I principi strategici delle politiche di cybersecurity
di Stefano Mele
1.0 Introduzione
Seppure la parola “strategia” affondi le sue radici nel termine greco στρατηγός (strategós) e vanti un’approfondita analisi e trattazione già dall’antica tradizione orientale tra il VI ed il V secolo a.C.[1], il lessico militare europeo ha cominciato a recepirla e utilizzarla, non senza difficoltà e fraintendimenti, soltanto nell’ultimo quarto del XVIII secolo[2].
Secondo la definizione classica che Clausewitz formula nel suo testo Della guerra[3], la strategia è:
“l’impiego del combattimento agli scopi della guerra. Essa deve dunque porre ad ogni atto bellico uno scopo immediato che possa condurre a quello finale. In altri termini, elabora il piano di guerra, collega allo scopo immediato predetto la serie delle operazioni che ad esso devono condurre, e cioè progetta i piani delle campagne e ne coordina i singoli combattimenti”[4].
In una più attuale ed estesa accezione neo-clausewitziana, quindi, la strategia – intesa in senso strettamente militare – concerne l’organizzazione e l’uso dei mezzi militari per il conseguimento dei fini della politica; ovverosia l’uso o la minaccia d’uso della violenza organizzata nei rapporti tra Stati[5].
Tuttavia, per comprendere l’importanza che la strategia ha e continuerà certamente ad avere non solo in situazioni di conflitto, ma anche e soprattutto negli “affari degli Stati”, occorre accennare, seppur brevemente e senza alcuna pretesa di esaustività, all’evoluzione che questo concetto ha avuto nel pensiero strategico anglosassone. Dalla fine del primo decennio del Novecento, infatti, alla strategia intesa in senso strettamente militare si è andato affiancando col tempo il concetto di grand strategy o “grande strategia” – nozione sostanzialmente analoga a quella di national strategy tipica della letteratura statunitense – avente come scopo quello di “coordinare e dirigere tutte le risorse di una nazione, o gruppo di nazioni, verso il raggiungimento dell’obiettivo politico della guerra – scopo definito dalla politica fondamentale”[6]. In questo senso, quindi, la grande strategia è sinonimo della “politica che guida la guerra” (politica militare), a sua volta implicitamente distinta dalla “politica fondamentale”, il cui compito è quello di definire l’oggetto della guerra stessa[7]. La strategia compie, così, il primo passo per fondersi con la politica, dando impulso a quell’ulteriore processo evolutivo che, intorno agli anni Cinquanta, la porterà a migrare dall’ambito strettamente militare ad una visione teorica capace di inglobare indistintamente sia situazioni meramente competitive che di reale conflittualità, violente o non violente che siano, fino a giungere al pensiero moderno che la vede come “l’arte di ottenere da una situazione più di quanto l’iniziale bilanciamento del potere abbia inizialmente suggerito”[8].
2.0 L’esigenza di una strategia anche per il cyber-spazio
Da quando nell’aprile del 2007 l’Estonia è stata oggetto di una serie di attacchi di tipo DDoS (Distributed Denial of Service) capaci di paralizzare quasi completamente l’intera infrastruttura informatica del Paese, il settore della cyber-security è stato oggetto di particolari attenzioni da parte dei governi di tutto il mondo. Questi nuovi “timori”, uniti all’accensione dei riflettori da parte dei media sulle tematiche del cyber-crime, della cyber-intelligence e del cyber-warfare, hanno creato a livello internazionale da un lato grandi opportunità di business e di mercato, ma dall’altro hanno attirato contestualmente un numero nel tempo sempre maggiore – per quantità e qualità – di attacchi informatici. Il principale di essi, almeno per quanto è dato sapere da fonti pubbliche, è stato l’attacco effettuato attraverso l’unica vera cyber-arma[9] attualmente conosciuta, ovvero il malware Stuxnet[10], l’unico software capace – almeno finora – di danneggiare fisicamente l’infrastruttura critica di una nazione sfruttando i sistemi informatici che la governano.
Non può stupire dunque come nel settembre del 2010 – quando l’allora vice-segretario della Difesa americano William J. Lynn III ha pubblicamente qualificato il cyber-spazio come il “quinto dominio della conflittualità”[11] dopo terra, mare, aria e spazio – la maggior parte degli Stati si siano immediatamente mossi per disegnare, attraverso la lente della propria cultura strategica, una strategia anche per il cyber-spazio, al fine di delineare le direttrici fondamentali verso quei precisi obiettivi di medio-lungo termine posti dal proprio governo. Un passaggio, in realtà, quasi obbligatorio e forse “naturale”, per far fronte a una minaccia che anche solo sul piano della mera criminalità informatica e dello spionaggio elettronico cresce da anni con ritmi vertiginosi, incidendo profondamente sull’economia e la competitività di ciascuna nazione[12].
