Parte Seconda
IV. Le risorse informatiche del comando operativo NATO di Mons (SHAPE)
In questa sezione procederemo all'esame delle entità NATO correlate alla cyberwarfare, dipendenti dallo SHAPE di Mons. Per una migliore comprensione del testo fare riferimento alla figura sottostante, già pubblicata nella Prima Parte.
6. Centro operativo del cyberspazio (CyOC)
Centro operativo NATO, talvolta indicato come Directorate for Cyberspace Operations, responsabile della difesa informatica e delle operazioni nel dominio cibernetico contro attori statali e non statali. In particolare, il centro detiene capacità sia difensive che offensive misurandosi tanto con attori sponsorizzati dagli stati, quanto con organizzazioni terroristiche; intensa a tal fine è la collaborazione con l'intelligence militare dei vari paesi dell'Alleanza
Il centro nasce infatti nel 2018 allo scopo di coordinare le operazioni cyber degli alleati NATO, supportare i comandi operativi e rafforzare la resilienza delle reti NATO contro le minacce informatiche. Il tutto con l'obiettivo finale di arrivare ad una completa integrazione ed interoperabilità delle singole capacità nazionali di cyberdifesa sotto un unico punto di comando. Non a caso il CyOC dispone di analisti dell'intelligence in grado di correlarsi con analoghi elementi nei paesi alleati.
Non a caso uno degli strumenti più efficaci a disposizione del CyOC sono le esercitazioni Cyber Coalition, grazie alle quali le varie reti nazionali e collettive NATO vengono sottoposte a stress-test allo scopo di individuarne i punti deboli, analizzarli e quindi eliminarli. In particolare vengono simulati attacchi complessi su infrastrutture critiche (es. reti elettriche, sistemi di comando e controllo) al fine di testarne la resilienza e la capacità di risposta e ripristino. Le Cyber Coalition, organizzate annualmente dall'Allied Command Transformation (ACT) possono arrivare ad includere fino a 1.000 cyberprofessionisti da ogni angolo dell'Alleanza. La sperimentazione di nuove tecnologie e tattiche, compreso l'utilizzo della AI, è parte integrante della missione del CyOC, che la svolge sia a livello strategico (con consulenze di dominio ai comandi superiori) sia a livello operativo (con funzioni di supporto ai comandi tattici e regionali).
Il CyOC risponde agli ordini del generale olandese Jan-Willem Maas che coordina in team di circa 70 di esperti in cyberwarfare basati a Mons presso lo SHAPE anche in questo caso per sfruttarne le sinergie. Il CyOC infatti dipende strutturalmente dalla Allied Command Operations (ACO) del NATO Military Committee di Bruxelles attraverso il vice-Capo di Stato Maggiore per il Cyberspazio, Generale Rainer Beeck.
Tale configurazione è tuttavia destinata a cambiare: infatti, a seguito della decisione del vertice NATO di Washington del Luglio 2024 è stato deciso l'accorpamento di diverse unità cibernetiche tra cui il CyOC, sotto un nuovo comando unificato denominato NATO Integrated Cyber Defence Centre (NICC) la cui entrata in operatività è previsto avvenga nel 2028.
7. Centro integrato di difesa informatica della NATO (NICC)
Secondo quanto riferito dal comunicato NATO del 10 Luglio 2014, a seguito di una decisione decisione del vertice di Washington è stata prevista l'attivazione di un nuovo Centro Integrato per la Difesa Cibernetica (NICC) incaricato di migliorare la protezione delle reti NATO e alleate e l'uso del cyberspazio come ambito operativo. Il Centro informerà i comandanti militari della NATO su possibili minacce e vulnerabilità nel cyberspazio, comprese le infrastrutture critiche civili private necessarie a supportare le attività militari.
Il nuovo centro sarà gestito da personale civile e militare proveniente da tutta la NATO, dai Paesi alleati ed esperti del settore. Sfrutterà tecnologie avanzate per aumentare la consapevolezza situazionale nel cyberspazio e migliorare la resilienza e la difesa collettive.
