Il G7 italiano si chiude con un documento che tocca anche i temi della cybersecurity e della protezione delle infrastrutture critiche. Con principi generali ma anche qualche dettaglio pratico.
I documenti finali dei grandi incontri politici internazionali sono fatti per mettere d'accordo tutti o, quantomeno, per non scontentare nessuno. E quando toccano argomenti anche tecnici come la cybersecurity restano inevitabilmente sulle generali. Vale anche per il documento con cui si è chiuso il G7 italiano di questi giorni, che però comprende anche qualche dettaglio interessante.
Il primo è che sembra ormai affermato il concetto per cui la messa in sicurezza degli spazi digitali è importante quanto la sicurezza in senso lato. "La sicurezza delle nostre società dipende sempre più da un uso del cyberspazio aperto, interoperabile, sicuro, resiliente e rispettoso dei diritti umani", spiega il documento finale del G7, rimandando però poi a una serire di principi sin troppo generali ed al lavoro dello Ise-Shima Cyber Group del G7 stesso, che è attivo da molti anni.
Più interessante è il rimando all'idea di "promuovere un comportamento responsabile degli Stati nell'uso delle tecnologie ICT nel contesto della sicurezza internazionale", tema sul quale le Nazioni Unite dovrebbero focalizzarsi in modo specifico a partire dal 2025. Specie considerando quanto sia necessario ora "contrastare le minacce strategiche e chiedere conto agli attori cyber malintenzionati". Anche se l'ennesimo richiamo ad intensificare il lavoro "per migliorare lo scambio di informazioni e il coordinamento" sottolinea in fondo che i threat actor continuano a cooperare meglio di chi deve contrastarli.
Per collaborare meglio è nato anche il G7 Cybersecurity Working Group, che in un meeting di circa un mese fa aveva di fatto già evidenziato, con anche un po' più di sostanza, i temi generali trattati ora dal documento del G7. Il quale aggiunge una descrizione dell'approccio complessivo che il G7 intende seguire nel contrastare i threat actor, approccio basato su quattro punti chiave: promuovere un comportamento responsabile degli Stati nel cyberspazio, migliorare la cybersecurity anche nel settore privato, sviluppare strumenti per dissuadere e rispondere alle azioni degli Stati e dei threat actor ostili e dei criminali informatici anche attaccando le infrastrutture che utilizzano, rafforzare la capacità di sicurezza informatica dei partner.
Non poteva in questo senso mancare una citazione specifica per il ransomware. "Coordineremo i nostri sforzi per evitare il pagamento di riscatti", si spiega, lasciando intendere che le aziende potrebbero essere in vario modo 'disincentivate' (è un eufemismo) a pagare le somme richieste dai criminali. Un'altra dichiarazione d'intenti - "valuteremo anche azioni per imporre costi agli attori malintenzionati" - è troppo vaga e poco pratica per essere davvero compresa.
Si fa strada anche il concetto della sicurezza "by design" nel campo delle infrastrutture critiche e nei prodotti che hanno un 'contenuto' digitale sempre più rilevante. Nel primo caso, senza molti dettagli. Il documento sottolinea sì che le infrastrutture critiche sono sempre più bersaglio di attacchi da parte dei threat actor state-sponsored, in particolare nel settore dell'energia, ma di fatto non aggiunge nulla a questa considerazione se non la (nota) necessità di mettere in sicurezza le supply chain.
Semmai, il richiamo al fatto che la protezione delle supply chain va fatta "riconoscendo i quadri normativi esistenti" lascia intendere che proprio questi quadri sono una parte del problema e non della soluzione. Di sicuro, in generale non aiuta il fatto che le leggi sulla cybersecurity si stiano sviluppando, globalmente, in maniera assai poco coordinata.
Più di rilievo, e in parte collegato a quest'ultima considerazione, è il fatto che sia stata esplicitata la necessità di "realizzare prodotti IoT più sicuri". A questo scopo i membri del G7 valuteranno "prontamente" la possibilità di "istituire schemi di riconoscimento reciproco per prodotti affidabili e sicuri dal punto di vista cyber". Anche spingendo i produttori "a migliorare la sicurezza dei prodotti durante tutto il loro ciclo di vita ed a renderli sicuri by-design e by-default".