3.0 Analisi comparata delle cyber-strategy pubbliche
Come si può evincere dal grafico, allo stato attuale soltanto 29 dei 196 Stati generalmente riconosciuti sovrani a livello internazionale hanno reso pubblica una propria cyber-strategy[13]. A questo valore, inoltre, devono essere aggiunti i documenti strategici della NATO e dell’Unione Europea, già pubblicati, nonché in futuro quelli di Belgio, Singapore, Montenegro e Kenya, che potrebbero essere adottati e divulgati già entro la fine del 2013.
Dall’analisi dei menzionati 29 documenti strategici in materia di cyber-security è possibile estrapolare a livello generale non più di 13 differenti pilastri strategici, variamente ricorrenti al loro interno, che si pongono a fondamento dell’approccio strategico globale. Essi sono:
- identificare e classificare le infrastrutture critiche da proteggere
- stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc
- sviluppare i rapporti diplomatici e rafforzare le partnership internazionali
- focus sulla protezione dei diritti fondamentali, sulla privacy e/o sulla libertà di espressione
- focus sul cyber-crime
- trattare il cyber-spazio come dominio di warfare
- creare apposite strutture politiche e decisionali per far fronte alla minaccia
- sviluppare deterrenza per la prevenzione dei conflitti nel cyber-spazio
- incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici
- rafforzare la condivisione delle informazioni (anche tra pubblico e privato), l’early warning e le capacità di incident response
- aumentare la consapevolezza pubblica della minaccia e l’importanza della cyber-security
- creare e/o incrementare il numero delle figure professionali ad hoc
- incoraggiare l’innovazione, la ricerca e lo sviluppo
Il primo elemento a carattere generale che emerge dall’analisi comparata delle cyber-strategy è certamente quello relativo al numero di Paesi europei con una strategia già formalizzata – ben 15 degli attuali 28 Stati membri, ovverosia più della metà non solo a livello europeo, ma anche rispetto al numero totale delle nazioni a livello internazionale. Questo dato certamente rilevante – tra l’altro soltanto in minima parte influenzato dal dettato della Cybersecurity Strategy of the European Union [14], che stimola gli Stati membri a dotarsi quanto prima di una propria strategia nazionale – porta a far riflettere sull’attenzione e sul valore che da tempo il territorio europeo dà alla sicurezza informatica e delle informazioni.
Dall’analisi del loro contenuto, inoltre, è possibile individuare alcuni tratti comuni a tutte le cyber-strategy di matrice europea. I principali pilastri strategici individuabili sono:
- stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc
- sviluppare i rapporti diplomatici e rafforzare le partnership internazionali
- incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici
- rafforzare la condivisione delle informazioni (anche tra pubblico e privato), l’early warning e le capacità di incident response
Francia, Finlandia, Germania e Paesi Bassi, peraltro, risultano gli unici Paesi europei ad aver apertamente già provveduto a considerare il cyber-spazio come dominio di warfare, laddove solo Francia e Paesi Bassi hanno anche esplicitamente formalizzato un ulteriore e fondamentale pilastro strategico per questo settore, riconoscendo la necessità di creare una strategia di deterrenza atta a prevenire eventuali conflitti nel cyber-spazio.
In linea più generale, invece, si può affermare che tutte le 15 cyber-strategy attualmente formalizzate dai Paesi europei, più o meno apertamente, basano il loro pensiero strategico principalmente sui seguenti elementi:
- stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc
- sviluppare i rapporti diplomatici e rafforzare le partnership internazionali
- focus sulla protezione dei diritti fondamentali, sulla privacy e/o sulla libertà di espressione
- focus sul cyber-crime
- creare apposite strutture politiche e decisionali per far fronte alla minaccia
- incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici
- rafforzare la condivisione delle informazioni (anche tra pubblico e privato), l’early warning e le capacità di incident response
- aumentare la consapevolezza pubblica della minaccia e l’importanza della cyber-security
- creare e/o incrementare il numero delle figure professionali ad hoc
Contestualmente, sul piano internazionale, i tratti comuni individuabili all’interno delle 29 cyber-strategy finora rese pubbliche si delineano esclusivamente nei seguenti pilastri strategici, ovvero:
- sviluppare i rapporti diplomatici e rafforzare le partnership internazionali
- incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici
- rafforzare la condivisione delle informazioni (anche tra pubblico e privato), l’early warning e le capacità di incident response
Da ciò ben si comprende quanto il sentiero comune di approccio globale sia ancora fortemente incardinato sulle attività diplomatiche e di partnership su più livelli, nonché sulla parte prettamente tecnica/tecnologica della materia.
