La Quarta rivoluzione industriale si presenta come un dirompente cambiamento socio-economico e una vera e propria trasformazione che interessa tutti gli aspetti della vita umana, sociale e politica. Accanto ai benefici che tale trasformazione comporta, non sono poche le criticità che necessitano di essere gestite con responsabilità e in una logica di collaborazione per poter godere dei benefici del progresso. Al contempo, però, va garantita anche la protezione dell’individuo dalle minacce che sorgono in una nuova dimensione: quella dello spazio cibernetico.
Uno sviluppo tecnologico come quello dell’intelligenza artificiale, cuore della Rivoluzione odierna, impone ad esempio una riflessione importante che deve necessariamente mettere l’uomo al centro del progresso tecnologico, difenderne i diritti fondamentali – come la non discriminazione e la privacy – e salvaguardarne la dignità e l’inclusione sociale. In quest’ottica non è possibile prescindere da una riflessione sulla dimensione della sicurezza, concepita come ulteriore diritto fondamentale degli individui. Infatti, se da un lato stiamo assistendo a una corsa agli armamenti informatici da parte di nazioni che investono sempre più nello sviluppo di armi e tecnologie destinate a scopi militari e civili (le cosiddette tecnologie dual use), dall’altro ci stiamo rendendo conto dell’entità dei danni che armi “invisibili”, come quelle cibernetiche, possono infliggere ai cittadini. Nel maggio 2017, ad esempio, l’attacco di ransomware “WannaCry” ha colpito più di 200.000 computer in più di 150 paesi, non solo danneggiando gli apparati informatici ma causando anche pesanti ripercussioni su servizi e persone. L’attacco – attribuito per la prima volta a uno stato, la Corea del Nord – ha costituito un importante campanello di allarme a livello internazionale e ha messo in luce debolezze e vulnerabilità rilevanti tanto per la sicurezza nazionale quanto per quella umana. Non da ultimo, infatti, si assiste oggi a un aumento degli attacchi intenzionalmente diretti ai civili, anche da parte degli stati.
A fronte di tutto ciò, Microsoft Corporation si è fatta portavoce dell’esigenza di una Convenzione digitale di Ginevra (Digital Geneva Convention), cioè di una proposta che conduca a un insieme di norme e accordi internazionali volti a proteggere e difendere i civili dagli attacchi cibernetici. Come ricordato da Brad Smith, presidente di Microsoft, durante un evento organizzato dalle Nazioni Unite a Ginevra il 10 novembre 2017, la cybersecurity è diventata chiaramente una delle questioni più importanti del nostro tempo. La stabilità del cyberspazio e la tutela degli individui sono infatti due elementi cruciali che vanno considerati e gestiti a partire da due principi cardine: (a) la responsabilità, ovvero la tutela dei civili come fine imprescindibile dell’uso delle tecnologie e la consapevolezza della risonanza delle proprie azioni, e (b) la fiducia, da infondere sia nel rapporto con individui e clienti sia tra gli attori coinvolti nella definizione e nella risoluzione delle sfide nel cyberspazio.
L’industria digitale non solo riveste un ruolo preponderante in termini di capacità e di competenze in ambito di cybersecurity, ma è solitamente in prima linea nella reazione e gestione di attacchi informatici. Sulla base di questo senso di responsabilità condivisa e con il fine di apportare il proprio contribuito alla stabilità del cyberspazio più di 40 aziende tecnologiche, tra cui Microsoft, hanno firmato lo scorso aprile e nei mesi successivi il Cybersecurity Tech Accord, un impegno pubblico fondato su quattro principi:
L’importanza del Cybersecurity Tech Accord è duplice: da un lato, esso costituisce un unicum nel campo tecnologico e nella gestione del cyberspazio, segno di un impegno condiviso e della necessità di dare sostanza ai principi di responsabilità e fiducia nelle tecnologie. Dall’altro, la sua visione è accompagnata da azioni concrete che le aziende implementeranno, fornendo pertanto un contributo pragmatico all’esigenza di un cyberspazio stabile e sicuro.
Sebbene nessun accordo internazionale sia mai perfetto, il mondo ha già tratto benefici e visto importanti miglioramenti grazie alla stipula di convenzioni globali in materia di armamenti, come dimostrato dal Trattato sulla non-proliferazione delle armi nucleari o dalla Convenzione sulle armi chimiche. Accanto all’impegno dell’industria, è quindi importante che, anche nell’ambito della cybersecurity, iniziative concrete pervengano dai governi: la ratifica di una Convenzione digitale di Ginevra, ad esempio, creerebbe un quadro giuridicamente vincolante per governare il comportamento degli stati nel cyberspazio. Nonostante la formulazione e l’attuazione di norme giuridicamente vincolanti richiedano tempo, le conseguenze di un’eventuale inazione sono oggi inaccettabili. La complessità e la vastità della tematica non possono quindi rappresentare una giustificazione per il mancato impegno degli stati al raggiungimento di obiettivi concreti di stabilità e sicurezza nel cyberspazio.
