Il cyber spazio aggiunge un nuovo livello di complessità ai concetti tradizionali di autodifesa. La risposta a questa nuova complessità può prevedere fattori multipli.
Premesso che l’Europa e l’Italia stanno facendo moltissimo con la direttiva NIS, il decreto Ramponi (DPCM 24/1/13) e la relativa struttura decisionale/operativa, pur essendo un caposaldo cui riferirsi necessitano a mio avviso di due ampliamenti specifici che vedremo di seguito.
Già in un precedente mio intervento in riferimento al decreto su Golden Power e Perimetro di sicurezza nazionale, avevo evidenziato con esempi concreti e in scenari di pre-conflitto l’importanza di distinguere la gestione delle situazioni ordinarie da quelle straordinarie: il grado di operatività è ovviamente differente. Certamente nel contesto 5G e nella gestione dell’ordinario e dello straordinario, possono essere applicate le prescrizioni del cosiddetto decreto Ramponi che, nel caso della protezione cyber nelle situazioni straordinarie in eventi cibernetici prevede l’attivazione dell’Unità di allertamento alle situazioni di crisi (h24, 7/7) nonché un tavolo interministeriale di crisi cibernetica.
Ma, come dicevamo, servono dei correttivi.
Meccanismi di gestione dinamica della minaccia
Il primo riguarda i meccanismi di gestione dinamica della minaccia e dell’Early Warning in rapporto all’art5 del Trattato Nato che riportiamo di seguito:
Articolo 5
Le parti convengono che un attacco armato contro una o più di esse in Europa o nell’America settentrionale sarà considerato come un attacco diretto contro tutte le parti, e di conseguenza convengono che se un tale attacco si producesse, ciascuna di esse, nell’esercizio del diritto di legittima difesa, individuale o collettiva, riconosciuto dall’ari. 51 dello Statuto delle Nazioni Unite, assisterà la parte o le parti così attaccate intraprendendo immediatamente, individualmente e di concerto con le altre parti, l’azione che giudicherà necessaria, ivi compreso l’uso della forza armata, per ristabilire e mantenere la sicurezza nella regione dell’Atlantico settentrionale. Ogni attacco armato di questo genere e tutte le misure prese in conseguenza di esso saranno immediatamente portate a conoscenza del Consiglio di Sicurezza. Queste misure termineranno allorché il Consiglio di Sicurezza avrà preso le misure necessarie per ristabilire e mantenere la pace e la sicurezza internazionali.
Regole di ingaggio chiare e precise
Servono quindi due chiare e precise regole di ingaggio (ROE) che attualmente in Italia non esistono per questo dominio della conflittualità, regole che aiuterebbero moltissimi sui tavoli nazionali come il CISR o il DIS (componente politico-militare).
Per quanto riguarda il primo punto, i sistemi di allertamento preventivo attivano contromisure dinamiche che bloccano la minaccia cyber sul nascere; risulta tuttavia fondamentale che le strutture territoriali (NIS compliant) afferiscano al CERT nazionale secondo schemi di maturità in grado di superarsi in una specifica agilità proattiva e predittiva nella gestione della minaccia stessa e nell’eventuale attivazione di sistemi offensivi o di autodifesa nazionali in linea con gli accordi NATO e con specifiche regole di ingaggio.
Per quanto concerne il secondo punto mentre la NATO ha avuto decenni di esperienza operativa nella formulazione di regole di ingaggio (ROE) per armi cinetiche, diverse caratteristiche delle operazioni nel dominio cibernetico aumentano la loro complessità e risultano per ora informazioni classificate. Le questioni legate ai meccanismi di Comando e Controllo (CC) e all’escalation dell’uso di forza cibernetica anche in risposta ad attacchi cinetici (e viceversa) svolgono un ruolo importante nella definizione di ROE specifiche.
In sintesi la formulazione di ROE per le armi informatiche sono possibili con sforzi particolari per impartire tale esperienza ai leader politici e ai comandi militari in contesti di attivazione di unità di crisi come nell’esempio italiano. Il modello americano mutuato in parte su quello europeo NATO prevede tre tipologie di ROE:
- Regole di ingaggio permanenti (SROE) forniscono un insieme generale di regole sempre operative relative all’autodifesa per le forze in tempo di pace, nonché un modello per ROE specifici dell’operazione.
- ROE supplementari (noti anche come ROE specifici della missione) sono personalizzati per una regione, una missione o un’operazione specifica e possono elaborare e / o interpretare i SROE per una determinata missione senza contraddirli.
- Regole permanenti per l’uso della forza (SRUF) che regolano le azioni militari all’interno della nazione.
Molte delle effettive capacità dei militari nel dominio del cyberspazio e le ROE corrispondenti al loro uso rimangono per ora classificate. Detto questo, attraverso analisi OSINT è disponibile un corpus crescente di informazioni non classificate riguardanti i principi e i concetti che guidano il modo in cui i pianificatori DOD americano formulano ROE per operazioni nel cyberspace che potrebbero essere mutuate in Europa.
Gli SROE cibernetici si basano su una minaccia immediata in linea con capacità predittive e proattive (verifica di un atto ostile ed esistenza di un intento ostile) e la necessità di rispondere adeguatamente e secondo principi di proporzionalità a tale minaccia.
Cyber spazio e autodifesa: nuovi livelli di complessità
Ma un’azione che si attua attraverso il cyberspace potrebbe non rappresentare un’ovvia minaccia per la vita umana o sue capacità critiche. Raramente un operatore cibernetico dovrà affrontare una decisione di vita o di morte personale simile a quella di un soldato impegnato in un combattimento cinetico su un campo di battaglia fisico, il che significa che il cyberspace aggiunge un nuovo livello di complessità ai concetti tradizionali di autodifesa. La risposta a questa nuova complessità può prevedere fattori multipli.
Le unità militari sono generalmente autorizzate ad adottare misure di difesa passiva all’interno dei sistemi o delle reti di cui sono responsabili. Gli esempi includono l’uso di sistemi di rilevamento delle intrusioni (IDS – software che monitora la rete o il sistema per attività dannose), l’utilizzo di firewall ed l’eliminazione di connessioni che potrebbero essere utilizzato per scopi ostili o per eliminare malware trovati sui sistemi da difendere. Tali misure sono analoghe alle manovre evasive per una nave che affronta un aereo che vuole attaccare.