Come già anticipato agli inizi di dicembre su queste pagine, Obama ha deciso di ricorre ad un Executive Order sulla cyber-security per provare a proteggere al meglio le infrastrutture critiche nazionali dagli attacchi provenienti dal cyber-spazio, aggirando così l’ostruzionismo nei confronti del “Cybersecurity Act 2012″ più volte stigmatizzato dal Congresso americano.
Seguendo l’impostazione tracciata proprio di recente dall’Unione Europea, l’Executive Order americano accompagna un documento di alto livello – il “Presidential Policy Directive on critical infrastructures security and resilience” – atto a sviscerare le linee strategiche, i ruoli e le responsabilità delineate dallo staff di Obama per provare a tamponare il crescente innalzamento del livello di minaccia per le infrastrutture critiche americane derivante dal cyber-spazio.
La Policy, che va ad aggiornare la “Homeland Security Presidential Directive 7” del 2003, pone alla base del processo di riforma tre principi strategici, definiti vincolanti, ovvero:
1. rafforzare il livello di sicurezza delle infrastrutture critiche nazionali e la loro resilienza agli attacchi informatici, soprattutto attraverso una precisa specificazione e assunzione dei ruoli e delle responsabilità di ciascun attore governativo chiamato a farvi fronte;
2. rendere effettivo ed efficace lo scambio d’informazioni sulle minacce derivanti dal cyber-spazio, soprattutto attraverso il coinvolgimento attivo delle agenzie di Intelligence e del settore privato, nei fatti detentore – tanto in America quanto in Europa – della maggior parte di questi sistemi critici;
3. implementare le migliori e più appropriate funzioni di aggregazione e analisi dei dati relativi agli incidenti informatici avvenuti, alle minacce in atto e ai rischi emergenti, sia sotto un’ottica prettamente strategica che operativa.
Obiettivi, questi, di assoluta e chiara importanza strategica, per il raggiungimento dei quali il governo americano, inoltre, ha previsto una vera e propria scaletta di interventi già cadenzati in un brevissimo arco temporale – che vanno da un minimo di 4 ad un massimo di 8 mesi, se si escludono i 2 anni entro cui è richiesta la realizzazione di un vero e proprio “National Critical Infrastructure Security and Resilience R&D Plan”.
Segno, questo, della quasi tangibile urgenza da parte del governo americano di mettere in sicurezza i sistemi informatici delle infrastrutture critiche nazionali e di porre un argine al dilagare di questo genere di attacchi, subiti ormai quasi quotidianamente. Urgenza, tra l’altro, giustificata anche dall’utilizzo di un Executive Order, che, di fatto, aggira il potere legislativo dato al Congresso dalla Costituzione americana.
C’è da evidenziare, inoltre, come solo 8 mesi siano richiesti per il più ambizioso dei progetti di cui è portatrice questa Policy, ovvero la realizzazione di un “Cybersecurity Framework”, che, dietro un termine piuttosto fumoso, cela in realtà l’impegno del National Institute of Standards and Technology (NIST) americano di sviluppare una serie di standard, metodologie, procedure e processi – altamente scalabili – atti all´identificazione, valutazione, gestione e mitigazione dei rischi informatici che attualmente minacciano i sistemi informatici delle infrastrutture critiche americane.
In conclusione, un progetto ambizioso e di difficile attuazione, soprattutto nelle tempistiche previste, che, tuttavia, apre contestualmente scenari di cooperazione tra governo americano, agenzie di Intelligence e settore privato ormai imprescindibili per far fronte ad una minaccia per definizione “globale”, perché portata attraverso la più importante infrastruttura per le comunicazioni di massa, ovvero Internet.
Un impegno, quindi, che deve vedere protagonisti tutti i governi, tutti gli enti, tutti i cittadini, perché la rete Internet, in fondo, è da tempo diventata anche uno dei principali metri di valutazione del livello di benessere e di civiltà dei cittadini di uno Stato.
Stefano Mele è coordinatore dell’Osservatorio “Infowarfare e Tecnologie emergenti” dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”.
