La sovranità digitale indica la capacità di uno stato, o di una organizzazione, di agire nel mondo digitale in modo indipendente e comprende la capacità di favorire l’innovazione digitale, proteggendo al tempo stesso tutti i suoi dati digitali. Un obiettivo a dir poco sfidante se si considerano le dinamiche evolutive della rete globale, dell’interconnessione delle reti, della trasformazione digitale, fino alla crescita e consolidamento del cloud computing e quelle legate all’uso degli algoritmi di Intelligenza Artificiale.
Metodologia per la sovranità digitale
Come procedere quindi per realizzarla tenendo conto di tutti i fattori abilitanti e delle tante minacce in agguato che possono vanificare gli sforzi profusi? Una risposta strutturata e cadenzata la fornisce Roberto Baldoni – già professore ordinario alla Sapienza di Roma, vicedirettore generale del Dipartimento Informazioni per la Sicurezza, e primo direttore generale della Agenzia di Cybersecurity Nazionale (ACN) – che nel suo ultimo libro esamina e risponde all’esigenza di tenere sotto controllo i dati digitali, fornendo un metodo organizzativo applicabile ad entità di qualsiasi livello.
eXtended Detection & Response: scopri le novità in tema Security
Definizione e obiettivi di Sovranità digitale
Il libro si intitola “Charting Digital Sovereignity: a survival Playbook” (presentazione il prossimo 18 marzo presso la Sapienza) e spiega come valutare e migliorare il livello di sovranità digitale di un Paese o Stato, ma come accade per i framework di approccio metodologico, questo tipo di strumento si presta per essere applicato anche alle organizzazioni pubbliche e/o private che volessero governare per davvero i propri dati digitalizzati.
Come primo passo l’autore chiarisce la definizione di sovranità digitale per fornire una terminologia comune, ma soprattutto per fissare un obiettivo ideale, che si sa non essere raggiungibile, ma che guida il resto della ‘tabella di marcia’. Baldoni, quindi, chiarisce nel libro che “la piena sovranità digitale di una nazione comprende l’esercizio dell’autorità su tutti i dati generati dai cittadini e dalle imprese; la capacità di utilizzare tecnologie sicure e affidabili per l’elaborazione di questi dati, supportata da una forza lavoro sufficiente e fidata; la creazione e mantenimento continuo di una collaborazione internazionale per affrontare in modo proattivo le minacce, unitamente ad un contesto sociale pienamente consapevole ed educata sui rischi nel cyberspazio”.
Flusso dati transfrontaliero: le sfide di data protection, innovazione e sviluppo economico
Un obiettivo chiaramente ideale, ma che fornisce una rotta prestabilita per una nazione verso quattro sotto-obiettivi strategici: il controllo dei dati, le capacità tecnologiche e quelle professionali, consapevolezza delle persone, la capacità di creare alleanze internazionali.
Ognuno dei precedenti dovrebbe essere affrontato e impostato considerandone la ‘mobilità nel tempo’ a causa di eventi scientifici, tecnologici, o geopolitici che modificano il concetto di sovranità digitale e lo allontanano all’orizzonte, rendendo necessario effettuare una rivalutazione periodica delle vulnerabilità (tecniche, organizzative, formative, procedurali, di processo o normative) e introdurre correttivi e miglioramenti adeguativi appropriati.
Collaborazione e partnership Pubblico/Privato
Parlando di una sovranità digitale di livello Stato, l’approccio dovrebbe prevedere una collaborazione pubblico/privata perché “il cyberspazio comprende prodotti e piattaforme sviluppati da aziende private, in cui i servizi vengono erogati e gestiti da entità private. Di conseguenza, la salvaguardia della sovranità digitale è indissolubilmente legata al settore privato, richiedendo una robusta e aperta collaborazione multilaterale tra i settori pubblico e privato”.
L’applicazione e l’implementazione passa per framework legislativi, politiche e pratiche di procurement contrattuali nazionali che garantiscano la proprietà e la tutela dei dati. Naturalmente in scala, se e si pensa ad una sovranità digitale di livello azienda, allora questa fase, significa instaurare partnership con i produttori di quelle tecnologie che trattano i dati aziendali, mediante policy e accordi contrattuali stringenti e tutelanti.
In entrambe i casi l’alternativa è che le piattaforme estere potrebbero di fatto governare i vostri dati al posto vostro e ‘torturarli abbastanza a lungo per farsi dire ciò che si vuole’ (citazione di Darrell Huff del 1954 sui big data, ma attuale e applicabile anche alla protezione e sicurezza dei dati, ndr). Sono note, infatti, le pratiche di marketing aggressivo che violano la privacy o le ‘manovre’ di attacco ed esfiltrazione dolose o colpose che possono inficiare la sicurezza digitale dei dati.
Variegate e molteplici, le minacce alla sovranità digitale
Proprio le minacce alla integrità riservatezza e disponibilità dei dati costituiscono un passo del cammino che non può e non deve essere evitato. Gli attaccanti nel testo sono divisi fra gli statuali (sovvenzionati da Stati) e non statuali e per ciascuno l’autore specifica le tipologie di attacco: i primi sono maggiormente coinvolti di cyber spionaggio, sabotaggio e furto di proprietà intellettuale mentre per i secondi, principalmente si ricade nell’ambito del cybercrime o dell’attivismo.
