L’intervista di Cybersecurity Italia al Gen. Div. AAran Sergio Antonio SCALESE, Comandante del Comando per le Operazioni in Rete (COR).
Cybersecurity Italia. Il COR (Comando delle Operazioni in Rete) nasce dall’accorpamento in un’unica struttura delle diverse entità che all’interno della difesa si occupavano di Cybersecurity. Qual è la ratio ed il valore aggiunto che si è voluto perseguire con questa unificazione?
Gen. Div. AAran Sergio Antonio Scalese. Negli ultimi anni la minaccia del settore cyber è cambiata drasticamente al punto che, a seguito del Summit dei paesi NATO a Varsavia del 2016, il cyberspazio è divenuto un nuovo dominio di operazione al pari dei domini “tradizionali” quali, terra, mare e aria e, più recentemente, lo spazio. La conseguenza immediata è stata, pertanto, quella di assicurare la difesa cyber delle infrastrutture nazionali, attività che sono state recepite dal vertice politico e declinate, a tutt’oggi, nei singoli dicasteri includendo anche l’industria nazionale nella duplice veste di gestore delle “infrastrutture critiche nazionali” e nel ruolo più, ovvio e palese, di sviluppo dell’industria nazionale. Esplicativa appare l’adozione di un ecosistema cyber nazionale a 4 pilastri, riportata anche nella Strategia Nazionale di Cybersicurezza 2022-2026, dove la Difesa, quale responsabile del pilastro della Cyber Defence, assume un ruolo centrale.
In questo contesto il Ministero della Difesa, ed in particolare le Forze Armate, non possono prescindere dall’essere coinvolte per fronteggiare il rischio che corrono le proprie infrastrutture digitali nonché per assolvere, contestualmente, il compito di “difesa dello Stato” che già si estrinseca nei domini tradizionali e, ora, anche nel cyber space. A tal proposito appare illuminante la recente modifica dell’art.88 del Codice Ordinamento Militare (D. Lgs 66/2010) che ha riconosciuto il cyberspace come dominio militare, alla pari con i domini militari c.d. “classici” (terra, mare, aria). Per le peculiarità della minaccia cyber si è ritenuto indispensabile e strategico far convergere le organizzazioni che si occupavano di sicurezza cyber e quelle che si occupavano di erogare giornalmente i servizi ICT allo scopo di conseguire una maggiore efficacia e sinergia nell’azione difensiva. Tale convergenza agevola l’unicità di intenti e di comando, condizioni essenziali per ottenere i massimi benefici, la massima economicità e la tempestività d’azione contro eventuali attori ostili. La convergenza ha portato alla costituzione del Comando per le Operazioni in Rete (COR), il cui obbiettivo, oltre a quello di porsi quale unico referente per il settore ICT della Difesa, è anche quello di sviluppare una competenza specifica ed unica nel settore della cybersecurity e delle operazioni cyber da offrire anche al Paese, ciò in linea con la missione principale delle Forze Armate che è quella di proteggere l’Italia da ogni possibile minaccia.
Nella sostanza il concetto di “sviluppare una competenza specifica ed unica nel settore della cyber security e delle operazioni cyber da offrire al Paese” si concretizza nel fatto che il COR ha già conseguito capacità, ed avviato gli investimenti per svilupparne ulteriori, con l’obbiettivo di porsi come un attore di primo piano nel più ampio obbiettivo di “cornice di sicurezza cyber nazionale”, operando trasversalmente su tutti gli elementi/settori/tecnologie che contribuiscono a costituire il “dominio digitale” .
Cybersecurity Italia. Quali sono le risorse, sia in termini di personale che di strumenti, che ha a disposizione il COR per le sue attività?
Gen. Div. AAran Sergio Antonio Scalese. Diventa difficile e, probabilmente, sterile elencare semplicemente gli strumenti e le risorse umane a disposizione del COR, è invece più significativo descrivere le capacità esprimibili e potenzialmente incrementabili in funzione del contesto e degli obbiettivi che i vertici Politici e Militari riterranno opportuno identificare, nonché i “punti di forza del COR”.
In termini di personale, si tratta di risorse estremamente qualificate in tutti i settori che compongono il Comando ovvero il Reparto C4 (amministrazione ed erogazione dei servizi ICT della Difesa), il Reparto Sicurezza e Cyber Defence (in cui è incluso il Computer Emergency Response Team della Difesa – CERT Difesa) e il Reparto Operazioni Cibernetiche (ROC), organizzazione unica per i compiti assegnati sia nel comparto Difesa sia nell’amministrazione dello Stato. I tre Reparti devono necessariamente operare in simbiosi per assicurare un livello accettabile di cyber sicurezza.
