Durante il summit NATO appena conclusosi a Bruxelles, i 30 Stati membri dell’Alleanza hanno confermato come gli attacchi cyber siano equiparati a qualsiasi altro attacco per l’attivazione dell’articolo 5 del Trattato e hanno approvato una nuova Cyber Defence Policy per rispondere adeguatamente alle minacce attuali, anche se di basso livello.
Si tratta dell’ultimo tassello di un impegno che la NATO affronta da ormai un ventennio a questa parte. Già nel 1999 l’Alleanza aveva subito incidenti nel dominio cibernetico durante la missione Allied Force, quando il Comando supremo delle potenze alleate in Europa subì attacchi DDoS e di defacement, ma fu solo col noto incidente in Estonia del 2007 che l’Organizzazione decise di dotarsi, l’anno successivo, di una cyber defence policy. I successivi aggiornamenti e il relativo action plan adottati nel 2014 e nel 2017 avevano stabilito chiaramente che la cyber defence fosse parte del mandato principale dell’Alleanza, ovvero la difesa collettiva, e che il diritto internazionale si applicasse nello spazio cibernetico.
Cyber war, l’Occidente rischia un nuovo 11 settembre: ecco perché
Durante il vertice in Galles del 2014 fu per la prima volta prevista la possibilità di invocare la clausola di difesa collettiva dell’articolo 5 anche per gli attacchi cyber, pur con una valutazione da effettuarsi caso per caso. Nel 2016 al summit di Varsavia il cyberspazio fu elevato a dominio operativo, al pari di quelli terrestre, marittimo o aereo, e venne firmato il Cyber Defence Pledge al fine di impegnare tutti i membri nell’incrementare le capacità di difesa delle infrastrutture e reti nazionali, nonché migliorare la resilienza verso gli attacchi cibernetici.
La nuova Cyber Defence Policy
Il comunicato rilasciato il 14 giugno al termine dei lavori dedica il corposo paragrafo 32 al tema delle minacce cyber, riaffermando e rafforzando i principi sviluppati nel corso degli anni e che hanno portato il dominio cyber a essere una componente fondamentale del mandato dell’Alleanza. L’approvazione della nuova Cyber Defence Policy, definita ora “Comprehensive”, è stata presentata come una necessità vista l’escalation di ransomware e altri attacchi che hanno preso di mira “infrastrutture critiche e istituzioni democratiche con possibili effetti sistemici e danni significativi”. Indicativo il richiamo a queste due tipologie di obiettivi, entrambe sotto costante attacco e meritevoli di una tutela specifica visti gli impatti derivanti, seppur per motivi diversi.
Biden-Putin, un primo inefficace accordo sulla cyber
Il presidente degli Stati Uniti Joe Biden ha detto al presidente russo Vladimir Putin nell’incontro di mercoledì che alcune infrastrutture critiche dovrebbero essere “off-limits” per i cyberattacchi e promette rappresaglie.
Una presa di posizione forte, ma di dubbia efficacia. Gli analisti concordano che difficilmente avrà più successo di altri tentativi simili. Putin dal canto suo si è impegnato in tal senso, ma già in passato la Russia è venuta meno ad accordi. Putin in particolare, con Biden, hanno annunciato generiche “consultazioni” sul punto. La Russia e gli Stati Uniti si sono uniti inoltre, qualche giorno fa, a più di 20 altri paesi per concordare che gli Stati non dovrebbero dare rifugio ai criminali informatici o essere coinvolti nell’hacking delle infrastrutture critiche di un’altra nazione durante il tempo di pace.
Gli analisti citano un accordo simile tra l’ex presidente degli Stati Uniti Barack Obama e il leader cinese Xi Jinping contro il furto di segreti industriali americani tramite cyber attacchi.
L’accordo del 2015 ha teoricamente vietato il furto di proprietà intellettuale a fini commerciali, ma molti esperti informatici che seguono l’hacking cinese dicono che Pechino alla fine ha rinnegato l’accordo.
Insomma: positivo che finalmente i leader si parlino sul tema; ma i risultati effettivi richiederanno probabilmente ancora un lungo percorso e pressioni internazionali.
Alessandro Longo
Evidente il richiamo a recenti attacchi quali, ad esempio, quello a Colonial Pipeline che ha visto il blocco della distribuzione di carburante, o alle numerose entità governative pregiudicate dalle vulnerabilità di SolarWinds o Microsoft Exchange. Sono state riaffermate le disposizioni circa l’articolo 5 e la possibilità di rispondere con ogni mezzo, anche convenzionale, alle minacce cyber pur se facenti parte di campagne ibride, ma è stata apportata una modifica significativa.
Cyberwar, i nuovi fronti da Microsoft Exchange alla disinformazione sui vaccini
Il dibattito sull’applicabilità al dominio cyber del concetto di “attacco armato”
È stato, infatti, riconosciuto che “l’impatto di attività informatiche cumulative maligne significative potrebbe, in certe circostanze, essere considerato come un attacco armato”. Il successivo richiamo al rispetto del diritto internazionale, inclusa la Carta delle Nazioni Unite, del diritto internazionale umanitario e del diritto internazionale dei diritti umani non sminuisce certo la portata di quanto affermato. L’equiparazione fra un “attacco armato” nel senso della Carta ONU e un attacco informatico è infatti da lungo tempo oggetto di dibattito, e molte sono state le diverse teorie proposte in merito all’applicabilità al dominio cyber.
