“Lo spazio cibernetico è sempre più il luogo della competizione strategica. La sua accessibilità a basso costo e la pervasività lo rendono il luogo ideale per la proliferazione di minacce vecchie e nuove.
Dalla militarizzazione all’attività di reti criminali, il cybermondo rischia di essere il luogo del caos assoluto, se non adeguatamente governato da regole condivise. Per gli operatori di intelligence la tutela della sicurezza nazionale dalle minacce cibernetiche è una nuova, importante sfida”. (1)
Tale è il quadro di riferimento nell’approccio a una realtà che, nello specifico campo della comunicazione, rappresenta il bing bang della cibernetica (2) volta a mutare i concetti di spazio e di tempo intesi come un dato rapporto tra soggetti, nonché tra soggetto e oggetto (3). E, a seguito dell’estendersi dello scandalo globale per i programmi di intercettazione della National Security Agency (Nsa) svelati dalla talpa Edward Snowden, a danno dei principali leader mondiali; sta prendendo sempre più piede la crescente diffusione di tecnologie e sistemi di comunicazione, sviluppo di attori non-statuali e redistribuzione del potere tra gli attori statuali, che hanno modificato il profilo delle “minacce e dei rischi” (4) con cui gli Stati devono confrontarsi. Nella medesima cornice e in coerenza con quanto sostenuto, si affaccia prepotentemente e con insistenza nello “scacchiere della globalizzazione” l’intelligence, assumendo un ruolo sempre più incisivo e determinante. Segnato da risvolti inquietanti, da tinte cupe e grigie: l’informazione è diventata il “cuore della sicurezza del Paese (5); partendo da questo principio, l’intelligence, tramite la raccolta di dati e conseguente analisi, partecipa attivamente alle risoluzioni complesse nel campo della sicurezza nazionale” (6). Concetto che ha subito nel tempo “alterazioni”, ma in particolare notevoli obiezioni, ampliandosi in direzione di una trasformazione: “da una sicurezza quasi esclusivamente di tipo militare e “Stato-centrica” a una sicurezza multidimensionale e non più connessa a minacce e rischi provenienti solamente da attori statuali” (7).
Di diverso avviso è il premier britannico David Cameron: “Se le cose stanno così, ha accusato il premier davanti al Parlamento di Londra, quanto è accaduto ha danneggiato la sicurezza nazionale. Sotto molti aspetti lo hanno ammesso quelli dello stesso Guardian, ha aggiunto, quando, su garbata richiesta del mio consigliere in materia e segretario di gabinetto (Jeremy Heywood), hanno distrutto la documentazione in loro possesso”. Pertanto, è fondamentale che l’intelligence si doti di rapporti e interagisca con l’esterno, con le risorse della società, anche se apparentemente sembra contrastare con il principio di riservatezza, che nel tempo ha subito una profonda evoluzione. Riservatezza intesa nel senso di garantire uno spazio di autonomia e di apertura verso altri soggetti che, intricati e coinvolti in una fitta rete di comunicazione, questi possano sentirsi liberi grazie alla protezione offerta dalla propria sfera privata. Nella società della comunicazione, il problema attuale non è solo di impedire l’acquisizione illegittima di informazioni personali, ma di impedire intrusioni legalizzate, ossia di controllare il flusso di informazioni sia in entrata che in uscita. Ciò è reso possibile mediante un controllo diretto che garantisca il processo di selezione delle informazioni: “proteggersi dall’invadenza dei messaggi che ci arrivano dall’esterno e che influenzano lo sviluppo della personalità” (8).
L’unico possibile argine per far sì che l’Europa si rafforzi in tal senso “è di poter giocare alla pari con i partner americani e avere più peso di fronte all’amministrazione americana”, questa la proposta di Viviane Reding, commissario Ue alla giustizia. E ha aggiunto: “Vorrei pertanto usare questa occasione per un maggiore servizio segreto di cooperazione tra gli Stati membri dell’Ue, in modo che possiamo parlare una comune voce forte con gli Stati Uniti; la Nsa ha bisogno di un contrappeso”. Nei suoi piani, l’obiettivo è di creare entro il 2020 un “European Intelligence Service” (Eis) tanto potente quanto il “National Security Agency” (agenzia d’intelligence istituita negli USA per potenziare la sicurezza nazionale, rafforzata successivamente a seguito dell’attacco delle torri gemelle, costituisce il più potente strumento di controllo mondiale delle telecomunicazioni), una sorta di CIA europea, che sia in grado di coordinare e sostituire i diversi servizi segreti dei 28 Stati membri.