Così come occorre costatare, peraltro, quanto sia in realtà ormai cospicuo il numero degli Stati che hanno già apertamente provveduto a prendere in considerazione il cyber-spazio come dominio di warfare. In particolare, oltre a quelli europei già richiamati, si evidenziano gli Stati Uniti, la Russia, la Corea del Sud, il Giappone, l’Australia, la Norvegia e la Colombia. Ciò nonostante, tra questi solo gli Stati Uniti e la Russia hanno considerato come ulteriore elemento chiave anche quello di predisporre una strategia di deterrenza atta a prevenire eventuali conflitti nel cyber-spazio.
A questo elenco devono essere aggiunte – anche con un semplice richiamo – le posture strategiche di Cina e Israele, spiccatamente protese verso il compimento di attività “offensive” attraverso il cyber-spazio, ma i cui documenti strategici non sono tuttora pubblici.
Anche sotto il profilo internazionale, infine, si possono estrapolare alcuni elementi di base che, più o meno apertamente, si pongono a fondamento dei documenti strategici analizzati. Essi in particolare sono:
- stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc
- sviluppare i rapporti diplomatici e rafforzare le partnership internazionali
- focus sulla protezione dei diritti fondamentali, sulla privacy e/o sulla libertà di espressione
- focus sul cyber-crime
- creare apposite strutture politiche e decisionali per far fronte alla minaccia
- incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici
- rafforzare la condivisione delle informazioni (anche tra pubblico e privato), l’early warning e le capacità di incident response
- aumentare la consapevolezza pubblica della minaccia e l’importanza della cyber-security
- creare e/o incrementare il numero delle figure professionali ad hoc
In conclusione, da quanto finora analizzato è possibile ricavare una matrice di comparazione che unisca anche visivamente i Paesi già dotati di una cyber-strategy pubblica con ciascuno dei 13 pilastri strategici ricavati dalla loro analisi.
- Matrice di comparazione dei Paesi già dotati di cyber-strategy pubblica (completa) PDF MB 4,2
- Matrice di comparazione dei Paesi già dotati di cyber-strategy pubblica (parte 1) PDF kB 905
- Matrice di comparazione dei Paesi già dotati di cyber-strategy pubblica (parte 2) PDF kB 943
4.0 Le criticità dell’approccio strategico americano
Da quando, nel 2009, il Presidente Barack Obama ha posto l’accento sulla minaccia derivante dal cyber-spazio, inserendola tra gli elementi cardine della sua agenda politica e dichiarandola pubblicamente “una delle sfide più serie sia per l’economia, che per la sicurezza nazionale”[15], il governo degli Stati Uniti si è imposto anche in questo settore come il principale attore e indiscusso trascinatore del pensiero strategico internazionale[16].
Seppure il primo piano nazionale per la sicurezza dei sistemi informatici[17] americani risalga al 2000 e la prima strategia nazionale ufficiale in materia di cyber-security[18] sia datata 2003, è proprio dalla metà del 2009 che la materia ha cominciato ad ottenere una crescente e quasi incontenibile attenzione, complice soprattutto:
- il grande interesse e la spinta del governo americano verso i temi della cyber-security e del cyber-warfare
- i cospicui finanziamenti economici governativi destinati a questi settori, nonostante la recessione economica e la contrazione generalizzata dei budget
- un’attenzione mediatica internazionale senza precedenti e in costante crescita
- il conseguente aumento della divulgazione pubblica degli attacchi informatici andati a segno nei confronti dei sistemi informativi di governi e aziende.
Per far fronte a questa incombente minaccia – la cui crescita dal 2006 al 2012 è stata stimata dall’US-CERT del 782%, in poco meno di 50.000 attacchi informatici verso obiettivi americani ufficialmente denunciati nel solo 2012 – il governo degli Stati Uniti si è impegnato nel tempo a delineare e a dare attuazione a una cospicua serie di documenti strategici e operativi. Addirittura per il solo piano strategico se ne possono individuare allo stato attuale dieci.
