Dal Cybersecurity Tech Accord a una Digital Geneva Convention: responsabilità, fiducia e impegno condiviso

La Quarta rivoluzione industriale si presenta come un dirompente cambiamento socio-economico e una vera e propria trasformazione che interessa tutti gli aspetti della vita umana, sociale e politica. Accanto ai benefici che tale trasformazione comporta, non sono poche le criticità che necessitano di essere gestite con responsabilità e in una logica di collaborazione per poter godere dei benefici del progresso. Al contempo, però, va garantita anche la protezione dell’individuo dalle minacce che sorgono in una nuova dimensione: quella dello spazio cibernetico.

Uno sviluppo tecnologico come quello dell’intelligenza artificiale, cuore della Rivoluzione odierna, impone ad esempio una riflessione importante che deve necessariamente mettere l’uomo al centro del progresso tecnologico, difenderne i diritti fondamentali – come la non discriminazione e la privacy – e salvaguardarne la dignità e l’inclusione sociale. In quest’ottica non è possibile prescindere da una riflessione sulla dimensione della sicurezza, concepita come ulteriore diritto fondamentale degli individui. Infatti, se da un lato stiamo assistendo a una corsa agli armamenti informatici da parte di nazioni che investono sempre più nello sviluppo di armi e tecnologie destinate a scopi militari e civili (le cosiddette tecnologie dual use), dall’altro ci stiamo rendendo conto dell’entità dei danni che armi “invisibili”, come quelle cibernetiche, possono infliggere ai cittadini. Nel maggio 2017, ad esempio, l’attacco di ransomware “WannaCry” ha colpito più di 200.000 computer in più di 150 paesi, non solo danneggiando gli apparati informatici ma causando anche pesanti ripercussioni su servizi e persone. L’attacco – attribuito per la prima volta a uno stato, la Corea del Nord – ha costituito un importante campanello di allarme a livello internazionale e ha messo in luce debolezze e vulnerabilità rilevanti tanto per la sicurezza nazionale quanto per quella umana. Non da ultimo, infatti, si assiste oggi a un aumento degli attacchi intenzionalmente diretti ai civili, anche da parte degli stati.

A fronte di tutto ciò, Microsoft Corporation si è fatta portavoce dell’esigenza di una Convenzione digitale di Ginevra (Digital Geneva Convention), cioè di una proposta che conduca a un insieme di norme e accordi internazionali volti a proteggere e difendere i civili dagli attacchi cibernetici. Come ricordato da Brad Smith, presidente di Microsoft, durante un evento organizzato dalle Nazioni Unite a Ginevra il 10 novembre 2017, la cybersecurity è diventata chiaramente una delle questioni più importanti del nostro tempo. La stabilità del cyberspazio e la tutela degli individui sono infatti due elementi cruciali che vanno considerati e gestiti a partire da due principi cardine: (a) la responsabilità, ovvero la tutela dei civili come fine imprescindibile dell’uso delle tecnologie e la consapevolezza della risonanza delle proprie azioni, e (b) la fiducia, da infondere sia nel rapporto con individui e clienti sia tra gli attori coinvolti nella definizione e nella risoluzione delle sfide nel cyberspazio.

Brad Smith durante i lavori delle Nazioni Unite a Ginevra, novembre 2017. Fonte: Elma Oki/UN Photo.

L’industria digitale non solo riveste un ruolo preponderante in termini di capacità e di competenze in ambito di cybersecurity, ma è solitamente in prima linea nella reazione e gestione di attacchi informatici. Sulla base di questo senso di responsabilità condivisa e con il fine di apportare il proprio contribuito alla stabilità del cyberspazio più di 40 aziende tecnologiche, tra cui Microsoft, hanno firmato lo scorso aprile e nei mesi successivi il Cybersecurity Tech Accord, un impegno pubblico fondato su quattro principi:

