In fatto di cyber sicurezza lo scenario è sempre più complesso, sia sul fronte nazionale – caratterizzato da troppi livelli di responsabilità che rendono difficile un approccio coerente – che su quello internazionale, dove prendono piede nuove forme di destabilizzazione e il nemico è sempre meno riconoscibile.
Ne è ben consapevole il ministro della difesa Elisabetta Trenta, che nella sua apertura di ITASEC19, ha dimostrato di aver ben presente il quadro articolato della sicurezza e ha infatti ha enfatizzato la necessità di sinergia tra istituzioni, ricerca e investimenti privati, tra settore militare e settore civile, la collaborazione dell’Italia nell’ambito europeo e della Nato.
Ha delineato con alcune espressioni nitide queste esigenze, come necessarie risposte alla crescente gravità e pervasività degli attacchi: “Il mondo del web è popolato da milioni di attori i quali agiscono in modo indipendente… è la potenza ma anche la vulnerabilità della rete…. La nostra quotidianità appartiene sempre di più è al mondo virtuale della rete, i mezzi di comunicazione di massa, …gli stessi conflitti tra i popoli avvengono sempre di più in una dimensione informatica”.
La sensazione tangibile è, insomma, che il panorama istituzionale europeo e nazionale si stia complicando, sui temi della sicurezza cibernetica, di pari passo con l’aumento della complessità delle minacce attraverso la rete.
Il ruolo dello Stato in tema cyber sicurezza
In questo quadro, lo Stato non può esaurirsi nelle competenze delle singole amministrazioni. Infatti, gli attacchi provengono sia da enti riconducibili direttamente o indirettamente a governi, sia da gruppi e singoli criminali. La loro logica non risponde a criteri standard di nazionalità né a dimensioni normative o etiche riconducibili alla dimensione istituzionale sovranazionale. Per questi motivi, se lo Stato mantiene il ruolo della difesa dei cittadini come criterio essenziale che ne individua la legittimità.
Il Sistema di informazione per la sicurezza della Repubblica, prevede un livello di competenze politiche guidato dal Presidente del Consiglio, i vertici dei Servizi, il Dipartimento delle Informazioni sulla Sicurezza, al cui interno c’è il Nucleo per la Sicurezza Cibernetica a cui fanno riferimento le strutture operative che presidiano le attività di difesa dello spazio cyber.
Questa complessità elevata deve interagire con partner e contesti internazionali e con livelli di governo decentrati all’interno del Paese.
A livello internazionale occorre dare attuazione alle norme europee, che hanno per obiettivo l’elevazione degli standard degli stati aderenti, con le Direttive relative alla Sicurezza (NIS) e alla tutela dei dati (GDPR), che, tra gli obiettivi hanno quello della collaborazione dei privati con le autorità e delle autorità nazionali tra di loro e con quelle europee.
Il motivo è assai semplice: gli attacchi si muovono al di fuori dei confini e al di fuori delle norme nazionali. Contrastarli è possibile solo con un aggiornamento dei data base sulle modalità, le tecniche, gli obiettivi di agenzie criminali private, o anche di agenzie governative o paragovernative avverse.
Cyber sicurezza, la complessità dello scenario italiano
Quindi l’esercizio di coordinamento e collaborazione non si ferma al già complesso quadro istituzionale nazionale. Anche perché esso è, nel caso dell’Italia, complicato dalle deleghe verso le Regioni e gli enti locali, che le prospettive del federalismo rinascente accentuano.
Si pensi all’ambiente e alla sanità delegati alle Regioni, ma la cui sicurezza cyber e la cui protezione spetta al Governo nazionale.
Vi è qui una operatività, anche dei sistemi informativi e delle procedure di sicurezza, che risiede nelle Regioni, ma una responsabilità della sicurezza stessa che risiede nel governo centrale. Rendere coerente questo sistema è missione, se non è impossibile, certamente complessa. La soluzione può essere cercata solo in una elevata collaborazione istituzionale, da costruire in una realtà, quella italiana, aspramente gelosa delle proprie competenze e autonomie amministrative. Una realtà, per intenderci, dove a differenza di molti altri paesi, la collaborazione tra le amministrazioni pubbliche non è affatto scontata, ma richiede apposite definizioni, anche formali (Protocolli, Accordi quadro etc).
Quadro internazionale e nuove forme di destabilizzazione
Sul versante internazionale, dove l’esempio più chiaro è la lotta al terrorismo nelle diverse declinazioni della prevenzione e del contrasto sul campo, in teatri di guerra o quantomeno di conflitto latente, il tema della sicurezza cyber non è meno complesso.
La complessità deriva dal venire meno del confine amico-nemico riconoscibile nelle forme tradizionali dello scontro armato a seguito di regolare dichiarazione di guerra o dell’attacco terroristico di matrice ideologica classica. È venuta meno la contrapposizione nazionale netta e riconoscibile, mentre cresce la rilevanza delle potenzialità di attacco in rete; ciò comporta la scomparsa del confine o della sua riconoscibilità.
Nel suo approfondito esame della crisi Ucraina, Timothy Snyder (La paura e la ragione, 2018) ha dimostrato come si articolano le forme di attacco ad un paese avverso o che si vuole destabilizzare, sfruttando le proprietà della comunicazione in rete.
La destabilizzazione di paesi fragili, il blocco dei suoi servizi di rete, anche nei paesi di più solide tradizioni democratiche può procedere sui canali della rete, sia con attacchi cyber, sia riempiendo di opportuni segnali e di opportune comunicazioni le ecochamber e le cybercascade che il social network e i suoi algoritmi producono.
La conflittualità si sta spostando sempre più dal mondo reale al mondo cyber, non dobbiamo credere che si tratti di una passaggio che depotenzia l’impatto degli attacchi. L’intero sistema dei servizi, dei media, delle comunicazioni è ormai virtuale, ma ciò non toglie la rete sia assolutamente essenziale e pervasiva nella quotidianità del lavoro, della ricerca, perfino delle garanzie democratiche.
Sicurezza e resilienza di reti e infrastrutture critiche
Nella tutela dello spazio cyber, entità private che gestiscono le reti, i servizi essenziali e che distribuiscono prodotti e servizi innovativi devono collaborare con le autorità statali, con i cittadini, con la ricerca per creare quell’ecosistema della cyber security su cui ha insistito nel suo intervento a ITASEC 19 anche Roberto Baldoni, vicedirettore del DIS e responsabile della cyber security nazionale.
La Difesa, secondo Trenta, contribuisce alla creazione di questo ecosistema. Per rispondere a questa visione è stato creato il Comando Interforze per le Operazioni Cibernetiche, come cybercommando per effettuare operazioni cibernetiche di contrasto, che verranno implementate, nei teatri operativi, da Cellule Operative Cibernetiche.
Inoltre, la Difesa vuole promuovere la resilienza delle reti e infrastrutture critiche come parte di una strategia di sicurezza del Paese, puntando al riconoscimento, all’interno dell’impegno di spese del 2% del PIL per la difesa, anche della quota destinata alla cyber-sicurezza civile.
Infine, ha detto Trenta, la Difesa ha attivato un tavolo tecnico presieduto dal sottosegretario Angelo Tofalo per ulteriori sviluppi delle capacità cyber della Difesa. Una scelta, questa, che riconosce la necessità di una cooperazione con mondo scientifico e ricerca per l’individuazione di competenze di alto livello che ci aiutino a sviluppare le capacità di cui abbiamo bisogno, come fa ITASEC o, per i giovani, e seguendo la Laboratorio Nazionale di Cybersecurity del CINI quando promuove la selezione per il Cyber Challenge.
