Dopo i warning americani circa i potenziali pericoli di sicurezza posti dalla presenza cinese nelle innovative reti 5G, i Paesi occidentali – nonché alcuni partner e alleati di Washington sparsi per il pianeta – si sono riuniti ieri e oggi Praga, in un incontro organizzato dal governo della Repubblica Ceca con il plauso statunitense. All’appello hanno risposto partecipanti provenienti da ben 32 Paesi (tra quelli Nato, Five Eyes, Ue e non solo – sotto la mappa) da quattro continenti e quattro grandi telco internazionali.
Tra i presenti anche una rappresentanza italiana che – stando a quanto raccontato a Formiche.net da fonti a conoscenza del convegno – avrebbe incluso funzionari del ministero dello Sviluppo economico (titolare del dossier 5G) e della presidenza del Consiglio dei ministri (fronte intelligence).
Il convitato di pietra della riunione (forse non invitato a prendervi parte, ha riportato Reuters) è stato invece, naturalmente, la Cina, casa madre di colossi come Huawei (recentemente al centro di un vecchio caso di presunte backdoor che, secondo Bloomberg, avrebbe riguardato anche la Penisola) e Zte, al centro dello scontro tecnologico, geopolitico e economico tra Usa e Repubblica Popolare, che si svolge ormai su scala globale.
(fonte: sito web del governo della Repubblica Ceca)
IL DOCUMENTO
Al summit, concluso da un intervento della commissaria europea per la Giustizia Věra Jourová, è seguita la pubblicazione di un documento della presidenza ceca che riassume i temi discussi e alcune proposte provenienti dagli organizzatori della conferenza.
Il testo, che riconosce la sicurezza delle reti 5G come “cruciale per la sicurezza nazionale, economica e per la stabilità globale”, evidenzia che la cyber security “non può essere considerata solo una questione puramente tecnica”, ma deve supportare “la protezione della privacy e delle libertà civili”. Nessun accenno a Pechino, ma si rimarca che “il comportamento di attori malintenzionati che cercano di sfruttare la dipendenza dalle tecnologie di comunicazione dovrebbe essere presa in considerazione”. La questione, dunque, si specifica ancora, è anche politica e non solo tecnico-commerciale, né può essere valutata solo come una voce di costo.
LE PROPOSTE
Partendo da questi presupposti, il documento si concentra su alcune proposte del Chairman che abbracciano diverse categorie. In ambito policy, si sottolinea che “le reti e i servizi di comunicazione dovrebbero essere progettati tenendo presenti misure di resilienza e sicurezza, costruiti e successivamente manutenuti – inoltre – utilizzando standard internazionali, aperti, fondati sul consenso e su pratiche di cyber security basate sul rischio”, così come si rimarca la necessità di un approccio mondiale in termini di cyber security, che possa promuovere la sicurezza dei prodotti a beneficio di tutte le parti interessate. “Ogni Paese”, si sottolinea, “è libero, in conformità con la legge internazionale, di stabilire i propri requisiti di sicurezza nazionale e di applicazione della legge, che dovrebbero rispettare la privacy e le leggi che proteggono le informazioni da un eventuale uso improprio. Le leggi e le policy che disciplinano reti e i servizi di connettività dovrebbero essere guidate dai principi di trasparenza ed equità, tenendo conto dell’economia globale e delle regole di interoperabilità, con supervisione ed un rispetto che si convengono ad uno stato di diritto. Si dovrebbe”, tuttavia, “tenere conto del rischio di influenza su un fornitore da parte di un Paese terzo, in particolare in relazione al suo modello di governance, all’assenza di accordi di cooperazione in materia di sicurezza con la nazione interessata o ad ulteriori accordi analoghi. Tra questi, ad esempio, vi sono le decisioni su adeguati standard di protezione dati, gli accordi multilaterali, internazionali o bilaterali di cui il Paese in questione è già parte, la lotta contro la criminalità informatica e la protezione dei dati”.
Sul versante tecnologico, si propone “un controllo continuo delle vulnerabilità e una attenuazione dei rischi che coinvolgono tutti i componenti e sistemi di rete, sia prima della release del prodotto, sia durante il funzionamento del sistema”. Le valutazioni del rischio dei prodotti del vendor, si evidenzia, “dovrebbero tenere conto di tutti i fattori rilevanti, incluso l’ambiente legale e altri aspetti dell’ecosistema del fornitore, in quanto questi fattori potrebbero essere rilevanti per il mantenimento del più alto livello possibile di sicurezza informatica”. Per aumentare i benefici della comunicazione globale, “gli Stati” dovrebbero “adottare politiche per consentire flussi di dati di rete efficienti e sicuri. Le parti interessate dovrebbero, a tale scopo, prendere in considerazione i cambiamenti tecnologici che accompagnano le reti 5G, a partire dall’utilizzo di edge computing, fino all’impatto sulla sicurezza generale dei canali di comunicazione. Il cliente, che sia il governo, un operatore o un produttore, deve informato sull’origine e la provenienza di tutti i componenti hardware e i software che hanno un’influenza sul livello di sicurezza del prodotto o del servizio”.