  • La protezione dei propri utenti e clienti ovunque essi si trovino – siano essi individui, organizzazioni o governi – e indipendentemente dalle loro conoscenze tecniche, dalla loro cultura oppure dalle motivazioni dell’aggressore, siano queste a scopo criminale o di matrice geopolitica. Le aziende firmatarie si impegneranno a progettare, sviluppare e fornire prodotti e servizi che privilegino la sicurezza, la privacy, l’integrità e l’affidabilità, riducendo così la probabilità, la frequenza e la gravità delle vulnerabilità. Ciò include una maggiore protezione delle istituzioni e dei processi democratici in tutto il mondo.
  • Il contrasto agli attacchi informatici contro cittadini innocenti e imprese, impegnandosi a proteggere i prodotti e i servizi tecnologici dalla manomissione e dallo sfruttamento durante le fasi di sviluppo, progettazione, distribuzione e uso. Le aziende si sono altresì impegnate a non aiutare i governi a lanciare attacchi informatici contro cittadini e imprese.
  • Il rafforzamento di capacità cibernetiche che permettano agli utenti, ai clienti e agli sviluppatori di incrementare la protezione della cybersecurity attraverso una maggiore condivisione di informazioni e strumenti che consentano loro di comprendere le minacce attuali, prevedere quelle future e proteggersi da esse. Inoltre, i firmatari sosterranno la società civile, i governi e le organizzazioni internazionali nei loro sforzi per far aumentare la sicurezza nel cyberspazio e per sviluppare ulteriori capacità in questo senso, tanto nelle economie sviluppate quanto in quelle emergenti.
  • La collaborazione fra aziende e gruppi che condividono la stessa visione per migliorare la sicurezza informatica. Questo include partnership formali e informali con l’industria, la società civile e l’accademia, attraverso tecnologie proprietarie e open-source al fine di migliorare la collaborazione tecnica, la divulgazione coordinata delle vulnerabilità e la condivisione delle minacce, nonché per ridurre al minimo i rischi e i possibili danni nel cyberspazio. Inoltre, si incoraggeranno la condivisione di informazioni a livello globale e gli sforzi di attori civili per identificare, prevenire, rilevare e rispondere agli attacchi informatici, recuperare dai danni causati e garantire risposte flessibili per la sicurezza del più ampio ecosistema tecnologico globale.

L’importanza del Cybersecurity Tech Accord è duplice: da un lato, esso costituisce un unicum nel campo tecnologico e nella gestione del cyberspazio, segno di un impegno condiviso e della necessità di dare sostanza ai principi di responsabilità e fiducia nelle tecnologie. Dall’altro, la sua visione è accompagnata da azioni concrete che le aziende implementeranno, fornendo pertanto un contributo pragmatico all’esigenza di un cyberspazio stabile e sicuro.

Sebbene nessun accordo internazionale sia mai perfetto, il mondo ha già tratto benefici e visto importanti miglioramenti grazie alla stipula di convenzioni globali in materia di armamenti, come dimostrato dal Trattato sulla non-proliferazione delle armi nucleari o dalla Convenzione sulle armi chimiche. Accanto all’impegno dell’industria, è quindi importante che, anche nell’ambito della cybersecurity, iniziative concrete pervengano dai governi: la ratifica di una Convenzione digitale di Ginevra, ad esempio, creerebbe un quadro giuridicamente vincolante per governare il comportamento degli stati nel cyberspazio. Nonostante la formulazione e l’attuazione di norme giuridicamente vincolanti richiedano tempo, le conseguenze di un’eventuale inazione sono oggi inaccettabili. La complessità e la vastità della tematica non possono quindi rappresentare una giustificazione per il mancato impegno degli stati al raggiungimento di obiettivi concreti di stabilità e sicurezza nel cyberspazio.

Sebbene ci sia urgenza nel rispondere alle crescenti aspettative in questo senso, è possibile procedere in modo incrementale con misure intermedie al fine di conseguire accordi realmente condivisi che man mano si estendano a tutti gli aspetti che la gestione del cyberspazio richiede. Come per la non-proliferazione nucleare, gli stati dovrebbero avanzare con un approccio non-offensive nello spazio cibernetico, al fine di ridurre il rischio di attacchi e conflitti. In tempo di pace, alcune regole che raggiungerebbero questo fine potrebbero essere le seguenti:

  • Astenersi dall’inserimento di backdoor (cioè “porte di servizio” che permettono di aggirare le difese di un sistema informatico e dunque accedervi) nei prodotti della tecnologia commerciale di massa;
  • Accettare una politica chiara per acquisire, conservare, proteggere, utilizzare e segnalare vulnerabilità e debolezze;
  • Limitare lo sviluppo di armi informatiche, garantendo il loro controllo in un ambiente sicuro;
  • Acconsentire a limitare la proliferazione delle armi informatiche;
  • Limitare l’impegno in operazioni offensive e dedicarsi esclusivamente in attività difensive per evitare danni di massa ai civili;
  • Assistere gli sforzi del settore privato per individuare, contenere e rispondere ad attacchi informatici.