Oltre al personale tecnico, che viene necessariamente e continuamente formato, al COR operano professionisti esperti in vari settori, in particolare per quanto riguarda la pianificazione operativa, la logistica, la redazione di piani e procedure nonché della formazione dell’addestramento del personale. Si tratta di professionalità indispensabili per sviluppare delle capacità in un settore in continua evoluzione, caratterizzato da una velocità di cambiamento e pervasività probabilmente unica nella storia.
Oltre al già citato CERT Difesa, da tempo costituito e pienamente operativo, oggetto di differenti necessarie riorganizzazioni, il COR ha costituito e impiega con sistematicità, quale parte integrante delle componenti militari “classiche” nei differenti teatri operativi, delle Cellule Operative Cibernetiche (COC) composte da personale altamente specializzato a cui è assegnato il compito di integrare e supportare le capacità di difesa delle componenti ICT delle Forze Armate rischierate nei teatri operativi. Le COC, come pure il CERT, sono dotate di strumenti di difesa delle infrastrutture digitali per l’identificazione della minaccia, si tratta di capacità peculiari, in termini tecnici e procedurali, non sviluppate dalle singole Forze Armate. Le COC o Cyber Rapid Reaction Team (CRRT) opportunamente modulate in base alla situazione da fronteggiare, rappresentano l’entità operativa che la Difesa può mettere a disposizione del Paese in caso di necessità.
Cybersecurity Italia. La possibilità che un’entità statuale estera possa sferrare una azione cyber in danno alle nostre infrastrutture critiche è un aspetto di crescente preoccupazione sia in ottica di furto di informazioni che di possibili compromissioni del corretto funzionamento di questi complessi sistemi. In che modo la difesa e il COR contribuiscono a limitare questi pericoli?
Gen. Div. AAran Sergio Antonio Scalese. Per quanto riguarda le infrastrutture critiche nazionali, sono state oggetto di recenti provvedimenti legislativi che ne hanno definito i criteri e, di conseguenza, il perimetro.
La Difesa con le proprie infrastrutture è pienamente coinvolta nell’attività e nelle azioni discendenti dai disposti normativi e, come altri dicasteri ed entità identificate dal legislatore, deve assicurare la difesa e la continuità di servizio delle infrastrutture di competenza. Oltre a questo ruolo, già in parte descritto, il Ministero della Difesa, attraverso le capacità del COR, potrebbe esse chiamato a contribuire fattivamente alla difesa delle infrastrutture critiche nazionali. In tali situazioni, la Difesa, quale compagine militare schierata a permanente difesa della nazione con una mentalità ed una postura “proattiva”, apporterebbe, non solo in chiave esclusivamente difensiva ma anche di deterrenza, quel fondamentale contributo nell’analisi di scenari complessi che permette di attuare un’idonea gestione di una eventuale “crisi cyber”.
Cybersecurity Italia. La NATO nel 2016 ha riconosciuto il cyberspazio come un dominio operativo evidenziando come un attacco cyber può costituire un “attacco armato” in linea con l’articolo 51 della carta delle Nazioni Unite. Stante nelle difficoltà nell’attribuzioni di una azione cyber, potrebbe illustrarci qual è la procedura e quali gli attori coinvolti nell’attribuzione di una azione di cyberwarfare in danno dell’Italia?
Gen. Div. AAran Sergio Antonio Scalese. La principale questione da risolvere è relativa alla chiara e univoca interpretazione di quando un attacco cyber si configura come un “attacco armato”. A tal proposito, è opportuno evidenziare che nel diritto internazionale “l’attacco armato” è circoscritto ai conflitti tra entità statuali e non considera le fattispecie che, invece, si concretizzano nel settore cyber dove le azioni malevole possono essere riconducibili anche a gruppi limitate le cui nazionalità e finalità sono generalmente definite in base ad una interpretazione del modus operandi piuttosto che su elementi oggettivi. La giurisprudenza internazionale, da questo punto di vista, è ancora in evoluzione e, senza scendere nei dettagli, uno dei punti più controversi è proprio quello relativo al concetto di “attribuzione” dell’azione offensiva senza la quale non è possibile ricondurre l’azione stessa ad una entità statuale e, di conseguenza, considerare l’offesa cyber come un “attacco armato”. l’Italia, come delineato nel National Position Paper su ‘International Law and Cyberspace’ ed. sett. 2021, documento di policy nazionale presentato all’ONU e redatto congiuntamente da Presidenza del Consiglio dei ministri, MAECI e Ministero della Difesa, riconosce che l’attribuzione è una prerogativa sovrana nazionale che si basa e si articola su molteplici passaggi (attribuzione tecnica, legale e politica).