Fra le nove minacce riportate nel saggio, mai dimenticare il rischio di sicurezza legato alla catena di fornitura (supply chain security) che può abbattersi a vari livelli della catena con effetti e danni sempre diversi e tenere sempre la guardia alta sulla minaccia da disinformazione, spesso creata, spiega Baldoni, “con intenti malevoli per causare danni, manipolare l’opinione pubblica o distorcere i fatti”.
Attacchi cyber, Italia più vulnerabile: i dati del rapporto Clusit 2024
Un ulteriore importante elemento di rischio è costituito dalle competenze della forza lavoro, sulla quale Baldoni chiarisce nel testo che “secondo la previsione per il 2023 del dipartimento del lavoro americano la carenza globale di personale qualificato può raggiungere lo straordinario livello di 85,2 milioni entro il 2030. Tra questi le competenze in materia di sicurezza informatica sono quelle più richieste, con il 43% degli intervistati che la identifica come un’esigenza critica”.
Una sfida che “diventerà ancora più acuta con l’avvento dei computer quantici e di sistemi complessi di AI….. Da un punto di vista della sicurezza, la carenza di personale comporta il rischio di infiltrazioni da parte di spie anche nelle infrastrutture critiche nazionali…. La riuscita attuazione di misure per creare una forza lavoro nazionale sufficiente e fidata, non solo aumenta la protezione degli asset critici e degli interessi di un paese, ma ne eleva anche il significato geopolitico”.
Il governo della sovranità digitale
La ricetta di Baldoni per governare i dati in presenza di una minaccia così variegata e multiforme passa per una metodologia in quattro passi e un modello di architettura gerarchica ricorsiva fatta di celle interconnesse che possa essere impostata e realizzata tenendo conto del fattore tempo. Ogni cella è specializzata per una specifica tipologia di minaccia e per le corrispondenti best practice di protezione preventive e reattive. Ogni cella, composta da esperti di ambito con diverse formazioni o origini culturali, scambia informazioni con le altre e con il mondo esterno.
Se si guarda a questa architettura a livello di singolo Stato, allora le celle, tutte insieme, formano una super cella di sicurezza nazionale, che deve fornire informazioni e opzioni di policy al coordinatore di sicurezza nazionale o a un comitato di sicurezza nazionale (in Italia è l’Autorità Delegata per la sicurezza della Repubblica, ndr) che a sua volta riporta alla più alta autorità operativa dello Stato, perché possa prendere decisioni di volta, in volta, appropriate alla situazione.
La misura degli obiettivi di sovranità digitale
Per poter valutare se l’applicazione della metodologia è efficace, si rende inoltre necessario definire degli indicatori di prestazione, (Key Performance Indicators – KPI), con cui valutare ognuno dei 4 sopraccitati sotto-obiettivi strategici della sovranità digitale.
Effettuare una prima valutazione a livello dell’intera entità che si sta osservando (si essa Stato o organizzazione pubblica o privata) richiede di valutare lo stato iniziale rispetto al target finale che si vuole raggiungere. Il gap risultante rappresenta il percorso da fare per allineare lo stato iniziale agli obiettivi desiderati.
Le valutazioni devono necessariamente riguardare sia il livello delle minacce (threat assessment) sia l’analisi della struttura istituzionale, giuridica e tecnologica con cui è gestita attualmente la sovranità digitale di un paese, oltre all’analisi della sua architettura organizzativa di sicurezza nazionale e di gestione delle crisi.
Il gap permette di impostare un piano di azioni per raggiungere lo schema concettuale target, e mantenerlo nel tempo, che necessariamente dovrà prevedere una forte volontà politica pluriennale e risorse finanziarie adeguate. Nel testo sono valutati gli attuali livelli di sovranità digitale su USA, Cina, Unione Europea e Italia.
La collaborazione come elemento di successo
A valle di ogni analisi, impostazione e piano di realizzazione Roberto Baldoni ricorda sopra tutto l’esigenza di instaurare una fruttuosa e continua collaborazione fra ‘peer’ dello stesso livello: fra Stati, fra entità commerciali, organizzazioni pubbliche e così via.
La collaborazione è ricordata come un mantra per poter contrastare molte delle dinamiche di rischio che minano la sovranità digitale, fra cui principalmente i cyberattacchi, l’uso dell’AI ostile e, quello futuribile, dei computer quantistici.
Questo perché una collaborazione internazionale e globale tanto sui temi di AI quanto sui temi della resilienza cyber costituisce l’unico valido mezzo per concordare e per raccordare iniziative di standardizzazione da un lato e di contrasto dall’altro, facendo ‘forza comune’ verso gli avversari digitali.
Come raccomandazione finale il Baldoni sottolinea che “la sovranità digitale lega in modo complesso la natura globale dell’infrastruttura tecnologica moderna alla sicurezza e alla competitività di un Paese. È e continuerà ad essere, un punto focale nella società. La prosperità di un Paese dipenderà sempre più da come gestirà la sicurezza e lo sfruttamento economico dei progressi tecnologici, dai cambiamenti nelle posizioni geopolitiche e dalle questioni relative alla catena di approvvigionamento. Questo rappresenterà un punto di svolta, con un potenziale declino economico per i Paesi che non riusciranno a compiere le mosse giuste”.
Il futuro della crittografia dopo l'introduzione del computer quantistico
@RIPRODUZIONE RISERVATA