Da test sempre più sofisticati per individuare vulnerabilità e addestrare il “fattore umano”, a cellule operative cibernetiche da impiegare negli scenari operativi a seguito delle missioni internazionali. La difesa nazionale passerà sempre di più attraverso il dominio cyber, con un’evoluzione tecnologica e normativa che deve seguire il passo di una minaccia in rapida espansione. Ne abbiamo parlato con il generale Francesco Vestito, comandante del Comando interforze per le operazioni cibernetiche (Cioc), incontrato pochi giorni dopo la complessa esercitazione Cyber Eagle dell’Aeronautica militare (conclusa lo scorso venerdì) e alla vigilia della conferenza CyCon di Tallinn, organizzata dal Centro di eccellenza della Nato in materia di cyber-defence. Proprio sulla scia di quanto deciso nei vari Summit dell’Alleanza Atlantica, a giugno dello scorso anno il ministero della Difesa aveva annunciato la creazione di un Cyber command italiano, parte del più complesso ecosistema di cyber-security nazionale.
Generale, a circa un anno dall’annuncio della sua creazione, come si sta strutturando il Comando?
Il Cioc è nato il 30 settembre 2017 e i temi principali su cui ci siamo soffermati sono: organizzazione, informazioni, infrastrutture, cyber-range, personale e un cyber-laboratorio. Ora, ci avviciniamo, alla fine di quest’anno, a quella che viene definita una “initial operational capability” rafforzata. Prevediamo di raddoppiare il numero di persone disponibili e dovremmo dotarci di maggiori infrastrutture e info-strutture. Si tratta di cominciare, continuando a costruire le capacità tecnologiche che permetteranno al Cioc di condurre operazioni cibernetiche.
Quali sono le dimensioni del Cioc in termini di personale?
Secondo quanto previsto dal capo di Stato maggiore della Difesa, il Cioc si attesterà sul qualche centinaia di persone. Per quanto riguarda la forma di reclutamento, va scandagliata. Prima di ricorrere a personale civile, dobbiamo colmare e riempire capacità operative di figure tecniche.
E le risorse finanziarie?
Non abbiamo i numeri precisi, ma posso dire che l’interesse del dicastero della Difesa è massimo e si sono cominciate a dare sostanziose risorse allo sviluppo di capacità. In tal senso, l’evoluzione sarà tanto più rapida e adeguata alla risposta quanto maggiore sarà la sinergia tra gli investimenti, il sistema nazionale e l’architettura predisposta dal dpcm Gentiloni, soprattutto con le università e la ricerca, dove c’è il motore dell’innovazione. Lo facciamo con i programmi del segretariato generale della Difesa, che dedica massima priorità a questo aspetto. Non a caso, un ramo del Comando è destinato all’innovazione, con l’obiettivo di ricercare le migliore soluzioni tecnologiche da affiancare a capacità militari pure.
Ma cosa si intende per difesa cibernetica?
Il compito del Cioc è duplice e riguarda la cyber-defense e la cyber-network-defense. Con la prima si intende una difesa quasi statica delle rete, fatta in collaborazione con le Forze armate e con il Comando dei Carabinieri, per cui si usano sistemi di monitoraggi con cui si osserva l’integrità e la disponibilità delle reti e dei dati che ci viaggiano sopra. La seconda espressione aggiunge alla cyber-defence classica la capacità di svolgere Vulnerability assessment and penetration test (Vapt), cioè una ricerca continua di vulnerabilità e di efficienza delle reti. È una sorta di pronto soccorso in cui la capacità medica è arricchita dal sistema di salute delle reti della Difesa e delle singole Forze armate. Ciò permette di osare di più nelle esercitazioni. Nella prima parte di maggio si è tenuta la Joint Stars 2018 che, con carattere interforze, ha messo insieme i due concetti. Qualche giorno fa, l’Aeronautica militare ha concluso l’esercitazione Cyber Eagle, che è il passo in avanti: le singole Forze armate si arricchiscono della capacità di proteggere le reti.
Può spiegarci meglio l’esercitazione di Gioia del Colle da parte dell’AM?
L’esercitazione cibernetica a guida dell’Aeronautica, con il coordinamento del Coi (organizzata dal Comando logistico dell’Arma Azzurra, con il coinvolgimento tre reparti per tremila militari e duemila apparati informatici, ndr), si è conclusa la scorsa settimana, dopo diversi giorni in cui si è proceduto ad attività di Vapt per educare il personale alla minaccia cibernetica. In questa maniera, i militari devono continuare a svolgere la propria missione naturale, che è quella di garantire le operazioni aeree, terrestri e navali, sottoponendosi alla minaccia cyber.
Crede che ci sarà spazio, soprattutto normativo, per passare dalla cyber-defence al contrattacco?