Questa premessa era necessaria per illustrare le difficoltà di operare in un settore giuridicamente e tecnologicamente molto complesso dove, come la realtà dimostra oramai quotidianamente, pur in una situazione non contemplata dal diritto tra Stati, le infrastrutture critiche pubbliche o private nazionali sono soggette a veri e propri attacchi che possono portare anche ad indebolire l’efficienza e il funzionamento di un‘intera nazione. Per far fronte a questo complesso contesto, nel nostro Paese è stata emanata una serie di provvedimenti legislativi, tra cui mi limito a ricordare il decreto-legge 82 del 14 giugno 2021 (convertito nella legge 109/2021) “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”. Attraverso tale importate provvedimento sono stati introdotti tre nuovi organismi, il Comitato interministeriale per la Cybersicurezza (CIC), il Nucleo per la Cybersicurezza (NCS) e l’Agenzia Nazionale per la Cybersicurezza (ACN), ed è stata altresì definita l’attuale architettura nazionale di sicurezza cibernetica che, come ricordato sopra, è basata su 4 pilastri: Resilienza (ACN), Intelligence (Comparto Informazioni per la Sicurezza), Cyber Defence (Difesa), prevenzione e contrasto criminalità informatica (CNAIPC del Ministero degli Interni).
Il Comitato interministeriale, nello specifico, è presieduto dai rappresentati dei principali Dicasteri della Pubblica Amministrazione e declina le sue azioni direttamente nei confronti del NSC ma anche nei confronti dei singoli Dicasteri. Naturalmente in tali organismi è presente anche il Dicastero Difesa, a partire dall’Autorità Politica (CIC) fino alle sue articolazioni specialistiche (il COR siede al NCS). Si tratta, indubbiamente, di un modello organizzativo collegiale in cui la sicurezza cyber, considerata come il risultato di azioni trasversali, viene promossa mediante la cooperazione, la collaborazione e l’integrazione tra tutti gli attori interessati. La postura nazionale per contrastare gli attacchi cyber nei confronti delle infrastrutture critiche nazionali è quella di prevenire, monitorare, rilevare e mitigare, con azioni attuate in maniera coordinata. Questo è possibile anche grazie allo scambio e all’interazione con organizzazioni ed agenzie esterne tra cui l’Unione Europea e la NATO.
In tale contesto il Governo, nell’ambito del più ampio contesto di sicurezza nazionale a suo tempo definito con il “Piano Nazionale per la protezione Cibernetica e la Sicurezza Informatica” del 2017, ha avallato presso il Ministero della Difesa le iniziative (cito testualmente) “volte a istituire un Comando Interforze Operazioni Cibernetiche (CIOC), deputato alla protezione dei sistemi e delle reti di quel Dicastero nonché all’effettuazione delle operazioni in campo cibernetico”, obbiettivi concretizzatesi, attraverso il COR, costituito nel 2020 con tre linee di azione distinte come obbiettivo e come prospettiva temporale. Inoltre, con il recente art.37 del D. Legge 115/2022 il Comparto Informazioni per la Sicurezza e la Difesa sono state autorizzate a poter svolgere “misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale.”.
Con riferimento alla prima linea d’azione, in termini di priorità, il COR assolve la funzione di CERT- DIFESA e agisce collegialmente con il CSIRT (presso l’ACN) e con gli altri CERT della Pubblica Amministrazione per conseguire e fare evolvere un’attenta, continua ed efficace capacità di monitoraggio delle infrastrutture digitali della Difesa e di gestione degli incidenti informatici, in cui è essenziale una capacità di analisi degli eventi malevoli post-evento.
La seconda linea è quella di analizzare, studiare e sviluppare dottrine, procedure, capacità e competenze per “effettuare delle operazioni in campo cibernetico” (vedasi l’art.88 del COM, dinanzi citato), nel rispetto della giurisprudenza nazionale ed internazionale in vigore e nell’eventualità della futura evoluzione della stessa.
