Lo slogan “America is back” – lanciato dal Presidente Biden alla Conferenza di Monaco del febbraio 2021 – non implica un ritorno delle politiche del governo statunitense in materia di cybersecurity al vecchio “business as usual”, ma un loro rilancio su basi più assertive e “proattive”.
Sin dalle prime settimane dal suo insediamento, avvenuto a gennaio, la nuova amministrazione Biden ha dovuto far fronte a due dei più gravi incidenti “cyber” di sempre: la compromissione del meccanismo di updates utilizzato dal fornitore di software SolarWinds, che ha permesso a soggetti esterni di penetrare nei sistemi di almeno nove agenzie federali e oltre cento soggetti d’interesse nel settore privato, e l’attacco ai server Exchange di Microsoft.
Oltre ad aver dimostrato la fragilità della supply chain informatica e, soprattutto, messo in evidenza la vulnerabilità di qualunque software ad interferenze/compromissioni esterne questi due attacchi hanno accelerato la necessità, per il governo, di definire una nuova agenda di cybersecurity che preveda, in primis, il rafforzamento del sistema istituzionale e dell’architettura informatica nazionale.
A questi attacchi mirati, si aggiunge infatti anche la raffica di compromissioni ransomware di stampo estero registrate negli ultimi mesi su infrastrutture critiche nazionali e target strategici (e.g., Colonial Pipeline, JBS Foods, Kaseya), la cui magnitudo è stata tale da veder paragonato la minaccia dal vertice dell’FBI C. Wray alle vicende dell11/09.
Cyber war, l’Occidente rischia un nuovo 11 settembre: ecco perché
La nuova politica estera di cybersecurity e cyber diplomacy
La nuova politica estera statunitense in ambito di cybersecurity non è più mirata principalmente a favorire un’espansione della democrazia nel mondo e a proteggere un internet “open, free, interoperable, secure, and reliable”, secondo l’ideologia dominante alcuni anni fa, esemplificata nell’ “International Strategy for Cyberspace” dell’amministrazione Obama nel 2011, ma vuole difendere il cyberspace da una serie di minacce, che spaziano dagli attacchi alle infrastrutture critiche e ai servizi essenziali — ormai interamente dipendenti da sistemi digitali vulnerabili — alle interferenze in elezioni nazionali, alla disinformazione, all’autoritarismo digitale di paesi autocratici.
Gli Stati Uniti sono infatti passati da una politica estera in ambito cyber, nei primi anni dell’amministrazione Obama, più controllata e basata sulla deterrenza attiva, su limitate sanzioni e iniziative diplomatiche volte a stabilire norme internazionali sul comportamento degli stati nel cyberspace, alla politica dell’amministrazione Trump, che muoveva da una visione del mondo a “somma zero”, in una logica di tipo “transactional” e competitivo, anche nei rapporti con gli alleati, e seguiva una strategia di cybersecurity improntata al principio del “defending forward”— vale a dire, ad un approccio teoricamente più aggressivo, che enfatizza la volontà di penetrare i sistemi e network di avversari in maniera preventiva.
L’amministrazione Biden sta invece cercando di rilanciare il ruolo statunitense nel mondo, di ritrovare coesione e autorevolezza a livello internazionale, di rafforzare le istituzioni democratiche dedite alla lotta alla corruzione, all’autoritarismo, alle fake news, alle limitazioni alla libertà individuale e alla tutela dell’integrità del processo elettorale e di espandere il ruolo della cyber-diplomazia all’interno del Dipartimento di Stato, ampiamente trascurato sotto la presidenza Trump. Anche in ambito di politica interna, l’approccio dell’amministrazione Biden in materia di cybersecurity, pur non essendo stato ancora completamente delineato, è caratterizzato da una forte proattività che si riflette nei numerosi ordini esecutivi e direttive promossi negli ultimi mesi e nell’istituzione di nuovi uffici di primo piano a livello governativo, come il National Cyber Director (Chris Inglis), a diretto riporto del Presidente, e il Deputy National Security Advisor for Cyber and Emerging Technology (Anne Neuberger) all’interno del Consiglio di Sicurezza Nazionale.