Lo scopo principale di questi documenti è quello di fissare i principi cardine dell’azione del governo in materia di cyber-security, costituire le specifiche strutture governative (sia quelle a rilevanza interna che esterna), nonché definire ruoli e responsabilità per far fronte alla minaccia.
Uno sforzo sicuramente apprezzabile, che, tuttavia, non ha tardato a destare qualche perplessità sulle reali possibilità di implementazione, anche nel medio periodo, specialmente in ragione della mole, della complessità e della capillarità delle direttive impartite dal governo americano. Incertezze, queste, già da tempo manifestate – anche da parte di commentatori italiani[19] – e su cui il Government Accountability Office (GAO)[20] degli Stati Uniti è tornato anche di recente a porre l’accento in occasione della sua recente audizione presso l’Homeland Security & Governmental Affairs Committee[21] (Comitato per la Sicurezza Nazionale e gli Affari Governativi) del Senato.
In particolare, occorre evidenziare come la rapida evoluzione del pensiero strategico americano in materia di cyber-security, abbia fatto sì che nell’ultimo decennio si siano andati “ammassando” principi strategici e direttive del governo di difficile raccordo e di complessa implementazione pratica. Ciò ha comportato che il governo americano soffra tuttora di alcune rilevanti criticità, tra le quali spiccano:
- la difficoltà per le Agenzie federali di effettuare una corretta valutazione dei rischi derivanti dal cyber-spazio attraverso lo sviluppo e l’implementazione dei principi e delle direttive in materia di cyber-security impartite dal governo centrale
- la difficoltà da parte delle Agenzie deputate alla protezione delle infrastrutture critiche di comprendere correttamente quali siano le norme e i regolamenti in materia di cyber-security da applicare al loro specifico settore (criticità a cui Obama ha provato a dare una risposta attraverso il recente Presidential Executive Order on Improving Critical Infrastructure Cybersecurity[22]
- la persistente difficoltà di rilevare, contrastare e mitigare gli attacchi informatici, soprattutto a causa della mancanza in seno al Department of Homeland Security (DHS) di un efficace sistema di analisi predittiva delle minacce derivanti dal cyber-spazio e di un sistema centrale per la condivisione delle informazioni tra settore pubblico/governativo e i principali attori privati.
Una soluzione a queste problematiche così essenziali e urgenti può essere senz’altro rinvenuta attraverso la predisposizione di un nuovo documento strategico nazionale che vada a sintetizzare e armonizzare la mole di direttive e di strategie finora prodotta, descrivendo in modo semplice, completo e puntuale l’attuale stato dell’architettura strategica nazionale americana in materia di cyber-security.
Tuttavia, far ciò non basta. Occorrerà, infatti, che questo nuovo documento strategico definisca con chiarezza e in maniera univoca anche:
- i costi e le risorse necessarie per una sua reale attuazione ed esecuzione
- i ruoli e le responsabilità assegnati a ciascun attore statale nella gestione della minaccia
- i metodi attraverso cui valutare nel breve, nel medio e nel lungo periodo i risultati raggiunti nell’implementazione della nuova strategia
- la priorità e il posizionamento della nuova strategia all’interno del quadro strategico americano e i suoi eventuali collegamenti con gli altri documenti strategici preesistenti, ovvero la loro eventuale abrogazione.
Soltanto attraverso questi ulteriori accorgimenti, infatti, il nuovo documento strategico nazionale americano potrà far fronte in maniera efficace alle attuali minacce derivanti dal cyber-spazio, scrollandosi di dosso quell’enorme quantità di “lacci e lacciuoli” che, nel settore della cyber-security, rendono attualmente gli Stati Uniti un gigante con i piedi di argilla.
5.0 La situazione italiana
Alla disamina finora condotta manca, tuttavia, un approfondimento sulla situazione italiana[23]. Questo perché l’Italia non si è ancora dotata di una specifica cyber-strategy, nonostante alcune iniziative, peraltro fondamentali, siano state già intraprese.
È questo il caso, a esempio, del Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013 contenente “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”.
Seppure con un po’ di ritardo rispetto a Paesi come gli Stati Uniti, la Gran Bretagna, la Germania, l’Olanda o la Francia, infatti, anche l’Italia sta provvedendo ad attrezzarsi per porre in essere quelle strutture atte a garantire un adeguato livello di sicurezza dalle minacce provenienti dal cyber-spazio.