Quanto all’economia, si rileva che “un mercato come quello dei dispositivi di comunicazione presenta una supply chain particolarmente sensibile, la cui sicurezza è essenziale per la resilienza del Paese. Un modo per diversificare le varie soluzioni tecnologiche, con effetti positivi anche sulla sicurezza delle reti, è quello di destinare robusti investimenti nella ricerca e nello sviluppo. Questi fattori oltre ad avvantaggiare l’economia in senso globale, alimentano il progresso tecnologico. Le reti di comunicazione e i servizi di rete”, si aggiunge, “dovrebbero essere finanziati in modo aperto e trasparente, utilizzando pratiche standard di approvvigionamento, investimento e appalto. Gli incentivi, i sussidi o i finanziamenti sponsorizzati dallo Stato, per quanto concerne le reti di comunicazione 5G, dovrebbero rispettare i principi di equità, essere commercialmente ragionevoli, condotti apertamente, in modo trasparente e sulla base dei principi della libera concorrenza. La supervisione effettiva dei principali strumenti finanziari e di investimento che influenzano lo sviluppo delle reti di telecomunicazione è fondamentale. Le reti di comunicazione e i fornitori di servizi di rete dovrebbero avere proprietà, partnership e strutture di governo societario del tutto trasparenti” (aspetti che gli Usa non riscontrano, ad esempio, in Huawei).
Infine, il capitolo su sicurezza, privacy e resilienza indica che, a detta della presidenza dell’incontro, “tutte le parti interessate, inclusa l’industria, dovrebbero collaborare per promuovere la sicurezza e la resilienza delle reti, dei sistemi e dei dispositivi connessi all’infrastruttura critica nazionale”. È opportuno, continua la proposta, “promuovere una condivisione di esperienze e di best practice, tra cui le attività di indagine, di risposta e di recupero da attacchi di rete. Le valutazioni su sicurezza, rischi nei confronti dei fornitori e tecnologie di rete dovrebbero tenere conto soprattutto delle leggi nazionali, dell’ambiente di sicurezza in cui ci si trova, delle problematiche che circondano i fornitori e delle conformità agli standard di settore. Per promuovere un’offerta di prodotti di cyber security e servizi informatici che sia vivace e robusta queste caratteristiche devono essere aperte, trasparenti e interoperabili. La struttura di gestione del rischio è fondamentale, infine, per poter rispettare i principi di protezione dei dati e per garantire la privacy dei cittadini che utilizzano apparecchiature e servizi di rete”, conclude il documento.
I WARNING USA
Sul tema delle nuove reti si concentrano da tempo i timori dell’amministrazione di Washington, secondo la quale usare il 5G made in Cina potrebbe esporre a rischi di spionaggio e conseguentemente mettere a serio rischio il dialogo con gli Stati Uniti. Allarmi in questo senso sono stati lanciati pochi giorni fa, per la seconda volta in meno di un mese, da Robert Strayer il più alto funzionario cyber del Dipartimento di Stato americano, che ha ribadito quanto già detto (e ricordato) a più riprese nel tempo dal capo della diplomazia americana Mike Pompeo, da militari statunitensi come Curtis Scaparrotti e anche dall’ambasciatore Usa in Italia Lewis Eisenberg, ovvero che utilizzare la tecnologia tecnologia di Huawei (azienda da tempo al centro delle cronache) o dell’altro colosso cinese, Zte, quest’ultimo a controllo statale, potrebbe influenzare la capacità Usa di condividere informazioni di intelligence con i suoi alleati. Con una novità, dettata anche dalle notizie non ufficiali ma trapelate dal Regno Unito circa una presenza condizionata della telco cinese: gli Usa non distinguono tra parti centrali e non-core delle reti 5G che dunque verranno ritenute “inaffidabili” e “non sicure” in caso di coinvolgimento del player di Shenzhen.
LONDRA NON SI ISOLA
Rilevante – visto il clima di queste ore in Uk, dove il segretario alla Difesa Gavin Williamson è stato rimosso dall’esecutivo perché accusato della fuga di notizie sulla possibile scelta di Londra di consentire a Huawei di partecipare alla costruzione della rete 5G – anche la presenza come speaker di Ciaran Martin responsabile del National Cyber Security Centre, ricadente sotto il controllo dell’agenzia di intelligence britannica che si occupa di comunicazioni, il Gchq.
LA POSIZIONE DELL’ITALIA
Quanto all’Italia, invece, per quanto riguarda il 5G (sul quale ha recentemente accesso i riflettori anche il Garante Privacy), Roma ha finora deciso di non escludere a priori le aziende della Repubblica popolare cinese. Più di un mese fa, attraverso una nota del Mise, è stata smentita l’intenzione di precludere alle aziende cinesi (la cui presenza è da tempo, ha raccontato Formiche.net, all’attenzione dei servizi segreti e del Copasir) lo sviluppo della nuova tecnologia in Italia. Il governo ha poi proceduto all’istituzione di un nuovo Centro di valutazione e certificazione nazionale (Cvcn) presso l’Iscti del Mise, e all’estensione del Golden power – la normativa sulle prerogative ‘speciali’ che lo Stato può usare a difesa degli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica in ambiti come l’energia, i trasporti e le comunicazioni – allargata alla stipula di contratti o accordi aventi ad oggetto l’acquisto di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi” delle reti 5G, quando posti in essere con soggetti esterni all’Unione europea.