Sebbene la maggioranza degli esperti russi sostiene che l’idea di Viviane Reding sia destinata a fallire, l’analista dell’Istituto di studi europei presso l’Accademia di scienze russa, Dmitry Danilov, ha affermato che “una serie di motivi mi fanno credere che non si potrà creare un sevizio o un’agenzia centralizzata all’interno dell’Unione Europea. Persino nel campo della cooperazione su questioni della difesa o della politica di sicurezza il progresso è molto lento”. A ragion veduta l’agente dei servizi russi Roman Romatchiov dichiara che “si tratta di una reazione allo spionaggio globale degli USA. L’Europa vuole prendere la rivincita. Per questo deve organizzare campagne sui mass media, lanciare delle idee per far credere ai cittadini europei che anche i loro governi si danno da fare”. A tal fine, un fondamentale campo di sfida per l’intelligence sarà quello della cyber security (9).
Capire la complessità di questa nuova dimensione della sicurezza e comprenderne l’impatto reale sugli interessi nazionali è il primo passo per realizzare una politica efficace di cyber security. Per tale ragione il centro di ricerca di Cyber Intelligence and Information Security (CIS) dell’Università Sapienza di Roma ha elaborato un documento di notevole importanza, il “2013 Italian Report on Cyber Security: Critical Infrastructure and Other Sensitive Sectors Readiness” (10), presentato ufficialmente il 9 dicembre 2013 in collaborazione con il Dipartimento Informazione per la Sicurezza (DIS), alla presenza del Sottosegretario alla Presidenza del Consiglio con delega alle Informazioni per la Sicurezza, Sen. Marco Minniti. Il Rapporto, realizzato da studiosi e ricercatori italiani, vuole essere un contributo accademico per accrescere e consolidare la comprensione e il dibattito nazionale su uno dei temi più caldi di rilevanza internazionale e che suscitano polemiche di portata mondiale, qual è lo stato dell’arte nella protezione, da attacchi cibernetici, delle infrastrutture critiche nazionali e dei settori economici sensibili.
La minaccia cibernetica, pur riguardando la dimensione del cyberspazio, risulta in grado di incidere su una pluralità di settori interconnessi quali: la sottrazione di dati a fini predatori, la violazione della proprietà intellettuale, il furto di identità, il proposito di danneggiare la funzionalità delle infrastrutture critiche o di manipolare informazioni al fine di delegittimare le istituzioni o favorire il proselitismo in rete, lo spionaggio vero e proprio con la sottrazione di informazioni privilegiate o segreti industriali, per alterare la concorrenza e favorire la superiorità strategica di un Paese.Per rispondere a tale inconveniente, l’attività informativa è stata orientata alla sicurezza delle reti telematiche e sistemi informatici delle aziende di rilevanza strategica (11), e quindi si è proceduto nel circoscrivere la minaccia proponendo soluzioni volte a garantire la sicurezza dei dati e ridurre i costi di gestione dei sistemi informatici, quali il cloud computing (12). A tal proposito, il 27 settembre 2012 la Commissione europea ha adottato una strategia denominata “Sfruttare il potenziale del cloud computing in Europa” (13). La strategia punta ad incrementare il ricorso alla “nuvola” in tutti i settori economici, il gruppo di esperti rappresenta un elemento chiave di questa strategia e degli sforzi della Commissione di promuovere il mercato unico digitale, già avviati nell’ambito di altre iniziative legislative, come la riforma UE sulla protezione dei dati (14).
Implicazioni
È molto difficile trarre conclusioni per una problematica in rapida evoluzione, tuttavia, alla luce di quanto esposto la cyber security diventa un aspetto importante che richiede di porre maggiore attenzione a livello politico-istituzionale, necessaria anche a livello internazionale. “Nel 2009 il vertice USA – UE ha per la prima volta riconosciuto la cyber security come sfida globale (non bilaterale, né regionale)” (15), segnalando nel contempo l’intento di: “rafforzare il (…) dialogo USA – UE per individuare e rendere prioritari i settori nei quali sia possibile intervenire congiuntamente per costruire un’infrastruttura che sia sicura, resistente e affidabile per il futuro”. (16) Tutto ciò ha reso necessaria una maggiore presa di coscienza dell’affidabilità da riporre nei confronti degli stakeholder (settore pubblico/governativo, settore privato/industria e società civile) preposti alla formulazione di politiche in tutti campi del settore cyber tra cui monitoraggio, investimenti, contromisure, armonizzazione terminologica e normativa.