Il NICC avrà la sua sede principale a Mons, presso lo SHAPE, oltre ad alcune filiali in altri paesi europei, con entrata in regime operativo prevista per il 2028.
A detta di uno dei portavoce della NATO, il NICC riunirà in un unico centro varie entità informatiche in una sola, in particolare dovrebbero essere accorpate le seguenti unità:
▪️Centro per la sicurezza informatica (NCSC)
▪️Centro operativo informatico (CyOC)
▪️Divisione di analisi delle minacce informatiche (CTAB)
▪️Parti dell'ufficio del CIO
Il progetto prevede la creazione di una sorta di network in cui accentrare i centri decisionali in tema di cyberwarfare, da cui poi diramare direttive e soluzioni a tutti i paesi NATO in tempo reale in caso di minaccia. Non a caso è stata prevista l'integrazione con aziende civili del settore in modo da allargare prevenzione e protezione anche ai comparti pubblici strategici non -militari.
V. Altre risorse informatiche collegate alla NATO
In questa sezione prenderemo in esame alcune entità fondate sotto gli auspici della NATO e chè operano a stretto contatto con l' Alleanza pur senza esserne parte. Parliamo dei cosiddetti Centri di Eccellenza ( CoE) ovvero delle istituzioni preposte alla ricerca scientifica focalizzate su specifici ambienti operativi. Di questi CoE se ne contano attualmente 29 sparsi in tutto il territorio NATO, di cui un paio correlati al comparto cyberwarfare e guerra ibrida, vale a dire quello di Tallinn e quello di Riga, oltre a quello di Helsinki che però ha una dipendenza diversa.
8. Centro di eccellenza per la difesa informatica cooperativa della NATO (CCDCOE)
Specializzato nella difesa cibernetica, il Cooperative Cyber Defence Centre of Excellence (CCDCOE) di Tallinn è uno dei 29 Centri di Eccellenza accreditati dalla NATO, costituito nel maggio 2008 allo scopo di supportare a NATO nello sviluppo di capacità di difesa cibernetica lungo quattro ambiti operativi:
▪️ricerca & sviluppo: studi, tecnologie emergenti, strategie cibernetiche.
▪️formazione & addestramento: corsi, seminari ed esercitazioni con focus sulle capacità di difesa. Tra queste ricordiamo l'annuale Locked Shields, attualmente la più grande esercitazione di difesa cibernetica al mondo, che simula attacchi informatici complessi su infrastrutture critiche e che nel 2024 ha visti coinvolti 3.000 partecipanti da oltre 40. Di grande importanza anche la Crossed Swords, esercitazione basata su tecniche sia d'attacco che di difesa. Rilevante è anche la collaborazione con università ed industrie del settore.
▪️analisi dei dati: valutazione danni, esperienze acquisite, indagini sugli incidenti e resilienza dei sistemi.
▪️Sperimentazione & dottrina: definizione di standard e concetti operativi relativi alle operazioni cibernetiche, procedure, manualistica tra cui il Tallinn Manual 2.0, considerato un documento di riferimento globale sul diritto internazionale applicato alle operazioni cibernetiche. Inoltre, rapporti periodici su minacce emergenti, come attacchi ransomware, deepfake e vulnerabilità delle infrastrutture 5G.
Da sottolineare inoltre la stretta collaborazione del CCDCOE con il Centro Minacce Ibride di Helsinki o Hybrid COE (si veda oltre) nell'ambito di un processo di integrazione tra la difesa cibernetica e la lotta alla disinformazione e altre minacce non convenzionali.
In termini organizzativi il CCDCOE opera sotto la direzione di Mart Noorma, che controlla un team di circa 100 professionisti tra militari, accademici e tecnici provenienti dai paesi della NATO ed è finanziati dal governo estone oltre che da diversi paesi contributori, tra cui l'Italia, oltre a paesi non-NATO quali Australia, Giappone e Corea del Sud.
