“Se consideriamo i milioni di attacchi giornalieri contro gli Stati Uniti, al nostro sistema finanziario ed a quello elettorale, sperimentiamo una cyber Pearl Harbor ogni giorno”. Chris Inglis, primo National Cyber Director degli Stati Uniti d’America (in attesa di conferma al Senato), ha descritto allarmato la complessa situazione nel dominio cyber in un’intervista per Strategic Studies Quarterly (Ssq), rivista ufficiale della United States Air Force (Usaf).
Il presidente Biden intende nominare l’ex funzionario della National Security Agency (Nsa) come ulteriore baluardo a difesa del dominio cibernetico americano da attacchi come i recenti contro SolarWinds, di matrice russa, e ai server di Microsoft, di matrice cinese.
La posizione di National cyber director, che farà parte dell’Executive Office presidenziale, è stata creata attraverso una disposizione contenuta nel National defense authorization act per il 2021 (Ndaa Fy 2021), l’annuale legge federale che specifica il budget del Dipartimento della Difesa (DoD). Una posizione finalizzata al coordinamento degli sforzi in cybersicurezza di tutto il governo americano (Whole-of-Government approach) e potrà contare su uno staff di ben 75 persone.
Quella di Inglis sarà una nomina che non troverà molta opposizione per la conferma al Senato, come dimostra la dichiarazione congiunta dei Senatori King e Sasse, insieme ai deputati Langevin e Gallagher, che elogia la professionalità di Inglis. I quattro sono a capo della Cyberspace solarium commission (Csc), organismo bipartisan del Congresso che nel 2020 ha proposto la creazione di un National Cyber Director. La Csc, creata nel 2019 per sviluppare un approccio strategico a difesa del cyberspazio americano, ha pubblicato il suo rapporto l’11 marzo 2020. Il Ndaa Fy 2021 ha previsto che la Csc continui la sua attività per portare a compimento le raccomandazioni indicate nel suddetto rapporto.
La Csc venne istituita per rispondere principalmente a due necessità: individuare la strategia per proteggere gli Stati Uniti da attacchi cyber ed individuare le azioni di policy necessarie a concretizzarla. Inglis, veterano dell’Air Force con quasi 30 anni di esperienza alla Nsa, è il candidato ideale per rispondere a tali necessità e potenziare la difesa informatica del governo americano, purtroppo presente nella high-risk list del Government Accountability Office (Gao) sin dal 1997.
La lista valuta i programmi e le operazioni governative più vulnerabili a sprechi, frodi, abusi, che quindi necessitano di interventi correttivi. Secondo il Gao i punti che devono essere soddisfatti per una cyber difesa nazionale davvero resiliente sono: la stesura di una strategia globale di cybersicurezza, una maggiore protezione delle infrastrutture cyber-critiche e potenziare i sistemi informativi federali.
L’ultimo episodio di “On the Cusp” – il podcast dell’American Enterprise Institute condotto da Elisabeth Braw – contiene un’intervista ad Inglis utile a carpirne il pensiero strategico. Per Inglis l’era digitale ha certamente portato crescita economica e innovazione tecnologica, ma ha anche dato vita ad un dilemma strategico: più sono le connessioni digitali ed i dati, maggiori sono le opportunità per gli avversari strategici dell’America di indebolirne la sicurezza nazionale, disturbarne le attività governative e danneggiarne le istituzioni economiche e democratiche.
A detta di Inglis la strategia nazionale cyber di cui gli Stati Uniti hanno bisogno deve fondarsi su due concetti strategici innovativi. Il primo, detto “layered cyber deterrence”, identifica un’attività di deterrenza cibernetica basata su tre dimensioni che agiscono di concerto: definizione di nuovi standard e norme internazionali con il supporto dei paesi alleati; aumento della resilienza delle infrastrutture nazionali critiche per rendere i cyberattacchi nemici meno efficaci (deterrenza “by denial”); imporre costi proporzionali agli avversari attraverso strumenti quali sanzioni (cioè la deterrenza “by retaliation”).
Il secondo concetto è alla base della strategia “defend forward” elaborata dal DoD nel 2018 per il dominio cyber: il contrasto delle operazioni cyber avversarie attraverso azioni che ne aumentino costi diretti e indiretti e ne diminuiscano i benefici, alterando quindi il calcolo decisionale avversario.
I regimi autoritari di Russia e Cina hanno certamente alcuni vantaggi nel cyberspazio, potendo ignorare diritti individuali (e.g. privacy) e sfruttando sistemi di sorveglianza statale, che però allo stesso tempo soffocano l’innovazione, che prospera solo in società libere, aperte e democratiche.
