L'ambiente di sicurezza definito dalla NATO nel documento "Strategic Concept" del 2010, già sottolineava che il livello della minaccia nel settore cyber era elevato sia per gli aspetti della vita civile, sia nei confronti delle operazioni militari e di sicurezza. Nello stesso documento è riportato che la NATO deve "aumentare gli sforzi per rispondere al pericolo di attacchi informatici...".
Ora, guardando agli ultimi 10 anni, è chiaro che la situazione è peggiore di quanto immaginato nel 2010. Ecco perchè, tra le richieste avanzate dalla policy planning unit del segretario generale della NATO agli studiosi riunitisi per il "West Point Strategic Concept Seminar" - organizzato dal Social Sciences Research Lab - si trova:
"NATO has added two new domains of operations (cyber, space) over the last decade. What strategic choices does the integration of these new domains pose? How should NATO’s strategic posture change in response to current and foreseeable technological evolutions?".
Nello studio da noi presentato, siamo partiti da una semplice domanda: "cosa possiamo fare per il prossimo Concetto Strategico per il Cyber e lo Spazio?" e abbiamo cercato di analizzare le necessità dell'alleanza NATO per i prossimi 10 anni.
Lo studio è stato sviluppato attorno ad alcune domande che a nostro avviso sono fondamentali:
- Cosa hanno in comune i nuovi domini Cyber e Spazio? E cosa, al contrario, li differenzia?
- Cosa può accadere se un'infrastruttura critica di un membro della NATO dovesse essere compromessa?
- Cosa può accadere se un'infrastruttura critica della NATO venisse compromessa? E, in questo caso, è chiaro come agire per assicurare il Comando e il Controllo sui processi dell'Alleanza?
La nostra idea è che includere una forte visione dei domini Spazio e Cyber nel nuovo Concetto Strategico della NATO, aiuterà i membri dell'Alleanza Atlantica a sviluppare e attuare studi coordinati sulla resilienza e a sviluppare collaborazioni all'interno di aziende private e centri di ricerca.
Un'altra domanda interessante che ci siamo posti riguarda il possibile impiego della "Cyber Power" come misura di deterrenza.
La Cyber deterrence nella forma "by denial", a nostro avviso sembra difficilmente raggiungibile, a meno che non si ipotizzino rivoluzioni tecnologiche che permettano a uno degli attori di fare un salto di qualità sostanziale.
Anche la Cyber deterrence nella forma "by punishment" sembra impraticabile. In definitiva ciò significa che la Cyber deterrence ha qualche possibilità di funzionare solo se supportata da una grande capacità di intelligence (impiegata al fine di individuare il colpevole di un cyber attack con certezza quasi assoluta) e se incorporata in una "strategia di deterrenza" complessiva.
Altra domanda interessante cui abbiamo cercato di rispondere è la seguente: "la NATO ha bisogno di un Cyber Command?".
Se guardiamo all'organizzazione della NATO, come descritto nella scheda informativa sulla cyber defense dell'Alleanza, possiamo vedere che l'organizzazione di difesa è per lo più incentrata sull'Information Technology (IT) e in particolare su "Communication and Information Sistems" (CIS). Se questo tipo di approccio poteva essere valido vent'anni fa, è chiaro che oggi non è sufficiente. IT e CIS rappresentano solo una parte del dominio Cyber che coinvolge oggigiorno sistemi e piattaforme di ogni tipo, non solo militari ma anche civili e industriali.
Se guardiamo alle missioni e alle operazioni effettive della NATO possiamo renderci conto che una Forza impiegata in teatro di operazione è solitamente una forza mista in cui ogni nazione partecipa con i propri sistemi e piattaforme militari al fine di creare il livello di Forza necessario. Ciò significa che è necessaria un'elevata interoperabilità. Ma elevata interoperabilità è più o meno sinonimo di alto rischio informatico a causa del basso livello di barriere tra le diverse forze, sistemi e piattaforme.
