La parte seconda del Volume mira ad esaminare la seconda parte del Rapporto “Unpacking Cyber Capacity-Building Needs. Introducing a Threat-Based Approach”, di Samuele Dominioni e Giacomo Persi Paoli, che propone un approccio che consentirebbe ai governi di valutare meglio la loro disponibilità a sfruttare il Framework per prevenire o rispondere a specifiche attività e minacce ICTs dannose.
Mentre gli Stati continuano a discutere i quattro pilastri fondamentali del Quadro per un comportamento responsabile degli Stati nell’uso delle ICTs – norme di comportamento responsabile, diritto internazionale, misure di rafforzamento della fiducia e sviluppo delle capacità, due aspetti chiave rimangono poco esplorati, e cioè la misura in cui l’attuazione del Quadro può essere utilizzata per aumentare la sicurezza e la resilienza nazionale, regionale e internazionale contro minacce specifiche e come le minacce specifiche possano essere utilizzate per informare le iniziative di sviluppo delle capacità.
Il panorama delle minacce nel settore delle ICTs è in continua evoluzione e diventa sempre più complesso e sofisticato, mentre le misure di sicurezza informatica continuano a migliorare. Sebbene si debba notare che più del 90% degli attacchi informatici potrebbe essere evitato grazie all’applicazione sistematica di una “igiene” di sicurezza di base, il Framework può fornire un importante livello aggiuntivo di resilienza. Infatti, la messa in atto delle capacità necessarie per implementare il Quadro doterebbe gli Stati di importanti strumenti che possono contribuire alla prevenzione o alla mitigazione di specifiche minacce informatiche, nonché al rafforzamento della loro resilienza informatica complessiva.
Questo rapporto è il secondo di uno studio in due parti condotto dall’UNIDIR e mira a rafforzare i collegamenti tra il Quadro e la resilienza informatica degli Stati. Il rapporto è incentrato sul concetto di Foundational Cyber Capacity (FCC), introdotto nella prima parte dello studio e che sono definite come la combinazione di politiche e regolamenti, processi e strutture, partnership e reti, persone e competenze e tecnologie necessarie per implementare il Framework.
Il rapporto che in questa sede si sta ponendo a disamina propone un approccio che consentirebbe ai governi di valutare meglio il loro grado di preparazione, al fine di sfruttare il Framework per prevenire o rispondere a specifiche attività e minacce ICTs dannose. L'”approccio basato sulle minacce proposto comprende tre fasi.
La prima concerne la valutazione delle minacce e dei rischi: in questa fase, un determinato governo dovrebbe mappare, valutare e dare priorità alle minacce ICTs che interessano il suo territorio.
La seconda riguarda l’analisi del quadro di riferimento: sulla base dei risultati della fase 1, i governi dovrebbero considerare quali elementi del Framework siano più rilevanti e applicabili alla valutazione della minaccia specifica.
Infine, la terza concerne l’individuazione e la valutazione delle FCC: sulla base della fase 2, una volta individuati gli elementi più rilevanti del Quadro in base alla valutazione della minaccia nazionale, i governi possono utilizzare l’elenco delle FCC per identificare le capacità specifiche necessarie per affrontare le minacce specifiche.
Una volta completata l’identificazione, questa può diventare un utile punto di riferimento per valutare in che misura un determinato Stato potrebbe sfruttare il Quadro per prevenire o rispondere a minacce specifiche. Questo approccio viene illustrato con l’utilizzo di tre scenari: due incentrati su diversi tipi di atti dolosi (ransomware e distributed denial of service) e uno incentrato su un vettore specifico (manomissione della catena di approvvigionamento).
Indipendentemente dal profilo della minaccia, alcune norme e le capacità fondamentali associatevi dovrebbero essere considerate rilevanti e applicabili a prescindere dallo scenario o dalla minaccia in esame, in particolare la norma A sulla cooperazione interstatale e la norma E sui diritti umani. L’analisi dei tre scenari si basa su questo punto e identifica ulteriori elementi specifici di capacità fondante, che sembrano essere ricorrenti in più minacce e in più norme.
