Questa è una fase in cui i Russi si riconcentrano sul Donbass ed auspicano l’occupazione della fascia costiera dal Mar Nero fino alla Trasnistria. Dimostrano ancora una volta una serie di inefficienze dal punto di vista militare, lacune molto gravi, ma dalla loro hanno una potenza di fuoco che gli consente, con bombardamenti indiscriminati, di avere successi sul campo, grazie anche ad una certa stanchezza che gli ucraini sembrano mostrare. Quello che appare chiaro è che la guerra sarà ancora molto lunga. Attualmente Putin, che ha scommesso tutto sull’operazione speciale, registra qualche successo sul campo: non è quindi il momento in cui sia disposto a trattare, nel senso che non ha le spalle al muro ma, anzi, intravvede la possibilità di eventuali, ulteriori, successi. Come ha detto Draghi, è chiaro che l’Occidente, l’Europa, deve sostenere non un processo che porti, non tanto alla pace, che vedo difficile, ma almeno ad una tregua armata di lungo periodo. Resta fermo che le condizioni di tale tregua dovrebbero essere concordate con gli ucraini: purtroppo su questo punto l’Europa comincia a mostrare qualche crepa che non è rassicurante, né per noi, né per Zelensky.
Secondo me la posizione di Biden è esclusivamente politica, il tipo di armi da fornire, c’entra relativamente. L’amministrazione americana registra crepe evidenti nella posizione dei Paesi dell’Unione Europea. A questo punto, un’escalation della fornitura di armamenti potrebbe ulteriormente ampliarle: Biden non vuole danneggiare i rapporti degli Stati Uniti con l’Europa ed il sostanziale allineamento di quest’ultima alle posizioni americane (in generale). Per gli Stati Uniti, il vero confronto è con la Cina, per cui non possono affrontare tensioni con l’alleato europeo. Quindi, il discorso di “razionalizzare” gli armamenti è funzionale non tanto a non provocare ulteriormente la Russia, quanto a non ampliare le crepe che già ci sono dentro l’Unione Europea.
Uno dei punti irrisolti è: cosa vogliamo da questa guerra? Qui abbiamo tra i Paesi Europei (non necessariamente UE), membri NATO o prossimi ad aderirvi, alcuni come la i Paesi scandinavi, i Paesi Baltici, la Polonia, Bulgaria e Romania, che quasi vorrebbero una Russia fuori dall’Europa e politicamente irrilevante, se non addirittura oggetto di secessioni interne. Altri come Francia, Germania Italia e Spagna che invece sono per il recupero di un ruolo della Russia per la pace e la sicurezza in Europa, ma salvando l’Ucraina. La Gran Bretagna si esibisce in posizioni anche azzardate, ma al termine sa di doversi riallineare con gli Stati Uniti. La Turchia tiene una linea apparentemente equidistante (è l’unico Paese ad aver seriamente tentato un negoziato d’approccio fra Mosca e Kiev), ma in realtà strumentale al proprio interesse di ricostruire un’area di influenza neo-ottomana che vada dalle ex Repubbliche sovietiche dell’Asia, fino alla Libia. Per questo, non punta tutto su un solo schieramento: anzi, alcuni suoi veti sembrano riesaminabili a fronte di sostanziose remunerazioni in termini finanziari o di armamenti. Gli Stati Uniti non gradiscono, ma trattano con Erdogan. L’Ungheria di Orbán esaspera Europa e Stati Uniti col suo boicottare le sanzioni: ma fornisce anche un alibi al alcuni Paesi (quali la Germania) per evitarle. I leader europei sanno bene che le proprie opinioni pubbliche condannano l’invasione dell’Ucraina, ma sono poco disposte a sopportare le difficoltà economiche che le sanzioni alla Russia potrebbero, di ritorno, determinare. L’Italia, in questa situazione, è stato uno dei Paesi più leali e lineari. Paradossalmente, non riuscendo a controllare gli effetti politici di questa guerra, in caso di débâcle od anche di stallo prolungato dell’iniziativa russa, alla fine si potrebbe correre in soccorso di Putin per evitare che la Russia cada a peso morto nelle braccia della Cina o che la Federazione russa sia oggetto di pulsioni secessioniste. Il che non sarebbe un bene per nessuno.
Una cyberguerra al momento non c’è. La crisi ucraina ha avuto scarsi riflessi sulla minaccia cibernetica in Europa, che viaggia comunque su livelli elevati (tra l’altro, l’Italia è al terzo posto nel modo fra i Paesi più colpiti da ransomware, quel “virus” che cripta i dati di un’azienda, chiedendo un riscatto per “liberarli”). Gli attacchi a cui stiamo assistendo questi giorni, sembrerebbero avere valore dimostrativo, comunque prime avvisaglie di attività molto più pesanti e invasive. I grandi attacchi informatici richiedono infatti una lunga ed accurata preparazione per raccogliere informazioni, programmare virus che si diffondano rapidamente ma in modo selettivo (solo verso gli obiettivi preposti): una volta avviata una guerra di conquista, gli strumenti militari convenzionali appaiono più efficienti nel distruggere le capacità di reazione dell’avversario. Ma in caso di guerra a lungo termine e a bassa intensità, ovvero di tregua armata, i grandi gruppi hacker potrebbero fare attacchi mirati verso i Paesi occidentali sostenitori dell’Ucraina, per minare la fiducia dei cittadini, bloccare la vita sociale e trasformare la tregua armata in una débâcle politica. Consideriamo che l’idea «romantica» dell’hacker che «smanetta» in soffitta è tramontata. Oggi vediamo “Cybergang” che investono nella ricerca di nuove vulnerabilità nei software legali da usare come «breccia» per introdursi nei sistemi delle vittime; usano il modello di «Hacking-as-a service», «Ransowmare as a Service» e «Disinformation-as-a-Service»: anziché condurre azioni in proprio, vendono l’uso degli strumenti di attacco ad altri gruppi (i loro “distributori”), per aumentare la penetrazione e ridurre i rischi; conducono campagne di attacco e disinformazione per conto degli Stati o altri mandanti. In ogni caso, quello ucraino è l’esempio di come convenga investire sulla robustezza delle infrastrutture informatiche di un Paese piuttosto che creare strumenti di cyber attacco.
