse organizzazioni coinvolte nella diffusione di Internet, emerse l’esigenza che la governance dovesse rimanesse in mani non governative.

 

Si costrui’ un’ organizzazione che avrebbe dovuto riflettere “le diversità geografiche e funzionali di Internet, ICANN-Internet Corporation for Assigned Names and Numbers”, ripartita in autorità regionali competenti per i cinque continenti. Struttura che è rimasta immutata dal 2004. Il suo ruolo è rilevante e delicato perché la definizione di un’identità Internet, che e’ appunto compito di ICANN, comporta il contemperamento di interessi politici, economici, culturali contrapposti. Alla fine dalle decisioni di ICANN escono quasi sempre  vincenti e perdenti.

 

Anche per tali motivi la discussione sulla rappresentatività diquesta forma di governance, e sull’influenza che su di essa mantiene la componente americana, è’ destinata a rimanere centrale nell’immediato futuro. L’obiettivo essenziale, a garanzia di un denominatore comune di libertà’ è che la Governance di internet continui ad essere ,di nome e di fatto, interamente “non governativa”.

 

4.LA COLLABORAZIONE INTERNAZIONALE ESISTENTE E QUELLA AUSPICABILE.

 

Nel corso della mia missione a Washington, tra il 2009 e il 2011 ho avuto ampio modo di constatare la repentina crescita di attenzione del Governo, dei più qualificati think tanks,dei mondi economici, scientifici e imprenditoriali americani alle sfide della cybersecurity. Non vi era giorno, mi raccontava ad esempio gia’ nel 2009 un alto rappresentante del Congresso, in cui gli hackers non cercassero di sottrarre nominativi, file e informazioni riservate dai computer dei congressmen che si occupavano di diritti umani e di dissidenti in Cina. Ne’erano certo in secondo piano, nelle conversazioni che avevo con i più diversi interlocutori, i casi preoccupanti  avvenuti  contro l’Estonia e la Georgia, cosi’ come le attività degli hackers in ambito finanziario, nell’industria della Difesa, nel mondo dell’informazione e delle Istituzioni.

 

E’ stato a partire da quegli anni che il Governo americano si e’ impegnato a promuovere una collaborazione stretta con i paesi Alleati in ambito bilaterale e atlantico. Da allora l’Italia ne è sempre stata parte convinta.

 

Sono tuttavia d’accordo con chi sottolinea l’urgenza di fare molto di piu’.L’Atlantic Council ha recentemente osservato: “La Nato deve sostituire l’ambiguità strategica con la chiarezza nell’indicare come il sistema di difesa collettiva deve  funzionare in tempi di minacce cyber,cosi’ da rafforzare la fiducia tra alleati”.Il riferimento al pregiudizio che puo’ derivare da altri “casi Estonia” non potrebbe essere piu’chiaro.

 

Quando scoppiò nell’Aprile 2007 la “cyberwar” contro il suo Paese il Ministro degli Esteri Estone, Urmas Paet fu immediato nel puntare l’indice contro la Russia. Nuovo membro dell’Alleanza ,mal visto da Mosca a causa di un trattamento asseritamente discriminatorio nei confronti dell’importante componente russofona, e della contestata rimozione di un monumento celebrativo dei soldati russi nella seconda Guerra mondiale, il Paese costituiva una delle realtà più avanzate al mondo per impiego e diffusione delle IT. Tutto o quasi, dai servizi finanziari, alla giustizia, all’assistenza sociale e al voto, correva sul web. Improvvisamente, nell’Aprile 2007 l’intero sistema Paese veniva attaccato da una serie di “botnets”[reti di computer zombie che mandano spam e dati per ottenere un Denial of Service su larga scala].I”botnets”contro l’Estonia coinvolgevano piu’ un milione di computers in 75 Paesi.

