Conrad Prince è Distinguished Fellow e consulente informatico senior presso RUSI. È l’ex direttore generale delle operazioni e vice capo dell’agenzia di intelligence e sicurezza informatica del governo britannico, GCHQ.
L’ultimo decennio ha visto un notevole aumento dell’apertura e dell’impegno da parte delle agenzie di intelligence e sicurezza del Regno Unito, soprattutto in contrasto con i giorni, non molto tempo fa, in cui il governo non ammetteva nemmeno ufficialmente la loro esistenza. Ma oggi abbiamo discorsi e apparizioni sui media dei capi delle agenzie, ampi siti Web e persino una presenza sui social media.
Ora, quel processo ha compiuto un significativo passo avanti con una pubblicazione di una delle ultime aggiunte a questo mondo segreto: il Forza informatica nazionale (NCF). L’NCF ha pubblicato un documento che stabilisce i principi operativi alla base dell’uso da parte del Regno Unito di ciò che a volte viene chiamato “cyber offensivo”. Ovvero, operazioni nel cyberspazio per interrompere la capacità di un avversario di utilizzare Internet e la tecnologia digitale per promuovere i propri fini.
La guida è la prima del suo genere e ci offre una visione senza precedenti del pensiero del Regno Unito sulle operazioni informatiche.
L’NCF è stato creato nel 2020 da elementi del quartier generale delle comunicazioni del governo – la sua agenzia di cyber intelligence e sicurezza – il Ministero della difesa e il servizio segreto di intelligence. E sebbene la sua creazione rappresenti un aumento significativo dell’attenzione in quest’area, il Regno Unito non è nuovo nel mondo delle operazioni informatiche offensive: per conto del governo, le sta portando avanti da oltre 20 anni. Ma fino ad ora, molto poco è stato detto in pubblico sull’approccio del Regno Unito a questa capacità.
La comprensione pubblica delle operazioni informatiche a volte è ostacolata dal linguaggio esagerato utilizzato per descriverle. Termini come “cyber 9/11” o “cyber-Pearl Harbor” rafforzano l’idea seriamente fuorviante che un attacco informatico sia qualcosa di analogo a uno nucleare e riguardi principalmente la distruzione diffusa e catastrofica di fasce di infrastrutture critiche.
Ma il nucleare è la peggiore analogia possibile per il cyber. Le operazioni informatiche sono molto più vicine all’azione covert, alle operazioni clandestine al di sotto della soglia di una sparatoria, pensate per ottenere un effetto particolare in modo mirato.
La nuova guida della NCF riconosce che è improbabile che le operazioni informatiche siano strategicamente decisive da sole. Possono, tuttavia, ottenere un prezioso effetto mirato, come impedire a un gruppo terroristico di comunicare in un momento critico o interrompere l’accesso di un avversario alle informazioni sulla consapevolezza situazionale, che può essere particolarmente efficace se combinato con altre azioni nel mondo fisico.
Poiché i nostri avversari, siano essi terroristi, criminali o stati ostili, dipendono sempre più dalla tecnologia digitale per raggiungere i propri scopi, avere la capacità di interrompere questa dipendenza è importante. E, secondo la guida, l’NCF svolge quotidianamente tali operazioni.
Tra i dettagli rivelati, forse i più sorprendenti sono quelli nel processo di pensiero dietro le operazioni informatiche del Regno Unito, in particolare quella che viene definita “la dottrina dell’effetto cognitivo”. Questo approccio si concentra su come le operazioni informatiche che limitano o influenzano le informazioni a disposizione di un avversario e minano la sua fiducia nella propria tecnologia e nelle informazioni che fornisce, possono indebolire la sua capacità di pianificare e condurre attività con sicurezza. Mostra l’intenzione di utilizzare le operazioni informatiche per un effetto più sottile e pervasivo, al di là della semplice interruzione tattica a breve termine della tecnologia.
Ciò rivela un pensiero innovativo, ma rimane difficile evidenziare l’impatto di queste operazioni. L’NCF è chiaro che non dovremmo aspettarci di vedere i dettagli di operazioni specifiche e ci sono chiaramente difficili problemi di sicurezza coinvolti nell’essere più aperti: anche il mantenimento dell’ambiguità sulle operazioni è una parte fondamentale dell’approccio del Regno Unito. Ma nello spirito della trasparenza, sarebbe positivo se l’NCF potesse trovare dei modi per dare al pubblico un senso della sua efficacia.
C’è anche la domanda se la pubblicazione di questa dichiarazione contribuirà alla deterrenza. Molto è stato scritto sulla deterrenza informatica, e molto soffre di false analogie con l’ambiente nucleare. Ma in pratica, ci sono poche prove che la conoscenza delle capacità informatiche di un paese svolga un ruolo importante nello scoraggiare l’azione, sia nel mondo virtuale che fisico.
La guida della NCF è un passo significativo nel fornire maggiore trasparenza sulle operazioni informatiche del Regno Unito | WPA Pool foto di Ben Birchall/Getty Images
Una parte fondamentale della guida riguarda la dimostrazione che è possibile eseguire operazioni informatiche in modo responsabile ed etico.
Il governo del Regno Unito si è impegnato a rispettare il principio di un Internet libero, aperto, pacifico e sicuro e ha ripetutamente sottolineato la necessità che gli stati agiscano in modo responsabile nel cyberspazio. Ma come si colloca il governo che allo stesso tempo investe risorse apparentemente significative in un’organizzazione dedicata al lancio di attacchi informatici?
Il punto di partenza è che i nostri avversari stanno usando Internet e la tecnologia digitale per farci del male, e sembra perverso negare a noi stessi la possibilità di rendere la cosa più difficile per loro. Quindi, le domande chiave sono come farlo in modo legale, etico e adeguatamente gestito. E la guida espone un argomento forte per la posizione del Regno Unito.
La NCF ha stabilito tre principi per le sue operazioni: che siano responsabili, precise e calibrate. Afferma che il Regno Unito opera nell’ambito di un solido quadro giuridico di diritto interno e internazionale con supervisione indipendente, anche da parte di giudici e parlamento, tramite il suo comitato di intelligence e sicurezza. E la guida descrive come le operazioni della NCF siano attentamente progettate per essere mirate con precisione, utilizzando capacità controllabili, prevedibili e soggette a procedure di autorizzazione estese.
Parte di questo deve inevitabilmente essere presa sulla fiducia, ovviamente, e non tutti possono essere soddisfatti. Ma come approccio, è in netto contrasto con il comportamento mostrato da paesi come Russia e Iran, che generalmente mancano di legittimità e sono sproporzionati e indiscriminati, colpendo spesso coloro che non erano l’obiettivo previsto.
In quanto tale, questa guida è un passo prezioso per iniziare a mettere un po’ di carne tanto necessaria sulle ossa di ciò che serve per rendere responsabili le operazioni informatiche.
Non molto tempo fa, sarebbe stato impensabile che il Regno Unito pubblicasse un documento di questo tipo. Il fatto che lo abbiano fatto è molto positivo, così come l’NCF riconosce esplicitamente di aver bisogno di una licenza per operare dal pubblico e che il raggiungimento di ciò richiede maggiore apertura e impegno.
La guida della NCF è un passo significativo nel fornire maggiore trasparenza sulle operazioni informatiche del Regno Unito. Tuttavia, deve essere l’inizio di un processo, non la conclusione di uno. C’è molto da guadagnare facendo più luce su questo campo complesso e spesso frainteso.
Fonte: www.ilpolitico.eu