La terza ed ultima linea di azione è quella di identificare il percorso formativo ed addestrativo orientato a specializzare personale altamente preparato nel settore specifico delle operazioni cyber. Si tratta di una scelta cruciale ed indispensabile in un settore in cui lo stesso mercato lamenta la carenza di risorse specializzate e che non possono essere completamente e totalmente esternalizzata ad un attore esterno.
Cybersecurity Italia. Per una efficace difesa delle nostre infrastrutture cyber occorre, in parallelo al miglioramento della loro resilienza, anche una capacità di deterrenza e contrasto, ovvero una capacità di reazione. Potrebbe illustrarci come il COR sta approcciando il complesso paradigma della difesa avanzata?
Gen. Div. AAran Sergio Antonio Scalese. Riprendendo ed ampliando quanto già sinteticamente accennato, la capacità di reazione, anche da parte del COR, attualmente si estrinseca come una difesa sempre più “anticipata” capace di identificare le possibili modalità e tecniche di attacco. Questo approccio è quello che internazionalmente viene riconosciuto ai “white hat hackers” o “ethical hackers” e comprende un insieme di test, che di fatto simulano un attacco per comprendere e risolvere le possibili debolezze del sistema difensivo.
In un approccio a “più lungo termine” il COR sta operando su molteplici percorsi distinti ma convergenti sullo stesso obbiettivo.
Il primo riguarda l’analisi e le proposte di adeguamento del quadro normativo nazionale di settore, in particolare per quanto riguarda le operazioni cyber. Alcune proposte di revisione delle funzioni e dei compiti all’interno del comparto Difesa sono già state recepite e sono anche in fase di valutazione successive possibili evoluzioni delle linee di indirizzo e successivi adeguamenti delle disposizioni. Necessariamente sarà necessario elaborare anche delle specifiche Regole d’Ingaggio (ROE), NATO e nazionali, da attuare in funzione di scenari predefiniti anch’essi in fase di perfezionamento.
Il secondo è quello di elaborare un quadro dottrinale, ovviamente da perfezionare e sviluppare in funzione degli indirizzi che saranno definiti. La dottrina è essenziale per identificare le modalità di operare, le capacità da conseguire e gli investimenti che devono essere operati nel settore.
Il terzo riguarda il conseguimento di competenze e capacità specifiche, per essere in grado di agire al verificarsi dei possibili scenari sempre nel rispetto del quadro normativo e degli obbiettivi del vertice Politico e Militare. Si tratta di addestrare e formare tecnici altamente specializzati in grado di comprendere e reagire alla minaccia tempestivamente e rapidamente con una azione efficacie e limitata a rendere innocua la minaccia stessa. Questa azione con finalità formativo-addestrativa è già in atto e si concretizza, tra le altre cose, nella partecipazione ad esercitazioni nazionali, internazionali e NATO dove il nostro personale opera sia come “blue team” che “read team”. Le stesse Cellule Operative Cibernetiche (COC) rischierate in teatro sono uno strumento di difesa avanzata il cui compito, oltre a quello di contribuire alla difesa delle reti delle Forze Armate presenti nei teatri operativi, è quello di acquisire informazioni ed esperienza. Cito ancora le capacità di analisi forense ovvero di analisi approfondita post-incidente per capirne le dinamiche, la profondità e le conseguenze ma soprattutto le tecniche, tattiche e procedure (TTPs) attuate per superare le difese cyber.
Infine la realizzazione di strumenti, assieme all’industria nazionale, per formare ed addestrare il personale, faccio riferimento alla realizzazione di un Cyber Range completamente italiano, un ambiente evoluto con cui generare e simulare scenari con un elevato grado di complessità. Come pure l’industria nazionale è interessata per la realizzazione di un sistema automatizzato per assicurare la cyber awareness e la gestione delle operazioni nel dominio cibernetico.
In termini di deterrenza, oggi è possibile solo esternare le capacità di contrastare gli attacchi, prevenendo ed inibendo attraverso l’infrastruttura difensiva gli attacchi stessi. Questo, per un attaccante esperto è l’evidenza che abbiamo le capacità di prevenzione, predizione e di contrasto assolutamente robuste ed approfondite. Per fare un’analogia con il modo reale, “facciamo vedere all’esterno quanto è robusto il muro di protezione e come siamo in grado di renderlo più robusto prevenendo le modalità con cui un attaccante tenta di abbatterlo, penetrarlo o superarlo”.