Sebbene ci sia urgenza nel rispondere alle crescenti aspettative in questo senso, è possibile procedere in modo incrementale con misure intermedie al fine di conseguire accordi realmente condivisi che man mano si estendano a tutti gli aspetti che la gestione del cyberspazio richiede. Come per la non-proliferazione nucleare, gli stati dovrebbero avanzare con un approccio non-offensive nello spazio cibernetico, al fine di ridurre il rischio di attacchi e conflitti. In tempo di pace, alcune regole che raggiungerebbero questo fine potrebbero essere le seguenti:
Un altro aspetto fondamentale per la stabilità e la sicurezza del cyberspazio è la necessità di creare una Cyberattack Attribution Organization, ovvero un’organizzazione internazionale di attribuzione di responsabilità, volta a rafforzare la fiducia degli utenti nei confronti del mondo digitale. Se nel mondo “reale” quando qualcuno ruba o danneggia la proprietà fisica, infatti, gli investigatori possono raccogliere prove da presentare in tribunale; nel mondo “digitale” questo è molto più complicato, soprattutto se consideriamo il numero limitato di esperti capaci di reperire prove inequivocabili di un avvenuto attacco informatico. Se poi tale attacco è sponsorizzato da uno stato, dimostrarne la responsabilità diventa una sfida ancora più complessa. Ad oggi non esiste un’organizzazione o una struttura indipendente che possa presentare un’analisi politicamente neutrale basata su fatti verificati. L’incremento quantitativo e qualitativo delle sfide alla cybersecurity hanno però fatto emergere il bisogno di un organismo di attribuzione che riceva e valuti le prove relative a un sospetto cyberattack e che possa essere in grado di individuarne i responsabili. Un’organizzazione simile dovrebbe sfruttare la collaborazione fra settore pubblico e privato e avvalersi di esperti in cyberforensics o discipline correlate, provenienti dal mondo aziendale e in grado di analizzare le tecnologie e le tecniche alla base di un attacco. Un simile lavoro di ricerca e analisi potrebbe essere altresì supportato dagli strumenti resi disponibili dalla tecnologia cloud, assicurando così che le prove relative a particolari attacchi siano raccolte e presentate in modo tale da essere comprese dal pubblico e utilizzate dagli esperti governativi.
Il Cybersecurity Tech Accord, siglato dalle principali imprese informatiche che offrono servizi e soluzioni digitali, dimostra l’impegno del settore privato a elaborare un insieme comune di principi e comportamenti per proteggere i civili nello spazio cibernetico. Ciò non significa solamente accordarsi su azioni che l’industria dovrebbe intraprendere o meno, ma anche condividere obiettivi, risorse ed energie per migliorare la cybersecurity a livello globale. Mentre le aziende tecnologiche hanno una responsabilità primaria e si trovano, a tutti gli effetti, in prima linea nell’affrontare queste problematiche, sarebbe un errore pensare che il settore privato sia in grado da solo di impedire o arrestare il rischio di attacchi informatici. Una tematica così complessa non può che richiedere uno sforzo e un approccio di collaborazione multidisciplinare tra le diverse compagini sociali, includendo il settore pubblico, le aziende private, il mondo accademico, le organizzazioni civili e quelle non governative. È fondamentale che gli stati reagiscano al campanello d’allarme lanciato da “WannaCry” e dai tanti attacchi informatici che, quasi quotidianamente, accendono i riflettori sulla necessità impellente di adottare un sistema di regole e norme che protegga i civili nello spazio cibernetico, anche in tempo di pace. Chiunque interagisca con o dipenda dal cyberspazio deve essere messo nelle condizioni di aver fiducia nella tecnologia che utilizza. Il mondo ha bisogno di una Digital Geneva Convention, così come di altre iniziative analoghe e complementari.
Per saperne di più:
Charney S. et al. (2016) From Articulation to Implementation: Enabling progress on cybersecurity norms. Microsoft Corporation. Disponibile su: https://www.microsoft.com/en-us/cybersecurity/content-hub/enabling-progress-on-cybersecurity-norms
Cybersecurity Tech Accord. Disponibile su: https://cybertechaccord.org/
Microsoft Corporation (2017) “A Digital Geneva Convention to protect cyberspace”, Microsoft Policy Papers. Disponibile su: https://www.microsoft.com/en-us/cybersecurity/content-hub/a-digital-geneva-convention-to-protect-cyberspace
Microsoft Corporation (2017) “An attribution organization to strengthen trust online”, Microsoft Policy Papers. Disponibile su: https://www.microsoft.com/en-us/cybersecurity/content-hub/an-attribution-organization-to-strengthen-trust-online
Smith, B. (2017) “The need for a Digital Geneva Convention”, The Official Microsoft Blog. Disponibile su: https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/
“L’amministrazione Biden ha detto di considerare gli atolli e gli isolotti controllati dalle Filippine nel mar Cinese meridionale all’interno del campo di interesse del... Read More
Nell’ambito della visita di Stato del Presidente della Repubblica Sergio Mattarella nella Repubblica Popolare Cinese, conclusasi il 12 novembre scorso, è stato rinnovato il Memorandum of... Read More
“Pur avvenendo in un contesto senz’altro autoritario e repressivo, questo tipo di eventi non vanno letti per forza come atti di sfida nei confronti... Read More
“For the Trump administration, China’s being defined not as a rival, but as an enemy. It would be interesting to understand the effect of... Read More
“L’Europa dovrà decidere come affrontare questa situazione. Di fronte all’eccesso di produzione che potrebbe riversarsi sui nostri mercati dalla Cina, sarà fondamentale capire se... Read More
Copyright © 2024. Torino World Affairs Institute All rights reserved