 

Per la prima volta nella storia della Nato, uno stato membro sosteneva che la “cyberwar” avesse esattamente le stesse implicazioni di un attacco militare con forze convenzionali o non convenzionali, e che dovesse quindi scattare l’applicazione dell’art.5 del Trattato di Washington: “I Paesi parte convengono che un attacco armato contro uno o piu’ di loro in Europa o in Nordamerica sara’ considerato un attacco contro tutti loro”. Ma i Paesi Alleati, pur esprimendo in Consiglio Atlantico tutta la loro preoccupazione, ritennero che l’Art.5 non fosse applicabile. L’Estonia era stata certamente intimidita e danneggiata, ma non c’erano stati feriti, distruzioni fisiche, danni economici al dila’ del blocco dei sistemi  informatici, alla cui riattivazione la Nato prestò in ogni caso il suo aiuto. Il punto sollevò una serie di quesiti sul concetto stesso di “aggressione “e sulla conseguente legittimità dell’uso della forza da parte dello Stato aggredito.

 

Il caso estone dimostra la difficoltà di applicare alla cyber security e alle IT le esistenti categorie del diritto internazionale .Lo Statuto delle Nazioni Unite, il principio di sovranità di non interferenza negli affari interni, la risoluzione delle controversie escludendo l’uso della forza, la regolamentazione di quest’ultima in un quadro di legittimità’, sono i capisaldi di relazioni internazionali concepite ben prima della globalizzazione.

 

Negli ultimi vent’anni vi sono stati ulteriori progressi nella tutela dei diritti umani, nel riconoscimento del principip di liberta’, nella limitazione della sovranità in rapporto alla “responsabilità di proteggere”, nell’abolizione di determinati tipi di armamenti, nella lotta alla proliferazione delle armi di distruzione di massa, nell’affermarsi di norme internazionali a tutela della scienza, dell’ambiente,nella promozione dello sviluppo sostenibile. Ma gli aspetti particolarmente sensibili che riguardano la sicurezza dello Stato in campo “cyber” sono rimasti sostanzialmente esclusi dai più importanti progressi normativi.

 

Se cioè’ avvenuto nel contesto universale delle Nazioni Unite, non molto diverso e’ parso l’orientamento dei Governi in ambito europeo e atlantico.

I Paesi Nato hanno fortemente esitato sull’applicabilità dell’art.5 del Trattato di Washington al caso estone, ravvisando che non ricorresse l’estremo dell’aggressione “contro l’integrità territoriale di uno Stato” cosi’ come definita dallo Statuto dell’Onu. Tuttavia gli ambienti atlantici si mostrarono consapevoli dell’urgenza di approfondirne le implicazioni politiche e giuridiche. Il Nato Cooperative Cyber Defence Centre of Excellence ha prodotto un manuale – il Tallinn Manual – sul diritto internazionale applicabile ai conflitti cibernetici, con idee innovative che vanno dalla ridefinizione del concetto di legittima difesa nella Cyberwar, al principio che i civili che vi partecipano perdono le garanzie riconosciute ai civili dal diritto internazionale nelle situazioni di conflitto. Tuttavia,il Manuale non e’ stato formalmente approvato.

 

Sensibilita’ e priorita’ diverse rendono ardua l’adozione anche all’interno dell’Alleanza Atlantica  di regole per lo spazio cibernetico. Ci si deve percio’ affidare all’ interpetazione del diritto esistente. Un attacco cibernetico deve essere governato, allo stato delle cose,dalle stesse regole che valgono per gli attacchi di altra natura.

 

Esse sono essenzialmente tre:

  1. Effetti

Il diritto internazionale consente il ricorso alla forza anche contro le forme di aggressione che avvengano con mezzi diversi da quelli militari, ma che abbiano un impatto analogo. L’apertura di una diga e la conseguente inondazione di un territorio può avvenire attraverso il sabotaggio ed avere lo stesso impatto di un bombardamento; lo stesso dicasi per incendi su larga scala, per la distruzione di risorse essenziali, idriche, alimentari o altro. Per contro, l’uso della forza non sarebbe certo giustificato come risposta a campagne di disinformazione sul web, o a intrusioni che non abbiano impatto equivalente a un atto di guerra.La stessa interruzione temporanea delle comunicazioni non era stata giudicata dagli estensori della Carta di San Francisco come un atto di guerra,che invece sussiste nel caso di “blocco economico”.Evidente quanto la distinzione diventi  sottile negli attacchi cyber.