A titolo di esempio consideriamo un'operazione terrestre della NATO, guidata da una nazione leader che fornisce una divisione carri e il principale sistema CIS e C2 (Comando e Controllo). Altre due nazioni alleate forniscono due battaglioni carri e sistemi anticarro nazionali. Supponiamo ora che l'operazione sia condotta in un ambiente ad altissimo rischio dal punto di vista cyber. Possiamo supporre che a livello di Land Component Command (LCC - Comando responsabile dell'operazione a predominanza terrestre) venga attivata una cellula di difesa cyber o qualcosa di simile, con personale fornito almeno dalla nazione leader.
La domanda è: il comandante della Componente Terrestre ha gli strumenti giusti per proteggere la Forza e per condurre operazioni in questo contesto?
Dalla nostra analisi la risposta è NO. Questo perché il comandante manca di informazioni sulle vulnerabilità dei sistemi e delle piattaforme dei battaglioni provenienti dalle forze alleate.
Dalla nostra analisi, sarà difficile che in un contesto simile a quello ipotizzato si abbiano informazioni sulle vulnerabilità degli strumenti e piattaforme militari di tutte le componenti della Forza.
Ciò che oggi manca è, a nostro parere, il giusto livello di "Fiducia" tra i membri dell'Alleanza.
Sarebbe interessante uno studio sul livello raggiunto finora tra i membri della NATO su questo fronte: quanto e in che misura le componenti militari possono essere trasparenti tra loro quando operano in un ambiente NATO, in settori che sono strategici a livello nazionale?
Se all'esempio sopra si aggiunge la dimensione spaziale, trasformando l'operazione terrestre in qualcosa di più complesso, tenendo conto dell'impiego dei satelliti di comunicazione o di intelligence, si può capire quanto sia complesso l'ambiente operativo e quanto le stesse considerazioni siano valide anche per il dominio spaziale.
La politica strategica, in campo militare, scientifico e di sviluppo di una nazione, non sempre coincide con la visione della NATO e un'attenta valutazione e il raggiungimento di un compromesso è essenziale prima di iniziare qualsiasi operazione che coinvolga i domini cyber e spaziali.
In questo contesto la NATO deve essere un attore primario nel sostenere e gestire questa evoluzione tra i suoi membri, in particolare facendo si che cresca la "fiducia" tra i membri stessi.
Nella nostra visione un Cyber Command della NATO consentirebbe all'Alleanza di seguire meglio l'evoluzione della guerra nei domini Cyber e Space e di sviluppare i collegamenti con settori come Electronic Warfare, Targeting, Info Ops e STRATCOM ma, se sviluppato adeguatamente, potrebbe essere soprattutto uno strumento per migliorare la fiducia reciproca tra Alleati.
Per tornare al convegno, è stata l'occasione di conoscere studiosi del dominio Cyber e Spazio che, anche in funzione del diverso background e provenienza, hanno spiegato la loro visione dei domini in funzione della futura Alleanza Atlantica. È stata opportunità di discutere delle nostre idee su questi argomenti con la signora Rose Gottemoeller, ex vice segretario generale della NATO tra il 2016 e il 2019 e con studiosi della materia quali il dottor Paul Poast (University of Chicago), il maggiore Kathryn Hedgecock (United States Military Academy in West Point), il maggiore Justin Magula (US Army War College), il sergent major Denver Dill (West Point Band and United States Military Academy), la dottoressa Erica Borghard Lonergan (Army Cyber Institute), la dottoressa Katarzyna Kubiak (European Leadership Network), la dottoressa Margaret Kosal (Georgia Tech), il dottor Simon Smith (Staffordshire University), la dottoressa Sylvia Mishra (European Leadership Network).
Nella discussione del panel è emerso il potere di deterrenza che i due domini possono avere a fronte di una supremazia tecnologica ad essi associata.
Interessante il parallelismo tra la deterrenza in ambito nucleare e la necessità di un reale maggior coinvolgimento tra gli Stati membri per una visione comune, laddove tutti siamo convinti della sempre maggiore importanza strategica dei domini Cyber e Spazio.
Da sottolineare infine la necessità di lavorare per una cultura strategica comune, da porre alla base dell'accrescimento della fiducia tra Alleati.