Lunedì 2 dicembre si è svolto, presso il NATO Defense College di Roma, il Rome Atlantic Forum dedicato al tema “La Nato e il futuro della sicurezza cibernetica”.  Il Forum è stato un’occasione di confronto e discussione su un tema cruciale nell’ambito della politica difensiva della NATO. Ciascuno dei relatori, provenienti anche da ambiti esterni alla NATO, ha offerto un proprio approccio, fornendo una panoramica vasta e nel complesso abbastanza esauriente. Il generale Arne Bård Dalhaug, direttore del Nato Defence College, e Fabrizio Luciolli, segretario generale del Comitato atlantico italiano hanno aperto i lavori. I numerosi argomenti affrontati sono stati ripartiti tra la sessione mattutina, dedicata agli aspetti più politici e quella pomeridiana. Nel corso di quest’ultima i relatori hanno delineato quelle che sono le minacce cibernetiche e le contromisure che vengono o dovrebbero essere adottate.  I temi più discussi sono stati essenzialmente tre: la minaccia cibernetica e la sua pericolosità, l’importanza della collaborazione fra i  membri della NATO come condizione essenziale per una  strategia difensiva efficace ed, infine, le difficoltà politiche che ostacolano la suddetta strategia.

Per quanto riguarda il primo aspetto, la situazione che la NATO si trova oggi a fronteggiare è stata efficacemente indicata come “electronic curtain” (al posto della tradizionale “iron curtain” della Guerra Fredda). La crescita indiscriminata del Web e del numero dei suoi utenti, unita alla progressiva dipendenza delle società moderne nei confronti di Internet e alla vulnerabilità dei sistemi informatici ad intrusioni esterne, genera una situazione estremamente pericolosa, alla quale urge trovare un rimedio.
La minaccia cibernetica è particolarmente insidiosa. Come è stato ricordato, tale pericolosità deriva da una serie di fattori: l’asimmetria e anonimità degli attacchi, la mancanza di frontiere fisiche entro le quali tali attacchi si sviluppano nonché la rapidità e l’omnipervasività che li caratterizzano. Gli autori di tali azioni possono essere singoli individui o gruppi – criminali,  attivisti o semplici hackers –  reti criminali, stati o gruppi di stati.  Costoro agiscono per le motivazioni più svariate, perlopiù a sfondo economico, ma anche politico o ideologico. Il crimine cibernetico transazionale, in particolare, merita una grande attenzione, in quanto rappresenta una delle maggiori minacce alla sicurezza delle nazioni, intaccando lo sviluppo economico e sociale delle stesse. Liviu Mureșan, presidente dell’EURISC Foundation, ha ricordato che, nell’anno passato, i proventi della criminalità cibernetica hanno superato quelli del traffico globale di droga, sfiorando i 400 miliardi di dollari.

Anche i bersagli a rischio sono numerosi, e, quanto più un’infrastruttura è considerata “critica” per il funzionamento della società, tanto più il danno rischia di essere ingente, ponendo talvolta questioni di diritto umanitario. Come ricordato Paolo Lezzi, amministratore delegato di Maglan Europe, le “armi” utilizzate da chi perpetra gli attacchi sono classificabili come quelle convenzionali: ne esistono di strategiche, tattiche, offensive, difensive e preventive. L’azione di tali armi sono assai diversificate (possono distruggere il sistema, creare ritardi, disturbare.. etc.). Nonostante la gravità della minaccia, Victorine Hage, ricercatrice presso l’Atlantic Treaty Association (ATA) ha ricordato che il numero degli attacchi alla NATO, che sono nell’ordine di un centinaio al giorno, appare quasi irrisorio se confrontato con  le cifre che riguardano Israele (10.000 attacchi all’ora).
Per ciò che concerne il secondo argomento, va notato che l’attenzione verso la Cyber Defence é un fatto piuttosto recente. Difatti, NATO e comunità internazionale hanno iniziato ad occuparsene all’indomani dello scossone rappresentato dall’attacco all’Estonia del 2007, cui hanno fatto seguito gli attacchi in Georgia del 2008. Da allora, la preoccupazione interalleata è cresciuta in modo esponenziale ed ha dato il via a numerose iniziative. NATO e UE hanno creato nuovi organismi e strutture per la ricerca, come il Centro di Eccellenza “Coopearative Cyber Defence Centro Of Excellence” (CCDCoE) di Tallin, hanno organizzato tavole rotonde e conferenze, messo in atto direttive e diffuso pubblicazioni.