9. Centro di eccellenza per le comunicazioni strategiche della NATO (StratCom COE)
Fondato a Riga nel gennaio 2014, il NATO Strategic Communications Centre of Excellence (StratCom COE) è un altro dei 29 centri di eccellenza accreditati dalla NATO, nel suo caso allo scopo di migliorare le capacità di comunicazione strategica dell'Alleanza e dei suoi membri. Non fa parte della struttura di comando NATO, né è subordinato ad altre entità NATO, ma opera come organizzazione militare internazionale multinazionale, finanziata e gestita dai paesi sponsor, vale a dire 14 membri della NATO tra cui l'Italia.
Ruolo primario dello Stratcom è il contrasto alla guerra ibrida mediatica attraverso l'utilizzo di strumenti tratti da diverse discipline: sociologia della comunicazione, psicologia sociale e teoria della comunicazione di massa. Da qui l'applicazione in diversi ambiti operativi:
▪️Analisi completa delle metodologie utilizzate da attori ostili nell'ambiente informativo, con particolare attenzione alle tecnologie emergenti ed all'intelligenza artificiale.
▪️Consulenza e supporto pratico ai decisori ed ai processi decisionali della NATO. Compilazione di rapporti riservati e pubblici: tra questi la pubblicazione della rivista accademica di riferimento Defence Strategic Communication, nonché di oltre una ventina di paper di ricerca accessibili al pubblico su temi come disinformazione, minacce ibride e manipolazione dei social media.
▪️Sviluppo di dottrine, standardizzazione, formazione e addestramento nel campo della comunicazione strategica, inclusi ambiti quali Public Diplomacy, Public Affairs, Information Operations e Psychological Operations.
▪️Ricerca e contrasto alla disinformazione, compresa la sicurezza digitale e l'utilizzo della rete nella disinfoprop da parte di attori ostili, come Russia e Cina.
▪️Formazione & addestramento attraverso programmi di studio riservati a personale governativo e militare, seminari e conferenze annuali tra cui la Riga Stratcom Dialogue, che vede la partecipazione di centinaia di esperti da decine di paesi; contribuisce inoltre alla esercitazione Locked Shields, organizzata dal CCDCOE di Tallinn.
StratCom opera sotto la direzione Jānis Sārts, che gestisce un team internazionale di esperti con background, militari, governativi e accademici, compresi formatori, analisti e ricercatori e riceve finanziamenti dai paesi contributori. Particolarmente intensa la collaborazione con il CCDCOE di Tallinn e con Countering Hybrid Threats Centre di Helsinki.
10. Centro europeo di eccellenza per la lotta alle minacce ibride
Più semplicemente noto come Hybrid COE, viene fondato a Helsinki nell'aprile 2017 sotto gli auspici dell'allora segretario NATO Jens Stoltenberg e dell'alto rappresentante UE Federica Mogherini: il centro infatti non è incluso tra i 29 COE accreditati dall'Alleanza Atlantica bensì frutto di una iniziativa comune NATO/UE/Finlandia. Tra i 36 paesi aderenti ve ne sono infatti diversi che non fanno parte dell'Alleanza (come Australia, Nuova Zelanda, Irlanda ecc.).
Il centro, che opera sotto la direzione di Teija Tiilikainen, utilizza un approccio olistico whole-of-government per contrastare le minacce ibride definite come azioni coordinate e sincronizzate che sfruttano vulnerabilità sistemiche di Stati democratici attraverso tattiche come disinformazione, attacchi cibernetici, sabotaggi, pressioni economiche e altre misure non convenzionali. Un esempio in tal senso è stata l'analisi delle campagne di disinfoprop russa mirate a dividere l’opinione pubblica occidentale, come quella migratoria al confine russo-finlandese del 2023, riconosciuta come operazione ibrida non spontanea.
In tale ottica la missione di Hybrid COE è promuovere la ricerca, la formazione e lo sviluppo di capacità atte a contrastare le minacce ibride, quali disinformazione, attacchi informatici, interferenze elettorali e altre azioni non convenzionali.
Nella sua missione Hybrid COE si avvale di una governance mista NATO/UE che comprende un ufficio segreteria formato da una ventina di persone supportate da una rete esterna di 1.200 esperti provenienti da forze armate, settore privato, governi, amministrazioni NATO e UE.