I pilastri ideologici e geopolitici della nuova politica Usa
Gli eventi di questi ultimi mesi hanno spinto l’attuale amministrazione verso una politica estera di cybersecurity che riflette i pilastri ideologici e geopolitici, promuove i trend tecnologici e gli strumenti diplomatici presenti nella visione di sicurezza nazionale e foreign policy del nuovo Presidente, con un chiaro orientamento internazionalista, multilaterale e atlantista. Già nella Guida ad Interim alla Strategia di Sicurezza Nazionale, presentata da Biden a inizio marzo, viene sottolineato come la cybersecurity debba essere una priorità, come sia necessario rafforzare le capacità, la readiness e la resilienza nel cyberspace, nonché l’importanza di aumentare gli investimenti in infrastrutture e formazione delle risorse umane per difendere il sistema paese da attività cyber ostili. Uno dei punti cardinali di tale strategia è l’impegno a rafforzare e modernizzare la cooperazione internazionale su questioni di cyber-sicurezza, lavorando insieme agli alleati e ai paesi partner per creare e far rispettare nuove norme globali applicabili nel cyberspazio e dissuadere operazioni ostili nell’arena digitale, imponendo sanzioni ed altre conseguenze ai responsabili di attacchi e incidenti cyber.
Gli Stati Uniti hanno inoltre lanciato un avvertimento a paesi rivali e gruppi criminali, annunciando che saranno pronti a chiedere conto [hold accountable / ad accusare e perseguire] a chi pratica attività cyber malevoli, destabilizzanti o distruttive, e a rispondere rapidamente e in modo proporzionato, sia sul fronte cyber, che su quello non cyber. Questo nuovo approccio si è già concretizzato nell’attribuzione “ufficiale”, da parte della Casa Bianca, della responsabilità per l’attacco SolarWinds al Servizio federale per la sicurezza della Federazione russa (SVR) e, più recentemente, nell’accusa alla Cina – formulata in coordinamento con una dozzina di alleati come l’Australia, UK, Canada, Giappone, NATO e l’Unione Europea – di aver sponsorizzato attacchi cyber globali tra i quali figura quello a Microsoft Exchange
Il nuovo Segretario di Stato americano Anthony Blinken ha affermato apertamente che il governo cinese è responsabile di una serie di atti “irresponsabili, distruttivi e destabilizzanti nel cyberspace che pongono un grave rischio all’economia e alla sicurezza nazionale”. A giugno, durante i Summit del G7 in Cornovaglia e della NATO a Bruxelles, gli alleati sotto l’egida degli Stati Uniti hanno intimato alla Russia di agire contro gli autori di attacchi cyber e ransomware partiti dal suo territorio, “per identificare, ostacolare e considerare responsabili tutti coloro che dai propri confini lanciano attacchi ransomware, abusano della valuta virtuale per riciclare i riscatti e commettono altri crimini informatici”. Gli alleati NATO si sono inoltre dichiarati pronti ad “impiegare tutte le capabilities a disposizione” contro i colpevoli di tali attacchi cyber e perfino ad attivare l’Articolo 5 del Trattato, secondo il quale un “attacco armato” contro uno o più alleati sarebbe considerato come un attacco contro ogni componente della NATO e quindi ognuno di essi potrebbe, secondo il diritto all’autodifesa sancito dall’Articolo 51 della carta delle Nazioni Unite, decidere le azioni che ritiene necessarie a “ristabilire e mantenere la sicurezza”, compreso “l’uso delle forze armate”. Il giorno dopo il vertice NATO, durante il primo faccia a faccia con Vladimir Putin a Ginevra, il Presidente americano ha comunicato più o meno direttamente al Presidente della Federazione Russa che altri attacchi cyber non sarebbero stati tollerati e consegnato un elenco di sedici infrastrutture critiche da considerarsi “off limits” da ogni forma di attacco. L’elenco include reti elettriche, sistemi elettorali, condutture idriche ed energetiche, centrali nucleari e, cosa più delicata di tutte, sistemi di comando e controllo delle armi nucleari. L’avvertimento del Presidente Biden non ha ancora sortito i suoi effetti, dal momento che continuano gli attacchi cyber and ransomware provenienti dal territorio russo e diretti a compagnie negli Stati Uniti e altri paesi fuori dall’ex Unione Sovietica (i codici di molti virus sono spesso codificati per escludere istituzioni e organizzazioni in paesi ex sovietici), nonostante sia degno di nota il fatto che all’indomani del faccia a faccia uno dei più pericolosi gruppi criminali al mondo esperto di ransomware è improvvisamente scomparso.
