Il Cyberspazio è stato riconosciuto dalla NATO come il quinto dominio operativo dopo cielo, spazio, terra, mare, ma, come del resto gli altri quattro,
Il Cyberspazio è stato riconosciuto dalla NATO come il quinto dominio operativo dopo cielo, spazio, terra, mare, ma, come del resto gli altri quattro, il Cyberspazio non è della Difesa, è dei cittadini (oltre 4 miliardi di utenti internet su una popolazione mondiale di 7,6 miliardi) e delle aziende (il 100% di quelle oltre 10 addetti ha un accesso ad Internet); è delle informazioni (2,5 x 1030 dati vengono generati ogni giorno) e delle relazioni (le transazioni on-line saranno 450 miliardi al giorno in 2 anni); è anche quello delle Infrastrutture Critiche (che una volta si chiamavano “informatizzate”, ma per le quali l’uso dell’aggettivo è divenuto pleonastico poiché tutte lo sono), della Sicurezza (reti ed infrastrutture che servono a proteggere la nazione da minacce naturali o antropiche) e della Difesa (che deve garantire la protezione degli interessi nazionali anche in questo luogo / non-luogo, atipico ed extraterritoriale).
Se c’è quindi un contesto veramente “molteplice” in cui il termine “dual-use” ha un significato particolarmente pregnante è proprio il cyberspazio dove non solo prodotti e tecnologie possono essere utilizzati a scopi “sia pacifici che militari”, come recita la definizione, ma la stessa suddivisione tra i domini, le intenzioni, gli attori ed i risultati è sfumata e sovrapposta, come raccontato nei precedenti dossier dell’Osservatorio.
Utilizzare un’ottica dual-use per lo sviluppo di tecnologie, prodotti, capacità e competenza cyber è quindi non un’opzione, ma una necessità, imposta direttamente dalle caratteristiche del dominio interessato. Questa posizione dovrebbe essere chiaramente compresa ed adottata da tutti coloro che a qualche titolo decidono, indirizzano e partecipano alla definizione degli investimenti, tenendo anche in conto un’ulteriore situazione particolare del dominio della digitalizzazione: se un tempo si assisteva all’utilizzo civile di tecnologie sviluppate inizialmente per scopi militari, oggi è sempre più frequente l’utilizzo in ambito difesa di tecnologie sviluppate in ambito commerciale. Ciò è del tutto logico se consideriamo i numeri sopra ricordati, che evidenziano come lo sviluppo della tecnologia per usi civili sia talmente massivo da essere in grado di mobilizzare investimenti ancora maggiori di quelli tipicamente allocati alla Difesa (secondo molte fonti la spesa in tecnologie digitali ha raggiunto il doppio di quella per la difesa e si avvia rapidamente a triplicare questo valore). Questa tendenza può e deve essere sfruttata per indirizzare lo sviluppo di tecnologie e applicazioni nel settore della cyber security/defence.
Dopo un periodo di netta separazione tra temi di cyber security e di cyber defence, le istituzioni europee hanno recentemente dichiarato – nelle ultime comunicazioni relative all’implementazione del Cybersecurity Act e delle creazione del futuro European Cyber Competence Center con il relativo network di National Cyber Competence Center – l’intento di voler affrontare in modo “olistico” la tematica cyber, coordinando le tematiche ed i fondi a disposizione del mondo della Sicurezza e della Difesa.
Un approccio che possa indirizzare in modo sinergico lo sviluppo di tecnologie duali è da considerarsi oltre che positivo, indispensabile: nello scenario di sviluppo della minaccia cyber a cui assistiamo, i paesi europei non sarebbero probabilmente in grado di sostenere individualmente gli sforzi finanziari e tecnologici necessari per creare la capacità di cyber security necessaria a proteggere i propri sistemi economici, tecnici e sociali; crearne due separate e non cooperanti sarebbe ulteriormente impossibile. La strada da perseguire deve essere il rafforzamento della collaborazione tra gli Stati membri, della trasparenza e dello sviluppo di una cultura della gestione dei rischi e dello scambio di informazioni tra Stati membri e tra il settore pubblico e quello privato.
Per fare ciò possono essere sfruttate molte delle iniziative che l’Europa ha lanciato quali la Revisione coordinata annuale della difesa (CARD), la Cooperazione strutturata permanente in materia di sicurezza e di difesa (PESCO), il Fondo Europeo per la Difesa (EDF), il Fondo per la Sicurezza Interna (ISF), Horizon Europe e Digital Europe per identificare progetti che consentano di creare la giusta massa critica.