Se ne sta parlando molto nei contesti nazionali e internazionali. Tutt’ora, nel dispositivo giuridico interno e nel diritto internazionale non vi è autorizzazione a svolgere attacchi cibernetici. Non è nemmeno stato espresso di concetto di rappresaglia o di attacco, nonostante il tentativo contenuto nel “Tallinn manual 2.0” da parte del Centro di eccellenza della Nato sulla cyber-defence (Ccdcoe) di creare un compendio della capacità operativa giuridica delle operazioni cibernetiche, uno sforzo a cui l’Italia partecipa.
Eppure, la Nato sembra dedicare molta attenzione ai temi della difesa cibernetica.
Per quanto riguarda l’Alleanza Atlantica, il cyber ha senza dubbio riempito uno spazio progressivamente più ampio nel corso dell’ultimo decennio. Nel Summit dei capi di Stato e di governo del prossimo luglio, ci sarà con ogni probabilità un annuncio sui Cyber operations center (Cyoc), e questa è la misura dell’attenzione che la Nato dedica alla materia. D’altronde, la difesa collettiva è la migliore deterrenza nel mondo cyber. Significa rendere la difesa così solida da indurre l’avversario a investire molto per penetrarla, fino a scoraggiarlo dal prendere l’iniziativa perché sarebbe inefficace.
Nell’eventualità che si arrivi alla possibilità di rispondere, come si può contrattaccare se è difficile capire da dove arriva l’attacco?
In effetti, il problema attuale della cyber-defence è l’attribution. Non si può dire con certezza e senza ambiguità chi sia stato l’autore di un attacco. Si potrebbe risalire al computer da cui è stato condotto, ma il diritto penale persegue sempre un soggetto fisico. Ciò è un problema per gli attacchi condotti tramite Botnet o di Dos (denial of service) poiché è difficile risalire alla persona fisica “responsabile” o “vittima”. Se il diritto penale parla di “taluno”, esso potrebbe non esserci se la vittima o l’autore di un attacco è legato a sistemi o a intelligenza artificiale.
Lei ha parlato della cyber-defence come di un triage del Pronto soccorso. Può spiegarci meglio?
La struttura classica della cyber-defence si basa su Csirt e Cert. I primi (Computer security incident response team) sono legati ai Security operations center (Soc) e funzionano come una sala di monitoraggio che rileva i tentativi di intrusione su reti e dati. In questa attività, colloquia con il Cert (Computer emergency response team) qualora la situazione diventi importante. Il tutto è legato a uomini e tecnologie che si muovono e agiscono, individuando le situazioni e accertandone la gravità attraverso l’attribuzione di un codice: verde, giallo, rosso. Nel primo caso (verde), l’analisi e la diagnosi si esauriscono a livello di Csirt, poiché si tratta di un’anomalia tecnica. Negli altri casi, tutto passa al Cert che interviene analizzando le reti e pensando ai rimedi tecnici, informando, quasi sicuramente, il procuratore ordinario o militare.
In ambito nazionale, come si lega la defence, che spetta al Cioc, all’ecosistema, anche civile, della security?
La Difesa è una parte fondamentale della difesa cibernetica nazionale, la quale è espressa, come gerarchia, dal Dipartimento delle informazioni per la sicurezza (Dis) e in particolare dal vice direttore con delega alla cyber-security Roberto Baldoni. Le gambe fondamentali di questo apparato “Dis-driven” sono il Comando militare, il Cnaipic della Polizia postale e delle comunicazioni, e il Cert Nazionale (fusione del Cert PA dell’AgID e del Cert del Mise). Non dobbiamo poi trascurare che alcuni dicasteri del Comitato interministeriale per la sicurezza della Repubblica (Cisr) sono legati al Cert nazionale con proprie strutture. Noi rispondiamo solo per la parte militare e soccorriamo la sicurezza nazionale quando necessario, esattamente come avviene con il contributo nel caso di catastrofi naturali o per la missione Strade sicure.
Le cellule operative cibernetiche (Coc) saranno una realtà nei vari scenari operativi?
Le Cellule operative cibernetiche (Coc) esprimono il concetto di Cert: un gruppo di persone preparate a rispondere alle situazioni più gravi. Ciò si può fare in forma statica o rischierandosi nel luogo della compromissione, oppure ancora a seguito delle operazioni dove è richiesta, dall’inizio, la presenza di operatori cyber che si affianca a chi stende le reti militari. Per ora, la cyber non sembra ancora esplosa come fattispecie operativa negli scenari di crisi, per cui è difficile dire se una cellula parta e come possa essere dimensionata. In dottrina, tale eventualità dovrà adeguarsi all’infrastruttura tecnologica, alla cultura cyber e alla complessità delle reti.
(Foto: Aeronautica militare, dall’esercitazione Cyber Eagle)