Cari lettori, vorrei iniziare la settimana raccontandovi una storia. La storia di come viene vista la sicurezza informatica in America, nelle fila più elevate e di potere, nei posti di comando. Per farlo vi racconterò la storia dell‘ammiraglio James Stavridis. È stato il sedicesimo comandante supremo alleato della NATO e il dodicesimo decano della Fletcher School of Law and Diplomacy presso la Tufts University. Esperto di sicurezza informatica riconosciuto a livello internazionale, insegna la materia alla Deloitte University e parla spesso di sicurezza nazionale nel cyberspazio. È un consulente senior dell’ARC.
Ho iniziato a scrivere codice per la prima volta a metà degli anni ’70 nell’Accademia navale degli Stati Uniti come guardiamarina usando schede perforate di cartone per scrivere i semplici linguaggi di Basic e FORTRAN.
L’idea di insegnare ai giovani ufficiali a programmare a quel tempo nasceva dalla convinzione che alla fine la Marina degli Stati Uniti avrebbe utilizzato computer ad alta potenza nelle proprie navi da guerra. L’informatica stava appena iniziando a influenzare ampiamente anche il settore aziendale. Anche in quei giorni lontani, mi sembrava che se questa cosa del “computer” avesse davvero avuto successo, avrebbe richiesto la partecipazione non solo dei militari, ma anche del settore commerciale. Ovviamente, a quel tempo Internet era solo un barlume agli occhi di Al Gore. Nessuno allora avrebbe potuto immaginare come sarebbero diventate intrecciate le forze armate, l’economia e la società con l’Internet delle cose.
Quando entriamo nel 2021, quasi mezzo secolo dopo, sappiamo che un mondo in cui 50 miliardi di dispositivi sono connessi a Internet è un mondo di straordinaria comodità, conoscenza illimitata e potenza di calcolo, ma anche un mondo con una vasta superficie di minacce. Dobbiamo quindi assicurarci che la nazione sia preparata agli attacchi informatici e la protezione delle linee del fronte richiederà chiaramente la cooperazione pubblico-privato. Per farlo nel modo più efficace, dobbiamo spostare il nascente modello di partenariato pubblico-privato oltre la condivisione delle informazioni di base verso una vera collaborazione operativa, con il governo e il settore privato che lavorino fianco a fianco. Solo allora possiamo capire, prevenire, difenderci e anzi prevenire gli aggressori. Il recente studio bipartisan e molto apprezzato della Cyberspace Solarium Commission ha validamente e recentemente convalidato questo approccio pubblico-privato.
La minaccia è reale e in crescita. Negli ultimi 20 anni, le minacce informatiche sono diventate una delle principali preoccupazioni per ogni governo e le attività condotte dagli hacker si sono trasformate in dilaganti imprese criminali informatiche che minacciano conti finanziari e altre infrastrutture critiche qui negli Stati Uniti e all’estero. Attori statali ostili e hacker dissidenti internazionali prendono di mira le informazioni negli account di posta elettronica per creare fallimenti e cercare di influenzare ogni tipo di pubblico. Il furto informatico è un affare da trilioni di dollari. Lo spionaggio informatico è diventato un elemento importante della concorrenza internazionale, con lo spionaggio informatico cinese che ha eseguito il più grande trasferimento di ricchezza della storia, secondo alcuni osservatori.
Fortunatamente, dobbiamo ancora vedere il pieno rischio sistemico di un attacco informatico realizzarsi. Sebbene si siano verificati attacchi dirompenti, generalmente e più efficacemente condotti da stati-nazione, finora sono stati mirati a singole istituzioni. In effetti, fino ad ora, gli aggressori sono sembrati più intenzionati a dare segnali che a una significativa coercizione politica o a danni a lungo termine. Persino la serie estesa di attacchi denial of service sponsorizzati dall’Iran contro le istituzioni finanziarie statunitensi nel periodo 2012-2013 non ha mai causato gravi interruzioni e non ha sfruttato le capacità dirompenti disponibili ora. Ma le bandiere di avvertimento stanno giungendo al termine.
Di fronte a queste sfide, le più grandi banche degli Stati Uniti si sono riunite e hanno formato il Financial Services Analysis and Resilience Center (FSARC) nel 2016, nel quale ho collaborato come consulente senior. L’idea, molto buona, era di riunire collettivamente le loro significative risorse, quindi rafforzare la collaborazione con il governo federale per proteggere il settore finanziario. Dall’ottobre 2016, FSARC ha cambiato il gioco nel modo in cui i suoi membri lavorano insieme e anche con il governo nella difesa del sistema finanziario dagli attacchi informatici. Negli ultimi anni, il settore finanziario è passato da una condivisione delle informazioni relativamente semplice a una reale collaborazione operativa. Ciò si è basato sull’identificazione congiunta dei rischi sistemici e su progetti mirati per mitigare tali rischi, inclusa una grande quantità di interazione positiva con la comunità dell’intelligence e il Dipartimento del Tesoro degli Stati Uniti. Ciò ha portato, ad esempio, alla creazione di un “sistema di allerta precoce” per i rischi informatici emergenti.
Ma la spia di avvertenza informatica lampeggia ancora in rosso, e non solo negli Stati Uniti ma anche nelle nostre strutture di alleanza a livello internazionale. L’ho visto di recente come comandante supremo alleato presso la NATO, e successivamente come preside della Fletcher School of Law and Diplomacy presso la Tufts University, dove abbiamo costruito un corso di laurea magistrale sulla sicurezza informatica. In risposta a quella luce lampeggiante di avvertenza, l’FSARC ha appena ampliato la sua missione e ha cambiato il suo nome semplicemente in Centro di analisi e resilienza per il rischio sistemico (ARC), dove ricopro il ruolo di consulente senior. Nella sua nuova incarnazione, cercherà di lavorare non solo con il settore dei servizi finanziari, ma anche con altre aree critiche. Questo includerà inizialmente l’energia (gas ed elettrica). Nel tempo, si spera che includerà comunicazioni, distribuzione e gestione dell’acqua, reti di trasporto critiche, il sistema medico nazionale e altri settori. Ciascuno dei singoli settori (finanziario, energetico, altri nel tempo) alimenterà le informazioni nella cella di fusione di Joint Intelligence and Analysis. Questa entità avrà una collaborazione operativa intersettoriale con i partner industriali e il governo degli Stati Uniti.
La missione di ampliamento dell’ARC è tempestiva per il presidente eletto Joe Biden. Mentre lui e i suoi consulenti rinvigoriscono – ed elevano – la politica informatica degli Stati Uniti, illuminerà le lacune di intelligence critiche nella comprensione delle minacce sistemiche alle infrastrutture critiche provenienti da attori informatici avversari. L’ARC è in una posizione unica per collaborare con il governo degli Stati Uniti per portare il potere e le dimensioni degli operatori del settore privato di infrastrutture nazionali critiche per rafforzare le difese della nazione.
La sicurezza informatica può essere raggiunta solo con uno sforzo enorme, come il potere di un iceberg. Ma lo sforzo del governo è solo la minuscola parte dell’iceberg che sporge dalla superficie del mare. L’enorme massa dell’iceberg è il settore privato: è in gran parte invisibile, ma costituisce la reale scala della capacità di difendere l’infrastruttura critica della nazione nel cyberspazio. La creazione dell’ARC è una decisione necessaria e tempestiva per sfruttare “il resto dell’iceberg” e nel tempo migliorerà in modo significativo le difese informatiche della nazione.