Una delle priorità, ad esempio, individuate dal Capability Development Plan dell’UE (CDP), lo strumento primario per lo sviluppo delle capacità militari dell’UE, sono le ‘Enabling capabilities for Cyber Responsive operations’, punto di riferimento per garantire a livello europeo attività di cyber defence tra loro coordinate, sinergiche e complementari. Significativo che il prossimo Consiglio Europeo abbia tra i suoi temi proprio la cyber security/defence.
Un’ulteriore opportunità è offerta dalla cooperazione UE-NATO, in cui la sicurezza e la cyber defence sono tra i temi più importanti, così come sottoscritto nella dichiarazione congiunta dell’8 luglio 2016, in cui quattro delle 42 proposte iniziali sono volte a una più stretta cooperazione in materia di sicurezza e difesa informatica, con ulteriori proposte volte a far fronte alle minacce ibride in senso più ampio.
A livello della Commissione Europea sono state poi già avviate, nel corrente framework di ricerca e innovazione Horizon 2020, iniziative dedicate alla creazione delle capacità indispensabili a soddisfare le necessità del mondo militare, governativo e privato produttivo in materia di cyber security.
Le opportunità sono quindi molteplici ed è fondamentale che vengano rilette in un’ottica duale perché tutte le iniziative e i finanziamenti possano contribuire alla costruzione di una singola strategic autonomy in ambito cyber.
È però necessario cambiare passo ed approccio, perché la ricerca cyber in Europa non ha sinora trovato un vero ritorno dal punto di vista economico/industriale, anche perché il panorama industriale è molto frazionato e le imprese del Vecchio Continente faticano a uscire dai loro mercati nazionali o regionali: delle 500 maggiori aziende cyber a livello mondiale solo il 14% ha oggi il quartier generale con sede nell’UE.
Proprio perché si tratta di un settore relativamente nuovo, esiste però una reale opportunità per sviluppare tecnologie, capacità, dottrine, concetti operativi con caratteristiche duali e per cooperare “sul campo”, evitando quelle duplicazioni e i conseguenti sprechi che possiamo riscontrare in tanti campi “tradizionali”.
Un esempio in questo senso è il progetto “Cyber Trainer”, che Leonardo sta sviluppando attraverso fondi interni e Regionali (FESR 2014-2020) con l’endorsement di EDA e un interesse del Ministero della Difesa: il progetto ha come obiettivo la creazione di capacità di modellazione di infrastrutture critiche per l’addestramento dei futuri operatori specializzati nel settore della cyber security, ma è del tutto evidente che queste stesse capacità potranno essere applicate al tema della cyber defence. Le infrastrutture di cyber training si prestano infatti per essere utilizzate per modellare scenari operativi di sicurezza duali, possono rappresentare ambienti di prova di nuovi prodotti, sia civili che militari, per migliorare la flessibilità dei metodi e delle tecnologie ad oggi disponibili, ed erogare ambienti di test, adattabili a differenti tipologie di dispositivi, apparati e domini di applicazione.
Rafforzare l’industria europea per sicurezza e difesa sui temi cyber potrà consentire all’Europa di maturare capacità strategiche autonome attraverso la convergenza di requisiti e la definizione di priorità condivise. È necessaria una solida roadmap europea con un orizzonte di lungo termine in grado di generare strategie, policy e soluzioni efficaci e sostenibili.
Creare, come annunciato da Bruxelles, una capacità cyber che permetta ai leader industriali europei di competere su scala globale entro il 2025 è un obiettivo ambizioso, ma essenziale, perché il mercato della cyber security è in grande crescita e secondo le stime toccherà i €180 miliardi entro il 2021 il 25% dei quali saranno spesi da aziende europee.
Il percorso europeo è dunque inevitabile. Occorre che tutti gli attori interessati, aziende ed istituzioni, centri di ricerca e policy maker, vi prendano parte attiva fin dall’inizio, con una visione il più possibile condivisa tra gli Stati membri e una prospettiva di posizionamento strategico a lungo termine, che punti alla creazione di un ecosistema virtuoso che attragga investimenti pubblici e privati, cogliendo al tempo stesso le opportunità di duplice uso delle capacità cyber.
Fonte: Ispionline.it