Da un punto di vista politico e normativo, gli Stati dovrebbero dare la priorità allo sviluppo (e alla revisione periodica) di strategie e politiche nazionali complete per la sicurezza informatica che, in combinazione con leggi adeguate, consentano agli Stati di adottare tutte le leggi adeguate, di prendere tutte le misure necessarie a livello nazionale e internazionale per garantire la protezione del settore delle ICTs, anche attraverso la cooperazione tra più parti interessate. Inoltre, gli Stati dovrebbero dare priorità allo sviluppo di posizioni complete e pubbliche su come il diritto internazionale si applica al settore delle ICTs.
Dal punto di vista del processo, gli Stati dovrebbero dare priorità allo sviluppo di meccanismi che facilitino la cooperazione su questioni relative alla sicurezza delle ICTs con tutte le parti interessate a livello nazionale, comprese le agenzie governative, il settore privato, la comunità tecnica e la società civile. Ciò garantirebbe non solo flussi di informazioni tempestivi, efficienti ed efficaci in tempo di crisi, ma anche l’accesso a conoscenze che possono essere sfruttate in modo appropriato per compensare le potenziali carenze o la mancanza di competenze nel settore pubblico.
Allo stesso modo, gli Stati dovrebbero sviluppare meccanismi per facilitare la cooperazione e l’informazione a livello bilaterale, regionale e internazionale. Lo sviluppo di processi e meccanismi dedicati consentirebbe la creazione di partenariati e reti funzionanti.
In relazione alle strutture, gli Stati dovrebbero dare priorità allo sviluppo e alla sostenibilità di capacità nazionali di risposta agli incidenti informatici pienamente operative, che sono elementi insostituibili della prima linea di difesa contro gli atti dolosi delle ICTs.
Si potrebbero valutare diversi accordi tra CSIRT/CERT pubblici e privati a livello nazionale. I CERT pubblici e privati potrebbero essere esplorati a livello nazionale e regionale per tenere conto dei limiti delle risorse, competenze o tecnologie. Inoltre, gli Stati dovrebbero individuare prioritariamente un’agenzia responsabile all’interno del governo nazionale, che funga da punto focale per le questioni legate alle ICTs a livello politico e tecnico, anche con la creazione di un punto di contatto nazionale dedicato.
La presenza di un’agenzia con l’autorità e i poteri per indagare e perseguire atti dolosi in materia di ICTs sembra essere un requisito trasversale. Sebbene tutti i settori soffrano di una carenza di competenze informatiche, il successo dell’attuazione del Quadro si baserà sulla capacità degli Stati di sviluppare internamente, o di accedere attraverso partnership esterne, ad adeguate competenze tecniche e legali per poter gestire efficacemente gli incidenti informatici a livello nazionale e garantire la conformità al Quadro, ma anche per impegnarsi in modo costruttivo con le controparti a livello internazionale su questioni relative alla sicurezza delle ICTs. Questa sarà una richiesta proveniente sempre più anche dai diplomatici, che dovrebbero rafforzare la loro comprensione delle questioni relative alle ICTs ed essere supportati da specialisti e consulenti, se necessario.
Infine, il successo dell’attuazione del Quadro dipenderà anche dalla capacità di uno Stato di accedere a un certo numero di tecnologie e soluzioni tecniche, sia sviluppandole a livello nazionale che accedendovi attraverso partenariati con altri (ad esempio, accordi bilaterali o regionali con altri Stati o partenariati pubblico-privati).
Queste soluzioni tecnologiche includono, ma non solo, capacità di prevenire, rilevare e interrompere diversi tipi di attacco (ad esempio, piattaforme di intelligence sulle minacce, sistemi di allarme rapido) e soluzioni per la prevenzione e l’individuazione delle minacce, nonché finalizzate ad aumentare la riservatezza, l’integrità e la disponibilità di sistemi e dati (ad esempio, centri dati basati su cloud).
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale