Miscela Strategica – Nonostante lo status di gigante economico e demografico, nella sfera cyber la Repubblica dell’India non sembra dimostrarsi all’altezza delle problematiche attuali, soprattutto quando confrontata con le altre potenze regionali e mondiali.
Alla luce dei recenti sviluppi in campo digitale, per capire la dimensione strategica dell’India nel cyberspazio è fondamentale analizzare le policy e norme a livello interno, capirne le mancanze e intuirne le possibili evoluzioni. L’approccio a livello internazionale e le partnership strategiche permettono inoltre di completare il quadro di un Paese contradditorio, in bilico tra crescita economica e immobilità digitale, nonostante sia tra i primi per il sistema di sorveglianza di massa d’avanguardia
TRA CRESCITA E INERZIA – Importante membro dei BRICS, l’immensa Repubblica dell’India è il secondo Paese più popolato al mondo. Le abbondanti risorse naturali strategiche, oltre che le sostanziali riforme economiche, hanno notevolmente incrementato il tasso di crescita del PIL Indiano (del 10,1% nel 2010), confermandone la fama di seconda economia a più rapida crescita a livello globale.
Tralasciando i promettenti dati macroeconomici, dal punto di vista sociale il Paese soffre per gli alti livelli di povertà, analfabetismo e malnutrizione. La sicurezza della regione rimane altresì incerta: invariate le relazioni con Cina e Pakistan, con il conflitto del Kashmir e la contesa Linea di McMahon come costanti fonti di dispute territoriali e potenziali squilibri regionali.
In un mondo interconnesso e globalizzato, e a fronte della peculiare situazione indiana, molto resta ancora da fare nella sfera digitale. Mentre il tasso di Digital Literacy resta praticamente inesistente per più del 90% della popolazione, nel 2014 l’India ha sofferto importanti perdite finanziarie causate da “cyber security incidents”. Se a livello globale i danni subiti per attacchi digitali sono stimati per circa 2.7 milioni di dollari (34% in più rispetto all’anno precedente), nella sola Repubblica dell’India essi ammontano a circa il 20% in più rispetto al 2013: un totale di 1.2 milioni di dollari, per una media di 2.800 attacchi giornalieri registrati. In particolare, l’India è stata il terzo Paese più colpito da online banking malwares (seconda sola a Stati Uniti e Giappone, come dichiarato dalla security firm Trend Micro).
Per incontrare i propri requisiti economici e di sicurezza, con il progetto “Digital India” il Primo Ministro Narendra Modi intende quindi promuovere lo sviluppo delle capacità e competenze tecnologiche del Paese attraverso investimenti domestici nei settori della tecnologia digitale e dell’informazione. Tale processo, tuttavia, si prospetta lento e difficile alla stregua dei tentativi del precedente governo di Manmohan Singh.
Fig.1 – L’India è il terzo Paese più colpito da cyber attacks, nonostante la sua scarsa digitalizzazione generale
CYBER SECURITY? POLICY e NORME – Durante il governo Singh, l’India ha promulgato l’Information Technology Act 2000 (IT Act 2000) per la gestione legale di questioni spazianti dal cyber crime all’e-commerce. Nonostante l’inesorabile evoluzione del regno digitale, l’IT Act 2000 non è stato riconsiderato, aggiornato o corretto in modo sostanziale.
Dopo un decennio di stallo, il 2013 fu forse l’anno più promettente per l’inizio del riconoscimento della cyber security come priorità per la sicurezza nazionale. Con l’introduzione del National Cyber Security Policy of India, il Governo nominò il Computer Emergency Response Team (CERT-In) per la gestione di problemi di sicurezza digitale in India, e fondò il National Critical Information Infrastructure Protection Centre (NCIIPC), all’interno del National Technical Research Organisation (NTRO). Al fine di proteggere e migliorare le Critical Information Infrastructure (CII), la NTRO propose quindi delle linee guida per assistere i settori critici nella definizione di una strategia atta allo scopo. A differenza della maggior parte degli altri paesi, l’India non contemplò però nessun Cyber Command per la coordinazione dei gruppi creati, tralasciando quindi l’importante sfera militare.