Alla segreteria si affianca un comitato direttivo incaricato di definire le attività e le priorità operative da assegnare a tre gruppi di lavoro:
▪️Vulnerabilità e resilienza, per l'analisi delle vulnerabilità sistemiche sulle reti ed infrastrutture e lo sviluppo di strategie di resilienza.
▪️Sicurezza legale, per lo studio di punti deboli legislativi che possano essere sfruttate in operazioni ibride.
▪️analisi di minacce ibride specifiche relative a temi quali disinformazione, cybersecurity, sicurezza marittima e relative infrastrutture critiche (come cavi sottomarini ecc.): come ad esempio il rapporto sull'incidente-sabotaggio al Baltic Connector del 2023.
Parte importante del lavoro di Hybrid COE avviene attraverso corsi, esercitazioni e seminari. Ricordiamo ad esempio Hybrid 101 corso che introduce alla simulazione di scenari di guerra ibrida, oppure l'innovativa conferenza Securithon 2024, in cui è stato analizzato l'uso della AI nella guerra ibrida e cibernetica.
Tra le esercitazioni va menzionata la partecipazione alla Locked Shields, oppure alla Nighthawk 21 che ha testato le capacità delle forze speciali NATO di operare in scenari di guerra ibrida; Nighthawk 21 in particolare ha visto una consistente presenza italiana di operatori del COFS, tra cui Rangers del Monte Cervino ed acquisitori del 185° Folgore.
A questi eventi partecipano i cosiddetti Counter Hybrid Support Teams, (CHST), vale a dire delle squadre interdisciplinari di tecnici e specialisti nei vari comparti della guerra ibrida che possono essere mobilitati a supporto di uno stato oggetto di attacco. Interfacciati con le risorse cyber della NATO, i CHST sono un'iniziativa di Hybrid COE, che funge da elemento di coordinamento.
Consolidata è poi la collaborazione con alcuni NATO COE attivi su terreni contigui: quello di Vilnius (sicurezza energetica), quello di Riga (comunicazione strategica) e quello di Tallinn (guerra cibernetica): con quest'ultimo tuttavia focalizzato sulla cybersicurezza a differenza del Hybrid COE di Helsinki che invece agisce con un approccio più olistico, comprendente anche disinformazione, resilienza sociale e cooperazione civile-militare. In sintesi, in ragione del suo mandato ad ampio spetto Hybrid COE di Helsinki non compete con i COE NATO bensì li integra creando sinergia.
Relativamente alla UE la partnership si realizza con la EU Hybrid Fusion Cell, che è un centro di intelligence ed analisi sulle minacce ibride della Comunità Europea.
VI. Timeline e conclusioni
L'evoluzione della difesa j da parte della NATO ha avuto una rapida espansione a partire dal vertice di Praga del 2002, sia in termini di consapevolezza della minaccia, sia di implementazione di assetti progressivamente messi a punto di fronte al progredire di una minaccia divenute via via più audace, complessa, distruttiva e coercitiva.
Il cyberspazio è divenuto terreno di scontro, ambiente contesto tra attori ostili e nel quale si verificano quotidianamente attività dannose e malevoli ad ogni livello, da quelli minori a quelli più sofisticati, cui la NATO deve rispondere con rapidità e capacità adeguate al fine di prevenire, affrontare e mitigare le crisi. Solidità e resilienza, dunque, per rispondere ad attori maligni come Russia, Cina, Iran,.Corea del nord ed altri, che costantemente cercano di destabilizzare l'Alleanza attraverso campagne informatiche dannose volte a degradare le infrastrutture critiche, interferire con i servizi governativi, estrarre informazioni di intelligence, rubare proprietà intellettuale e ostacolare le attività militari. Azioni divenute sempre più frequenti da dopo l'inizio della guerra di aggressione russa contro l'Ucraina ma già ben presenti da oltre un ventennio nel campo di battaglia virtuale del cyberspazio: eventi che attraverso la minaccia hanno portato ad una sempre maggiore consapevolezza e capacità di risposta.