Come evidenziato nel corso del Forum, dal punto di vista concreto l’approccio della NATO agli attacchi cibernetici è stato a lungo essenzialmente difensivo. L’obiettivo, cioè, era quello di neutralizzare, in modo diversificato, una minaccia che si era già manifestata (quello che viene chiamato management della crisi). Tale approccio, però, può venir percepito dall’esterno come una forma di debolezza. Per ovviare a questo inconveniente e nel contempo rendere più efficace la difesa, è essenziale  imparare ad anticipare l’attacco, sia migliorando le azioni mirate a prevenirlo, che  mettendo in piedi una qualche forma di reazione proporzionata. È importante mettere in atto una strategia, che, come sottolineato diverse volte nel corso della riunione, non può prescindere,  per essere credibile ed efficace, dalla collaborazione, la cooperazione e l’interoperabilità tra gli Stati membri dell’Alleanza.
Sono queste le conditio sine qua non di qualsiasi seria intenzione di dotarsi di un efficace sistema di difesa. In particolare, c’è bisogno di un forte legame fra Stati Uniti ed Unione Europea (l’ambasciatore Lazxar Elenovski, vice presidente dell’ATA, ha parlato della necessità di una rinascita transatlantica) e di una stretta collaborazione all’interno dell’UE stessa. Alla collaborazione deve aggiungersi un’armonizzazione della protezione tra i diversi Stati dell’UE e della NATO, con un’eventuale creazione di un organismo ad hoc.
Inoltre, bisogna stabilire una stretta cooperazione tra militare e civile (da cui, paradossalmente, si dipende sempre più per questioni militari), mondo accademico, istituti di ricerca nonché agenzie di intelligence, pubblico e privato. Ognuno deve mettere a disposizione risorse e know-how, creare reti e collaborare in tutti i modi possibili, coinvolgendo i cittadini ad entrare nella discussione.
Questa necessità, se da un lato deriva dal fatto che ogni stato o settore, come ha ricordato il Wolfgang Roehring, Project Officer per la Cyber Defence, all’European Defence Agency (EDA) è l’anello debole della catena, dall’altro è legata alla sempre maggiore compenetrazione del settore civile con quello militare, che nel caso della NATO è stato particolarmente evidente.

In tale contesto una condivisione delle informazioni, acquisite anche attraverso l’intelligence, diventa – come ha spiegato Alessandro Zanasi, amministatore delegatyo di Zanasi & Partners – uno strumento necessario per “mantenere il web luogo di cooperazione e non di guerra”. In caso contrario, il “web” diventerebbe  “teatro della guerra geopolitica del futuro”. Tutto ciò non deve prescindere dagli aspetti giuridici che sono sempre più importanti e servono a definire il quadro entro cui è lecito agire. In sostanza uno dei messaggi principali scaturiti dal simposio è che c’è bisogno di un approccio globale, politico, economico, accademico, giuridico e naturalmente tecnico. Le difficoltà che ostacolano la riuscita di una strategia comune, la condivisione di informazioni e un inquadramento giuridico della Cyber Defence sono di natura essenzialmente politica.  È facile intuire, quando si parla di condivisione delle informazioni, quante implicazioni possano esserci. I privati cittadini vogliono mantenere la propria privacy (secondo la direttiva europea 9546), il governo e l’industria mostrano riluttanza ed imbarazzo nel condividere le proprie debolezze – per l’industria è anche una questione di competitività. Il problema, quindi, oltre ad essere politico è anche emotivo. l’Intelligence, poi, è la vera patata bollente di tutta la questione.

Inoltre gli Stati si fidano poco gli uni degli altri e la cooperazione, quando c’è, avviene tra gruppi ristretti di Paesi. A tal proposito  Giuseppe Abbamonte, a capo dell’unità DG Connect della Commissione Europea, ha ricordato che i due aspetti (privacy e sicurezza) non collidono: si può avere sicurezza senza privacy ma non viceversa. La condivisione di informazioni, quindi,  sarebbe in realtà un’opportunità per le nazioni. Un secondo ordine di problemi è dato dalla necessità di un inquadramento giuridico della difesa cibernetica, così da poter stabilire congiuntamente che tipo di risposta sia la più adeguata e quale sia la “soglia” oltre la quale si può intervenire. Tale questione necessita di essere discussa ampiamente non solo dai media, ma anche a livello tecnico-politico. Qualcuno ha suggerito che dev’essere l’articolo 5 ad ispirare la politica della NATO in tema di aggressione. Certamente va dato spazio alla proporzionalità e bisogna, parimenti, cercare quanto prima di trovare un accordo adeguato.

Immagini: Nato Defence College, Aga.com, readysouthflorida.org, news.err.ee