Siamo ancora molto indietro sulla cybersicurezza: l’Italia è al terzo posto nel modo fra i Paesi più colpiti da ransomware, quel “virus” che cripta i dati di un’azienda, chiedendo un riscatto per “liberarli”. Vi sono alcune ragioni. Anzitutto, la regola base è: violare le aziende che permettono il massimo ritorno economico, utilizzando il minor tempo possibile. Purtroppo, le infrastrutture delle organizzazioni sia pubbliche che private italiane, risultano poco dispendiose da violare. Secondo: le richieste di riscatto vengono assecondate (si vede nel “movimento” dei “portafogli” nelle blockchain). Terzo: non si fa “lesson learned”. Non si divulgano i “vettori di attacco”, cioè le caratteristiche dell’attacco, in modo che gli esperti della sicurezza possano trarne indicazioni utili, per non infangare la propria web & brand reputation. Mancano quindi condivisione, collaborazione, rete e divulgazione. Altri grandi assenti sono consapevolezza e formazione.
La sicurezza informatica viene, erroneamente, considerata troppo spesso una materia altamente tecnica, comprensibile, quindi, solo da esperti informatici. ENISA, l’Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione, nel Report 2018 ha mosso un rimprovero: “l’orientamento tecnico della maggior parte degli addetti o esperti di cyber security è considerato un ostacolo alla sensibilizzazione del management”. È invece possibile e necessario favorire la maturazione di quest’ultimo, fornendo quadri fruibili sulla minaccia, le sue caratteristiche, le condizioni geopolitiche che la favoriscono e, ovviamente, sulle misure di prevenzione necessarie. Va fatto capire che, oggi, la cybersicurezza non è un “accessorio” del business, bensì un elemento costitutivo ed abilitante di quest’ultimo. Tuttavia, sul piano operativo, non basta “buon senso” e “logica” o, al massimo, qualche misura di prevenzione: occorrono specialisti. Infatti, non ci si può difendere “da soli”, a meno che non si disponga di risorse adeguate e personale specializzato. Ma cruciale è soprattutto la formazione del personale: siamo molto indietro, se il 47% degli incidenti è dovuto ad errori umani. La formazione deve entrare a pieno titolo fra gli strumenti a disposizione delle imprese per la riduzione della propria esposizione al rischio cyber e va progettata secondo criteri di adeguatezza rispetto al rischio che intende mitigare, sostenibilità e affidabilità del processo formativo.
Ritengo che la istituzione di un’Agenzia per la cybersicurezza nazionale sia stata un’iniziativa estremamente positiva. Assolutamente opportuno averla affidata a Roberto Baldoni, persona di grandissimo valore ed esperienza. Anzitutto perché abbiamo creato un’Autorità nazionale nella cyber security, superando la precedente frammentazione delle competenze tra cinque Ministeri. Poi perché sono state riconosciute le competenze naturali:
• esercitare le funzioni di Autorità nazionale in materia di cybersecurity;
• sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
• contribuire all’innalzamento della sicurezza dei sistemi ICT dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
• supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche;
• assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica;
• coordinare soggetti pubblici per realizzare azioni comuni in materia di cyber security a livello nazionale;
• predisporre la strategia nazionale di cyber security.
Il Comitato interministeriale per la cybersicurezza, lo scorso 17 maggio ha approvato la Strategia nazionale 2022-2026. La nuova strategia ha un taglio più operativo rispetto i piani predisposti dai Governi Monti (2013) e Gentiloni (2017). La nuova strategia dà subito una visione chiara delle sfide da affrontare:
• assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo;
• autonomia strategica nazionale ed europea nel settore del digitale;
• anticipare l’evoluzione della minaccia cyber;
• gestione di crisi cibernetiche;
• contrastare la disinformazione online nel più ampio contesto della cd. minaccia ibrida.
I punti su cui si articola la strategia sono:
• la protezione degli asset strategici nazionali, attraverso un approccio sistemico orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli che possono abilitare una transizione digitale resiliente del Paese;
• risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso l’impiego di elevate capacità nazionali di monitoraggio, rilevamento, analisi e risposta e l’attivazione di processi che coinvolgano tutti gli attori facenti parte dell’ecosistema di cybersicurezza nazionale;
• sviluppo consapevole e sicuro delle tecnologie digitali, della ricerca e della competitività industriale, in grado di rispondere alle esigenze del mercato;
• riferimento a una serie di fattori abilitanti – formazione, promozione della cultura della sicurezza cibernetica e cooperazione – i quali, data la loro trasversalità, sono necessariamente correlati a tutti e tre gli obiettivi sopra delineati, quali elementi imprescindibili per la loro piena attuazione;
• un insieme di metriche e di Key Performance Indicator (KPI), quali strumenti che consentano di misurare non solo l’effettiva attuazione della stessa, ma anche tutte quelle azioni, da essa contemplate, la cui effettiva efficacia e impatto resterebbero altrimenti inesplorati.
Comments