L’analisi di Stefano Mele, presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano

La nuova Strategia di Sicurezza Nazionale degli Stati Uniti basa le sue fondamenta su quattro pilastri strategici ben definiti, ovvero proteggere i cittadini, il territorio e lo stile di vita americano; incrementare la prosperità; salvaguardare la pace attraverso la forza; e infine accrescere l’influenza americana.

Per ognuno di questi pilastri strategici la Casa Bianca traccia ad ampio spettro alcune linee d’azione di alto livello esplicative degli obiettivi individuati, all’interno delle quali il ruolo di Internet e delle tecnologie informatiche spesso si impone come un elemento rilevante tanto in un’ottica difensiva, quanto di contrasto e reazione.

Le seguenti riflessioni, quindi, hanno come obiettivo quello di analizzare esclusivamente un unico aspetto di questa strategia: quello legato al mondo della sicurezza cibernetica.

In linea generale, occorre innanzitutto evidenziare come il documento strategico dia ampio spazio a questo settore all’interno di ben tre dei quattro pilastri strategici previsti. Nei primi tre pilastri, infatti, l’amministrazione americana non commette l’errore di isolare la materia della sicurezza cibernetica al margine dei ragionamenti di sicurezza nazionale, come avvenuto in quella di Obama del 2015 o ancor prima in quella di Bush del 2006.

Invece, parlando di questioni informatiche all’interno di tutto il documento, la Casa Bianca mostra di aver intimamente compreso come il cyberspazio sia ormai una parte fondamentale all’interno di ogni aspetto della sicurezza nazionale.

È questo il caso, ad esempio, del contrasto al terrorismo, presente all’interno del primo obiettivo strategico. Per proteggere i cittadini, il territorio e lo stile di vita americano, infatti, la strategia si focalizza – tra le altre cose – sul contrastare l’utilizzo di Internet e delle tecnologie per scopi terroristici, promuovendo azioni dirette contro coloro che minacciano la sicurezza nazionale americana. La prima di queste è strettamente legata al rafforzamento delle attività di indagine e di cooperazione con l’industria privata per riuscire ad ostacolare l’utilizzo delle piattaforme di comunicazione sicura.

La seconda, invece, si basa sull’osteggiare le attività di radicalizzazione e reclutamento attraverso Internet, andando a degradare la forza attrattiva dei messaggi jihadisti per mezzo di operazioni di vera e propria contro-propaganda e di attività di promozione di messaggi positivi da parte di chi non appartiene al network jihadista, oppure di chi se n’è allontanato volontariamente.

Un ulteriore obiettivo cardinale all’interno della nuova strategia americana è anche quello legato alla protezione e alla resilienza delle infrastrutture critiche nazionali dagli attacchi cibernetici. Per far ciò, la linea del Presidente Trump è quella di svolgere delle vere e proprie analisi del rischio focalizzate su sei aree critiche di intervento: sicurezza nazionale, energia, banche e finanza, salute e sicurezza, comunicazioni e trasporti.

Lo scopo è quello di individuare dove gli attacchi cibernetici potrebbero manifestarsi con conseguenze catastrofiche o con danni a cascata, garantendo quindi in questi settori interventi ad alta priorità in termini di sostegno, di sviluppo di capacità e di difesa.

Peraltro, l’intenzione di Washington è anche quella di garantire che i responsabili delle attività di protezione delle infrastrutture critiche dispongano dell’autorità, delle informazioni e delle capacità necessarie per prevenire gli attacchi cibernetici prima che possano compromettere o minacciare la sicurezza degli Stati Uniti e dei suoi cittadini. Un approccio, quindi, marcatamente difensivo che, anche attraverso migliori politiche di scambio informativo tra il settore pubblico e i privati, mira ad accrescere la cosiddetta deterrenza by denial delle infrastrutture critiche nazionali.

Attraverso un’altra lente, invece, dev’essere osservata la postura americana alla sicurezza nazionale tramite l’impiego militare nel e attraverso il cyberspazio, contenuta nel terzo pilastro strategico denominato “salvaguardare la pace attraverso la forza”. Il Dipartimento della Difesa, infatti, dovrà sviluppare nuovi concetti operativi e maggiori capacità utili per sconfiggere nemici e concorrenti in tutti e cinque i domini della conflittualità – aria, mare, terra, spazio e cyberspazio – anche nel caso di attività operate al di sotto della soglia di un conflitto militare convenzionale e ai margini del diritto internazionale.

Pertanto, il governo americano si impegna nella strategia a dissuadere, difendere e, se necessario, sconfiggere ogni attore malintenzionato che utilizzi le proprie capacità cibernetiche contro gli Stati Uniti.

Se questo è l’obiettivo, la strada per raggiungerlo passa attraverso lo sviluppo e il miglioramento delle capacità di attribuzione della responsabilità degli attacchi cibernetici al loro reale autore o mandante, oltre che per il tramite dello sviluppo e del miglioramento non solo delle capacità di difesa degli asset strategici, ma anche di quelle di reazione ad eventuali attacchi informatici subiti.

Simili dichiarazioni del governo americano, però, non possono e non devono sorprendere. È ormai evidente, infatti, come da molto tempo Washington lavori senza sosta per consolidare la propria leadership internazionale nelle attività militari nel e attraverso il cyberspazio, spingendo sempre più verso una postura marcatamente offensiva-reattiva, utile già oggi ai fini del rafforzamento della loro strategia di deterrenza.

Del resto, non più tardi del 12 dicembre di quest’anno, il Presidente Trump ha sottoscritto il nuovo National Defense Authorization Act destinando per il 2018 ben 677 miliardi di dollari al settore della Difesa, di cui circa 9.7 miliardi di dollari sono complessivamente attribuiti al mondo della sicurezza cibernetica in ambito militare.