Il settore privato impegnato nella ricerca e sviluppo delle ICT, un ruolo improntato nella consulenza, preparazione e attuazione delle procedure e protocolli in materia informatica; parte integrante di un’architettura strategica, incentrata nella protezione della sicurezza dello Stato. Quindi, si rende necessario fare un passo avanti al fine di prendere coscienza e capire quanto sta accadendo a livello di sicurezza informatica, “ossia che è proprio l’insieme dei dati e di conoscenza che fa di una nazione, innovativa e competitiva a livello mondiale, un sistema Paese che è diventato oggetto di attenzione malevola da parte di entità di difficile individuazione, ma non per questo meno pericolosi di avversari su un campo di battaglia concreto”. (17)
*Caterina Gallo laureata in Scienze delle Relazioni Internazionali all’Università degli Studi di Salerno
Note
(1) “Minacce alla sicurezza. Cyberspazio e nuove sfide”, G. Ansalone, Rivista italiana di intelligence, 3 – 2012.
(2) Il termine (etimologicamente derivante dal greco kubernetike (arte del governo del timoniere) è stato coniato dal matematico Norberto WIENER (La cibernetica trad. Di O Beghelli, Milano, 1953) la cui definizione quale “scienza del controllo e della comunicazione fra gli animali e le macchine” richiama appunto quell’attività di interazione che viene a stabilirsi tra più agenti in un medesimo contesto operativo.
(3) “Se telefono, radio, televisione, computer determinano un nuovo rapporto tra noi e i nostri simili, tra noi e le cose, tra le cose e noi, allora i mezzi di comunicazione ci plasmano qualsiasi sia lo scopo per cui le impeghiamo ed ancor prima che assegniamo ad essi uno scopo”, “Psiche e tecne. L’uomo nell’età della tecnica, U. Galimberti, Milano, pag. 633.
(4) In ambito intelligence, si intende generalmente per minaccia un fenomeno, una situazione e/o condotta potenzialmente lesivi della sicurezza nazionale. Può essere rappresentata dalle attività di Stati (nel qual caso include anche l’eventualità del ricorso allo strumento militare), di organizzazioni non statuali o di singoli individui. Oltreché per indicare la tassonomia degli agenti (individui e organizzazioni) e degli eventi (fenomeni e condotte) pericolosi per la sicurezza, il termine è impiegato in un’ accezione che si riferisce anche alla probabilità che tali eventi si verifichino. Nell’ambito dell’analisi controterrorismo, tale probabilità viene stimata sulla base di una valutazione tanto dell’intento dell’attore terroristico preso in esame quanto della sua capacità di tradurre tale intento offensivo in una concreta azione dannosa. In questa accezione, la minaccia costituisce una delle variabili in funzione delle quali è valutato il rischio. Con il termine rischio si intende un danno potenziale per la sicurezza nazionale che deriva da un evento (tanto intenzionale che accidentale) riconducibile ad una minaccia, dall’interazione di tale evento con le vulnerabilità del sistema Paese o di suoi settori e articolazioni e dai connessi effetti. Minaccia, vulnerabilità e impatto costituiscono, di conseguenza, le variabili principali in funzione delle quali viene valutata l’esistenza di un rischio e il relativo livello ai fini della sua gestione, ossia dell’adozione delle necessarie contromisure (tanto preventive che reattive). “Relazione sulla Politica dell’informazione per la sicurezza” Presidenza del Consiglio dei Ministri. Sistema di informazione per la sicurezza della Repubblica, 2011.
(5) “Con lo sviluppo dell’Information Technology si è venuto a creare un nuovo spazio, o se si preferisce una nuova dimensione spaziale nell’ambito della quale viene ad esplicarsi l’attività umana in tutte le sue manifestazioni e rispetto al quale il medium informatico costituisce un organo, vale a dire uno strumento di percezione e, al tempo stesso, di creazione dello spazio medesimo; costituito dalle interazioni che vengono a stabilirsi tra le intelligenze artificiali create per effetto dei sistemi informatici (il cui studio forma oggetto specifico della cibernetica) nonché dalle relazioni che vengono a stabilirsi all’interno di esso: ciò che si suole denominare: cyberspazio”. “La formazione di regole giuridiche per il cyberspazio”, V. De Rosa, Il diritto dell’informazione e dell’informatica, 2 – 2003, pp. 361 – 400.
(6) “Intelligence e sicurezza nazionale”, A. Politi, http://www.servizisegreti.eu/sicurezza-nazionale-ed-intelligence/.
(7) “Evoluzioni e prospettive future del diritto alla privacy e della libertà di informazione nel diritto europeo e comunitario” M. Carnevalini, La comunità internazionale, 4/2002, pp. 683 – 697.
