Sulla strada che porta alla realizzazione del “Decennio Digital Europeo”, l’Unione si ritrova a dover conferire particolare rilevanza a quella che è la base di qualsiasi strategia digitale di lungo periodo: le infrastrutture. Con tutta probabilità, i cavi sottomarini avranno il loro posto nell’aggiornamento della direttiva NIS, guadagnando uno spazio legittimo nel quadro normativo europeo in materia di cybersecurity. Un processo accelerato dalle sempre maggiori sfide poste dal contesto geopolitico del cyberspazio, nel quale l’Europa ha la necessità di rendersi sicura, resiliente e autonoma. Nel mese della cybersecurity awareness proponiamo un’analisi sul tema della sicurezza dei cavi e le sfide che essa pone all’Europa.
L’articolo è disponibile anche su Spotify!
Il 19 marzo del 2021, durante l’evento tenutosi online dal titolo “Digital Day 2021”, i ministri rappresentanti di 25 stati membri dell’Unione Europea, con l’aggiunta di Norvegia e Islanda, hanno firmato la dichiarazione “European Data Gateways as a key element of the EU’s Digital Decade”, un documento nel quale gli stati firmatari si impegnano ad allineare le proprie strategie nazionali verso l’obiettivo comune di rafforzare la rete infrastrutturale digitale europea. L’Unione Europea, si legge, ha il potenziale per diventare un “data hub” mondiale, ma per farlo ha bisogno oggi più che mai di investire nelle sue infrastrutture: cavi terrestri e sottomarini, satelliti, data center e Internet Exchange Points. Nella dichiarazione vengono individuate quattro aree geopolitiche, o “piattaforme”, di elevata rilevanza strategica per l’Europa, ognuna corrispondente ad un corridoio che collega l’Europa con il resto del mondo: tali piattaforme sono l’Oceano atlantico, il Mediterraneo, l’area Mare del Nord/Artico e l’area Baltico/Mar Nero. Ognuna di queste aree ha la sua rilevanza strategica, essendo ognuna di queste piattaforme la via d’accesso a diverse zone geografiche e diversi mercati globali, ma anche le sue criticità, non ultima delle quali è la minaccia cibernetica alle telecomunicazioni sottomarine.
Mare e cyberspazio: un approccio “militare”
La natura “marittima” di questa porzione di cyberspazio sposta inevitabilmente l’analisi dei rischi dei i flussi digitali dal piano meramente cibernetico a quello più ampio della sicurezza dei mari. L’Europa comunica con il mondo attraverso corridoi marittimi che negli ultimi anni hanno dimostrato di poter essere teatro di conflitti geopolitici molto più di quanto si pensi. Il Mediterraneo ne è la prova, rotta importantissima dal punto di vista commerciale e cibernetico, via principale che collega Asia, Medio Oriente, Africa ed Europa attraverso i cavi sottomarini. Questo mare vede da un lato la pericolosa instabilità politica della Libia, dall’altro il ritrovato protagonismo turco e la sua dimensione marittima. In particolare per l’Italia, il monitoraggio della situazione libica diventa di cruciale importanza data la vicinanza del paese nordafricano alla Sicilia, nostro principale hub dei cavi. Il Mediterraneo non è, tuttavia, l’unico mare rischioso per i cavi europei. Il corridoio atlantico ha contribuito ad un certo risveglio delle coscienze in tema di sicurezza dei cavi, quando nel 2017 il maresciallo britannico Stuart Peach espresse preoccupazione per l’aumento di attività sottomarine russe nell’Atlantico del Nord tra Groenlandia, Regno Unito e Islanda, attività che possono potenzialmente includere lo spionaggio e la compromissione dei cavi sottomarini. La necessità di prioritizzare la difesa del cablaggio marino, in quest’ottica, corrisponderebbe ad una risposta alla modernizzazione della flotta navale russa e al suo protagonismo dei recenti anni. Una necessità ribadita nel 2020, a seguito della riunione dei ministri della difesa NATO tenutasi nei giorni 22 e 23 ottobre. In tale occasione, il Segretario Generale Jens Stoltenberg confermò che i cavi sottomarini e la loro sicurezza erano stati argomenti dell’evento, aggiungendo poi che il nuovo comando NATO situato a Norfolk, negli Stati Uniti, avrà tra i suoi compiti proprio quello di vigilare sulle line di comunicazione lungo l’Atlantico settentrionale. Nel novembre dello stesso anno, durante la 66esima sessione annuale dell’Assemblea Parlamentare della NATO, lo stesso Segretario auspicò che gli alleati NATO investissero in capacità anti-sottomarine in funzione di protezione dei cavi. Ciò ci porta a constatare un primo approccio alla sicurezza dei cavi, quello militare, il quale mira a sviluppare gli equipaggiamenti appropriati al tipo di fronte sul quale si opera. Se a ridosso della costa i cavi possono essere monitorati con facilità, in mare aperto tale operazione diventa più complicata. Qui possono entrare in azione sottomarini specializzati nell’interazione con i cavi per operazioni di danneggiamento, spionaggio e riparazione, o comunque sottomarini capaci di dispiegare robot subacquei autonomi, o diretti da remoto, per le operazioni più complesse. L’approccio militare delega il problema sicurezza all’avanzamento tecnologico degli arsenali militari, e da solo non assicura la piena sicurezza e resilienza del sistema.
