“We can´t wait for Congress to act!”. Questo pare essere il nuovo slogan di Barack Obama che, nonostante la vittoria elettorale, dopo aver incassato l´ennesimo nulla di fatto dal Congresso per il “Cybersecurity Act 2012”, pare premere con sempre maggior decisione per l´emanazione di un Presidential Executive Order on Cybersecurity, che detti un primo framework di regole per ridurre i rischi per le infrastrutture critiche nazionali americane derivanti dal cyber-spazio.
I numeri, del resto, parlano chiaro e gli attacchi informatici a questo genere di sistemi, vitali per ogni Paese, crescono non soltanto in quantità, quant´anche e soprattutto in qualità. Gli ormai famigerati attacchi di quest´estate nei confronti dei sistemi informatici di Saudi Aramco e RasGas, così come la violazione non più di 48 ore fa dei sistemi informatici dell´agenzia aerospaziale giapponese, danno immediatamente corpo all´urgenza più volte manifestata dal presidente Obama.
Una bozza di questo executive order, in realtà, ha fatto capolino sulla rete internet già da alcuni mesi in un paio di versioni sempre più “definitive”, ma la circolazione nelle ultime ore di una bozza “pre-decisional” pare lasciare ormai poco spazio ai dubbi sulle prossime mosse del governo americano.
Il primo obiettivo dell´executive order è quello di creare un processo di reale condivisione delle informazioni su questo genere di minacce con il settore privato, obbligando gli enti governativi a produrre le versioni non classificate di tutti i report che trattino questa materia. È previsto, altresì, che gli operatori delle infrastrutture critiche ricevano un vero e proprio affiancamento da parte di esperti governativi al fine di ottenere il maggior numero di informazioni possibili per mitigare e ridurre al massimo i rischi informatici. Il cuore del progetto, tuttavia, è di creare un vero e proprio framework di regole scalabili adatte all´identificazione, valutazione, gestione e mitigazione dei rischi informatici che attualmente minacciano le infrastrutture critiche nazionali. Questo compito è demandato, entro 240 giorni dalla data di pubblicazione dell´executive order, al direttore del Nist (National institute of standards and technology) attraverso il coordinamento del segretario del Commercio.
Questo progetto, peraltro, ha fatto rapidamente proseliti anche nel Vecchio continente, seppure in maniera decisamente meno “invasiva” rispetto alla versione americana. È il caso, ad esempio, della Francia, dove il 15 novembre l´Ansii (Agence nationale de la sécurité des systèmes d´information) ha chiuso il periodo di consultazione pubblica di un documento contenente 40 raccomandazioni ed una check-list, che hanno come scopo quello di proporre alle aziende alcune semplici misure di sicurezza idonee per proteggere al meglio le informazioni elettroniche in loro possesso.
Anche l´Italia non è certamente “ferma al palo”. La minaccia ai sistemi informativi nazionali derivante dal cyber-spazio è da tempo studiata, valutata e approfondita, soprattutto in ambito difesa. Ciò che difetta nel nostro Paese, invece, è la capacità di concretizzazione e realizzazione di simili progetti, anche nella loro versione più semplice. Questa mancanza è certamente dovuta all´incapacità politica di percepire la minaccia e mettere a punto una reale e concreta pianificazione strategica in materia di cyber-security. Manca, del resto, persino un documento strategico nazionale in materia di cyber-security (o meglio, una strategia di sicurezza nazionale che prenda in considerazione anche il cyber-spazio): siamo tra i pochi al mondo a non averla ancora resa pubblica. Stefano Mele è coordinatore dell´Osservatorio infowarfare e tecnologie emergenti dell’Istituto italiano di studi strategici “Niccolò Machiavelli”.