 

 

Nell’agosto 2008 i siti web del governo georgiano sono stati attaccati da hackers russi per diversi giorni, con “denial of service”, bloccando tutte le comunicazioni Internet mentre i tanks russi avanzavano sino a pochi chilometri da Tblisi, e i bombardamenti causavano 1300 vittime civili. In quel contesto, difficile negare che l’operazione cyber, collegata all’attacco convenzionale russo contro la Georgia, non fosse un atto di guerra.

 

  1. Causalità e misurabilità’.

 

Servono a distinguere l’attività di intelligence e “cyber” dagli atti definibili “di guerra”. La prima può certo essere collegata ai secondi, prepararli, amplificarne gli effetti. Ma e’ solo dopo che tali effetti si sono creati ,come ho accennato nel caso dell’attacco alla Georgia nel 2008,che si può individuare l’esistenza di un  vero conflitto armato, mentre l’attività informativa e di intelligence in quanto tale non motiva di norma, nella prassi seguita dagli Stati, l’impiego della forza, ma semmai risposte della stessa natura e della stessa proporzione.

 

La Nato e l’UE attraverso l’auspicabile revisione dei rispettivi “concetti strategici” ,devono chiarire che ,dinanzi a un avversario privo remore nell’utilizzare metodi aggressivi nello spazio cyber, l’attuale  “ambiguità strategica”, deve far posto a una chiara formulazione dell’impegno alla difesa collettiva ex art.5 del Trattato di Washington applicato alla minaccia cyber. L’aggressione Russa all’Ucraina si e’ compiuta tanto a terra quanto nello “cyberspace”. I siti governativi di Kiev sono stati attaccati. Lo stesso è avvenuto per siti della Nato in coincidenza con l’annessione della Crimea alla Russia. Poi, a fine agosto, il grande attacco informatico a JPMorgan, con l’acquisizione incredibile di dati concernenti 86 milioni di correntisti. I Paesi Baltici sono inquieti e ritengono di essere i prossimi nella lista di Mosca. Chiarezza sulla responsabilità collettiva in caso di minacce Cyber è quindi necessario preservare la funzionalità dell’Alleanza”.

 

In senso più ampio, si è da tempo e con insistenza posto l’interrogativo se l’enorme rilevanza dello “Cyberspace” per la sicurezza, l’economia, il progresso dell’intera umanità non richiedano una sorta di nuova Convenzione di Ginevra sulla “quinta dimensione” della sicurezza internazionale. E si ricorda giustamente come esistano precedenti, nell’adattamento di norme internazionali al progresso tecnologico e scientifico, sui quali costruire. Dalle Regole dell’Aja sulla Guerra Aerea di inizio anni ’20,al Trattato sull’Antartico del ’59,a quello sull’Outer Space del ’67,essendo gli ultimi due particolarmente interessanti perché’ proibiscono l’impiego di armi in tali ambiti. Tuttavia, non e’ chi non veda anzitutto l’estrema improbabilità che i paesi più avanzati tecnologicamente abbiano interesse a limitare il loro vantaggio, esattamente com’era avvenuto agli albori dell’era nucleare. Inoltre, la verificabilità e l’interdizione di “cyberweapons” resterebbe, diversamente da quanto avviene invece per lo spazio e l’Antartico, del tutto teorica data l’immaterialità della quinta dimensione della sicurezza.

