Dicembre 2016
Gentili lettori,
Molti tra di voi hanno saputo, probabilmente in modo frammentario e purtroppo ritrasmesso con non pochi errori da numerosi media occidentali, che la Federazione Russa si è dotata di una nuova dottrina sulla sicurezza delle informazioni (Доктрина информационной безопасности Российской Федерации) pubblicata ufficialmente il 5 dicembre 2016.
Considerate le informazioni pubblicate dai vari media europei e non solo sono doverose due precisazioni. In primis, questa è non la prima dottrina pubblicata dalle massime autorità della Federazione Russa su queste tematiche, basta consultare il volume “La cyberstratégie russe”1 che analizza l’ukaze (decreto presidenziale) del 9 settembre 2000 dalla prima all’ultima parola.
La seconda precisazione di ordine deontologico, è che per “bon ton” quando si cita un testo si dovrebbe indicare la fonte esatta soprattutto quando la citazione è redatta in una lingua terza. Purtroppo, la duplicazione su larga scala dell’informazione (chiamata anche più volgarmente “copia-incolla”) non considera la fonte come un elemento necessario da replicare.
La nuova dottrina del 2016 colpisce immediatamente per la sua brevità, nulla a che vedere quindi con la pesantissima compilazione di articoli del primo opus e della loro ripartizione in quattro sezioni, la cui lettura è complicata da molte ridondanze e da cambi di prospettive.
Sin dall’inizio della nuova politica, le autorità russe propongono una definizione di quello che denominano “spazio informazionale”, con il riferimento esplicito ma non limitativo alla rete Internet (senza tuttavia rinchiudervisi). Ci troviamo davanti a una differenza radicale col testo iniziale, che non menzionava in alcun modo Internet rimanendo fedele a una stretta neutralità dal punto di vista tecnologico, perché con la scelta di non dare una definizione completa, i redattori di allora avevano optato per un’enumerazione dei settori e dei punti tecnici mirati.
Nel documento, la formulazione è sensibilmente diversa e, la “rete delle reti” viene menzionata in diversi punti.
La definizione scelta dalla Russia è la seguente: “La sfera informazionale deve essere compresa come un insieme di oggetti, di sistemi, di siti basati sulla rete Internet, di reti di telecomunicazioni, di tecnologie, di entità la cui funzione è di costituire e di trattare l’informazione, gestire e sviluppare le tecnologie afferenti la sicurez
za dell’informazione ed anche i meccanismi di regolamentazione delle relazioni pubbliche”.
Il seguito del testo è alla fine una riconduzione dei principi stabiliti nella dottrina del 2000; con un richiamo rilevante alla difesa degli interessi nazionali, prevalentemente nel campo della sfera informazionale. Ci permettiamo una precisazione tutto tranne che insignificante: sin dall’inizio dell’articolo 2 vengono evocati i tre livelli di questa sicurezza informazionale. Proprio dove la visione americana si basa su tre strati (software, materiale, informazionale), quella del suo alter-ego russo sceglie di fondarsi su di un altro trittico costituito dall’individuo, dalla società e dallo Stato. Questo concetto era già incluso nel testo di sedici anni fa ma non in modo così evidente. Questa particolarità è tra l’altro ricordata nel punto 20 (articolo 4).
Nel campo della sicurezza delle informazioni, viene proposta una definizione relativamente dettagliata ma che ha beneficiato delle riflessioni espresse nei testi di questi ultimi anni: «La sicurezza delle informazioni è l’implementazione dei mezzi giuridici, organizzativi, operativi, investigativi analitici, di intelligence, di counterintelligence, tecnologici e scientifici destinati a predire, rivelare, dissuadere, prevenire e respingere le minacce o a cancellarne le conseguenze”.
È importante sottolineare anche che questa dottrina, oltre ad aggiornare quella del 2000 fa seguito alla Strategia di Sicurezza Nazionale della Federazione Russa del 31 dicembre 2015 (Стратегия национальной безопасности Российской Федерации).
