Deterrenza cyber: una strategia per limitare la minaccia

(di Alexandra Javarone)
04/05/20

L’Europa si trova a dover affrontare una grande sfida. La sua risposta appare ancora debole, legata a logiche di sopravvivenza economica o politica in carenza di leadership. Nuove vulnerabilità emergono con grande velocità e il vecchio continente, che vuole recuperar peso nel suo destino internazionale, è incapace di darsi voce unitaria, contaminato da egoismi nazionali di parte.

Il problema non si limita al solo Covid19: smart working e spostamento su digitale del lavoro introducono rischi e complicazioni, capaci di procurare ulteriori e più ingenti danni economici a un sistema già in soferenza. Appare difficile gestire la complessità delle sfide seguendo il modello classico di controllo del rischio. Il profilo delle minacce non è di facile individuazione e lo spettro di queste ultime è straordinariamente ampio: guerre economiche sotterranee, ingerenze politiche, propaganda o psyops.

Il Centro Studi Esercito, sul tema degli attacchi cyber, auspica una politica di prevenzione e deterrenza. "Vincere una battaglia senza doverla combattere, grazie alla strategia, alla conoscenza del nemico, delle proprie forze e capacità", questo il concetto della deterrenza: strategia indiretta e forma di lotta psicologica. Ampio ricorso a tale pratica difensiva fu fatto durante il periodo della guerra fredda, ove le due superpotenze degli Stati Uniti e Unione Sovietica lottavano per il predominio del mondo in una contesa che, per sua natura, non avrebbe prodotto né vincitori né vinti. Così si ottiene la “pace fredda” che ebbe il merito di distogliere il “nemico reciproco" da ogni proposito aggressivo.

Presupposto della deterrenza è naturalmente quello di possedere un’arma equivalente. Il mondo, come sappiamo, è mutato dalla fine della guerra fredda in poi, ed è svanita in breve tempo l’euforia dettata dalla convinzione che la fine della contrapposizione fra superpotenze avrebbe annullato lo stato di tensione. Nuove minacce affioravano all’orizzonte e nuovi stati si misuravano con l’occidente, mirando all’egemonia culturale, economica, tecnologica e militare. Nel nuovo sistema i diversi attori, che non avevano inizialmente forza paragonabile a quella americana, mostravano ambizioni di predominio globale. La confortevole contrapposizione bipolare, che pure aveva creato una sorta di equilibrio, aveva lasciato allora il passo a una vasta moltitudine di antagonisti. Venuta meno la logica della deterrenza, la lotta era tesa a amplificare le sfere di influenza o dipendenza economica, accaparramento di materie prime e energia, tutto seguendo uno schema logico-asimmetrico, fatto di conquiste economiche e aggressioni occulte.

Anche oggi la lotta alla leadership muove su più fronti sotterranei: il predominio economico, una forma di conquista dei mercati nel sistema globale, le risorse energetiche, la rincorsa agli armamenti e lo sviluppo di tecnologia. E anche lo sviluppo tecnologico ha aperto la strada a innumerevoli nuove vulnerabilità e fra cui si annovera pure la minaccia cyber. Se la sfida alla superiorità si gioca anche sul piano cibernetico, pericolo di più difcile percezione, ma foriero di conseguenze devastanti, l’occidente dovrà presto predisporre un sistema di difesa efficace.

Attacchi cyber sono perpetrati da gruppi organizzati, spesso sponsorizzati da stati: le interferenze sono dirette a manovrare processi elettorali, lanciare operazioni psicologiche di propaganda e furto di informazioni strategiche rilevanti (cyber espionage). Lo scontro è latente e ci si misura fra alleati di ferro, satelliti e gregari, in uno scenario dove la scarsa percezione del pericolo influenza direttamente il sistema in discrasia. Tuttavia, anche se ancora appare remota e lontana, la partita si sta già giocando da diverso tempo.

Diversi studiosi si interrogano sulla effettiva possibilità di impiegare la cyber deterrence in funzione di strumento efficace di difesa. L’esame del Centro Studi Esercito Cyber ci pone tuttavia una serie di riflessioni: affinché l’architettura della deterrenza regga, occorre, come è noto, "che l’impiego delle armi messe a disposizione sia riconosciuto alla stregua di una minaccia credibile, tanto da indurre il nemico a non agire".

La discussione, che anima il consesso, impegnato nello studio, ipotizza due diverse forme di deterrenza: la cyber deterrence by denial che presuppone capacità sufficiente di proteggersi, tale da rendere ogni tentativo d'attacco inutile (assai difcile se non ipotizzando il ricorso alla tecnologia quantistica o alla intelligenza artificiale); e la cyber deterrence by punishment ovvero la capacità di colpire l'avversario. Il cyber punishement resta però di difficile attuazione, poiché risulta complesso riconoscere la paternità delle azioni cibernetiche senza il supporto adeguato della intelligence.

Naturalmente, la sola capacità cyber non può fornire uno strumento di dissuasione, ma risulta fondamentale dotarsi di una architettura complessa di deterrenza ove anche la difesa e l’attacco cyber avranno ruolo fondamentale in risposta più fattiva alla minaccia, costringendo gli stati più aggressivi a una analisi in termini di costi benefici. Viene prefigurata la costituzione di una sorta di diplomazia attiva della deterrenza, fatta di collaborazione fra intelligence e struttura di comando e controllo cibernetiche, capace di rendere credibile la risposta, approntando un complesso sistema di cyber intelligence, information sharing e threat modeling.

Foto: U.S. Air Force