Diverso e’ il discorso per un Trattato multilaterale che miri a costruire dei “blocchi” iniziali, basati su interessi oggettivamente comuni a tutti gli Stati: estendendo quel principio che Obama aveva cercato di far comprendere a Xi Jinping nel loro incontro in California lo scorso anno, turbato dal caso Snowden. Tutti i Governi hanno interesse, ad esempio, al buon funzionamento di Internet, nella lotta alla criminalità cyber, oggetto di Convenzione del Consiglio d’Europa. Gli interessi comuni potrebbero ampliarsi e produrre convenzioni di maggiore portata, per combattere la piaga dei “botnets” e di altri tipi di intrusione che danneggiano le reti. Si pensi all’interesse della Cina che ha il 70% dei computer infettati al mondo. Potrebbero essere istituiti i dei “computer emergency response teams” (CERT) riferiti a un’Autorità mondiale, collegata a entità già esistenti come il WTO o l’International Telegraph Union (ITU). Su quest’ultima bisogna fare però attenzione dato che le competenze dei Governi nella lotta al crimine e all’utilizzo deviante di Internet non si trasformi, come vorrebbero Paesi come Cina, Russia, Sudan e Iran, in una facoltà di controllo governativo sulla Rete. Nel mio mandato ministeriale ho fortemente contrastato, insieme a altri colleghi occidentali, tale eventualità’.Alla riunione ITU del Dicembre 2012 dove era sul tavolo il rinegoziato delle regole, i Paesi intenzionati a imbavagliare il web hanno cercato di spostare sui Governi e sulle maggiori lobby internazionali la vera governance, sottraendola alle comunità degli utilizzatori, alle organizzazioni “non profit” e “non statuali”: passando così dall’ attuale modello “Multi Stakeholder” di un Internet di tutti, al controllo da parte degli stati e dei grandi gruppi di interesse.

Come disse l’Economist all’epoca, il tentativo proponeva una versione digitale della Guerra Fredda e della Cortina di Ferro. La riunione del Dicembre 2012 si concluse con una netta spaccatura che non e’ certo servita alla credibilità e al ruolo dell’ITU. Un collegamento di nuove regole al WTO sembra invece più realistico. Consentirebbe di far leva infatti sui vantaggi economici e politici che, in ultima analisi, anche paesi come la Cina possono trarre dal mostrarsi impegnati dal contrastare le violazioni cyber alla proprietà intellettuale. L’adesione di Pechino al WTO e’ stata fondamentale per il suo sviluppo economico. Nell’attuale condizione cyber  “senza regole” la Cina e’ esposta a azioni di risarcimento multimiliardarie in base allo strumento TRIPS-Trade Related Aspects of Intellectual Property Rights ,e a sanzioni previste nei confronti di “stati pirati”. Dovrebbe percio’ essere a evidente per Pechino la necessità di estendere il campo normativo del WTO alla lotta alla criminalita’ cyber anche attraverso l’impiego di “computer emergency response teams”(CERTs). Una più efficace cooperazione internazionale non puo’in ogni caso che partire da un “nocciolo duro“ di Paesi Like Minded.

Alcuni passi avanti sono stati fatti, alla Nato con il Manuale di Tallin, e un maggior coordinamento militare-civile, e alla Ue.

Durante questo Semestre di Presidenza l’Italia ha in programma una serie di riunioni e approfondimenti per affinare la Strategia europea di sicurezza cibernetica, essenzialmente basata sulla prevenzione e la difesa dalla minaccia.

Discussioni sono in corso al Foro Regionale Asean, all’Apec, all’Ocse. Manca pero’ un coordinamento effettivo, anche tra i Like Minded a noi più vicini come gli Usa e i loro alleati, su spionaggio cyber e sulle vulnerabilita’ di sistema, che riguardano infrastrutture la cui sopravvivenza e’ essenziale per tutti i Partners dell’Alleanza, e non soltanto per uno dei suoi membri sotto attacco.

Un’idea interessante riguarda la creazione di un “Cyber stability board”,simile al Financial Stability Board creato dagli accordi di Basilea. Dobbiamo fare attenzione perche’ i promotori pensano a otto-dieci Paesi, essenzialmente a quelli del circuito “Five Eyes” piu Francia, Germania, Giappone, Corea, ma non all’Italia.

Il Board assicurerebbe una stretta concertazione nell’attività di intelligence, nel concordare “cybersanction” nei confronti di aggressori, e altre forme di deterrenza, nell’adottare linee comuni con il settore privato, soprattutto nel “certificare” le entità private e non statuali alle quali si possa legalmente riconoscere una limitata capacità di risposta attiva.

