La CIA, le azioni segrete e le operazioni nel cyberspazio
28.07.2022
In un'importante notizia di Yahoo News (Zach Dorfman, Kim Zetter, Jenna McLaughlin e Sean Naylor) ha rivelato l'esistenza di un ordine segreto presidenziale del 2018 che altera i termini in cui la CIA può (e deve) impegnare gli avversari con mezzi informatici. Dovreste essere preoccupati, colpiti o entrambi?
1. Che cosa rivela esattamente la notizia che non sapevamo già?
Non dovrebbe essere una sorpresa per nessuno che la CIA abbia ricevuto dal Presidente l'ordine di intraprendere azioni segrete nei confronti di Iran, Corea del Nord, Russia e Cina. Né dovrebbe sorprendere che ciò possa includere operazioni nel dominio cibernetico. Qual è dunque la novità?
Riguarda i processi, e più precisamente il modo in cui le procedure decisionali del ramo esecutivo sono calibrate per modulare i compromessi rischio-ricompensa. L'essenza della storia è che, sotto l'approccio dell'amministrazione Obama e fino all'amministrazione Trump, la CIA doveva ottenere l'approvazione per le operazioni nel dominio cibernetico su base individuale attraverso il consueto processo di screening del Consiglio di Sicurezza Nazionale per le Azioni Segrete (o forse con un esame supplementare rispetto a quello che le proposte di azione segreta ricevono di solito). Nel 2018, però, il Presidente Trump ha emesso un nuovo documento che autorizzava in maniera generalizzata la CIA a condurre operazioni cibernetiche contro determinati avversari - Russia, Cina, Corea del Nord e Iran - e potenzialmente altri (anche se le condizioni che fanno scattare la possibilità che altri Stati o attori non statali rientrino nell'ambito di applicazione del documento non vengono identificate nella notizia in questione), senza dover ricorrere al processo del Consiglio di Sicurezza Nazionale per ottenere l'approvazione di particolari azioni. Secondo i giornalisti, ciò ha ridotto i tempi di approvazione da un anno o più a poche settimane.
Si noti che questo è molto simile alle rivelazioni precedenti (e ufficiali) sul National Security Presidential Memorandum 13, che sottolineava come la politica di Trump fosse quella di ridurre considerevolmente il controllo interagenzie delle operazioni informatiche in generale, per la preoccupazione che un controllo eccessivo in passato avesse reso gli Stati Uniti troppo lenti ad agire in alcuni casi e del tutto incapaci di agire in altri. L'NSPM-13 è stato per lo più discusso (da me e da altri) in termini di impatto sulle operazioni del Comando cibernetico statunitense, ma ciò riflette semplicemente il fatto che in quel contesto abbiamo più materiale da macinare; si parla molto in pubblico della strategia di “difesa in avanti” del Comando cibernetico statunitense e anche di alcune operazioni particolari, mentre non si sente quasi mai parlare di azioni segrete della CIA nel cyberspazio. Ora quest'ultimo aspetto sta cambiando un po', ma non in modo particolarmente sorprendente.
2. Ma la storia ha forti toni di preoccupazione per questo sviluppo. Ci sono delle bandiere rosse?
L'articolo contiene molte citazioni di ex funzionari che sembrano preoccupati che la riduzione del controllo esterno delle attività segrete della CIA e l'accelerazione dei tempi di approvazione possano portare a un'assunzione di rischi indebita o incauta. È giusto: non c'è dubbio che si tratti di un'attività ad alto rischio. Ma si noti anche il riferimento, contenuto nell'articolo, al fatto che almeno alcuni funzionari hanno assunto una prospettiva del tipo “era ora” su questo cambiamento. In definitiva, si tratta di un equilibrio tra rischio e ricompensa, e il cambiamento riflette chiaramente un giudizio dell'amministrazione Trump sul fatto che in precedenza abbiamo avuto un approccio eccessivamente cauto. I tempi straordinari che talvolta sono stati necessari per ottenere l'approvazione di particolari operazioni suggeriscono fortemente che un cambiamento era effettivamente necessario.
3. Sono passati due anni da quando è successo. Le prove suggeriscono un successo o un fallimento?
L'articolo chiarisce che la CIA è stata attiva nell'uso della sua autorità, affermando che sono state effettuate più di una dozzina di operazioni e facendo anche un accenno - anche se non proprio un'attribuzione certa - alla responsabilità della CIA per un paio di particolari operazioni di doxing. L'articolo non identifica alcun fallimento o abuso degno di nota (anche se ovviamente gli oppositori dell'idea generale di intraprendere azioni segrete in questo modo obietteranno a questa caratterizzazione), e non c'è alcuna affermazione che qualcosa sia stato incoerente con la legge degli Stati Uniti.
4. Ma che dire dei riferimenti dell'articolo alle “infrastrutture critiche”?
Uno dei punti più interessanti dell'articolo riguarda una modifica delle regole che, a quanto pare, ha eliminato o indebolito un precedente divieto sulle operazioni che potrebbero “danneggiare le infrastrutture critiche, come gli impianti petrolchimici”. È difficile capire cosa pensare di questo senza maggiori dettagli. Da un lato, un assegno in bianco per far saltare in aria le infrastrutture critiche sarebbe davvero molto preoccupante. Ma è possibile - anzi, probabile - che la scoperta non dia tale assegno in bianco. Forse autorizza solo il preposizionamento delle capacità, nel caso in cui un avversario intraprenda un'azione del genere contro le infrastrutture critiche statunitensi, aprendo così la porta a tale contromisura. Forse identifica solo una serie di circostanze riviste in cui tale autorizzazione potrebbe essere concessa. In particolare, l'articolo non sostiene che questa particolare autorità sia stata usata; sì, l'articolo dice che ci sono stati alcuni effetti cinetici da operazioni della CIA in base alla scoperta, ma non sostiene che nessuno di questi abbia coinvolto un'infrastruttura critica civile dell'avversario.
5. In conclusione?
La storia è un importante promemoria del fatto che, nonostante la maggiore visibilità delle attività di difesa del Comando cibernetico degli Stati Uniti, la CIA continua a svolgere un ruolo critico nella sempre più feroce competizione nella zona grigia che caratterizza lo statalismo nel cyberspazio al giorno d'oggi.
Traduzione di Costantino Ceoldo
