Give me a plausible deniability
L’evoluzione, la precisione e l’intensità degli attacchi informatici sta creando una serie di interrogativi sulla responsabilità effettiva degli Stati che si celano dietro i cyber attacks.
Alla luce degli ultimi eventi internazionali (il caso Sony Pictures per esempio) è evidente che gli attacchi informatici sono l’arma più utilizzata e meno costosa da parte di attori statali che operano nelle ombre del cyber-spazio sfruttando la plausible deniability (tecnica ben diffusa durante la guerra fredda quando i decisori politici formalmente non erano responsabili delle operazioni “covert”).
Difronte all’utilizzo diffuso delle armi cibernetiche (anonime ed economiche) gli Stati attaccati sono disposti a rispondere anche attraverso le classiche azioni militari (ne è una prova la nuova Cyber strategy del Pentagono approvata lo scorso aprile che sottolinea la volontà dei militari americani di rispondere con azioni cinetiche anche in caso di attacco cibernetico) con il rischio peggiore di una escalation militare. La mancanza di un diritto internazionale, così come l’assenza di accordi internazionali che disciplinino le azioni di guerra cibernetica, acuisce ancora di più il problema.
Per riuscire a determinare una risposta efficace e che limiti l’effetto escalation, gli Stati dovrebbero prevedere una risposta appropriata attraverso tre variabili fondamentali: una buona raccolta dati e analisi di intelligence per riuscire ad attribuire la responsabilità dell’attacco informatico; mitigare l’impatto dell’incidente attraverso una maggiore resilienza e una risposta immediata attraverso strutture create ad hoc.
A monte di questa valutazione “operativa” bisognerebbe prevedere una reale collaborazione pubblico-privato per determinare, a priori, gli effetti di un attacco cyber nel complesso nazionale. In secondo luogo, una efficace ed efficiente Cyber strategy dovrebbe pianificare (sul piano strategico, tattico ed operativo) una serie di opzioni di risposta valutando gli impatti sull’intero sistema-Paese.