Un altro aspetto fondamentale per la stabilità e la sicurezza del cyberspazio è la necessità di creare una Cyberattack Attribution Organization, ovvero un’organizzazione internazionale di attribuzione di responsabilità, volta a rafforzare la fiducia degli utenti nei confronti del mondo digitale. Se nel mondo “reale” quando qualcuno ruba o danneggia la proprietà fisica, infatti, gli investigatori possono raccogliere prove da presentare in tribunale; nel mondo “digitale” questo è molto più complicato, soprattutto se consideriamo il numero limitato di esperti capaci di reperire prove inequivocabili di un avvenuto attacco informatico. Se poi tale attacco è sponsorizzato da uno stato, dimostrarne la responsabilità diventa una sfida ancora più complessa. Ad oggi non esiste un’organizzazione o una struttura indipendente che possa presentare un’analisi politicamente neutrale basata su fatti verificati. L’incremento quantitativo e qualitativo delle sfide alla cybersecurity hanno però fatto emergere il bisogno di un organismo di attribuzione che riceva e valuti le prove relative a un sospetto cyberattack e che possa essere in grado di individuarne i responsabili. Un’organizzazione simile dovrebbe sfruttare la collaborazione fra settore pubblico e privato e avvalersi di esperti in cyberforensics o discipline correlate, provenienti dal mondo aziendale e in grado di analizzare le tecnologie e le tecniche alla base di un attacco. Un simile lavoro di ricerca e analisi potrebbe essere altresì supportato dagli strumenti resi disponibili dalla tecnologia cloud, assicurando così che le prove relative a particolari attacchi siano raccolte e presentate in modo tale da essere comprese dal pubblico e utilizzate dagli esperti governativi.

Il Cybersecurity Tech Accord, siglato dalle principali imprese informatiche che offrono servizi e soluzioni digitali, dimostra l’impegno del settore privato a elaborare un insieme comune di principi e comportamenti per proteggere i civili nello spazio cibernetico. Ciò non significa solamente accordarsi su azioni che l’industria dovrebbe intraprendere o meno, ma anche condividere obiettivi, risorse ed energie per migliorare la cybersecurity a livello globale. Mentre le aziende tecnologiche hanno una responsabilità primaria e si trovano, a tutti gli effetti, in prima linea nell’affrontare queste problematiche, sarebbe un errore pensare che il settore privato sia in grado da solo di impedire o arrestare il rischio di attacchi informatici. Una tematica così complessa non può che richiedere uno sforzo e un approccio di collaborazione multidisciplinare tra le diverse compagini sociali, includendo il settore pubblico, le aziende private, il mondo accademico, le organizzazioni civili e quelle non governative. È fondamentale che gli stati reagiscano al campanello d’allarme lanciato da “WannaCry” e dai tanti attacchi informatici che, quasi quotidianamente, accendono i riflettori sulla necessità impellente di adottare un sistema di regole e norme che protegga i civili nello spazio cibernetico, anche in tempo di pace. Chiunque interagisca con o dipenda dal cyberspazio deve essere messo nelle condizioni di aver fiducia nella tecnologia che utilizza. Il mondo ha bisogno di una Digital Geneva Convention, così come di altre iniziative analoghe e complementari.

Per saperne di più:

Charney S. et al. (2016) From Articulation to Implementation: Enabling progress on cybersecurity norms. Microsoft Corporation. Disponibile su: https://www.microsoft.com/en-us/cybersecurity/content-hub/enabling-progress-on-cybersecurity-norms

Cybersecurity Tech Accord. Disponibile su: https://cybertechaccord.org/

Microsoft Corporation (2017) “A Digital Geneva Convention to protect cyberspace”, Microsoft Policy Papers. Disponibile su: https://www.microsoft.com/en-us/cybersecurity/content-hub/a-digital-geneva-convention-to-protect-cyberspace

Microsoft Corporation (2017) “An attribution organization to strengthen trust online”, Microsoft Policy Papers. Disponibile su: https://www.microsoft.com/en-us/cybersecurity/content-hub/an-attribution-organization-to-strengthen-trust-online

Smith, B. (2017) “The need for a Digital Geneva Convention”, The Official Microsoft Blog. Disponibile su: https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/

Published in:

  • Events & Training Programs

Copyright © 2024. Torino World Affairs Institute All rights reserved

  • Privacy Policy
  • Cookie Policy