Il principale scopo del Decreto, infatti, è quello di riorganizzare l’architettura istituzionale nel settore della cyber-security, un’architettura considerata fino a poco tempo fa disorganica e inefficiente anche a causa, come in precedenza accennato, dell’assenza di una precisa strategia nazionale per questo settore. Il Governo italiano, quindi, ha compiuto attraverso il Decreto un primo, importantissimo, passo procedendo “secondo un percorso di graduale e progressiva razionalizzazione di ruoli, strumenti e procedure” e puntando sull’integrazione delle strutture e delle competenze già esistenti, anche al fine di ottimizzare e ridurre i costi pubblici.
In via preliminare, tuttavia, occorre precisare che il governo italiano – soprattutto attraverso l’azione del comparto intelligence – già da tempo aveva acceso i riflettori su questo genere di minaccia, monitorandola con particolare attenzione sin dal 2009. Non è un caso, infatti, che già nel febbraio 2010 all’interno della Relazione sulla politica dell’informazione per la sicurezza 2009 venisse posto in luce come “con riferimento agli scenari di potenziale incidenza sulla sicurezza economica e sulla più generale architettura di sistema che sorregge il concreto funzionamento, le attività quotidiane e i programmi di sviluppo della Nazione, un fondamentale campo di sfida per l’intelligence sarà quello della cybersecurity. Ciò a cospetto di una minaccia che ha ormai assunto caratura strategica, tanto da essere considerata dai principali attori internazionali un fattore di rischio di prima grandezza, direttamente proporzionale al grado di sviluppo raggiunto dalle tecnologie dell’informazione”[24].
A questa prima analisi hanno fatto seguito – nelle Relazioni presentate al Parlamento negli anni successivi – ulteriori riflessioni, che, in una evidente escalation, hanno valutato questa minaccia dapprima come “di potenziale impatto sul sistema Paese e sulla stessa sicurezza nazionale”[25] nella Relazione del 2010, passando a considerarla “con prioritaria attenzione”[26] nella Relazione del 2011, fino a darne la qualificazione di “sfida più impegnativa per il sistema Paese”[27] nella Relazione dello scorso anno.
A quanto finora delineato, inoltre, dev’essere affiancata la Relazione del COPASIR sulle possibili implicazioni e minacce per la sicurezza nazionale derivanti dallo spazio cibernetico[28], che già nel luglio 2010 aveva efficacemente posto in evidenza alcuni principi utili per far fronte alla minaccia derivante dal cyber-spazio e dall’utilizzo delle tecnologie. In particolare, ai fini della presente ricerca, si possono porre sinteticamente in risalto i seguenti principi:
- pianificazione strategica in materia di contrasto alla minaccia cibernetica
- dotarsi di un impianto strategico – organizzativo che assicuri una leadership adeguata e predisponga chiare linee politiche per il contrasto alle minacce e il coordinamento tra gli attori interessati
- mappatura e classificazione delle infrastrutture critiche per la sicurezza nazionale, sia materiali che immateriali
- predisporre un documento di sicurezza nazionale dedicato alla protezione delle infrastrutture critiche materiali e immateriali
- redigere in stretto coordinamento con gli interlocutori istituzionali e privati, a cominciare dagli apparati di intelligence, le politiche strategiche di protezione, resilienza e sicurezza cibernetica
- sviluppare la collaborazione pubblico – privato per migliorare l’azione di prevenzione e contrasto al cyber-crime e la cooperazione internazionale in ambito bilaterale e multilaterale
- predisporre piani di disaster recovery per i dati di valore strategico per la sicurezza della Repubblica.
Premesso ciò, per quanto attiene invece l’impostazione organizzativa dettata dal Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013, si è optato per un framework classico, di fatto già sperimentato in altre nazioni, che vede in cima alla piramide decisionale il Presidente del Consiglio dei ministri e i Ministri che compongono il Comitato per la sicurezza della Repubblica (CISR), a cui sono demandati i compiti di indirizzo politico-strategico. A essi, infatti, spetta la definizione della strategia nazionale di cyber-security (nel Decreto si parla di “quadro strategico nazionale per la sicurezza dello spazio cibernetico” e di un “piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali”), nonché l’emanazione delle conseguenti direttive d’indirizzo.
A supporto del Comitato interministeriale opera quello che nel Decreto viene definito “organismo collegiale di coordinamento”, presieduto dal Direttore generale del Dipartimento delle Informazioni per la Sicurezza (DIS). Dovrebbe trattarsi – il condizionale è d’obbligo poiché la normativa che lo riguarda, il DPCM n. 2 del 26 ottobre 2012, è riservata[29] – del “CISR tecnico”, composto, secondo quanto si evince dall’analisi congiunta delle più recenti relazioni annuali del COPASIR e del Governo, dai dirigenti di vertice delle Amministrazioni rappresentate nel CISR, cui, in occasione delle sedute sui temi della sicurezza cibernetica, si aggiunge il Consigliere militare.
