Gli avvenimenti del 2020 hanno mutato la percezione del dominio cibernetico e delle minacce informatiche: la crescita delle campagne di attori ostili ha portato molti Stati, organizzazioni regionali e internazionali ad attribuire alla cyber security un’importanza centrale per la sicurezza e la stabilità.
I documenti adottati lo scorso marzo dall’Unione Europea e dall’ONU rappresentano questo cambiamento in atto.
Indice degli argomenti
ONU: un working group per il settore ICT
Nonostante la sicurezza informatica rappresenti uno dei temi più dibattuti e controversi a livello globale, lo scorso 10 marzo l’ONU ha adottato per consenso un rapporto in cui emerge la necessità di aumentare la cooperazione per garantire la sicurezza e la pace internazionale.
Il rapporto è stato redatto dall’Open-Ended Working Group (OEWG) sugli sviluppi nel campo delle tecnologie dell’informazione (ICT) nel contesto della sicurezza internazionale dell’ONU, istituito nel 2019, con l’obiettivo di discutere le implicazioni dell’aumento delle minacce informatiche sulla sicurezza globale.
Il report non ha carattere vincolante e non è particolarmente innovativo nel contenuto. Tuttavia, per la prima volta, la comunità internazionale ha riconosciuto l’importanza della cyber security e la necessità di adottare misure concrete per mitigare i rischi e contrastare le cyber threats.
Il lavoro dell’OEWG non è stato semplice. In particolare, sono emerse due posizioni contrastanti. Da un lato, Russia, Iran, Siria, Cuba ed Egitto – supportati dalla Cina – hanno sottolineato la necessità di adottare nuove regole a carattere vincolante, in quanto quelle attuali non sarebbero sufficienti a garantire la pace internazionale. Dall’altro lato, Stati Uniti, Ue e altri Paesi hanno riaffermato l’importanza di rispettare le norme adottate dall’Assemblea Generale dell’ONU nel 2015.
Come ha ribadito il delegato della Nuova Zelanda, “il vero problema non è la creazione di nuove norme, quanto piuttosto la mancata implementazione di quelle esistenti”.
La normativa internazionale crea sicuramente delle problematiche in tema di sovranità nazionale. Il dominio cibernetico presenta delle problematiche non trascurabili, non essendo definibile da un punto di vista geografico, in quanto aterritoriale.
È necessario, come ribadito dal report, che gli Stati cooperino per definire una comune interpretazione delle norme internazionali applicabili all’uso degli strumenti ICT. Questo perché molti Stati hanno dichiarato di non ritenere un problema lo sviluppo di capacità cyber, quanto piuttosto il loro abuso.
Il report ha riaffermato le raccomandazioni adottate dal Group of Governmental Experts (GGE) dell’ONU nel 2015. La differenza tra i due consessi è notevole. Mentre nel GGE del 2015 hanno preso parte solo 20 Stati e in quello attuale 25 (Italia assente), l’OEWG ha lasciato la partecipazione aperta a tutti i Paesi che volessero prendervi parte. Ai lavori che hanno portato al report finale hanno, infatti, contribuito 150 Stati. Tra questi, l’Iran ha dichiarato la propria contrarietà alla decisione finale, dissociandosi dal report, ritenuto “inaccettabile”.
Altro elemento fondamentale, secondo il Working Group, è l’implementazione di misure di “confidence building”. La cooperazione internazionale non può avvenire se non sulla base di una fiducia diffusa tra gli Stati. Per questo, le organizzazioni regionali svolgono un ruolo fondamentale in quanto permettono una maggiore e più profonda collaborazione e scambio di conoscenze.
Secondo il report, quindi, per garantire la pace nel cyberspace è necessario che la comunità internazionale condivida una serie di valori sul suo utilizzo.
Il documento redatto dall’ONU, infatti, pone l’accento sul multilateralismo, elemento fondamentale dell’azione esterna dell’Ue e della politica estera italiana. Non è un caso, infatti, che l’Italia abbia svolto un ruolo di primo piano durante i lavori dell’OEWG.
I Paesi, inoltre, devono evitare di appoggiare attività ostili nei confronti di altri stati, spesso perpetrate proprio da state-sponsored actors. Negli ultimi mesi, in seguito agli attacchi a SolarWinds e Microsoft Exchange, è emerso il ruolo chiave degli APT (Advanced Persistent Threat) russi e cinesi. Il fatto che il dominio cibernetico favorisca l’anonimato incoraggia gli Stati a tenere comportamenti ostili e ad abusare degli strumenti di hacking.
I progressi dell’UE nel cyber spazio
Soltanto lo scorso dicembre, l’European Union Agency for Cybersecurity (ENISA) rilasciava il NIS Investments Report, dal quale risultava chiaro che i paesi membri dell’UE spendono ancora troppo poco per la protezione delle reti nazionali.
Risale a dicembre anche l’adozione della nuova strategia europea per la cybersecurity, la quale riporta proposte concrete riguardanti iniziative di policy, di regolazione e di investimento.