▪️novembre 2002: durante il vertice di Praga per la prima volta la difesa informatica viene inserita nell'agenda politica dell'Alleanza. Con ciò viene affermata la necessità di fornire protezione dagli attacchi cibernetici alle infrastrutture critiche ed alle operazioni militari della NATO.
▪️ Novembre 2006: il vertice di Riga, pur non assumendo decisioni specifiche relative alla cyberwarfare, ribadisce la necessità di incrementare la protezione informatica di reti e sistemi. Il vertice riconosce comunque di importanza strategica la sicurezza energetica, anch'essa destinata a diventare obiettivo della guerra ibrida russa.
▪️Maggio 2007: per quasi un mese l'Estonia diventa obiettivo di pesanti attacchi informatici russi. Vengono presi di mira parlamento, banche, ministeri, giornali, emittenti televisive e i singole personalità. In ambito NATO i ministri della difesa alleati convengono sulla necessità di intervenire urgentemente.
▪️Gennaio 2008: la NATO elabora la sua prima Politica sulla Difesa Cibernetica che punta a sincronizzare le attività nazionali nel settore, proteggere i sistemi di interesse strategico, collaborare alla difesa reciproca ed elaborare soluzioni
▪️ Aprile 2008 la Cyber Defence Policy viene formalmente adottata al vertice NATO di Bucarest. Questa risoluzione porterà alla nascita, un mese più tardi del CCDCOE di Tallinn (si veda § 8.)
▪️Agosto 2008: il conflitto tra Russia e Georgia dimostra come gli attacchi informatici abbiano il potenziale per diventare una componente importante della guerra convenzionale nonché una delle principali armi di quella non convenzionale. La guerra in Georgia è considerato il primo esempio di attacco cibernetico di massa sincronizzato ad un attacco militare
▪️Novembre 2010: durante il vertice NATO di Lisbona la NATO adotta un Concetto strategico che riconosce per la prima volta, la possibilità che attacchi informatici riescano a raggiungere una soglia tale da minacciare la sicurezza e la stabilità della nazione colpita. Durante il vertice viene anche affermato come la difesa collettiva della NATO debba potersi estendere al dominio cibernetico, introducendo anche agli attacchi informatici il concetto di risposta collettiva. La definizione dell'assetto giuridico è il primo passo verso la realizzazione di una comunità di difesa estesa anche all'ambito informatico.
▪️Aprile 2012: la difesa informatica viene introdotta nel processo di pianificazione difensiva della NATO, identificandone e classificandone i requisiti in base alle priorità. Dopo quella giuridica si apre quindi la strada per la realizzazione pratica di una architettura difensiva cibernetica collettiva.
▪️Luglio 2012: come parte del rafforzamento informatico deciso al vertice NATO di Chicago viene fondata la NATO Communication and Information Agency (NCIA), (si veda §1.) e contestualmente avviato il programma JISR di intelligence, sorveglianza e ricognizione attraverso l'integrazione di tutte le piattaforme (Awacs, satelliti, droni, ELINT, SIGINT ecc.).
▪️Aprile 2014: il Consiglio Nord Atlantico (NAC) decide di rinominare uno dei suoi comitati consultivi, enfatizzandone l'approccio alla cybersicurezza: il Defence Policy and Planning Commitee assume quindi il titolo di Cyber Defence Commitee o CDC (si veda § 2.).
▪️Settembre 2014: al vertice NATO del Galles viene tracciata una nuova Cyber Defence Policy denominata NATO Strategy on Countering Hybrid Warfare, nella quale la difesa cibernetica viene riconosciuta come elemento della difesa collettiva suscettibile di poter invocare l'Articolo 5, in base all'assunto che il diritto internazionale debba essere applicato anche al cyberspazio. È la formalizzazione del principio introdotto cautamente al vertice di Lisbona del 2010 ed ora definitivamente sdoganato dopo gli eventi di Crimea.
