Applichiamo il modello della protezione civile in questa nuova fase della cyber guerra

Siamo entrati in una nuova fase della “Cyberguerra” in atto su Internet. Da una parte iniziative sempre più presenti di Stati che cercano un proprio predominio nel cyberspazio attraverso la capacità di carpire segreti ad altri, boicottare o bloccare progetti di altri attraverso azioni di spionaggio o interventi diretti. Dall’altra iniziative sempre più articolate di “gruppi hacker” sempre meno identificabili con la mitizzazione cinematografica che tutti ricordiamo.

L’attacco che ha bloccato l’accesso a molti servizi internet negli Usa, secondo le fonti di stampa, è stato effettuato attraverso l’infezione di oggetti IoT, ha coinvolto un numero notevole di sistemi intelligenti distribuiti in rete. Questo pone in evidenza il rischio che nel prossimo futuro, quando la diffusione di IoT sarà ancora più penetrante, vi siano attacchi ancora più devastanti.

Bloccare Internet per alcune ore in un’area geografica limitata è già una azione rilevante ma sarebbe poca cosa rispetto a penetrare in apparecchi elettromedicali e metterli fuori uso o manometterli; bloccare infrastrutture critiche nazionali come la sicurezza dei cieli o delle ferrovie.

Il “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” pubblicato nel 2013 inquadra correttamente le misure e le azioni da adottare nel nostro Paese per affrontare queste minacce, così come la Direttiva NIS approvata nel luglio di quest’anno dall’Unione Europea. Tuttavia risulta sostanzialmente non applicato il primo mentre il secondo entrerà nella sua piena efficacia solo tra 21 mesi.

Il quadro strategico pone correttamente alcuni pilastri anche se in questi primi anni di vita non si è proceduto a dare seguito come meriterebbe con finanziamenti adeguati e azioni diffuse in tutta la PA e nelle imprese. Molte sono le PAC che ancora devono fare passi in avanti mentre il più delle volte, per mancanza di competenze interne, si delegano i fornitori esterni senza poterli controllare adeguatamente. Sostanzialmente si delegano le responsabilità.

Le direttive e i regolamenti diventano così sempre più spesso simili a “grida manzoniane” emesse per dar seguito a qualche notizia rilevante ma nei fatti sostanzialmente inapplicate , malgrado l’impegno che talvolta viene generosamente messo in atto da chi vi lavora.

Questo mentre le minacce diventano sempre più insidiose e pericolose e pongono il problema di una evoluzione delle difese. Le indicazioni per difenderci nel ciberspazio spesso hanno seguito un approccio centralizzato, nell’idea che vengano minacciate singole organizzazioni. L’attacco di pochi giorni fa ci pone invece il problema che esistono single point of failure che possono minacciare l‘intera infrastruttura e che nessuna organizzazione è così grande da non essere posta a rischio.

Abbiamo nel tempo perso un po’ il vantaggio dell’architettura progettata per sopportare una guerra totale, abbiamo forse centralizzato troppo la competenza o le infrastrutture e ci siamo affidati a delegare su alcuni nodi. Alla luce delle mutazioni in atto è necessario pensare ad un sistema misto tra un coordinamento e gestione centralizzata della crisi (fondamentale) e una capacità diffusa di operare al momento con azioni e difese distribuite in ogni singola organizzazione potenzialmente minacciata. In qualche modo passare da una difesa da trincea ad una capacità di dispiegare competenze e mezzi in modo diffuso, decentralizzato, in grado di operare anche in autonomia e con capacità operative proprie. Si tratta di pensare ad un modello probabilmente più vicino al nostro sistema di protezione civile in grado di operare in poche ore in autonomia localmente, frutto di una continua preparazione ed esercitazione con competenza diffusa, per poi tornare a scambiare informazione, esperienza, capacità di azione.

Per fare questo è necessario che si pianifichi un piano di finanziamento per internalizzare le competenze all’interno della PA, investire in mezzi e formazione, sensibilizzare il personale e creare una cultura diffusa. Questo è previsto dalle indicazioni presenti nei due documenti citati, in qualche modo è prescritto ma è ancora scarsamente applicato.

Sarebbe necessario creare meccanismi di community di esperti delle varie entità coinvolte, fare in modo che si creino luoghi di scambio di pratiche, competenze, strategie di difesa, condivisione di protocolli da adottare in caso di attacco. E’ necessario che si vada verso la creazione di una capacità di resilienza attraverso la conoscenza tra le organizzazioni e le persone coinvolte, un po’ come fanno le comunità hacker da molti anni.

Un passaggio tuttavia difficile per una struttura burocratica come alcune parti della PA, fondata sulla difesa delle proprie prerogative e, talvolta, dei propri “orticelli”.

Al fine di superare questa difficoltà molto fanno le aziende che portano know-how nelle varie organizzazioni che diventano spesso un sorta di “impollinatori” di conoscenze specifiche e buone pratiche ma questo non può bastare se non si procede con maggiore determinazione nell’attuazione delle direttive già approvate e se non si mettono in campo le risorse adeguate per poterlo fare.

La Rete è sempre più determinante al nostro modo di vivere e operare e sarà inevitabilmente sempre più oggetto di minaccia in modi e forme sempre nuovi, è necessario che la nostra risposta abbia la capacità di mutare e anticipare gli eventi. Solo attivando l’intelligenza collettiva presente nelle competenze diffuse, la capacità creatrice di chi è in grado di immaginare prima nuovi scenari anche se essi possono sembrare non attuali e una forte attenzione dell’intera società si potrà rispondere con efficacia. Compito di chi ha responsabilità è quello di farsi promotore di azioni operative che vadano in questa direzione.