Il testo chiarisce poi l’insieme che viene a costituire gli interessi della Federazione Russa nella sfera informazionale. Non manca nessuno degli elementi elencati nel 2000, ma viene rimarcata la necessità di utilizzare le tecnologie dell’informazione non solo per migliorare la democrazia e le relazioni tra la società civile e lo Stato ma anche per preservare l’essenza stessa della Russia, cioè l’eredità culturale, spirituale e morale del suo spazio multietnico.
Questo punto, ribadito nel testo, è sintomatico della visione culturale e sociale caratteristica dei testi russi, aspetto spesso eluso nei documenti occidentali analoghi.
L’obiettivo dello sviluppo dell’industria delle tecnologie dell’informazione e dell’elettronica russa ci fa ricordare un documento passato inosservato al momento della sua pubblicazione benché essenziale, ovvero la Strategia di sviluppo dell’industria delle tecnologie dell’informazione nella Federazione Russa per il periodo 2014 – 2020. In quest’ultimo documento, sono citati tutti i metodi da impiegare per riuscire nella protezione e nello sviluppo dell’industria, in particolare studiando il successo delle società americane e mobilizzando il settore militare-industriale.
Il testo del 2016 oggetto del nostro studio riafferma questo obiettivo, considerato come strategico. Lo stesso aspetto viene completato ulteriormente, nell’articolo 17, dal richiamo sulla sovranità tecnologica che deve essere percorribile tramite un insieme di compagnie nazionali di dimensione significativa nei settori dell’IT e dell’elettronica. Dal testo del 2014, l’articolo 18 del decreto del 2016 riprende il paragrafo dove viene deplorata la troppo limitata ricerca nei campi di questo sviluppo, penalizzando l’emergenza di un quadro globale di sicurezza delle informazioni.
Viene, inoltre ricordato un altro passo tratto dal testo del 2000 ovvero il bisogno di produrre un’informazione più precisa sui soggetti che riguardano la Russia e le sue azioni, e questo sia per il pubblico russo che per quello internazionale. Questo ci ricorda ovviamente la creazione della struttura Rossia Segodnia, operata dalla fusione della «Voce della Russia» e di RIA Novosti nel 2013.
L’obiettivo di assicurare la sovranità della Russia è evocato ripetutamente nel testo, in termini tanto laconici quanto imperativi. Questo obiettivo, viene ribadito, deve essere effettuato tramite una coordinazione a livello internazionale. Questa precisione non ci stupisce, poiché la Russia aveva già deposto un testo in questo senso presso l’ufficio del Segretariato delle Nazioni Unite e che garantisce il suo supporto all’Unione Internazionale delle Telecomunicazioni in iniziative similari. È doveroso precisare, in rapporto a questa problematica, che la legge federale N 242 FZ del 21 luglio 2014 richiede che i dati riguardanti i cittadini russi siano trattati in server che siano fisicamente presenti sul territorio nazionale. Se Google e Apple si sono piegati a questa esigenza, rispettivamente nell’aprile e nel settembre 2015, la rete professionale LinkedIn è stata sconnessa dal web russo su richiesta diretta delle autorità russe. Rimane a carico delle altre società che contravvengono alla legge di procedere a una locazione dei server in Russia o di delocalizzare una parte dei propri server nella Federazione Russia.
Leggiamo poi la dualità dello “spazio informazionale” e delle tecnologie connesse: da una parte, permettono una crescita dell’economia e un miglioramento dei rapporti tra l’amministrazione e gli amministrati, dall’altra introducono minacce specifiche che possono destabilizzare il paese.
Il punto 13 è specificamente mirato – ed è una novità perché il documento del 2000 non era così esplicito su questo punto – alla minaccia terroristica, individuale o organizzata, che può pregiudicare il sistema informazionale. Questa può paralizzare in modo critico le infrastrutture oppure diffondere una propaganda che attenta agli interessi della Federazione.
