A maggio 2014, nella sua sede di Chatham House, il Royal Institute of International Affairs ha organizzato l’annuale conferenza sulla Cyber Security. Il tema designato era “Costruire la resilienza, ridurre i rischi” (Building Resilience, Reducing Risks) e l’evento ha messo assieme un interessante ed eterogeneo gruppo di relatori: diplomatici, militari, manager, accademici, analisti. Il risultato è stato un dibattito estremamente interessante. Presento nel seguito una selezione dei concetti e delle idee più interessanti che ne sono venuti fuori, tenendo a mente che – esclusa la sessione iniziale – la conferenza si è tenuta sotto la “Chatham House Rule“, quindi i concetti non sono attribuiti ai singoli relatori. I miei commenti sono in corsivo
Keynote
Moderata da Patricia Lewis, questa sessione presenta due decisori politici di alto livello: Chris Painter, coordinatore “cyber” del Dipartimento di Stato USA e Jaak Aaviksoo, ex Ministro della Difesa estone. Painter – giurista con un passato di avvocato dell’accusa in vari casi relativi alla cybersecurity – ha presentato la posizione attuale degli Stati Uniti, sottolineando in primo luogo l’importanza della cooperazione con il Regno Unito e i punti di vista comuni. Nel dibattito in corso sulla governance di Internet la strategia cyber americana (almeno quella della diplomazia) promuove le libertà e l’apertura del cyberspace. Un metodo realisticamente attuabile per aumentare i livelli di sicurezza, a suo parere, è quello che definisce “cybersecurity due diligence“: ogni Stato dovrebbe essere responsabile per la protezione le proprio infrastrutture critiche, i sistemi informativi e le infrastrutture IT presenti sul proprio territorio.
Painter ha ribadito chiaramente l’appoggio del governo USA alla cooperazione internazionale in tema di cybersecurity, il giudizio positivo sulla Convenzione di Budapest del Consiglio d’Europa come strumento e il supporto per un modello pluralistico basato sul consenso per la gestione di Internet.
Il concetto di due diligence, così come espresso, sembrerebbe considerare gli stati responsabili non solo per le attività illecite che hanno origine all’interno dei loro territori, ma anche per il traffico che li attraversa. Questo chiaramente collide con il modello che considera il cyberspace come una risorsa comune e si allinea con una visione che appoggia il ruolo e la sovranità degli stati nazionali.
Il supporto ufficiale degli Stati Uniti per le libertà su Internet è sicuramente importante; c’è da chiedersi comunque con quanta credibilità la potranno sostenere nelle arene internazionali, dopo le rivelazioni di Snowden e il rifiuto dell’amministrazione Obama di porre termine alla sorveglianza di massa. Curioso come un importante diplomatico americano possa tenere un intero discorso sulla cybersecurity senza nominare neppure di passaggio lo scandalo NSA.
L’ex ministro estone Jaak Aaviksoo ha presentato una visione sicuramente più equilibrata, suggerendo un ragionevole bilanciamento tra sicurezza e libertà in Internet. L’Estonia, ricordiamolo, è uno dei paesi più avanzati sia in tema di utilizzo della rete da parte del governo e del settore pubblico sia in tema di sicurezza delle informazioni. Aaviksoo riconosce che livelli troppo alti di libertà generano instabilità e rischi, ma anche che livelli troppo alti si sicurezza generano qualcosa di molto simile ad una dittatura. Molte nazioni stanno cercando una “terza via”. Ha sottolineato anche un aspetto troppo spesso dimenticato in questo dibattito: gli stessi termini “sicurezza”, “libertà”, “privacy”, hanno differenti significati per differenti governi o gruppi. Questa è sicuramente una posizione meno ottimistica di quella americana ma nello stesso tempo più realistica e “multipolare”. Ancora, secondo Aaviksoo, il ruolo dei governi dovrebbe essere quello di promuovere la fiducia – nei singoli utenti e negli attori istituzionali – sia internamente che a livello internazionale, nei rapporti tra stati. A suo avviso il modo migliore di raggiungere questo obiettivo è di fare meno. Internet dovrebbe essere gestito dal settore privato e il ruolo dei governi dovrebbe limitarsi a stabilire standard minimi di sicurezza, lasciando il resto ai vari operatori (è il concetto di network governance). Le definizioni troppo estese di cosa sono le Infrastrutture Critiche rappresentano un esempio di eccessiva regolamentazione.
Off the record
Pensieri e concetti espressi nel resto della conferenza, non attribuiti come previsto dalla regola di Chatham House.
– Misurare la sicurezza è difficile, sia nel settore pubblico che in quello privato, così come valutare prodotti e servizi. Uno dei metodi per gestire i rischi <<cyber è trasferirli ad altri, assicurandoli.
La sicurezza delle informazioni è però molto più che i singoli prodotti, molto più anche della tecnologia.
– Le minacce provenienti dai membri interni di un organizzazione sono le più rilevanti.
– Le piccole e medie imprese che fanno parte della catena di fornitura delle grandi corporation sono a rischio, perché solitamente meno protette, e un possibile vettore di attacco per la grande impresa loro cliente.
