Dopo 7 mesi di lavoro e oltre 300 interviste, la Cyberspace Solarium Commission degli Stati Uniti ha finalmente pubblicato il suo report, che mira ad indirizzare il decisore americano verso lo sviluppo di un nuovo approccio strategico per la difesa degli Stati Uniti dagli attacchi cibernetici e, più in generale, per la sicurezza nazionale.
Il documento – davvero molto interessante – ruota intorno all’introduzione anche nel settore della cybersecurity del concetto di layered deterrence, ovvero, semplificando, di una serie di azioni strutturate che congiuntamente mirino (o che dovrebbero mirare) a creare deterrenza dal compiere attacchi cibernetici nei confronti degli Stati Uniti.
Secondo la Cyberspace Solarium Commission, quindi, la layered cyber deterrence dovrebbe basarsi principalmente su tre “strati” volti a:
1. Modellare il comportamento. Gli Stati Uniti devono lavorare con gli alleati e con i partner per promuovere comportamenti responsabili nel ciberspazio.
2. Negare i benefici. Gli Stati Uniti devono negare agli avversari i benefici derivanti dall’utilizzo del ciberspazio a proprio vantaggio o a svantaggio degli americani. Questo approccio, secondo la Commissione, si basa anzitutto sull’elevare i livelli di protezione delle reti critiche attraverso una stretta collaborazione con il settore privato, al fine di promuovere la resilienza degli Stati Uniti e aumentare la sicurezza cibernetica dell’intero ecosistema.
3. Imporre dei costi. Gli Stati Uniti devono mantenere le capacità operative, le competenze e la credibilità per contrattaccare nei confronti di quegli attori che decidano di colpirli nel e attraverso il ciberspazio.
Inoltre, i tre “strati” di cui si compone la layered cyber deterrence delineata dalla Commissione sono supportati da sei policy pillars, dai quali discendono più di 80 raccomandazioni (ognuna delle quali meriterebbe un approfondimento specifico).
Per chi si occupa dei temi legati alla sicurezza nazionale, i concetti su cui si basa la layered cyber deterrence non risulteranno certamente nuovi. Infatti, il percorso scientifico seguito dalla Commissione si fonda essenzialmente su due elementi.
Da un lato, la deterrenza by denial, ovvero il persuadere il nemico a non attaccare convincendolo che il suo attacco sarà vanificato, attuata in particolare aumentando la difesa e la sicurezza del ciberspazio attraverso la resilienza e la collaborazione tra il settore pubblico e privato. Dall’altro, l’incorporazione a livello strategico nazionale e l’estensione del concetto operativo di defend forward, introdotto dal Pentagono nel 2018 all’interno della sua ultima strategia per il ciberspazio, ma stranamente non presente nell’ultima National Cyber Strategy americana (sempre del 2018).
L’approccio di defend forward prevede che per interrompere e sconfiggere le operazioni cibernetiche (militari) in corso da parte di un avversario, gli Stati Uniti debbano monitorare, perseguire e contrastare in modo proattivo queste attività, imponendo su chi agisce dei costi per le azioni intraprese. Partendo da questa base, tra i vari suggerimenti, la Commissione evidenzia come questo concetto debba essere esteso al di là della mera azione militare, elevandosi ad elemento cardine della strategia cibernetica nazionale.
A ciò si dovrebbe aggiungere anche l’estensione del concetto stesso di defend forward, al fine di permettere la reazione del governo americano attraverso tutti i possibili strumenti del potere a disposizione, ivi comprese le azioni di contrasto poste in essere dalle Forze dell’Ordine, le sanzioni economiche e così via.
La nuova strategia immaginata dalla Commissione, allargando questo concetto fino al piano della strategia nazionale ed estendendone i contenuti, nei fatti mira a far sì che ogni avversario sia consapevole che il governo americano è intenzionato a rispondere agli attacchi cibernetici (anche quelli al di sotto del livello dei conflitti armati e che non causano quindi distruzione fisica o morte) con tutti gli strumenti a sua disposizione, purché coerenti con il diritto internazionale.
Del resto, non può sfuggire come il ciberspazio sia diventato ormai il principale “territorio” di scontro di ogni nuovo conflitto. Tuttavia, la persistente debolezza di una postura meramente difensiva lo rende un dominio caratterizzato da un basso costo e da un basso rischio di coercizione e di reazione, peraltro attraverso strumenti classificabili come di “quasi utilizzo della forza”.
Ciò significa che – come ampiamente dimostrato nel tempo – una strategia cibernetica incentrata esclusivamente sulla difesa o sulla deterrenza continuerà a risultare sempre inadeguata e scarsamente produttrice di effetti reali. Pertanto, la strategia delineata dalla Cyberspace Solarium Commission cerca – opportunamente – di adattare la teoria tradizionale della deterrenza alla realtà della digitalizzazione e dell’iper-connettività di questo nostro secolo, cercando di ridurre la gravità e la frequenza degli attacchi cibernetici subiti dagli Stati Uniti attraverso l’alterazione del rapporto costi-benefici per gli attori che decidono di attaccare sfruttando il ciberspazio.
In questo scenario, un ruolo decisivo dovrà essere giocato anche dall’Intelligence, le cui attività non possono ridursi ad una mera raccolta informativa sugli avversari in maniera statica e passiva. L’esigenza – oggi più che mai – è quella di poter osservare gli avversari mentre svolgono le loro attività operative e di manovra, così come di comprendere l’evoluzione delle loro organizzazioni, delle capacità, delle tecniche, fino ad arrivare ai vari decisori e alle persone chiave.
Ciò, com’è evidente, può essere svolto solo accedendo proattivamente alle reti e ai sistemi in cui operano questi soggetti. Per poter generare rapidamente effetti nel ciberspazio nel momento desiderato, così come per risolvere il problema dell’attribuzione, forze e capacità di uno Stato devono oggi operare sistematicamente lì dove si trova l’avversario.
In conclusione, questo nuovo approccio strategico delineato dalla Cyberspace Solarium Commission, unitamente alle sue ulteriori numerose raccomandazioni presenti all’interno del report (che spaziano dalla riforma delle strutture governative dedicate alla gestione della minaccia cibernetica, fino al rafforzamento delle specifiche norme di diritto), se prese seriamente in considerazione dal governo americano, potranno certamente rafforzare ulteriormente il ruolo globale e primario che gli Stati Uniti già oggi svolgono sul piano dei conflitti nel e attraverso il cyberspazio. Un approccio, questo, che si auspica possa essere preso come esempio anche dal governo italiano.