Per i membri della Nato non ci sarà più alcuna differenza tra un attacco cyber e uno fisico. È una delle novità più attese al vertice che si svolge oggi e domani in Galles, dove i leader dell’Alleanza atlantica sono chiamati ad approvare una nuova policy cibernetica che potrebbe cambiare radicalmente la missione di difesa collettiva dell’organizzazione.
UNA NUOVA POLICY
“Per la prima volta – ha spiegato a Computer Weekly Jamie Shea, vice segretario generale per le sfide emergenti di sicurezza della Nato – stiamo facendo un riferimento esplicito, in questa politica, tra gli attacchi informatici di una certa soglia e l’invocazione dell’articolo 5 della difesa collettiva della Nato come parte del trattato”. Di fatto esiste già un accordo tra i 28 Paesi membri, ma si attende ancora una sua ufficializzazione.
L’ARTICOLO 5
L’articolo 5 del Trattato Nord Atlantico richiede agli Stati membri di venire in aiuto di qualunque membro oggetto di un attacco armato, la cui definizione – nella nuova politica di cyber policy – adesso comprenderà anche gli attacchi informatici. Tuttavia la Nato non rivelerà in quali situazioni è pronta a intervenire, in modo da non comunicare ai malintenzionati qual è il livello al di sotto del quale possano sperare di rimanere impuniti.
COME RAGGIUNGERE IL RISULTATO
L’iniziativa dell’Alleanza parte dall’assunto che ormai molte strategie belliche prevedono attacchi informatici mirati a creare danno militare ed economico. Lo si è toccato con mano negli ultimi conflitti, come quello siriano, o nei rapporti quotidiani tra Paesi concorrenti. A condurre una politica cibernetica aggressiva – denunciata più volte dagli Usa (e non solo) – sono in particolar modo nazioni in moderato o aperto contrasto con l’Occidente, come Russia, Iran e Cina. Per Shea è però prioritario che le capacità di difesa cibernetica degli Stati membri vengano rese “quanto più omogenee possibili”. Un risultato ottenibile attraverso esercitazioni congiunte, formazione e la definizione di obiettivi che ogni Paese dovrà raggiungere in un tempo prefissato.
I PASSI DA FARE
Tra questi l’istituzione di un team nazionale di risposta alle emergenze informatiche e lo sviluppo di capacità forensi. Gli alleati saranno chiamati a condividere gli sforzi e cooperare, scambiandosi consigli sulle “buone pratiche”.
SMART DEFENSE E NCIP
Una sorta di smart defense cibernetica, già messa in atto in 3 progetti della Nato, che coinvolgono 20 Paesi membri. Il primo riguarda l’aspetto decisionale in caso di crisi, il secondo è un programma di formazione e istruzione, e il terzo è una piattaforma di condivisione di malware. Infine l’aspetto di cooperazione multi-nazionale includerà un focus sul settore, attraverso la creazione di un partenariato industria informatica della Nato (Ncip).
Ue e Usa cercano già di collaborare sul tema. Nei giorni scorsi hanno lanciato una nuova task force congiunta contro i crimini informatici battezzata J-Cat (Joint Cybercrime Action Taskforce) e attiva con sede presso lo European Cybercrime Centre (Ec3) di Europol. Da subito vi partecipano Italia, Austria, Germania, Francia, Olanda, Spagna, oltre a Stati Uniti e il Canada.
I PROBLEMI DA SUPERARE
Quello in Galles rappresenta un primo passo “burocratico”, ma è ancora presto per parlare di una vera e propria difesa cibernetica comune. Gli aspetti da superare – sottolinea David Sanger sul New York Times – sono innanzitutto le resistenze dei Paesi che hanno investito di più in questo campo, su tutti Usa e Regno Unito (che assieme ad Australia, Canada e Nuova Zelanda compongono il cosiddetto Five Eyes Network, un’alleanza sull’intelligence balzata nuovamente alle cronache durante i giorni del Datagate). Difficilmente vorranno privarsi di un vantaggio competitivo così marcato, condividere a cuor leggero le loro armi informatiche top-secret sviluppate nel corso degli anni o, in generale, esporre senza filtri le loro capacità militari in quel versante. Questo impedisce per il momento di sviluppare una strategia completa di difesa. Se scoppiasse una guerra nucleare, la Nato avrebbe pronto un dettagliato piano di risposta. E in caso di minaccia cibernetica?