Un regime giuridico che leghi un certo numero di Pesi avrebbe in tale complessa materia una efficacia assai maggiore che non una mera regolamentazione nazionale. Una regolamentazione internazionale incoraggerebbe una partnership pubblico/privato sinora carente [per motivi connessi alla credibilità aziendale, alle quotazioni di borsa, alla propensione a sottostimare enormemente nei bilanci i danni provocati dai furti di proprietà intellettuale, dati, progetti, contatti: sulle prime 500Corporations di Fortune, il 97% e’ stato attaccato dagli hackers, ma solo in minima parte sono noti i danni].

Una siffatta cooperazione internazionale consentirebbe di creare un “network di decision makers” assai più efficace nella risposta che non i singoli livelli nazionali. Infine un Board con i piu’ importanti paesi like minded potrebbe armonizzare le posizioni dei paesi partecipanti sul fondamentale tema della privacy e dei diritti civili.

 

  1. Le idee sul tappeto e cosa fa l’Italia.

 

Nel vasto dominio della cybersecurity le capacità di offesa hanno ormai considerevolmente sopravanzato le capacità di difesa. Mentre queste ultime poggiano su sistemi organizzativi e tecnologici in continua evoluzione e rispondono a nozioni consolidate di sicurezza, e’ la prevenzione a costituire un terreno in buona misura inesplorato e condizionato dalle scelte piu’ difficili.

Si tratta, in particolare, di applicare il concetto di deterrenza alla cybersecurity: concetto essenziale nelle strategie della Difesa convenzionale e non convenzionale, che acquista  particolare complessità per le asimmetrie e le indeterminatezze  del dominio cyber.

Una tesi che si sta affermando e’ quella della “tailored deterrence”,termine che si può un po’infelicemente rendere come “deterrenza ritagliata su misura”. La “tailored deterrence” mira a modificare i calcoli di un potenziale avversario con metodi diversi dalla semplice minaccia di un attacco di risposta.

Entrata pienamente nella dottrina strategica americana con la “Quadriennial Defence Review del 2006”,la “tailored deterrence” si e’via via affermata nelle successive elaborazioni  atlantiche e nazionali riferite alle minacce asimmetriche,specialmente terroristiche e cyber.Essa puo’tradursi in:

 

  1. cyber sanctions.

 

Alzando i costi per le intrusioni le sanzioni mirate inviano un chiaro segnale ai Governi che tollerano o promuovono le attività su grande scala degli hacker. Possono collegarsi con azioni coordinate, e autorizzate dal governo, con il settore privato. Nel sistema americano l’autorità di imporre sanzioni contro autori di minacce cyber discende dai suoi poteri di dichiarare l'”emergenza nazionale per minacce inusuali e straordinarie alla sicurezza nazionale, alla politica estera, o all’economia”. Si tratta di poteri ampi, per misure finanziarie ad esempio, nei confronti di individui, organizzazioni o Governi. Altre basi legali sono all’esame del Congresso. Nelle misure sanzionatorie dovrebbero essere inserite compensazioni ai settori dell’economia colpiti da sottrazioni di Proprietà Intellettuale. Il Capo del Cyber Command ha definito il furto di Proprieta’ Intellettuale come il più colossale trasferimento di ricchezza  mai avvenuto nel corso della Storia. Le cyber sanctions potrebbero includere misure di risarcimento alle vittime dello spionaggio industriale, fornendo base giuridica e metodologie d’indennizzo simile a quelle previste ad esempio dalle legislazioni antitrust, per rivalersi nei confronti degli autori dei furti.

 

  1. Entita’certificate e Difesa Attiva.

 

L’idea e’ di creare una cornice legale che autorizzi providers privati nei comparti economici a piu’ elevata criticita’ per il sistema Paese a mettere in atto limitate misure di difesa attiva, previa attribuzione della minaccia, di concerto con l’autorità per la sicurezza.

 

  1. -Standards mirati di  protezione e resistenza.