È presente nella dottrina anche una parte focalizzata sulla cyber criminalità, in particolare nella sua componente finanziaria. Quest’ultimo aspetto era già abbordato nel 2000, con una lungimiranza notevole se teniamo conto dello stadio di evoluzione delle tecniche e delle reti di allora. Nella nuova dottrina, non poteva certo mancare questo tema, tenendo conto dei numerosi cyber attacchi criminali che avevano appena colpito gli enti bancari russi proprio a novembre e dicembre 2016 (citeremo come esempio il furto di due miliardi di rubli alla Banca Centrale).
Il cyber nel settore militare viene accennato a più riprese, ma in modo molto succinto e senza apporto reale se teniamo conto degli altri testi ufficiali dedicati a questo settore e molto più eloquenti. L’articolo 21 dettaglia un po’ meglio il ruolo delle forze armate nella sicurezza informazionale, in quattro componenti: dissuasione e prevenzione di qualsivoglia
conflitto che può nascere come conseguenza dell’uso delle tecnologie dell’informazione; miglioramento della preparazione e dei mezzi connessi alla guerra informazionale all’interno del settore militare; preparazione alla protezione degli interessi della Russia nello spazio informazionale; neutralizzazione delle operazioni psicologiche informazionali mirate a compromettere l’eredità patriottica e storica della nazione russa. Quest’ultimo elemento sottolinea l’interesse dimostrato dalle autorità russe su questo aspetto della guerra, eredità di fatto di una lunga tradizione sovietica in questo campo.
L’articolo 23 si presenta come una litania delle azioni della sicurezza dello Stato che devono essere implementate tramite lo spazio informazionale. Fondamentalmente, questo elenco è un riassunto di tutti i punti dettagliati in precedenza, ad esempio la sovranità del paese, la protezione delle infrastrutture informazionali, l’impiego di contromisure per evitare danni ai valori propri della Russia, la preferenza per i prodotti locali di tecnologia dell’informazione che rispondano all’obbligo di un livello preciso di sicurezza informazionale, ecc. (etc.)
Un punto trattato in modo laconico ma che merita la nostra attenzione è quello che si riferisce alla vigilanza contro gli atti di un potere straniero, commessi da individui o da servizi speciali (da intendersi come servizi di intelligence) o da organizzazioni suscettibili di impiegare le tecnologie dell’informazione per minacciare la sicurezza dello Stato. Questo vuol dire prendere chiaramente atto che il cyber- spazio, o spazio informazionale, è un settore strategico perché può giungere a mettere in pericolo – tramite i suoi autori, le sue tecnologie o dal loro uso – la stabilità politica, economica, finanziaria e militare di uno Stato.
Poi viene dettagliata in modo più capillare l’interconnessione tra la sicurezza informazionale e il settore economico. Vi ritroviamo le preoccupazioni espresse nella dottrina del 2000, con il bisogno di avere a disposizione un’industria IT ed elettronica locale capace di limitare l’importazione di prodotti di origine terza. Questo vale tanto per i beni quanto per i servizi. Potremmo riassumere l’articolo come segue: protezione, innovazione, competitività e sicurezza di una fitta rete industriale nazionale nel campo delle tecnologie dell’informazione. Il termine preoccupazione non è esagerato se si tiene conto dell’insistenza di questa problematica, presente in diversi testi ufficiali sin dal 2000. Ci ritroviamo in una configurazione elaborata dal famoso teorico – e praticante – del protezionismo, Friedrich List, poiché le previsioni sono identiche: proteggere le ditte in un settore industriale nascente, accompagnarle e favorirle finché siano competitive, per poi lasciarle affrontare il mercato mondiale quando sono giunte a maturità.
