Le minacce telematiche costituiscono un grave pericolo per gli Stati al pari degli armamenti e possono compromettere il corretto funzionamento delle infrastrutture sia civili che militari. Attualmente non esiste a livello internazionale un approccio unitario per affrontare i temi posti dalla cybersecurity e ogni Paese li affronta con soluzioni proprie. Proviamo a capire a che punto siamo
UN TIMORE SEMPRE PIÙ DIFFUSO – “Sono molto preoccupato della capacità potenziale costituita dalle minacce cibernetiche di bloccare la nostra rete elettrica, le strutture governative, i sistemi finanziari. Sarebbero virtualmente in grado di paralizzare questo Paese”. Lo ha dichiarato il 13 giugno scorso il segretario della Difesa statunitense, Leon Panetta, ascoltato al Senato sulla sicurezza informatica, dove ha evocato lo scenario inquietante di una “Pearl Harbour” digitale. Dello stesso tono anche il primo discorso pubblico in due anni, che risale al 25 giugno scorso, tenuto dal capo del famoso MI5 – il controspionaggio britannico – Jonathan Evans, incentrato sulla necessità di contrastare lo spionaggio informatico “sponsorizzato da attori statali e dal crimine cibernetico organizzato”. La rinnovata attenzione sulla sicurezza digitale, inoltre, è confermata da numerose iniziative internazionali che hanno caratterizzato il 2012, come il primo forum sulla cyberdefence organizzato durante il salone parigino “Eurosatory” sui sistemi d’arma e il dibattito nell’ambito del think-tank europeo Security & Defence Agenda. Inoltre, risale all’11 giugno scorso la firma del primo contratto internazionale di cybersecurity, siglato dal colosso statunitense Boeing e con la Sojitz Corporation, una società commerciale con sede a Tokyo. L’azienda americana coopererà nell’individuazione di soluzioni avanzate di difesa elettronica per il Giappone, in modo da proteggere la sua infrastruttura tecnologica strategica per le informazioni governative, civili e commerciali.
COSA S’INTENDE PER CYBERSECURITY? – Questo termine, insieme a quello di cyberdefence è diventato di grande attualità e fa riferimento alla necessità di proteggere non solo dati sensibili – governativi o privati (ad esempio i segreti industriali) – ma anche il funzionamento delle cosiddette “infrastrutture critiche”. Queste ultime sono identificabili con qualsiasi risorsa, processo o sistema la cui distruzione o indisponibilità anche parziale o momentanea ha come effetto quello di indebolire gravemente l’efficienza e il funzionamento normale di un Paese, oltre alla sua sicurezza e al sistema economico-finanziario. Rientrano a pieno diritto in questa definizione le risorse legate a settori come la sicurezza nazionale, la protezione e la difesa civile, la produzione e il dispacciamento di qualsiasi fonte energetica, le telecomunicazioni, la gestione idrica, l’agricoltura, la sanità (ospedali e reti di servizi), il trasporto, le banche e il sistema finanziario. I governi normalmente mettono a punto studi e progettano misure precauzionali per ridurre il rischio che queste infrastrutture vengano meno in caso di guerra, disastri naturali, scioperi, atti vandalici o azioni di sabotaggio. Quest’attività, definita protezione delle infrastrutture critiche (Critical Infrastructure Protection – CIP), insieme alla cybersecurity è oggetto di approcci diversi da parte degli Stati, che possono risultare molto diversi come nel caso degli Usa e dell’Unione europea (Ue).