Sempre nel 2013 l’International Common Criteria Recognition Arrangement (CCRA) ha garantito all’India lo status di “Authorising Nation” (rispetto a “Consuming Nation”). Come 17esima nazione a ottenere il permesso di testare e certificare Information Technologies nel campo della cyber security, tale riconoscimento ha stimolato l’investimento in ricerca e sviluppo di prodotti IT nel settore pubblico e privato (nonostante la recente proposta di inserire cyber security nel Wassenaar Arrangement sembra minacciare il potenziamento tecnologico produttivo Indiano e le sue capacità di export).
Fig.2 – Con l’introduzione del National Cyber Security Policy of India, il Governo nominò il Computer Emergency Response Team (CERT-In) per la gestione di problemi di sicurezza digitale in India
CYBER SECURITY: LACUNE e SFIDE – Secondo il geopolitico Rajeswari Rajagopalan, “il Governo Singh iniziò alcune buone policy, ma non ne concretizzò nessuna”, condannando il Paese a un ritardo di minimo un decennio nella conquista del cyberspazio. Tutt’oggi, con il Primo Ministro Modi in carica da maggio 2014, l’India non ha leggi dedicate alla sicurezza digitale. Oltre a non essere stata implementata, NSCP 2013 presentava diversi gap da un punto di vista legale: l’assenza di Leggi per la Protezione della Privacy, delle Libertà Civili, e di norme per la corretta dichiarazione degli attacchi digitali subiti da parte di attori del settore privato e pubblico.
La Repubblica dell’India si dimostra ancora arretrata nella definizione di una propria cyber warfare policy, nella lotta al cyber terrorism e cyber espionage, e nella creazione di una strategia coerente di prevenzione contro cyber crimes.
Inoltre, da una prospettiva militare/strategica, l’India è carente nelle proprie capacità offensive e difensive per la protezione del cyberspazio Indiano e per l’identificazione di attacchi digitali di matrice terrorista.
Se da un lato il Governo ha lanciato un’ambiziosa iniziativa volta alla cooperazione tra dipartimenti governativi e popolazione per garantire una governance effettiva, dall’altro la proposta dovrà farsi carico della costruzione di Critical Information Infrastructure e competenze digitali efficienti. In un ambiente anarchico come il dominio digitale, un ritardatario come l’India incontrerà sfide ancora più insidiose, dovendo infatti cercare di competere e stare al passo con altre potenze nella sfera cyber.
Fig.3 – La costruzione di Critical Information Infrastructure e competenze digitali efficienti è tra le maggiori sfide dell’attuale Governo
ARENA INTERNAZIONALE E INNOVAZIONE TECNOLOGICA – Per far fronte al sostanziale ritardo nella corsa digitale, New Delhi si avvale di diverse collaborazioni a livello globale. Le più note sono probabilmente quelle con gli Stati Uniti e Israele.
Grazie alla collaborazione con gli USA, nell’assenza di framework legali e supervisione parlamentare, l’India ha sviluppato un integrato sistema di sorveglianza di massa tra i più avanzati ed endemici al mondo, composto da numerosi programmi:
- il drastico Aadhaar Project, gestito dall’Unique Identification Authority of India;
- il National Cyber Coordination Centre (NCCC) per lo screening di comunicazione metadata e la coordinazione delle attività di diverse agenzie;
- il Central Monitoring System Project (CMSP), progetto di sorveglianza segreta del Centre for Development of Telematics;
- il DDRO NETRA, del Center for Artificial Intelligence & Robotics (CAIR) della Defence Research and Development Organisation
In particolare, il CMSP – una delle tre peggiori spie digitali al mondo – garantisce sorveglianza digitale senza necessità di mandato giudiziario, ed è in chiara violazione dei diritti sulla privacy e delle normative sulla protezione dei diritti civili.