Se l’ambito militare è sempre stato e resta ancor oggi un indiscutibile punto di forza degli Stati Uniti, le attività di contrasto alla propaganda online rappresentano – per stessa ammissione degli estensori della strategia – una cosiddetta nota dolente per l’amministrazione Trump. Nel documento, infatti, si legge testualmente che gli sforzi degli Stati Uniti per contrastare lo sfruttamento delle informazioni da parte dei rivali sono stati tiepidi e frammentati.

In quest’ottica, quindi, il governo americano richiede uno sforzo concreto non solo per l’individuazione e l’addestramento di esperti in questo specifico settore, ma anche e soprattutto per migliorare la comprensione di come gli avversari riescano ad ottenere vantaggi informativi e psicologici attraverso le loro attività di disinformazione e propaganda.

Al fine di competere efficacemente su questo piano, gli Stati Uniti intendono anzitutto rendere prioritario questo genere di competizione, potenziando le loro capacità di diplomazia pubblica. Secondariamente, l’obiettivo è quello di coinvolgere attivamente i media e le società che erogano servizi attraverso Internet, in modo da contrastare le attività di disinformazione e propaganda effettuate dagli Stati e dalle organizzazioni terroristiche veicolando messaggi coerenti con i valori americani.

Un ulteriore e importantissimo tassello di questa nuova Strategia di Sicurezza Nazionale degli Stati Uniti è caratterizzato dall’impegno per il contrasto alle attività di spionaggio informatico.

In particolare, il secondo pilastro strategico – dedicato all’incremento della prosperità – pone l’accento sull’urgente necessità di arginare la continua sottrazione illecita di informazioni pregiate soprattutto in campo tecnologico da parte di governi concorrenti ostili.

Per ridurre il furto di proprietà intellettuale, gli Stati Uniti daranno massima priorità al controspionaggio e alle attività di contrasto operate dalle forze dell’ordine sia nell’interesse dei soggetti pubblici che privati, esplorando anche nuovi meccanismi legali e normativi per prevenire e perseguire questo genere di violazioni.

Sicuramente questo approccio non risulterà particolarmente nuovo agli analisti, considerato che anche sotto la presidenza di Obama simili attività sono state poste in essere – con buoni risultati – nei confronti del governo cinese. Peraltro, proprio questa sezione risulta essere quella più debole sotto il punto di vista della costruzione degli obiettivi, mancando completamente qualsiasi principio innovativo o impegno su come prevalere in questo conflitto per le informazioni.

Ciò che invece non può e non deve sfuggire è l’intima connessione – finalmente! Si potrebbe dire – tra la sicurezza cibernetica e la prosperità economica di un paese. Nel secondo pilastro, infatti, in più punti si evidenzia come l’intenzione degli estensori sia chiaramente quella di evidenziare come la futura crescita economica degli Stati Uniti passi per la sicurezza cibernetica. Un segnale importante, che dev’essere immediatamente colto da tutti gli altri governi.

Alcune riflessioni finali devono essere svolte per porre in evidenza quali siano gli attori terzi che il documento strategico richiama nella narrazione in materia di sicurezza cibernetica.

In particolare, la Cina è certamente l’attore che più volte viene richiamato dall’amministrazione americana, soprattutto ogni qual volta il documento intenda porre l’accento sul tema dello spionaggio informatico. Infatti, così com’era già avvenuto all’interno della strategia delineata da Obama, secondo il governo americano è proprio il governo di Xi Jinping il protagonista di una vera e propria “guerra economica perpetrata attraverso le tecnologie e la rete Internet”, così come è sempre la Cina che – si legge nel documento – “raccoglie e sfrutta i dati su una scala senza eguali e diffonde i tratti del suo sistema autoritario, inclusa la corruzione e l’uso della sorveglianza”.

Contestualmente, la Strategia di Sicurezza Nazionale definisce le azioni della Russia nel cyberspazio come “destabilizzanti” ed evidenzia come il governo di Putin usi “le operazioni di propaganda/disinformazione come parte dei suoi sforzi informatici offensivi per influenzare l’opinione pubblica in tutto il mondo” e per tentare “di minare la legittimità delle democrazie”. Dichiarazioni, queste, che cadono in evidente contraddizione con le affermazioni pubbliche del Presidente Trump. Un segnale certamente interessante.

La nuova Strategia di Sicurezza Nazionale degli Stati Uniti punta sulla sicurezza cibernetica più di quanto ci si sarebbe potuti attendere. Il documento, infatti, fornisce una trattazione sufficientemente approfondita su come oggi i problemi che ruotano intorno al mondo della sicurezza cibernetica permeino quasi ogni aspetto della sicurezza nazionale americana, inclusa la sicurezza economica, militare e persino la tutela della democrazia.

Siamo di fronte ad una strategia che almeno per il settore della sicurezza cibernetica può considerarsi ben delineata, ben bilanciata e soprattutto molto poco “muscolare”, come invece ci si sarebbe potuti aspettare. Anzi, ad eccezione dell’approccio militare marcatamente offensivo nel e attraverso il cyberspazio, che però caratterizza la postura americana ormai da anni, il documento prescrive un metodo equilibrato e coerente rispetto agli obiettivi strategici prefissati.

Infine, risulta certamente molto interessante evidenziare come, oltre all’ormai noto approccio aggressivo della Cina nel settore dello spionaggio informatico, già ricompreso da Obama nel 2015 all’interno della sua strategia, da oggi anche le attività di disinformazione e propaganda attraverso Internet della Russia siano ricomprese ufficialmente in un documento di policy di alto livello americano. Un segnale importante, che quasi certamente non tarderà a creare reazioni da parte del governo di Putin.

Fonte: Cyber Affairs