Quando parliamo di Nato, dobbiamo fare una distinzione chiara tra Nato come organizzazione e Nato come alleanza. Nel primo caso, la Nato è un organismo che comprende i quartier generali, le agenzie, due Comandi militari strategici e molte altre sedi centrali. E come ogni altro organismo al mondo, la Nato è collegata alla rete – anche se solo per il proprio ambito di attività non classificate – e perciò deve proteggere la propria infrastruttura tecnologica critica. Per Nato come alleanza invece intendo i 28 Paesi membri che hanno firmato il Trattato nord-atlantico.
Al summit di Bucarest della Nato dell’aprile 2008 i capi di Stato e di governo di 26 Paesi promossero, al più alto livello, una linea politica di cyber-sicurezza. Già da qualche tempo si stava lavorando su questo fronte, ma l’attacco senza precedenti all’Estonia nel 2007 ha spinto gli alleati a concordare una politica di più ampio respiro. La decisione di quel vertice è una chiara dimostrazione della capacità di pronta risposta della Nato alle emergenze, e ben esemplifica il principio di solidarietà di questa alleanza, il suo collante fondamentale. La più grave sfida all’alleanza sarà sempre quella diretta al suo vincolo solidale. Ma esso si fonda su una comune percezione del pericolo e delle sfide. Per questo è importante adottare una comune e condivisa politica.
Più le nostre società fanno uso dello spazio virtuale in quella che chiamiamo l’età dell’informazione, più diventeranno vulnerabili, e l’alleanza ne è ben consapevole. La complessità delle sfide future comporta la necessità che la Nato sia proattiva piuttosto che reattiva. Penso che stiamo entrando in un’era di guerra informatica e che dovremmo cominciare a considerare la cyber-difesa come un’altra operazione tipica di risposta alle crisi (Crisis response operation).
L’Alleanza è basata sui principi condivisi di democrazia, libertà individuale e stato di diritto. I cyber-attacchi possono infrangere questi principi e mettere a rischio sistemi di governo e la coesione sociale nelle comunità nazionale. La Nato ha l’obbligo di dimostrare il proprio impegno a sostegno e a difesa delle libere istituzioni su cui è fondata. Questa semplice affermazione potrebbe generare alcune domande fondamentali e mi concentrerò su alcune di queste.
La prima domanda è quanto è, o dovrebbe essere applicabile, il trattato istitutivo dell’Alleanza atlantica. In nessun punto del trattato si troverà l’espressione “Cyber attack”. E quindi sarebbe difficile invocare l’articolo 5 che parla di “attacchi militari”. La Nato sarà pronta a prendere provvedimenti, come sembra necessario, incluso l’uso della forza? E la domanda è: contro chi? Sappiamo tutti che in questo tipo di attacco è quasi impossibile identificare chi è l’aggressore e la Nato non può permettersi di agire militarmente sulla base di ipotesi.
La seconda domanda è se alla Nato è concesso un atteggiamento offensivo o può essere solo reattiva. Personalmente ritengo che la strategia migliore sia di occuparsi dei punti deboli della nostra infrastruttura, ma anche che la Nato debba considerare la possibilità di essere proattiva. La Nato può e deve svolgere un ruolo importante nel monitorare gli orizzonti futuri, e nel definire funzioni e sfide sia della difesa che della sicurezza. La Nato dovrebbe essere un agente di cambiamento all’interno dell’alleanza e per le nazioni aderenti, ma anche all’esterno, come motore militare della trasformazione nei processi inter-agencies. Inoltre, l’area di influenza della Nato dovrebbe andare oltre la sua zona di competenza, per cui deve considerare come realizzare questa influenza fuori area.