Al suddetto organismo è demandata sia l’attività istruttoria dei lavori del Comitato interministeriale, che quella di supporto del CISR durante le fasi di controllo dell’implementazione del “piano nazionale per la sicurezza del ciberspazio”, coordinando altresì i rapporti tra amministrazioni e uffici competenti, nonché tra questi e i soggetti pubblici e privati chiamati ad attuarlo.
Nel quadro istituzionale delineato dal Decreto del 24 gennaio 2013, inoltre, un ruolo fondamentale è svolto dagli organismi di informazione per la sicurezza. Sia per quanto concerne le due Agenzie, in particolar modo nella fase di raccolta ed elaborazione delle informazioni, che per quanto attiene al DIS, soprattutto nella fase di formulazione di analisi strategiche, nelle attività di valutazione e previsione della minaccia derivante dal cyber-spazio, nonché nella promozione e diffusione della “conoscenza e [de]la consapevolezza in merito ai rischi […] e sulle misure necessarie a prevenirli”.
Proprio a supporto di quest’ultimo compito, il Decreto istituisce presso la Scuola di formazione del Sistema di Intelligence un comitato scientifico – composto da esperti provenienti dalla pubblica amministrazione, dal mondo accademico e dal settore privato – con il compito di assistere l’organismo collegiale e il Nucleo per la sicurezza cibernetica.
A supporto del Capo del Governo per gli aspetti relativi alla prevenzione e all’approntamento rispetto a situazioni di crisi, il Decreto istituisce anche il Nucleo per la sicurezza cibernetica, costituito in via permanente presso l’Ufficio del Consigliere militare e da questi presieduto.
Il Nucleo, composto dai rappresentanti del DIS, dell’AISE e dell’AISI, del Ministero dell’interno, del Ministero degli affari esteri, del Ministero della difesa, del Ministero dello sviluppo economico, del Ministero dell’economia, del Dipartimento della protezione civile, dell’Agenzia per l’Italia digitale, svolge principalmente una funzione di “bretella” tra i diversi attori istituzionali che operano nel campo della cyber-security. In particolare, è compito del Nucleo potenziare le attività di prevenzione, allertamento e approntamento in caso di eventuali situazioni di crisi, anche attraverso una propria unità operativa permanente e costantemente attiva, nonché svolgere le opportune azioni di risposta e ripristino rispetto a queste situazioni, provvedendo se del caso ad attivare anche il Tavolo interministeriale di crisi cibernetica. Ciò può avvenire qualora un “evento cibernetico” (attacco, incidente, furto/spionaggio) assuma “dimensioni, intensità o natura tali da incidere sulla sicurezza nazionale” o non possa “essere fronteggiato dalle singole amministrazioni competenti in via ordinaria”.
Occorre rilevare, inoltre, che il Tavolo interministeriale di crisi cibernetica altro non è che il già esistente Nucleo Interministeriale Situazione e Pianificazione (NISP), istituito con il DPCM 5 maggio 2010 in materia di gestione delle crisi nazionali. Spetterà al NISP, quindi, quale Tavolo interministeriale, verificare e coordinare la gestione e la risposta alla “crisi cibernetica” da parte delle amministrazioni coinvolte, avvalendosi, ove necessario, del CERT nazionale.
Per ultimo, occorre sottolineare anche il ruolo primario assunto dagli operatori privati all’interno del processo istituzionale deputato alla tutela della sicurezza nazionale e alla gestione delle crisi in conseguenza delle minacce derivanti dal cyber-spazio.
Infatti, in linea con la logica sottesa alla cyber-strategy europea, gli operatori che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall’operatività di sistemi informatici e telematici, da un lato devono comunicare ogni significativa violazione della propria sicurezza o dell’integrità dei propri sistemi informatici al Nucleo per la sicurezza cibernetica e, se richiesto, agli organismi di informazione per la sicurezza, dall’altro devono adottare le misure di sicurezza e le best practice eventualmente predisposte dall’organismo collegiale di coordinamento posto a supporto del CISR.
In conclusione, al fine di razionalizzare e schematizzare questo importante processo di organizzazione, la seguente immagine esemplifica quando finora analizzato.
6.0 Conclusioni
L’approccio strategico all’analisi e alla gestione delle minacce alla sicurezza nazionale rappresenta il pilastro fondamentale sul quale edificare anche la protezione dai rischi derivanti dal cyber-spazio, nonché la sicurezza informatica e delle informazioni del nostro Paese.