La nuova politica interna di cybersecurity & cyber resilienza
Mentre sono ferme al Congresso moltissime proposte legislative, dalla creazione di una legge federale sulla data privacy e data breach notification (similare al GDPR e alla direttiva NIS di stampo europeo ), alla protezione dei diritti dei consumatori e limiti all’uso (ed abuso) dei loro dati personali da parte delle imprese, alla regolamentazione della concorrenza tra le Big Tech (e.g., Google, Amazon, Facebook, Microsoft), l’amministrazione Biden è subito entrata in campo emanando una serie di ordini esecutivi e direttive per rafforzare la cybersecurity e cyber resilienza delle agenzie federali e delle infrastrutture critiche, specialmente quelle più colpite da attacchi cyber negli ultimi mesi (i.e., reti di gas e petrolio, telecomunicazioni, filiere di software usati nei settori critici). Le varie agenzie federali competenti, dalla Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento di Homeland Security alla National Security Agency (NSA), al Federal Bureau of Investigation (FBI), hanno inoltre pubblicato una serie di joint cybersecurity advisories per aiutare enti pubblici e imprese private ad identificare eventuali vulnerabilità o minacce nei propri sistemi informatici, riconoscere, rispondere e mitigare le attività cyber ostili, per rafforzare i loro network contro attacchi sponsorizzati da governi o criminali cyber e per ridurre il rischio di compromissione, spionaggio digitale e furto dei dati. Il 28 luglio 2021, Biden ha emanato un “National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems” che si prefigge di stabilire dei “performance goals” per gli operatori delle infrastrutture critiche e supplire al patchwork di standards and misure di sicurezza (ancora inadeguate) dei diversi settori critici e vitali. Il memorandum assegna alle principali agenzie con competenza nell’ambito di cybersecurity standards e best practices — quali CISA e il National Institute of Standards and Technology (NIST) del Dipartimento del Commercio — il compito di stabilire gli obiettivi di cybersecurity per gli operatori di infrastrutture critiche e istituisce formalmente un’iniziativa volta alla individuazione delle misure e processi di sicurezza informatica per i sistemi di controllo industriale (ICS), la cui adozione da parte degli operatori resta, tuttavia, volontaria. L’amministrazione Biden sta anche studiando vari incentivi, quali finanziamenti, agevolazioni fiscali, crediti d’imposta e coperture assicurative per incidenti cyber, per convincere gli operatori attivi nei settori critici a migliorare e rafforzare i propri sistemi e le proprie procedure in ambito di cybersecurity e cyber resilienza.
Inoltre, il 3 giugno, il Presidente Biden ha emanato un ordine esecutivo che vieta alle aziende e agli individui americani di investire in 59 aziende cinesi nel settore di difesa e delle tecnologie di sorveglianza che hanno stretti rapporti con l’esercito popolare, espandendo così il numero società cinesi incluse nella “Entity List” del Dipartimento del Commercio — ovvero le società che devono sottostare a controlli più severi quando importano prodotti da fornitori statunitensi. Tale ordine esecutivo ha sostituito un precedente ordine esecutivo dell’amministrazione Trump sospeso da un giudice federale.
La settimana successiva, il Presidente Biden ha emanato un ulteriore ordine esecutivo avente ad oggetto “Protezione dei dati sensibili degli americani da avversari stranieri”, che modifica un provvedimento dell’era Trump – anch’esso sospeso dalla Corte federale di Washington – con cui si vietavano i nuovi download delle applicazioni TikTok e WeChat, di proprietà dei gruppi cinesi ByteDance e Tencent, accusati di minacciare la sicurezza nazionale americana. (Anche questa misura era stata bloccata in tribunale prima che potesse essere attuata e la società madre ByteDance aveva anche presentato un ricorso alla corte federale di Washington, contestando l’ordine esecutivo di Trump).