▪️Settembre 2014: la NATO apre al settore privato facendo seguito alle decisioni assunte durante il vertice, relativamente alla collaborazione con le imprese in ambito cibernetico. Viene lanciato il programma NATO Industry Cyber Partnership (NICP) durante un meeting allo Shape partecipato da 1.500 leaders industriali e politici.
▪️Febbraio 2016: la NATO e la UE concludono un accordo tecnico sulla difesa cibernetica in grado di potare a sinergie tra le due parti in tema di condivisione di informazioni e modalità di risposta: nello specifico l'accordo coinvolge la NCIRC della NATO ed il CERT della UE (si veda § 1.).
▪️Luglio 2016: durante il vertice NATO di Varsavia, al .70 della dichiarazione conclusiva, il cyberspazio viene proclamato quarto dominio operativo, cosa che comporta un nuovo approccio politico al problema della cyberwarfare ma anche operativo in quanto ridisegna la pianificazione dell'Alleanza e l'approccio alla minaccia. Viene inoltre annunciata.l'attivazione di un nuova Joint Intelligence & Security Division JISD (si veda § 4.).
▪️Febbraio 2017. I ministri della difesa NATO formano l'accordo attuativo per l'implementazione del quarto dominio cyberspaziale. L'accordo è noto come Cyberspace Roadmap e coinvolge ambedue i comandi strategici NATO: ACO e ACT.
▪️Dicembre 2016: NATO e UE formalizzano un accordo di cooperazione riguardante tra l'altro il contrasto alle minacce ibride, la difesa informatica, la condivisione di informazioni, la ricerca e la partecipazione reciproca alle esercitazioni.
▪️ Febbraio 2017: NATO e Finlandia firmano un accordo-quadro in materia di difesa informatica volto a migliorare e proteggere la resilienza delle rispettive reti.
▪️Dicembre 2017: NATO e UE rafforzano la cooperazione in materia di difesa informatica, includendo nuovi aspetti ed ambiti riassunti in oltre 30 proposte operative, tra cui l'analisi delle minacce e la collaborazione tra i team di risposta rapida.
▪️Luglio 2018: al vertice NATO di Bruxelles.viene decisa l'istituzione di un nuovo centro operativo per il cyberspazio, poi denominato CyOC (si veda § 6.), incaricato di coordinare ed integrare le capacità cibernetiche dei singoli alleati NATO entro un fronte di difesa comune. I vari assetto mantengono la loro autonomia, ma capacità, procedure ed informazioni vengono condivise.
▪️Giugno 2021: nel corso del vertice NATO di Bruxelles viene ufficializzata una nuova Comprehensive Cyber Defence Policy che punta ad sviluppare un approccio integrato alle questioni di difesa cibernetica coinvolgendo i livelli politico, militare e tecnico. Viene affinato il concetto di risposta collettiva collegata all'Articolo 5, sulla base dell'esame caso per caso, in modo da creare incertezza tra gli attori ostili e favorire la deterrenza.
▪️Settembre 2021: il NAC nomina il suo primo Chief Information Officer (CIO) al fine di facilitare l'integrazione, l'allineamento e la coesione dei sistemi ICT dell'intera NATO (si veda § 5.). La sicurezza informatica diviene quindi una priorità.
▪️Luglio 2023: al vertice NATO di Vilnius viene deciso l'allargamento ad Australia, Giappone e Corea del Sud del partenariato nel CCDCOE di Tallinn (si veda § 8). Viene inoltre avviato il progetto VCISC, ossia Virtual Cyber Incident Support Capability, che consiste nella possibilità di fare intervenire da remoto, in tempo reale e con approccio coordinato, teams di risposta rapida a supporto del paese colpito da cyberattacco.
▪️Luglio 2024: viene concordato, al vertice NATO di Washington, l'istituzione entro il 2028, di un NATO Integrated Cyber Defence Centre (NICC), ovvero di un centro integrato di difesa cibernetica che riunirà sotto un unico comando, varie entità informatiche già presenti nell'organigramma dell'Alleanza (si veda § 8.). Si tratta probabilmente del primo passo verso la realizzazione di quello che un domani diventerà il Cybercommando strategico dell'Alleanza Atlantica.