 

Gli standard dovrebbero esser definiti in forma stringente e obbligatoria nei settori di maggior interesse pubblico. In tali settori la protezione non e’ sufficiente, perché’ non si può presumere che i tentativi di intrusione non abbiano successo. Entra quindi nella panoplia della deterrenza la resilience: quella specifica capacità di un sistema di mantenere le proprie funzioni essenziali anche quando il sistema stesso viene posto sistematicamente sotto attacco. La  “resilience” deve rappresentare un ulteriore “diniego di beneficio”, ed un rischio per l’avversario, con aumento dei costi dell’operazione e minaccia di ritorsioni. In genere si ritiene che la  “resilience” possa essere rafforzata dall’integrità del sistema, dalla sua segmentazione, e dalla capacità di riacquistare il controllo delle parti compromesse. In ognuna di queste operazioni sono richieste professionalità elevate, che alcuni immaginano dover confluire a livello nazionale in una vera e propria “Cyber Guard”.

 

Sul versante europeo, i principali sviluppi hanno riguardato la “Comunicazione Congiunta” del febbraio 2013 da parte della Commissione Europea e dell’Alto Rappresentante per la Politica estera e di Sicurezza Comune, sulla “Strategia europea di cybersecurity”. Essa contiene orientamenti di carattere generale per gli Stati Membri per rafforzare il loro “network and information security-NIS”.

 

Il Consiglio Ue ha discusso ripetutamente gli episodi di attacchi altamente sofisticati, con sottrazione di informazioni e documenti classificati e particolarmente sensibili, perdita di controllo di numerosi network, e altro.

Il Consiglio ha percio’ richiesto a tutte le Istituzioni europee e agli Stati membri di prendere le necessarie misure per assicurare la propria cybersecurity, avvalendosi dei Computer Emergency Response Teams -CERT-EU- creati nel 2012,e dell’attività dell’apposita Agenzia Europea, la European Network Security Agency-ENISA.

 

Molto rimane però da fare, ha riconosciuto lo stesso Consiglio Europeo, sia a livello nazionale che comunitario: adozione di quadri normativi adeguati; riconoscere l’esistenza di crescenti minacce alla loro cybersecurity; definizione degli obiettivi prioritari sulla prevenzione e “reazione”(significativo che l’elaborazione a livello europeo del concetto di “deterrenza” sia ancora molto arretrata);mappatura delle regole, prassi e capacità in seno all’Unione; elaborazione di piani di contingenza per rispondere a situazioni di crisi; lancio di esercitazioni e di iniziative mirate ad accrescere la consapevolezza degli operatori istituzionali, di quelli privati e del pubblico; valorizzazione dei CERT-UE; diffusione di informative e rapporti valutativi tra gli Stati Membri. Durante il Semestre di Presidenza italiana stiamo ponendo un accento soprattutto sull’aspetto del “capacity building” comunitario e nazionale.

 

L’Italia si e’ dotata di un Piano Nazionale per la Protezione cibernetica e la sicurezza informatica ,materia oggetto di approfondimenti successivi nel corso degli ultimi tre anni, avviati dagli “indirizzi” definiti nel gennaio 2013 e sistematizzata dal Decreto entrato in vigore lo scorso febbraio. Il Piano Nazionale, appare sostanzialmente “allineato “alle strategie raccomandate in sede europea e atlantica. Nel senso che poggia su un approccio integrato della capacità tecnologica, operative e di analisi, mira a potenziare le capacità di difesa, a rafforzare le modalità di contrasto e la cooperazione internazionale nella cybersecurity. Il Piano Nazionale si diffonde quindi su tutta una serie di indirizzi operativi, anche questi coerenti con le misure adottate dai nostri principali partners: in primis, incentrate sull’analisi delle minacce e delle vulnerabilità’,sulla interazione pubblico-privato, sulla raccolta ed elaborazione delle informazioni, sulla capacita’ di contrasto e di attribuzione degli attacchi.