Questa strategia, sul piano economico, è identica a quella applicata nel campo dell’educazione, della formazione e della ricerca scientifica. Vi ritroviamo lo stesso ragionamento: creare fondamenta solide per poter poi raggiungere un livello di competitività. Questa similitudine non è fortuita: denota una strategia globale che rifiuta di scindere gli sforzi in funzione dei settori ma piuttosto in funzione degli stadi di progressione di ognuno di essi.
Infine, vi è una volontà evidente, identica a quella precisata già nel 2000, di promuovere una visione comune e internazionale del concetto della sicurezza informazionale. Su questo tema, è sottolineato che lo spazio informazionale è uno spazio conflittuale che può essere usato per destabilizzare degli Stati per motivi di ambizioni politico-militari.
È proprio la sovranità della Federazione Russa ad essere al centro della ricerca e della conclusione di partenariati e di un quadro internazionale nel campo informazionale. Un dettaglio rimane però relativamente impreciso, il suggerimento di un segmento della rete Internet (che è esplicitamente nominato ancora una volta) [1] sotto la gestione nazionale. Trattasi di un nuovo progetto di una rete nazionale resa sicura da un sistema operativo sovrano? Oppure trattasi di recintare, o piuttosto di filtrare, la parte russa della rete Internet? Questo punto meriterebbe ulteriori dettagli da parte dalle autorità perché le poche righe analizzate sono troppo stringate per trarne una qualsivoglia prospettiva tangibile.
Gli articoli 30 e i seguenti sono principalmente richiami al codice giuridico, con un punto di spicco per la menzione che il Presidente della Federazione Russa rimane il solo competente a definire l’orientamento in materia di politica di sicurezza informazionale (assecondato dal Consiglio di Sicurezza della Federazione oppure dalla Commissione militare-industriale). Segue la lista degli attori di primo piano, che sono implicati nella sicurezza informazionale, che senza sorpresa integra tutte le componenti dell’esecutivo e degli enti e compagnie sotto la loro tutela (anche indiretta come la Banca do Russia).
È, dunque, ricordata la volontà di preservare i diritti dei cittadini pur mantenendo gli obiettivi di sicurezza informazionale, così come di migliorare l’interconnessione dei mezzi di sicurezza informazionale tra le diverse componenti delle strutture di forza militari e civili, a tutti i livelli territoriali.
Per seguire la progressione degli effetti voluti da questa dottrina, il Segretario del Consiglio di Sicurezza della Federazione ha l’onere di redigere un rapporto annuo.
Il testo, quindi, non presenta nulla di rivoluzionario. È nello stesso tempo una riaffermazione della dottrina del 2000 e un condensato di documenti connessi pubblicati dopo di essa, anche se arricchito da alcuni punti tratti dalle esperienze degli ultimi anni.
È così che vediamo rinforzato l’interesse per la sicurezza informazionale dei campi economici e finanziari nonché il riferimento a Internet (è questa, tra l’altro, l’unica concessione di un testo tecnologicamente molto neutro).
Nella forma, notiamo uno sforzo sostanziale per rendere la nuova dottrina più leggibile della precedente, mentre nel contenuto, si percepiscono nettamente gli orientamenti futuri, improntati di pragmatismo.
Non dubitiamo che documenti ufficiali settoriali seguiranno a breve, come già avvenuto dopo la pubblicazione della dottrina di settembre 2000.
[1] д) развитие национальной системы управления российским сегментом сети «Интернет»
Dottrina di sicurezza informazionale di dicembre 2016 (in russo) : https://rg.ru/2016/12/06/doktrina-infobezobasnost-site-dok.html
Strategia di sicurezza nazionale di dicembre 2015 (in russo) : http://www.consultant.ru/document/cons_doc_LAW_191669/61a97f7ab0f2f37 57fe034d11011c763bc2e593f/
1 Editions Nuvis, Collection Cyberespace et Cyerdéfense, dir. N. Arpagian, Paris 2013