Allo stesso modo il DRDO NETRA rileva termini di natura sensibile da e-mail, messaggi istantanei, aggiornamenti di stato, tweet, chiamate Skype e Google Talk.
La cooperazione con Israele è alimentata dai problemi che entrambi i Paesi continuano ad avere con i vicini Paesi arabi, oltre al il Pakistan e al terrorismo jihadista, soprattutto dopo la nascita di Al-Qaeda nel Sub-continente Indiano. Oltre a condividere informazioni sensibili in tempo reale, entrambi i Paesi sono spinti a un processo di miglioramento continuo delle proprie competenze tecnologiche, strategie e tattiche. I tre accordi firmati a Febbraio 2104 tra India e Israele non sono altro che il risultato di comuni problematiche di sicurezza.
Fig.4 – Un operatore indiano prova un sistema di identificazione dell’iride nell’ambito del complesso Aadhaar Project
CALL FOR COUNTER CYBER-TERRORISM – Sul piano del terrorismo digitale e dei passati attacchi subiti, non stupisce che l’India inizi a considerare cyber security e azioni mirate di contrasto al terrorismo come una priorità.
Il gruppo terrorista transnazionale Lashkar-e-Tayyeba (LeT), responsabile degli attacchi di Mumbai del 2008, è stato tra i primi e più attivi nell’adeguarsi al cambiamento dell’ambiente IT. Ad ulteriore prova delle sviluppate capacità digitali dell’organizzazione, a giugno 2014 LeT tentò l’assedio al consolato Indiano di Herat, rappresentando quindi la principale minaccia per l’India (più di Al Qaeda e Isis).
Allo stesso tempo, a novembre 2014 il caso REGIN ha mostrato come l’India sia vulnerabile di fronte ad hackers intenzionati a penetrare e monitorare i network GSM del Paese. Scoperto da Simantec, dal 2008 il malicious software è stato usato per spiare compagnie, enti governativi, istituti di ricerca ed individui in oltre 10 Paesi.
Le minacce digitali di matrice terroristica dimostrano la necessità di mettere la cyber security come una priorità per una potenza economica come l’India.
SVILUPPI RECENTI – A seguito dei cyber attacks terroristici di fine anno, il Governo indiano ha deciso di intraprendere nuove iniziative nel settore. Innanzitutto, l’istituzione del National Informatics Centre (NIC) per l’organizzazione e supporto di e-governance a Governo Centrale, Governi Statali, Union Territories, Districts e altri organismi governativi. Poi, il miglioramento del Computer Emergency Response Team (CERT-In), per garantire la sicurezza del cyberspazio nel Paese attraverso il rafforzamento delle CII e un’efficace collaborazione volta a prevenire, rispondere e garantire la sicurezza contro minacce digitali, e del National Information Security Assurance Programme (NISAP), per la protezione di CII governative.
CONCLUSIONI – Anche se affetta da numerose contraddizioni sociali, economiche e politiche, la Repubblica dell’India non può ormai ignorare la crescente minaccia digitale. Se nell’ultimo anno cyber crime e cyber terrorism sembrano essere emersi come priorità di sicurezza nazionale, poco chiare restano le tempistiche per un’effettiva implementazione e sviluppo istituzionale in tal senso: un approccio più sistematico alla cyber security e un’articolata strategia di contrasto al terrorismo saranno certamente tra le sfide del governo Modi per il 2015.
Patrizia Rizzini Cancarini
[box type=”shadow” align=”aligncenter” ]Un Chicco in più
- Per ulteriori informazioni sui Wassenaar Agreements, fare riferimento a questo link
- Per ulteriori informazioni sugli strumenti di Mass surveillance, potete consultare questo link
[/box]
Foto: hasgeek