 

Le criticita’che si rilevano nel Piano Nazionale,indubbiamente un lodevole adempimento che rappresenta tuttavia solo l’inizio di un arduo percorso per l’Italia, riguardano aspetti  legati sia  alla qualità dell’impegno che i diversi Governi hanno sinora dedicato alla fondamentale questione della Cybersecurity, sia alle “condizioni di sistema” relative al grado di informatizzazione dell’Italia. Su queste ultime, pesa anzitutto l’arretratezza delle infrastrutture, delle tecnologie, la posizione estremamente deludente del nostro Paese nella velocita’ di “download”, ad es,dove precediamo solo il Kenia tra un centinaio di altri Paesi, dall’enorme ritardo nella diffusione della banda larga e dell’attuazione dell’Agenda Digitale, annunciata e mai avviata da quasi tre anni: un’era geologica ,in termini di Cybersecurity.

 

L’arretratezza “di sistema” complica qualsiasi strategia di difesa, di contrasto attivo e di deterrenza, dove i giochi si fanno sull’onda dei trilionesimi di secondo.

 

Mentre la minaccia cyber viene indicata correttamente ormai al primo posto tra quelle individuate dai nostri Servizi, con attacchi in continua, rapida crescita, il 57% delle aziende del Nord Est (del Nord Est!) ha dichiarato in un sondaggio del 2013 di non aver mai svolto un’analisi interna sulla sicurezza cyber e di non sentirne neppure l’esigenza. E questo mentre, nello stesso sondaggio, quasi il 50%delle aziende del Nord Est operanti in Settori Critici indichi di aver avuto problemi legati alla Cybersecurity; ma di non aver previsto spese specificamente dedicate alla Cybersecurity.

 

Nel merito del Piano Nazionale adottato lo scorso febbraio si nota come la sua impostazione, pur “allineata” come dicevo alle strategie atlantiche ed europee, appaia notevolmente in ritardo e “timido” quanto ad elementi strutturali e concettuali della cybersecurity che i nostri principali partners hanno definito a titolo nazionale.

In ritardo:il Cyber Command americano e’ entrato nella sua “operational capability” nel Maggio 2010;analoghe funzioni sono state assunte dall’Aprile 2013 dal Joint Forces Command britannico;in Francia il comando operativo Cyber funziona dal 2011 e dipende dal Centro di pianificazione e condotta delle operazioni dello Stato Maggiore, mentre l’Agence National de la Securite’ des Systemes d’information (ANSSI)esiste dal 2009;in Germania,il Nationales Cyber-Abwehrzentrum dal 2011.Il Piano Nazionale per la Sicurezza cibernetica si prefigge-ma con un manifesto ritardo di alcuni anni, rispetto ai principali Paesi alleati- di “sviluppare strutture di Comando e Controllo in grado di condurre operazioni militari nello spazio cibernetico”. Inoltre, mentre i principali Paesi europei indicano pubblicamente le risorse a cio’ destinate, tale indicazione non compare nel piano nazionale italiano.

Discorso analogo vale in termini di “posture” del nostro apparato di Difesa Cyber contro intrusioni e minacce, soprattutto per quanto riguarda le misure di contrasto, di difesa attiva, le eventuali “cyber sanctions”,e la “tailored defence”.Tutte tematiche di rilievo centrale nelle strategie e nel dibattito negli altri principali Paesi alleati.

 

In conclusione, è fortemente auspicabile che anche nel nostro paese si sviluppi una ben piu’ precisa consapevolezza di questo aspetto della sicurezza nazionale che ha assunto da anni un rilievo assolutamente primario. Tale consapevolezza può essere “scomoda”, come la constatazione di una malattia da curare,da prevenire e contenere nelle possibili ricadute, da allontanare rafforzando le capacità immunitarie dell’organismo. Ma essa deve essere affrontata con vigore, precisione scientifica, impegno nel sensibilizzare la società civile, il mondo delle imprese, e della ricerca. Nell’azione diplomatica, dobbiamo pretendere di essere parte dei gruppi più avanzati e ristretti attivi nell’utilizzo dei “metadati”, nell’intelligence sharing”. Se non sarà così, soffriremo di un altro handicap strutturale, con rischi e diseconomie per tutti noi, di cui magari ci accorgeremo solo molto tempo dopo averli subiti e averli già ‘”pagati”.

 

©2022 Giulio Terzi

Log in with your credentials

pergot your details?