La terza domanda è legata agli aspetti giuridici. Le leggi internazionali permetteranno di chiudere un server in un Paese terzo? Inoltre, qual è la responsabilità del proprietario del computer che è stato infettato? In questo contesto il privato cittadino è considerato sia una vittima che un punto debole della sicurezza. Le leggi nazionali non dovrebbero costringere l’utente privato a proteggersi meglio? È chiaro che serve una migliore cooperazione internazionale per combattere il crimine cibernetico. Ma – come Jaak Aaviksoo, ministro della Difesa estone ha sottolineato – la Nato e la più ampia coalizione internazionale delle democrazie liberali è solo la somma delle sue parti. In altre parole, buona parte dei nostri piani comuni deve essere realizzato dai governi nazionali.
La mia ultima domanda è: la cyber-difesa diventerà mai parte della guerra al terrorismo della Nato? Sono consapevole che, secondo alcuni esperti, non vi sarebbero prove di piani di attacco cibernetico da parte dei terroristi e che perciò il cyberterrorismo è un mito. Io non condivido questo punto di vista. Non sto dicendo che abbiamo prove; il punto però non sono le prove, ma la possibilità che questo accada. I criminali cibernetici sfruttano il vantaggio dell’anonimato, la mancanza di confini fisici, logici e giuridici, una tecnologia in rapida evoluzione, il basso costo delle loro aggressioni, la scarsa consapevolezza negli apparati di sicurezza e le risposte non coordinate. Si può ordinare un attacco via internet semplicemente usando la carta di credito. Il cyberterrorismo sarebbe un ottimo esempio di applicazione dei principi di guerra asimmetrica e per questo motivo io vedo la possibilità di aggressioni informatiche da parte dei terroristi.
In risposta agli attacchi senza precedenti contro l’Estonia nel 2007, è stata istituita un’autorità centrale di pronto intervento. Questa opzione politica riconosce che la complessità della cyber-difesa richiede un’ampia gamma di capacità di prevenzione, scoperta, risposta, contrattacco e apprendimento, e meccanismi appropriati di consultazione. È anche importante che questa politica individui i meccanismi di pronta e immediata risposta, dato che gli attacchi informatici si realizzano in nanosecondi. Su questa base, il Board C3della Nato ha istituito e sovraintende ad un’autorità di gestione per la difesa cibernetica, che ha la competenza esclusiva nella Nato per avviare e coordinare azioni di cyber-difesa efficaci ed immediate. Si tratta di dirigere e gestire la capacità di risposta agli incidenti informatici e di organizzare e inviare squadre di reazione rapida a supporto degli alleati che le richiedano per difendersi da attacchi cibernetici. È ciò che abbiamo fatto nel caso dell’Estonia e della Georgia. L’autorità di gestione per la difesa cibernetica inoltre creerà e svilupperà in continuazione una lista di azioni che la Nato dovrà usare prima, durante e dopo gli attacchi o gli incidenti informatici. L’Alleanza atlantica riconosce che vi è un ampia gamma di istituzioni internazionali coinvolte nella risposta alle minacce e ai crimini commessi sfruttando la rete. Gli sforzi della Nato non devono conoscere duplicazioni, e quindi la politica pone un forte accento sulla cooperazione, l’avanzamento delle migliori pratiche, i meccanismi e i protocolli di coordinamento. Una funzione chiave a questo riguardo sarà svolta dal centro d’eccellenza della difesa cibernetica cooperativa, in Estonia, che garantirà expertise a sostegno della Nato e delle nazioni aderenti. Il Consiglio Nato ci ha anche richiesto di fare maggior ricorso alle migliori pratiche del settore pubblico e privato. Nelle odierne operazioni di risposta alle crisi, la Nato è solo uno degli attori nel teatro operativo insieme ad altre organizzazioni internazionali come l’Onu, la Ue, le Ngo.
La difesa cibernetica è una sfida complessa e piena di risvolti. Ma il messaggio centrale del summit di Bucarest è stato chiaro: l’alleanza riconosce l’esistenza del pericolo, riafferma la sua solidarietà, prende misure concrete per assicurare la capacità di risposta a questa minaccia emergente e continua a garantire la libertà e la sicurezza dei Paesi membri.
Traduzione di Marco Andrea Ciaccia
Pubblicato sul numero 44 della rivista Formiche (Marzo del 2010)
