La sicurezza informatica degli Stati Uniti è a rischio. Serve una risposta forte e decisa per dissuadere i nemici.
Un fiume Potomac avvelenato che scorre attraverso Washington, D.C., droni che si schiantano contro edifici pubblici, ferrovie trasformate in armi. Quando la Cyberspace Solarium Commission pubblicò le sue prime raccomandazioni nel marzo 2020, elencammo questi pericoli fittizi per la nostra infrastruttura nazionale da un attacco informatico.
Quattro anni dopo, siamo riusciti a evitare che queste finzioni diventassero realtà, ma la nostra nazione rimane ancora troppo vulnerabile agli avversari che cercano di compromettere le nostre infrastrutture critiche. Sebbene i nostri nemici globali abbiano finora colpito solo su piccola scala i nostri settori delle comunicazioni, dell’energia, della sanità, dei trasporti e dell’acqua, un attacco su larga scala potrebbe essere imminente.
Insieme agli altri commissari, abbiamo a lungo denunciato l’escalation delle ostilità cibernetiche sui nostri mercati liberi, sul nostro sistema di governo e sulla nostra salute e benessere. Abbiamo definito questa minaccia esistenziale, e ora è giunto il momento di rafforzare la nostra sicurezza informatica nazionale — non solo da una posizione difensiva, ma anche attraverso una deterrenza visibile e potente.
Da dove partire? È chiaro che bisogna aumentare le difese. Il governo degli Stati Uniti deve colmare le migliaia di posti vacanti in campo cybersecurity e modernizzare i sistemi informatici obsoleti. Le aziende che costruiscono e mantengono il software e l’hardware necessari per la nostra economia devono essere obbligate a garantire la sicurezza delle loro creazioni. A livello individuale, ciascuno di noi deve fare il possibile per proteggere la propria sicurezza digitale.
Tuttavia, una sicurezza informatica più forte da sola non può garantire la nostra sicurezza. Stiamo subendo attacchi; continueremo a subire attacchi; alcuni di questi attacchi avranno successo e infliggeranno danni fisici ed economici al popolo americano.
Come nazione, dobbiamo prepararci e praticare la risposta, il recupero e la ricostituzione, se e quando saremo colpiti. Questo è il motivo per cui abbiamo sostenuto l’inclusione della Sezione 1517 nel National Defense Authorization Act dello scorso anno, che testa la resilienza cibernetica e la ricostituzione delle infrastrutture critiche che supportano le installazioni militari. In caso di conflitto all’estero, è probabile che l’avversario attacchi l’elettricità, l’acqua e le telecomunicazioni attorno alle basi militari statunitensi. Una volta che questi servizi critici sono fuori uso, l’esercito avrebbe difficoltà a dispiegarsi per entrare in combattimento.
Inoltre, dobbiamo dimostrare che i nostri cittadini non si lasceranno intimidire da attori malintenzionati – siano essi individui o stati nazionali. Ciò significa che dobbiamo essere preparati per un attacco alla nostra infrastruttura critica. Sosteniamo la formazione alla preparazione civile e altre misure affinché gli americani siano equipaggiati per affrontare qualsiasi minaccia.
Ma stiamo vivendo in una fantasia se pensiamo di poterci proteggere solo con azioni difensive. Dobbiamo affrontare la dura verità che dobbiamo intraprendere un modo radicalmente diverso per affrontare gli avversari nel cyberspazio. Se vogliamo che Pechino, Mosca o Teheran smettano di costruire le loro armi nelle nostre infrastrutture, non possiamo limitarci a chiedere gentilmente. Invece di più parole, dobbiamo mostrare al mondo che continuare a minare i nostri sistemi idrici ed energetici avrà una risposta dolorosa.
In altre parole, i nostri cyber combattenti devono emergere dall’ombra e mostrare i denti. Perché l’essenza della deterrenza è assicurarsi che l’avversario sia spaventato. E si spaventeranno solo se credono che abbiamo la capacità e la volontà di metterli a repentaglio come ora stanno facendo con noi.
Sfortunatamente, né il Partito Comunista Cinese né l’esercito russo sembrano essere colmi di terrore esistenziale che le loro stesse infrastrutture critiche possano essere compromesse. In effetti, potrebbero non preoccuparsene affatto se le loro popolazioni sono messe in pericolo, purché le élite siano al sicuro. Dobbiamo pensare in modo ampio e audace per far sapere al mondo che siamo capaci di arrecare danni gravi se veniamo attaccati.
Non sarà facile mostrare questa capacità offensiva cibernetica. Potremmo avere bisogno di una buona dose di “declassificazione strategica” delle nostre capacità offensive. Potremmo dover prenderci più meriti pubblicamente per le operazioni offensive che i nostri incredibili difensori cibernetici del governo stanno attualmente svolgendo in tutto il mondo. Persone più intelligenti di noi dovranno capire come rendere la nostra deterrenza cibernetica non solo visibile ma palpabile.
La deterrenza riguarda il garantire che il tuo avversario abbia paura di ciò che potresti fargli. Deve essere spaventoso per loro. E, a essere onesti, sarà spaventoso per noi, mentre contempliamo il rischio che il nostro sforzo di deterrenza conduca a un’escalation. Ma segnalare che eviteremo il conflitto a tutti i costi non ispirerà mai paura nei nostri avversari. Russia, Cina, Iran e altri hanno dimostrato di poter strangolare le nostre linee di vita economiche e di sicurezza.
È giunto il momento di dimostrare che siamo pronti, disposti e in grado di restituire il favore.