La possibilità di reagire nei termini della legittima difesa ad attacchi cyber era stata, d’altronde, uno dei motivi di spaccatura dei gruppi di lavoro ONU in materia e che ha portato alla creazione, dietro spinta russa, del più inclusivo Open Ended Working Group (OEGW) in contrapposizione al più ristretto Group of Governmental Expert (GGE) a trazione statunitense.
Oltre alle varie strategie militari nazionali, una disamina della questione è certamente offerta dal Manuale di Tallinn 2.0 elaborato dal Centro di Eccellenza della NATO per la Difesa Cibernetica istituito nel 2008 a seguito dell’incidente in Estonia, che, sebbene non rappresenti il punto di vista della NATO in materia, riporta comunque una serie di criteri utili per poter effettuare tale equiparazione. Nonostante le “certe circostanze” limitino in qualche modo l’applicabilità della misura, è interessante notare come venga elevato al rango di attacco armato anche l’impatto derivante non già da una singola operazione che, per scala ed effetti (come indicato dal manuale di Tallinn), causi danni rilevanti equiparabili a un attacco cinetico convenzionale, ma da più attività cumulate nel tempo. Sembrerebbe che l’Alleanza voglia inviare un chiaro messaggio a quelle potenze, quali Russia e Cina, spesso accusate di condurre in prima persona, o permettere, operazioni cibernetiche che, prese singolarmente, non raggiungerebbero il livello dell’uso della forza inteso ai sensi dell’articolo 2 paragrafo 4 della Carta ONU, ma che possono avere invece impatti significativi visti numero, coordinazione e intensità degli attacchi.
Tale principio è d’altronde in linea con quanto espresso dai leader del G7 al termine del recente vertice svoltosi nel Regno Unito. In particolare, la Russia è stata invitata a “identificare, interrompere e ritenere responsabili coloro che all’interno dei suoi confini conducono attacchi ransomware, abusano delle valute virtuali per riciclare i riscatti e compiono altri crimini informatici”.
L’Alleanza resta “difensiva”
Già nel precedente summit NATO, svoltosi sempre nella capitale belga nel 2018, era stato deciso che “i singoli alleati possono considerare, quando appropriato, l’attribuzione di attività informatiche malevole e rispondere in modo coordinato, riconoscendo che l’attribuzione è una prerogativa nazionale sovrana”. La precedente formulazione, oltre a non menzionare la particolare categoria di “attacco armato”, lasciava in capo agli Stati membri la mera facoltà di valutare autonomamente l’attribuzione di eventuali attacchi e reagire di conseguenza. Tuttavia, le note difficoltà di accertamento dei profili di responsabilità in caso di operazioni cibernetiche, soprattutto se di sospetta origine statuale, hanno reso tale possibilità di difficile applicazione.
Nonostante la nuova policy non sia ovviamente disponibile, dal tenore del comunicato finale traspare la volontà di mantenere intatta la natura difensiva dell’Alleanza: pur prevedendo l’opportunità di rispondere con ogni mezzo a eventuali minacce cyber, non si spinge per lo sviluppo e utilizzo di capacità cyber offensive. Ciò sia in ragione del fatto che gli attacchi informatici possono avere impatti imprevedibili non limitati ai singoli obiettivi, sia perché un loro utilizzo, oltre a poter causare un’escalation, renderebbe note le vulnerabilità sfruttate e quindi impossibile il riutilizzo degli stessi metodi impiegati.
D’altra parte, la stragrande maggioranza degli attacchi registrati quotidianamente cadono al di sotto del livello dell’uso della forza e portano al furto di dati o risorse finanziarie, piuttosto che al danneggiamento di strutture o alla perdita di vite umane. Per tali casi la NATO prevede di aumentare il dialogo e lo scambio di informazioni tra gli Alleati, nonché di ricorrere primariamente allo strumento delle sanzioni come risposta ad attività malevole: una direzione già intrapresa con la risposta diplomatica nei confronti della Russia.
Conclusioni
Infine, richiamando lo sfruttamento della pandemia da COVID-19 da parte di attori cyber che hanno tenuto impegnati la maggior parte dei Paesi membri, vengono definite critiche la “resilienza e la capacità di rilevare, prevenire, mitigare e rispondere a vulnerabilità e intrusioni”.
Solamente migliorando le proprie difese ed elevando il livello generale di preparazione sarà possibile porre un primo argine contro gli attacchi e rispondere adeguatamente, ma data la specificità dello spazio cibernetico, tali attività richiedono investimenti, capacità industriale, personale altamente qualificato e soprattutto una stretta cooperazione.
A 5 anni dall’adozione del Cyber Defence Pledge viene quindi confermato l’impegno “a sostenere forti difese cibernetiche nazionali come una questione di priorità” e sviluppare partenariati con paesi, organizzazioni internazionali, industria e mondo accademico.