Le linee guida strategico-operative dettate attraverso il DPCM del gennaio 2013 hanno rappresentato il primo e fondamentale sforzo organizzativo del nostro Paese, al quale occorre far seguire tuttavia – a stretto giro di tempo – il “quadro strategico nazionale per la sicurezza dello spazio cibernetico” e il “piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali”.
I principi cardine estrapolabili dalle politiche di cyber-security, tanto in ambito internazionale quanto europeo, pongono in netta evidenza un approccio comune sulle principali questioni strategiche, in piena armonia logica con la globalità di questo dominio. Incentrare su di essi anche il quadro strategico italiano, pertanto, rappresenta un elemento chiave per l’efficienza e la coerenza delle nostre politiche di sicurezza per questo settore.
L’autore
Stefano Mele è avvocato specializzato in Diritto delle tecnologie, Privacy e Sicurezza delle informazioni, nonché Coordinatore dell’Osservatorio InfoWarfare e Tecnologie emergenti dell’Istituto Italiano di Studi Strategici Niccolò Machiavelli. È inoltre consulente per organizzazioni nazionali ed estere in materia di cyber-intelligence, cyber-terrorism e cyber-warfare, nonché docente di queste materie presso numerosi Istituti di formazione e di ricerca sia nazionali che esteri. Per il nostro sito ha pubblicato anche Le best practice in materia di cyber-security per le PMI e La cooperazione pubblico-privato nella cyber-security.
[1] Tradizionalmente si fa risalire il primo trattato di strategia militare orientale al fondamentale testo del generale Sun Tzu, vissuto in Cina probabilmente fra il VI e il V secolo a.C. (in italiano, L’arte della guerra, Roma, Ubaldini Editore, 1990).
[2] Fu, infatti, un ufficiale francese, Paul Gideon Joly de Maizeroy, a utilizzare per la prima volta nel 1777 il termine “strategia” all’interno del suo Théorie de la guerre, edito da Chez la Veuve Leclerc. Cfr., L. Bozzo, Studi di Strategia, Milano, Egea, 2013, pp. 25 e ss.; J. M. Mathey, Comprendere la strategia, Trieste, Asterios, 1999, pp. 13-16.
[3] C. Von Clausewitz, Della guerra, Milano, Mondadori, 1970.
[4] C. Von Clausewitz, Della guerra, op. cit., p. 173.
[5] B. H. Liddell Hart, Strategy, New York, Meridian, 1991, p. 321. Per una recente ed approfondita trattazione del tema nella letteratura italiana, L. Bozzo, Studi di Strategia, op cit., pp. 25 e ss..
[6] B. H. Liddell Hart, Strategy, op cit., p. 322.
[7] L. Bozzo, Studi di Strategia, op cit., p. 38.
[8] L. Freedman, Strategy: A History, New York, Oxford University Press, 2013.
[9] S. Mele, Cyber-weapons: aspetti giuridici e strategici (versione 2.0), Edizioni Machiavelli, 2013, in <http://www.strategicstudies.it/wp-content/uploads/2013/06/Edizioni-Machiavelli-Cyber-Weapons-Aspetti-Giuridici-e-Strategici-V2.0.pdf> (ultima consultazione 2013-12-05).
[10] Per un’analisi completa ed esaustiva degli aspetti tecnici del malware Stuxnet, si veda M. De Falco, Stuxnet Facts Report – A Technical and Strategic Analysis, NATO CCD COE Publications, 2012; Symantec, W32 Stuxnet Dossier, 2011, <http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf> (ultima consultazione 2013-12-05); CSFI, Stuxnet Report, 2010, in < http://www.iamit.org/blog/wp-content/uploads/2010/10/CSFI_Stuxnet_Report_V1.pdf > (ultima consultazione 2013-12-05); Antiy Cert, Report on the Worm Stuxnet Attack, 2010, in < http://www.antiy.net/media/reports/stuxnet_analysis.pdf> (ultima consultazione 2013-12-05); Eric Byres, Analysis of the Siemens WinCC / PCS7 “Stuxnet” Malware for Industrial Control System Professionals, 2010, in <http://www.tofinosecurity.com/professional/siemens-pcs7-wincc-malware> (ultima consultazione 2013-12-05).; ESET, Stuxnet Under the Microscope, 2010, in <http://go.eset.com/us/resources/white-papers/Stuxnet_Under_the_Microscope.pdf> (ultima consultazione 2013-12-05); Ralph Langner, How to Hijack a Controller. Why Stuxnet Isn’t Just About Siemens’ PLCs, 2011, in <http://www.controlglobal.com/articles/2011/IndustrialControllers1101.html> (ultima consultazione 2013-12-05).
