Da quando, nel 2009, il Presidente Barack Obama ha posto l’accento sulla minaccia derivante dal cyber-spazio, inserendola tra gli elementi cardine della sua agenda politica e dichiarandola pubblicamente “una delle sfide più serie sia per l’economia, che per la sicurezza nazionale”, il governo degli Stati Uniti si è imposto anche in questo settore come il principale attore ed indiscusso trascinatore del pensiero strategico internazionale.
Seppure il primo piano nazionale per la sicurezza dei sistemi informatici americani risalga al 2000 e la loro prima strategia nazionale ufficiale in materia di cyber-security sia datata 2003, è proprio dalla metà del 2009 che la materia ha cominciato ad ottenere una crescente e quasi incontenibile attenzione, complice soprattutto:
– il grande interesse e la spinta del governo americano verso i temi della cyber-security e del cyber-warfare;
– i cospicui finanziamenti economici governativi destinati a questi settori, nonostante la recessione economica e la contrazione generalizzata dei budget;
– un’attenzione mediatica internazionale senza precedenti e in costante crescita; ed, infine,
– il conseguente aumento della divulgazione pubblica degli attacchi informatici andati a segno nei confronti dei sistemi informativi di governi e aziende.
Per far fronte a questa incombente minaccia – la cui crescita dal 2006 al 2012 è stata stimata dall’US-CERT del 782%, con poco meno di 50.000 attacchi informatici verso obiettivi americani ufficialmente denunciati nel solo 2012 – il governo degli Stati Uniti si è impegnato nel tempo a delineare e a dare attuazione ad una cospicua serie di documenti strategici ed operativi. Addirittura per il solo piano strategico se ne possono individuare ben dieci.
Lo scopo principale di questi documenti è quello di fissare i principi cardine dell’azione del governo in materia di cyber-security, costituire le specifiche strutture governative (sia quelle a rilevanza interna che esterna), nonché definire i ruoli e le responsabilità per far fronte alla minaccia.
Uno sforzo sicuramente apprezzabile, che, tuttavia, non ha tardato a destare qualche perplessità sulle reali possibilità di implementazione, anche nel medio periodo, specialmente in ragione della mole, della complessità e della capillarità delle direttive impartite dal governo americano. Incertezze, queste, già da tempo manifestate – anche da parte di commentatori italiani – e su cui il Government Accountability Office (GAO) degli Stati Uniti è tornato a porre l’accento in occasione della sua recente audizione presso l’Homeland Security & Governmental Affairs Committee (Comitato per la Sicurezza Nazionale e gli Affari Governativi) del Senato.
In particolare, il GAO ha evidenziato come la rapida evoluzione del pensiero strategico americano in materia di cyber-security, abbia fatto sì che nell’ultimo decennio si siano andati “ammassando” principi strategici e direttive del governo di difficile raccordo e di complessa implementazione pratica. Ciò ha comportato che il governo americano soffra tuttora di alcune rilevanti criticità, tra le quali spiccano:
– la difficoltà per le agenzie federali di effettuare una corretta valutazione dei rischi derivanti dal cyber-spazio, attraverso lo sviluppo e l’implementazione dei principi e delle direttive in materia di cyber-security impartite dal governo centrale;
– la difficoltà da parte delle agenzie deputate alla protezione delle infrastrutture critiche di comprendere correttamente quali siano le norme e i regolamenti in materia di cyber-security da applicare al loro specifico settore (criticità a cui Obama ha provato a dare una risposta attraverso il recente Presidential Executive Order on Improving Critical Infrastructure Cybersecurity);
– la persistente difficoltà di rilevare, contrastare e mitigare gli attacchi informatici, soprattutto a causa della mancanza in seno al Department of Homeland Security (DHS) di un efficace sistema di analisi predittiva delle minacce derivanti dal cyber-spazio e di un sistema centrale per la condivisione delle informazioni tra settore pubblico/governativo e i principali attori privati;
Una soluzione a queste problematiche così essenziali e urgenti può essere senz’altro rinvenuta attraverso la predisposizione di un nuovo documento strategico nazionale che vada a sintetizzare ed armonizzare la mole di direttive e di strategie finora prodotta, descrivendo in modo semplice, completo e puntuale l’attuale stato dell’architettura strategica nazionale americana in materia di cyber-security.
Tuttavia, far ciò non basta. Occorrerà, infatti, che questo nuovo documento strategico definisca con chiarezza e in maniera univoca anche:
– i costi e le risorse necessarie per una sua reale attuazione ed esecuzione;
– i ruoli e le responsabilità assegnati a ciascun attore statale nella gestione della minaccia;
– i metodi attraverso cui valutare nel breve, nel medio e nel lungo periodo i risultati raggiunti nell’implementazione della nuova strategia;
– la priorità e il posizionamento della nuova strategia all’interno del quadro strategico americano e i suoi eventuali collegamenti con gli altri documenti strategici preesistenti, ovvero la loro eventuale abrogazione.
Soltanto attraverso questi ulteriori accorgimenti, infatti, il nuovo documento strategico nazionale americano potrà far fronte in maniera efficace alle attuali minacce derivanti dal cyber-spazio, scrollandosi di dosso quell’enorme quantità di “lacci e lacciuoli” che, nel settore della cyber-security, rendono attualmente gli Stati Uniti un gigante con i piedi di argilla.
Stefano Mele è coordinatore dell’Osservatorio “Infowarfare e Tecnologie emergenti” dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”.