Un approccio normativo
Un altro approccio è quello normativo, basato sul diritto internazionale e di stampo cooperativo. Un singolo cavo può essere soggetto a più giurisdizioni dal momento che la sua rotta può includere le acque territoriali di diversi paesi. Tuttavia, regole generali per le acque internazionali sono dettate dalla UNCLOS (Convenzione delle Nazioni Unite sul diritto del mare), anche se non chiarificano del tutto lo status dei cavi. In generale si stabilisce il diritto di posarli liberamente e di ripararli, ma gli stati possono ancora esercitare un controllo sulla definizione delle loro rotte in relazione ai tratti che passano nelle loro acque territoriali e possono sottoporne le operazioni di posa e riparazione a lenti controlli di risk assessment ambientale. Una situazione giuridica non chiara che può portare a situazioni di conflittualità e che esige ancora oggi uno sforzo della comunità internazionale. L’approccio normativo può essere visto anche come l’insieme di regole che a livello nazionale si applicano nei confronti dei privati che operano nel settore del cablaggio sottomarino. In questo caso distinguiamo due soggetti che possono essere sottoposti ad una regolamentazione, i proprietari del cavo e i fornitori. Nel primo caso, è opportuno conoscere le leggi nazionali in materia di cybersecurity e protezione dati alle quali sono soggetti i proprietari di un determinato cavo in fibra ottica: tali normative, infatti, potrebbero obbligare le aziende in questione a collaborare con i rispettivi governi in ambito di intelligence, determinando un problema di sicurezza per i dati che vengono trasmessi attraverso il cavo. Discorso simile va fatto nei confronti dei fornitori, coloro che si occupano di realizzare le componenti fisiche delle infrastrutture. Questi attori della catena produttiva vanno sottoposti ad un sistema di regole stringenti per verificare qualità e sicurezza dei dispositivi venduti, in quanto questi potrebbero contenere vulnerabilità in grado di nuocere ai sistemi informativi. Tale funzione di controllo viene esercitata, nel caso italiano, dal Perimetro di sicurezza cibernetica nazionale, che individua i prodotti tecnologici sui quali effettuare un controllo preventivo di sicurezza.
Un approccio basato sulla ridondanza
Sia i mezzi militari che gli strumenti normativi non bastano per assicurare sicurezza e resilienza della rete di cavi globale. È fondamentale che il sistema di cavi sottomarino sia caratterizzato da un buon livello di ridondanza. L’approccio della ridondanza fa sì che la rete di cavi di un paese possa contare su molteplici infrastrutture, in modo tale da minimizzare una singola possibile disfunzione. Ciò che conta, infatti, è assicurare il flusso perpetuo di dati: anche il solo rallentamento dell’informazione può causare danni esiziali, basti pensare alla tempestività di cui necessitano operazioni finanziarie e comunicazioni militari. In più occorre che la rete sia ridondante data la frequenza di incidenti causati dall’attività umana, in particolare la pesca e l’ancoraggio, statisticamente le più letali per i cavi sottomarini. La ridondanza deve basarsi, inoltre, su un principio di diversità geografica: le rotte dei cavi, oltre ad essere molteplici, devono interessare diversi itinerari, evitare di concentrarsi nei mari geopoliticamente più conflittuali ed essere distribuiti in maniera sparsa lungo tutto il litorale senza sovraccaricare singole località. L’impatto di un attacco o di una disfunzione aumenta tanto più sono i cavi che si collegano ad una singola stazione: i cavi possono infatti viaggiare attraverso rotte diverse, ma confluire poi nello stesso punto d’approdo che di fatto va a costituire un “collo di bottiglia” cibernetico. A tal proposito, un elemento da non trascurare per essere veramente consapevoli dei rischi delle telecomunicazioni sottomarine sono gli estremi terrestri che queste mettono in collegamento. I cavi infatti confluiscono in dei punti d’accesso definiti Cable Landing Stations (CLS), o Landing Points, strutture situate nei pressi delle coste che trasmettono i dati arrivati via mare alla rete terrestre. Elemento spesso dimenticato, le CLS sono tra i punti più vulnerabili del cyberspazio. Esemplare il caso di un giornalista britannico che nel 2018 si introdusse indisturbato in una di queste strutture sita in Cornovaglia, facente parte di un sistema comprendente tre cavi intercontinentali. Le CLS, infatti, sono spesso sfornite di efficienti misure di sicurezza, anche basilari, e il più delle volte sono raggiungibili da chiunque.
Iniziative Europee
L’aggiornamento della direttiva NIS aumenterà in generale l’attenzione nei confronti di infrastrutture, fornitori e supply-chain. Nella proposta della Commissione Europea, viene inserito un riferimento ai cavi sottomarini, specificando come questi debbano essere soggetti ad appropriate misure di cybersicurezza, oltre che ad un sistema reportistica degli incidenti cibernetici, in modo da assicurare la fruizione dei servizi essenziali che passano attraverso la rete. I cavi sottomarini entrano a far parte di quelle infrastrutture critiche che veicolano i servizi erogati dalle “entità essenziali”. Attraverso questo aggiustamento normativo, l’Unione effettua un importante passo avanti verso la sovranità digitale: portare ad un livello successivo la protezione dei cavi dimostra l’intento di voler tutelare l’indipendenza delle proprie vie di comunicazione e di voler emergere tra quegli attori che fino ad oggi si sono contesi la rete in fibra ottica mondiale, Cina e Stati Uniti.