In particolare, la strategia si concentra su tre aree di azione dell’UE:
- resilienza, sovranità tecnologica e leadership;
- capacità operativa per la prevenzione, la deterrenza e la risposta agli attacchi;
- promozione di un cyberspace aperto e globale attraverso la cooperazione.
Secondo quanto riportato dal Working Group dell’ONU, l’UE, in quanto organizzazione regionale, svolge un ruolo fondamentale – attraverso i propri organismi – nel favorire la cooperazione tra gli Stati e, quindi, una maggiore stabilità internazionale.
Lo sforzo dell’Unione per la creazione di un cyberspace più sicuro, aperto e resiliente non deve essere sottovalutato, al di là degli scarsi investimenti dei singoli Stati membri.
Lo scorso 9 marzo, infatti, il Consiglio dell’Unione europea ha adottato le conclusioni sulla nuova strategia di sicurezza informatica. Il documento sottolinea come la cyber security sia essenziale per costruire un’Europa più resiliente, verde e digitale, prevedendo alcune misure per rafforzare la sua leadership digitale e le sue capacità strategiche.
Tra le misure proposte vi è, innanzitutto, la creazione di una rete di centri operativi per la sicurezza, in grado di monitorare e anticipare i segnali di attacchi informatici, coordinati dall’European Cybersecurity Competence Centre, la cui sede sarà a Bucharest.
Inoltre, è prevista la creazione di una joint cyber unit, che possa inquadrare meglio il framework europeo per la gestione delle crisi cibernetiche.
Oltre a queste proposte, il documento sottolinea la necessità di:
- implementare le misure previste dall’EU 5G toolbox;
- profondere un maggiore sforzo nell’attuazione delle norme fondamentali per la sicurezza di internet;
- promuovere lo sviluppo di una crittografia forte per proteggere i diritti fondamentali.
Infine, il documento attribuisce un ruolo chiave alla cooperazione con le organizzazioni internazionali e con i Paesi alleati, al fine di aumentare la consapevolezza e la conoscenza delle minacce.
Da rilevare, inoltre, l’adozione – da parte del Consiglio UE – del regolamento relativo al contrasto della diffusione di contenuti terroristici online. La nuova normativa, che dovrà essere approvato ora dal Parlamento in seconda lettura, presenta una serie di punti interessanti.
Esso, infatti, “fornisce un quadro giuridico che stabilisce le responsabilità degli Stati membri e dei prestatori di servizi di hosting al fine di contrastare l’uso improprio dei servizi di hosting per la diffusione di contenuti terroristici online”. Tra le altre previsioni, le norme sono finalizzate a:
- garantire il buon funzionamento del mercato unico digitale e assicurare la fiducia e la sicurezza nell’ambiente online;
- permette di individuare le responsabilità dei prestatori di servizi di hosting nel contrastare e rimuovere i contenuti terroristici online.
Infine, il regolamento prevede che gli Stati possano emanare ordini di rimozione dei contenuti terroristici, con efficacia transfrontaliera.
Conclusioni
La cooperazione è l’elemento guida delle differenti normative adottate dall’Unione e dall’ONU.
Il dominio cibernetico, per sua natura, si presta ad azioni ostili di cui spesso è difficile individuare l’autore.
Sebbene in questo settore gli Stati non possano esercitare il monopolio della forza, essi rimangono il pericolo più grande.
È per questo che la pace e la sicurezza internazionale possono essere mantenute solamente attraverso una maggiore cooperazione.
Per ottenere ciò, come ha evidenziato l’OEWG, è necessario che ci sia un clima di fiducia a livello internazionale, ottenibile solamente attraverso una maggiore trasparenza nell’utilizzo dell’ICT e la condivisione di interessi comuni.
Questo non significa che gli Stati si debbano astenere dallo sviluppare capacità cyber, piuttosto il contrario. Le misure di capacity-building sono necessarie al fine di prevenire e mitigare l’impatto degli attacchi informatici.
Come ormai è chiaro, nel cyberspace il verificarsi di una crisi è molto più pericolosa rispetto agli altri settori. Questo perché il grado di interconnessione delle reti globali è molto alto e un attacco che produce degli effetti dannosi in un Paese, può avere ripercussioni sull’intera comunità internazionale.
La volontà degli organismi UE di dare un peso notevole alla cyber security contrasta, però, con la carenza di investimenti da parte degli Stati membri.
L’Italia, come più volte sottolineato, soffre la scarsità di fondi pubblici destinati alla sicurezza informatica. La digitalizzazione presenta non solo grandi opportunità, ma notevoli rischi, che possono essere mitigati solo attraverso l’implementazione di adeguate misure sia nella Pubblica Amministrazione, sia nelle aziende.
È necessario che il nostro paese si adatti alle richieste non solo dell’UE, ma della stessa comunità internazionale, seguendo l’esempio della Francia, dove il presidente Macron ha annunciato un piano di investimenti in cyber security da un miliardo di euro.