[11] William J. Lynn III, Defending a New Domain: The Pentagon’s Cyberstrategy, in Foreign Affairs, 2010, pp. 97–108; Economist, The threat from the internet: Cyberwar, 2010, in <http://www.economist.com/node/16481504?story_id=16481504> (ultima consultazione 2013-12-05).
[12] Center for Strategic and International Studies (CSIS) – The Economic Impact of Cybercrime and Cyber Espionage, 2013, in <http://csis.org/files/publication/60396rpt_cybercrime-cost_0713_ph4_0.pdf> (ultima consultazione 2013-12-05).
[13] Il dato è aggiornato al 1. dicembre 2013.
[14] Per approfondire, si veda European Commission, Joint communication to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions – Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, 2013, in <http://www.eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_en.pdf> (ultima consultazione 2013-12-15).
[15] The White House – Office of the Press Secretary, Remarks by the President on Securing Our Nation’s Cyber Infrastructure, 2009, in <http://www.whitehouse.gov/the_press_office/Remarks-by-the-President-on-Securing-Our-Nations-Cyber-Infrastructure>.
[16] Si veda anche S. Mele, I limiti della cyber-strategy americana, Formiche.net, 2013.
[17] The White House, Defending America’s Cyberspace. National Plan for Information Systems Protection Version 1.0. An Invitation to a Dialogue, 2000, in http://www.fas.org/irp/offdocs/pdd/CIP-plan.pdf.
[18] The White House, The National Strategy to Secure Cyberspace, 2003, in <https://www.us-cert.gov/sites/default/files/publications/cyberspace_strategy.pdf > (ultima consultazione 2013-12-05).
[19] Stefano Mele, Le esigenze americane in materia di cyber-terrorismo e cyber-warfare. Analisi strategica delle contromisure, 2010, in http://www.stefanomele.it/public/documenti/189DOC-340.pdf.
[20] Per approfondimenti su questa agenzia che lavora per il Congresso americano, http://www.gao.gov/about/index.html.
[21] The Government Accountability Office (GAO), Testimony before the Committee on Commerce, Science, and Transportation, and the Committee on Homeland Security and Governmental Affairs, U.S. Senate, Cybersecurity. A Better Defined and Implemented National Strategy Is Needed to Address Persistent Challenges, 2013, in http://www.gao.gov/assets/660/652817.pdf.
[22] Stefano Mele, Fini e difficoltà del piano di Obama sulla cyber-security, Formiche.net, 2013, in http://www.formiche.net/2013/02/14/obama-cyber-security/.
[23] Si veda anche C. Neri e S. Mele, Così l’Italia si attrezza su protezione cibernetica e sicurezza informatica, Formiche.net, 2013.
[24] Governo Italiano, Relazione sulla politica dell’informazione per la sicurezza 2009, 2010, p. 93, in <http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2010/02/relazione-2009.pdf> (ultima consultazione 2013-12-05).
[25] Governo Italiano, Relazione sulla politica dell’informazione per la sicurezza 2010, 2011, pagg. 30-32, in <http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2011/02/relazione-2010.pdf> (ultima consultazione 2013-12-05).
[26] Governo Italiano, Relazione sulla politica dell’informazione per la sicurezza 2011, 2012, pagg. 65-70, in <http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2012/02/relazione-2011.pdf> (ultima consultazione 2013-12-05)..
[27] Governo Italiano, Relazione sulla politica dell’informazione per la sicurezza 2012, 2013, pagg. 37-47, in <http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2013/02/relazione-2012.pdf> (ultima consultazione 2013-12-05).
[28] Per approfondire, si veda Cyber minacce e sicurezza. La relazione del COPASIR sulle possibili implicazioni e minacce per la sicurezza nazionale derivanti dallo spazio cibernetico, 2010, in <http://www.parlamento.it/documenti/repository/commissioni/bicamerali/COMITATO%20SICUREZZA/Doc_XXXIV_n_4.pdf> (ultima consultazione 2013-12-05).
[29] Cfr., Decreto del Presidente del Consiglio dei Ministri n. 2 del 26 ottobre 2012, “Regolamento che definisce l’ordinamento e l’organizzazione del Dipartimento delle informazioni per la sicurezza (DIS)” (ultima consultazione 2013-12-05).
Categoria: Approfondimenti