Frutto di due anni di lavoro, lo studio dell’International Institute for Strategic Studies fornisce una valutazione “qualitativa” del potere informatico di 15 paesi campione, basata su una nuova metodologia di giudizio che dovrebbe supportare governi e grandi aziende nel calcolo del rischio strategico e nella pianificazione degli investimenti in questo specifico settore.
Quello cibernetico è diventato un formidabile strumento di potere, e questa realtà fa emergere una serie di importanti questioni, inclusa quella relativa alla possibilità di quantificare e misurare oggettivamente tale potere, classificando di conseguenza gli Stati. Infatti, disporre di una metodologia consolidata per effettuare la valutazione potrebbe aiutare notevolmente il processo decisionale dei singoli paesi in questo ambito. A tale scopo, nel febbraio 2019 l’International Institute for Strategic Studies (IISS), prestigioso centro studi con sede a Londra, annunciò, sulla propria rivista bimestrale “Survival”, l’intenzione di sviluppare una metodologia per valutare le capacità “cyber” degli Stati e il modo in cui esse contribuiscono alla potenza nazionale di ciascuno.
I risultati di questi due anni di studio sono stati pubblicati recentemente dall’IISS e delineano la suddetta metodologia, utilizzata per valutare i 15 paesi presi in esame. Il rapporto ha lo scopo di assistere il processo decisionale a livello nazionale, ad esempio indicando le capacità informatiche che fanno la maggiore differenza per la potenza di uno Stato. Tali informazioni possono aiutare i governi e le grandi aziende a calcolare il rischio strategico e a prendere le corrette decisioni sugli investimenti strategici da fare.
La metodologia sviluppata dall’IISS non si basa esclusivamente su determinati indici, come la cyber-security, ma è più articolata: infatti, risulta essere principalmente qualitativa e analizza, per ciascun paese, il più ampio ecosistema informatico, compreso il modo in cui esso si interseca con la sicurezza internazionale, la concorrenza economica e gli affari militari.
I criteri di valutazione e i tre livelli di “cyber-power”
I paesi presi in considerazione in questo rapporto sono Stati Uniti, Regno Unito, Canada e Australia (quattro dei cinque membri dell’alleanza anglofona dei “Five Eyes”); Francia e Israele (i due partner più cyber-capable dei Five Eyes); Giappone (anch’esso alleato dei Five Eyes, ma meno capace nelle dimensioni del cyberspazio concernenti la sicurezza, nonostante il suo formidabile potere economico); Cina, Russia, Iran e Corea del Nord (i principali Stati rappresentanti una minaccia informatica per gli interessi occidentali); e infine India, Indonesia, Malesia e Vietnam (quattro paesi nelle prime fasi di sviluppo del loro cyber-power). Le capacità di ogni paese sono state valutate secondo sette categorie: Strategia e dottrina; Governance, comando e controllo; Capacità di base nella cyber-intelligence; Autosufficienza e dipendenza cibernetica; Sicurezza e resilienza informatica; Leadership globale negli affari del cyberspazio; Capacità cibernetica offensiva.
Accanto alla cyber-security abbiamo, dunque, la cyber-intelligence, le capacità di condurre attacchi cibernetici, le alleanze con altri paesi in questo strategico settore, nonché l’ammontare delle risorse stanziate per esso, sia finanziarie che umane.
Lo studio ha quindi diviso i 15 paesi in tre livelli di potere cibernetico (cyber-power): del primo livello fanno parte gli Stati con capacità ai vertici mondiali in tutte le categorie considerate dalla metodologia dell’IISS e, secondo l’analisi pubblicata nel report, soltanto gli Stati Uniti ne fanno parte. Il secondo livello, invece, comprende paesi che hanno capacità di livello assoluto in alcune delle suddette categorie, e in esso vengono annoverati (in ordine alfabetico) Australia, Canada, Cina, Francia, Israele, Russia e Regno Unito. Il terzo e ultimo livello, infine, conta Stati che hanno punti di forza o potenziali punti di forza in alcune delle categorie, ma significative debolezze in altre (India, Indonesia, Iran, Giappone, Malesia, Corea del Nord e Vietnam sono state inserite in questo gruppo).