LA VIA AMERICANA… – Per contrastare le molteplici minacce informatiche, il deputato statunitense Mike Rogers (repubblicano) ha presentato alla Camera, il 30 novembre 2011, il disegno di legge noto come Cyber Intelligence Sharing and Protection Act (CISPA). Questo provvedimento – che il 26 aprile scorso ha ricevuto il via libera dalla House of Representatives (248 voti favorevoli e 168 contrari) e ora attende l’esame del Senato – prevede l’obbligo per gli operatori del web (dai fornitori telco come AT&T agli intermediari come Facebook e Google) di raccogliere le informazioni personali di milioni soggetti, da condividere con società terze e soprattutto con le agenzie federali e governative preposte alla sicurezza. Il testo approvato, rispetto a quello originario, ha un raggio d’azione più ampio perché oltre alla prevenzione di crimini informatici comprende anche la tutela dei cittadini da minacce di morte e la tutela dei minori da qualsiasi tipo di abuso a sfondo sessuale. Proprio per questa sua portata “onnicomprensiva” e potenzialmente lesiva della privacy – priva però della definizione e dei criteri per individuare le infrastrutture critiche – il presidente Barack Obama ha annunciato la propria intenzione di opporre il veto qualora il testo dovesse essere approvato così com’è anche dal secondo ramo del Congresso. In attesa di una legislazione che possa colmare il vuoto normativo attuale, il Pentagono ha però recentemente istituito – come riportato da un articolo del The Washington Post – una città virtuale, banco di prova delle tecnologie di attacco e difesa sul web. In pratica, la simulazione di crisi e attacchi da parte di hacker contro obiettivi sensibili riguarda una “cyber city” gestita da una società di sicurezza informatica. Spetterà agli esperti informatici militari attivarsi per la sua difesa e saranno fatte proiezioni sulle conseguenze reali di un attacco virtuale.
…E QUELLA EUROPEA – Le principali azioni predisposte finora dall’Ue contro una minaccia informatica rispondono all’esigenza di garantire la sicurezza delle reti e delle informazioni (Network and Information Security, NIS), la protezione delle infrastrutture critiche informatizzate, il contrasto alla cyber‐criminalità e la regolamentazione delle comunicazioni elettroniche (inclusa la protezione della privacy e dei dati personali). Nello specifico, con il regolamento (CE) 460/2004 del Parlamento e del Consiglio del 10 marzo 2004, è stata istituita Agenzia europea per la sicurezza delle reti e dell’informazione (European Network and Information Security Agency – ENISA). L’Agenzia, con sede a Candia (Creta) e operativa dal primo settembre 2005, ha come obiettivo principale quello di migliorare la sicurezza informatica e delle reti di telecomunicazioni dell’Ue, contribuendo allo sviluppo della cultura della loro sicurezza. L’ENISA, quindi, è una piattaforma di scambio di informazioni e best practices tra le istituzioni comunitarie, le autorità nazionali e le imprese. Può fornire anche pareri tecnici sia alle autorità degli Stati membri che alle istituzioni comunitarie.
I due limiti principali dell’Agenzia – dotata di una struttura molto snella e di solo 50 dipendenti – riguardano il budget relativamente basso (poco meno di 8 milioni di euro per il 2010) e il mandato ricevuto, che non prevede attualmente un ruolo operativo e non permette di occuparsi di questioni legate al cyber-terrorismo o alla cyber-criminalità. L’11 gennaio 2013, inoltre, apre i battenti all’Aia (Olanda) l’European Cybercrime Centre – presso il quartier generale dell’Europol, l’agenzia anticrimine comunitaria – con il compito di contrastare le attività illecite online svolte da gruppi di criminalità organizzata, come frodi bancarie, sfruttamento sessuale di minori online e i crimini che riguardano i sistemi informativi nell’Ue e le infrastrutture critiche. Per quanto riguarda queste ultime, l’Ue ha adottato la direttiva 2008/114/CE – entrata in vigore dal 12 gennaio 2009 – per la loro individuazione e designazione, stabilendo un approccio comune per valutare la necessità di migliorarne la protezione. In base a questo provvedimento, gli Stati membri devono designare le proprie infrastrutture critiche e stabilire l’istituzione referente con gli organi comunitari di riferimento, predisponendo inoltre un piano di sicurezza. Sia gli Stati Uniti che l’Europa, quindi, hanno iniziato da poco tempo a valutare l’opportunità di adottare delle disposizioni normative per il contrasto ai crimini e agli atti di sabotaggio informatici, affrontando una serie di difficoltà legate al rispetto dei diritti individuali e alla libertà del web che sono ogetto di dibattito anche nel nostro Paese.
Francesco Tucci