Il nuovo ordine di Biden sostituisce il “ban” di Trump e delinea un più strutturato “quadro decisionale basato su criteri” per imporre potenziali divieti e assegna al Dipartimento del Commercio il compito di condurre una revisione più ampia delle “applicazioni software collegate ad avversari stranieri” che potrebbero rappresentare un rischio per la sicurezza degli americani e dei loro dati. L’ordine delinea i criteri per determinare quali applicazioni “straniere” possono rappresentare un “rischio inaccettabile” per la sicurezza nazionale degli Stati Uniti, comprese le transazioni che coinvolgono applicazioni di proprietà o controllate da “persone che sostengono attività militari o di intelligence di avversari stranieri, coinvolte in attività informatiche dannose … o che raccolgono dati sensibili”. L’amministrazione Biden sta cercando inoltre di sviluppare un processo per identificare e documentare i pericoli per la sicurezza nazionale in modo da assicurare che gli eventuali divieti sui trasferimenti di dati resistano al vaglio dei giudici. Sono ancora in corso, peraltro, presso il Comitato per gli investimenti esteri negli Stati Uniti (CFIUS) l’esame dell’applicazione TikTok per i suoi presunti rischi di sicurezza nazionale e la bozza di accodo tra TikTok, Oracle e Walmart per la costituzione di una “partnership tecnologica” negli Stati Uniti.
Conclusioni
L’aspirazione dell’amministrazione Biden di rilanciare il ruolo statunitense nella cybersecurity e cyber diplomacy globale e di assumere nuovamente responsabilità e impegni internazionali, agendo da “modello” agli occhi del mondo, deve però ancora fare i conti con la realtà della società e della politica americana, segnata in questi anni da un impasse all’interno del Congresso americano e tensioni e divisioni profonde che hanno messo in dubbio sia la capacità di Washington di agire con coerenza e determinazione sul piano internazionale sia quella di rappresentare un esempio di democrazia sostanziale ed efficiente per gli altri paesi, i quali si muovono ormai in un contesto complesso e totalmente diverso da quello che ha caratterizzato gran parte del Ventesimo e il primo decennio del Ventunesimo secolo del Secondo Dopoguerra, contraddistinto, tra l’altro, dall’affermazione dei principi del libero mercato e dell’ordine liberale e dal dominio americano nel cyberspazio. A questo si aggiungono “le difficoltà nel gestire e mitigare gli effetti dei processi di globalizzazione che hanno reso interdipendenti economie e società” — ancora più evidente durante la pandemia da COVID-19 — e che “hanno portato a fenomeni di rigetto e all’apertura di uno spazio di contestazione politica, riempito – negli Stati Uniti così come in Europa – da movimenti nazionalisti-populisti e identitari, che in diversi casi hanno manifestato tendenze antidemocratiche, se non autoritarie,” sia nel cyberspazio come nello spazio fisico. “Da qui la scelta, anzi la necessità, di ripartire dai fondamentali, cioè proprio dal rispetto e dalla promozione di libertà civili e principi e valori democratici” e di rafforzare le istituzioni responsabili per la protezione di infrastrutture critiche, servizi essenziali e protezione delle elezioni, “sia all’interno sia all’esterno degli Stati Uniti, per tentare di ricostruire e ripristinare la leadership di Washington” e per perseguire interessi comuni con paesi alleati, coordinandosi per affrontare minacce sia sul fronte cyber che su quello non cyber.
La collaborazione con i paesi alleati e, in particolare, con i partner europei torna ad essere ora fondamentale sia dal punto di vista della cyber diplomacy – per mostrare cioè che un fronte democratico basato su norme e pratiche internazionali condivise esiste e deve essere ulteriormente rafforzato – sia dal punto di vista più ”concreto” della cybersecurity, che necessita un investimento maggiore in risorse materiali e tecnologiche, misure di sicurezza e resilienza che, se indirizzate in maniera coesa e supportate da una forte volontà politica, possono contribuire a creare stabilità e fiducia in un mondo sempre più interconnesso e interdipendente.
*Si ringrazia Daniele Francesco Alì (CEO E-phors e Vice presidente Cyber Security di Fincantieri) per i contributi e per le revisioni finali.