– Per le grandi organizzazioni, di molti miliardi di “eventi” in un anno, meno di un centinaio sono veri attacchi cyber.
– Nel settore privato esiste un approccio alle gestione del rischio molto diverso che nel settore pubblico (governativo): un certo livello di rischio residuo è accettabile perché non è quasi mai economicamente conveniente ridurlo a zero. Non è così per i governi, soprattutto per i militari.
– La gestione dell’IT “guidata dall’intelligence” è un ottimo modo di minimizzare i rischi e risparmiare, sul lungo periodo.
– La direttive UE 114/2008 sulla protezione delle infrastrutture critiche non è stata recepita nella legislazione del Regno Unito, ma solo a livello di regolamenti e prassi non legislative.
– Un’altra importante legislazione europea, la direttiva sulla Sicurezza delle Reti (NIS) è stata votata della sessione plenaria del Parlamento Europeo nella primavera del 2014 ma l’iter è in stallo ora, in attesa delle prossime elezioni.
– La comunicazione degli incidenti subiti è “di moda” ora tra i giuristi. Nella direttiva NIS si prevede che gli operatori valutino obbligatoriamente i rischi e mettano in atto procedure di controllo.
– Le leggi antiriciclaggio hanno un impatto sulla cybersecurity (e sulla protezione dei dati).
– In generale la legislazione europea in tema di cybersecurity è frammentata ed esistono molte sovrapposizioni tra legislazioni europee e nazionali.
– I meccanismi economici possono essere estremamente efficaci nell’aumentare i livelli di sicurezza. Basilea II è un esempio: più sofisticato è il modello di gestione del rischio usato dalla banca, più basso è il livello di capitalizzazione richiesto. L’approccio economico potrebbe essere uno strumento più efficace che la pura regolazione.
– La cybersecurity diventerà più complessa in futuro. Molte delle tendenze in atto (“Internet delle cose”, Big Data ed altre) avranno bisogno di un approccio multipolare, ancora più di oggi. Per i governi, questo significa in primo luogo che non potranno farcela da soli. Partnership pubblico-private e cooperazione con la società civile e con altri stati saranno sempre più necessarie. Commento da un altro membro del panel: l’approccio attuale degli Stati Uniti è molto distante da questi concetti
Nonostante il discorso precedente di Painter…
– Le tre dimensioni del cyberspace sono: privacy, sicurezza e crescita economica. Tutte e tre vanno sviluppate in modo bilanciato.
Questo è un modello molto utile e ragionevole.
– Il ruolo dei governi è preminente, in particolare dei militari. Gli stati dovrebbero definire le loro Infrastrutture Critiche e proteggerle, comunque sotto la supervisione statale anche se di proprietà privata. La regolazione è necessaria. Investimenti pubblici in ricerca e sviluppo dovrebbero essere allineati con la strategia nazionale non con il mercato. La scelta delle risorse umane dovrebbe essere comunque guidata dallo stato, non dagli ambienti accademici o dai centri di ricerca.
Come si può capire questo punto di vista viene da una particolare nazione che – data la sua storia e la sua posizione geopolitica – ha buoni motivi per pensarla così. Io vengo invece da una tranquilla nazione europea non circondata da nemici quindi… i punti di vista e le priorità sono molto differenti. Il punto di vista sulla protezione diretta delle IC da parte dei militari, anche intervenendo direttamente sulle reti IT, ricorda da vicino le posizioni espresse dal generale Alexander nel recente passato.
– La cooperazione contro il cybercrime nel settore finanziario potrebbe essere una base di cooperazione anche tra USA, Cina, Iran, Israele, Russia.
– Il cyberspace non è una nuvoletta ma un oggetto molto fisico e presente nel mondo reale. Di conseguenza può essere regolato dal diritto internazionale e dalle leggi nazionali.
Questo è un concetto a cui sono molto legato e che condivido in pieno.
– La fiducia nel mondo cyber è una negoziazione. Non è “guadagnata” o “data” . E’ un insieme di mutue aspettative. Gli individui dovrebbero iniziare a comportarsi su Internet da cittadini e non solo da consumatori.
– Come ricreare la fiducia, quattro norme da seguire per gli stati:
– Inclusività. “Niente senza di me”. I cittadini devono essere coinvolti nelle decisioni. Conosciuta anche come “democrazia”…
– Trasparenza. Dobbiamo sapere come sono prese le decisioni dai governi e soprattutto perché
– Reciprocità. Quello che è valido per me, lo deve essere anche per te.
– Responsabilità. Tutti dovrebbero accettare le conseguenze delle loro decisioni. soprattutto i governi e le entità pubbliche.
– La decisione della Corte di Giustizia Europea sul “diritto all’oblio” su Google, se considerata assieme alla dichiarazione di invalidità della direttiva sulla Data Retention, segnala un importante orientamento verso la privacy dell’Unione Europea, anche in contrasto con la libertà di espressione.
– Internet è stato una forza positiva proprio perché non è di proprietà o gestito da una sola entità centralizzata. Che rimanga aperto e libero è molto più importante del fatto che sia “sicuro” ed affidabile. In generale Internet è già affidabile.abbastanza e sicuro abbastanza.