(8) “Il Consiglio di sicurezza nazionale: esperienze internazionali e prospettive italiane”, Strategie di sicurezza nazionale, Istituto Italiano di Studi Strategici, C. Neri, dicembre 2012.
(9) “Sotto il profilo della collaborazione internazionale, più che in ogni altro settore la coopera ione con gli Organismi informativi degli altri Paesi sviluppati deve mirare a costruire veri e propri percorsi comuni e condivisi, nella piena consapevolezza che un attacco informatico può avere impatto transnazionale e intercontinentale e che la vulnerabilità di un singolo Paese può riflettersi sulla sicurezza globale”, “Relazione sulla politica dell’informazione per la sicurezza”. Presidenza del Consiglio dei Ministri. Sistema di informazione per la sicurezza della Repubblica, 2009.
(10) “2013 Italian Cyber Security Report. Critical Infrastructure and Other Sensitive Sectors Readiness”, http://www.dis.uniroma1.it/~cis/media/CIS%20Resources/2013CIS-Report.pdf
(11) “Per meglio rispondere alle sfide sempre più incalzanti poste dalla minaccia cibernetica alcuni Stati si sono dotati di organismi di coordinamento nazionale costituendo un’entità centrale presso il vertice dell’Esecutivo. Tale è la situazione adottata nel Regno Unito, dove la struttura cui è affidato l’indirizzo strategico delle azioni in ambito governativo, denominata OCSIA (Office Of Cyber Security and Information Assurance), è istituita in seno al Cabinet Office; in Francia, dove l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) opera alle dirette dipendenze del Primo Ministro; negli USA,dove sebbene la responsabilità federale dell’azione di prevenzione e contrasto della minaccia cibernetica sia affidata al Dipartimento della Homeland Security (DHS), l’organismo di coordinamento, rappresentato dal Cybersecurity Coordinator è istituito e opera in seno al National Security Council, struttura di diretto supporto del Presidente in materia di sicurezza nazionale”, (“Relazione sulla politica dell’informazione per la sicurezza”, Presidenza del Consiglio dei Ministri, Sistema di informazione per la sicurezza della Repubblica, 2011.
(12) “Il cloud computing è un insieme di modelli di servizio che si sta diffondendo con grande rapidità tra imprese, pubbliche amministrazioni e cittadini perché incoraggia un utilizzo flessibile delle proprie risorse (infrastrutture e applicazioni) o di quelle messe a disposizione da un fornitore di servizi specializzato. L’innovazione e il successo delle cloud (le nuvole informatiche ) risiede nel fatto che, grazie alla raggiunta maturità delle tecnologie che ne costituiscono la base, tali risorse sono facilmente configurabili e accessibili via rete, e sono caratterizzate da particolare agilità di fruizione che, da una parte semplifica il dimensionamento iniziale dei sistemi e delle applicazioni mentre, dall’altra, permette di sostenere gradualmente lo sforzo di investimento richiesto per gli opportuni adeguamenti tecnologici e l’erogazione di nuovi servizi”, “Cloud computing: indicazioni per l’utilizzo consapevole dei servizi”, Garante per la protezione dei dati personali.
(13) “Sfruttare il potenziale del cloud computing in Europa – di cosa si tratta e che implicazioni ha per gli utenti?”, http://europa.eu/rapid/press-release_MEMO-12-713_it.htm.
(14) “LIBE Committee vote backs new EU data protection rules”, 22 ottobre 2013, http://europa.eu/rapid/press-release_MEMO-13-923_en.htm.
(15) “Osservatorio di politica internazionale. Cybersecurity: Europa e Italia”, n. 32 maggio 2011, Istituto Affari Internazionali
(16) “3 novembre 2009 EU-US Summit declaration”, http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/er/110929.pdf
(17) “Soggetti e ambiti della minaccia cibernetica: dal sistema- paese alle proposte di cyber governante?”, G. Tappero Merlo, La Comunità internazionale, 1/2012, pp. 25 – 53
Fonti
http://euobserver.com/justice/121979;
http://www.telegraph.co.uk/news/worldnews/europe/eu/10425418/Brussels-demands-EU-intelligence-service-to-spy-on-US.html;
http://italian.ruvr.ru/2013_12_24/L-Europa-vuole-una-propria-CIA/
http://news.supermoney.eu/politica/2013/11/datagate-cortina-fumogena-o-danneggiamento-ai-sistemi-di-sicurezza-degli-stati-controllati-0039939.html
http://www.servizisegreti.eu/sicurezza-nazionale-ed-intelligence/