Il rapporto del think tank britannico fornisce una conferma della probabile durata della superiorità digitale-industriale degli Stati Uniti, grazie anche alle alleanze internazionali di cui gode la potenza nordamericana, per almeno i prossimi dieci anni. Ci sono due elementi importanti riguardo a questo giudizio: il primo è che nelle tecnologie informatiche avanzate e nel loro sfruttamento per conseguire potere economico e militare, gli Stati Uniti sono ancora avanti rispetto alla Cina. Il secondo è che dal 2018 Washington e molti dei suoi principali alleati hanno concordato di limitare, con diversi gradi di rigore, l’accesso della Cina ad alcune tecnologie occidentali, il che potrebbe potenzialmente impedire a Pechino di sviluppare la propria tecnologia avanzata. La forza con cui gli Stati Uniti continueranno ad applicare questa strategia e la risposta della Cina determineranno il futuro equilibrio del potere cibernetico.
La “Net Assessment”
Il report ha evidenziato quelle che sono le notevoli differenze fra le strategie e dottrine ufficialmente pubblicate dai singoli Stati e la prassi realmente seguita, in particolare per quanto riguarda il bilanciamento fra le politiche inerenti alla cyber security, da una parte, e quelle concernenti l’impiego a scopi di intelligence, politici e militari delle risorse informatiche dall’altra. Chiaramente, tutti i paesi mantengono elevati livelli di segretezza in riferimento alle tre ultime aree citate.
Importanti differenze da paese a paese si manifestano in particolar modo per la categoria “governance, comando e controllo”, dove le democrazie liberali delle economie avanzate come Francia, Giappone, Regno Unito e Stati Uniti tendono ad avere disposizioni per la cyber governance più consolidate rispetto alle democrazie dei paesi in via di sviluppo più ricchi (quali India, Indonesia e Malesia). In quest’ultimo gruppo, tali disposizioni si sono sviluppate più lentamente e in modo irregolare, come le strategie di sicurezza per il cyberspazio. In paesi più autoritari come Cina, Iran, Corea del Nord e Russia, la governance è più focalizzata e meno trasparente.
Inoltre, le sfide tra Stati vengono esacerbate anche dalla crescente concorrenza fra di essi nelle tecnologie innovative emergenti come il “quantum computing” (informatica quantistica) e l’intelligenza artificiale (AI). Per quanto riguarda la sicurezza informatica e la resilienza, gli Stati con maggiori capacitò cibernetiche stanno elaborando risposte complessive che coinvolgano le loro intere società grazie a una stretta collaborazione tra il settore privato, quello pubblico e il mondo accademico, nonché tra i settori militare e civile, ampliando la forza lavoro qualificata in questo settore.
Anche riguardo alla leadership globale nelle questioni del cyberspazio, la maggior parte dei paesi è diplomaticamente attiva, ma gli Stati si dividono in due ampi blocchi: quello guidato dagli USA e quello guidato da Cina e Russia. Il primo tende a sostenere l’applicazione del diritto internazionale esistente al cyberspazio e la conferma delle attuali “libertà internettiane”, mentre il secondo è favorevole a nuovi trattati internazionali che diano agli Stati un maggiore controllo sul loro cyberspazio sovrano (cyber sovereignty).
Per quanto riguarda invece le capacità cibernetiche offensive, ci sono diversi approcci dottrinali e differenti gradi di vincolo. Gli Stati Uniti e i suoi più stretti alleati dispongono infatti degli strumenti tecnicamente più sofisticati, capaci di fornire un effetto chirurgico controllato anche nell’ambito di guerre ad alta intensità, ma il loro impiego di questi strumenti sarebbe molto limitato. Russia e Cina, invece, hanno una maggiore esperienza nel conseguire effetti strategici attraverso un utilizzo più ampio di capacità tecnicamente meno sofisticate.
Infine, riguardo al calcolo delle risorse finanziarie, esso non risulta facile: è chiaro che gli investimenti effettuati da Stati Uniti, Cina e Russia, in termini sia di personale che di denaro, supera quelli degli altri Stati. Alcuni di quest’ultimi compensano i minori investimenti attraverso strette alleanze, in particolare con gli stessi USA. In quest’ottica, l’alleanza più matura, sofisticata ed efficace risulta quella dei “Five Eyes”, un modello al quale gli Stati autoritari non hanno da opporre nulla di lontanamente equivalente.
In generale, quel che risulta dallo studio è che il progresso medio delle riforme riguardanti la politica cibernetica degli Stati analizzati non è più rapido di quello registrato per le grandi riforme in qualsiasi altro settore. Si tratta di un processo che potrebbe richiedere fino a un decennio per produrre un cambiamento significativo, e che, in ogni caso, non potrà mai dirsi completato. Non va dimenticato, tuttavia, che nessuno dei paesi esaminati ha mai dovuto fronteggiare una catastrofe cibernetica, in grado di causare distruzioni e perdita di vite umane in quantità significativa: un evento del genere, infatti, finirebbe inevitabilmente per accelerare ogni riforma nel settore.