Dopo due anni di elaborazione e diversi rinvii, ecco la versione "open" del documento strategico del Pentagono: "Department of Defense Strategy for Operating in Cyberspace".
DoD Strategy for Operating in Cyberspace
Dopo due anni di elaborazione e diversi rinvii, ecco la versione "open" del documento strategico del Pentagono: "Department of Defense Strategy for Operating in Cyberspace".
DoD Strategy for Operating in Cyberspace
Ok, sono quanto mai certo che sia io il soggetto deputato ad aprire la discussione su questa tanto attesa strategia.
A dire il vero, lo faccio anche per diradare un dubbio che mi è venuto leggendo il documento, ma ci arriverò in seguito.
Il testo mi sembra ben fatto: un ottimo compromesso tra completezza dei temi da affrontare e sintesi. I toni sono certamente molto "diplomatici", almeno rispetto a quelli preannunciati qualche mese fa su alcune testate giornalistiche americane e anglosassoni.
In estrema sintensi, sfrondando qui e lì, i cinque cardini su cui si basa il documento strategico sono:
1st: DoD is treating cyberspace as an operational domain, like land, air, sea, and space.
2nd: DoD introducing new active cyber defenses. Active defenses use sensors, software and signatures to detect and stop malicious code;
3rd: Working with Department of Homeland Security and the private sector to protect critical infrastructure;
4th: DoD building collective cyber defenses with our allies and international partners;
5th: Enhance network security. A more secure and resilient internet is in everyone´s interest.
Lontano dal concetto – paventato alcuni mesi fa – di una improbabile "militarizzazione" dello spazio cibernetico (uso questo termine per far contento Giovanni…!), la strategia del Pentagono prova a dissuadere gli Stati avversari dal continuare a mascherare dietro semplici attività criminali dei veri e propri atti di spionaggio, l'ultimo dei quali pubblicamente ammesso proprio ieri in concomitanza con la presentazione del documento ( http://www.defense.gov/news/newsarticle.aspx?id=64682 ).
Il documento americano efficacemente punta su una strategia di difesa proattiva, chiamata "active defense", che, attraverso l'uso di sensori elettronici, signature d'attacco e software specifici, mira a prevenire gli attacchi e/o ad avere una reale resilienza da essi (sistemi di ridondanza dei dati e di smistamento dei carichi della rete in caso di attacchi DDoS, in primis).
Poco dice invece – ed è qui a mio avviso l'unico punto "debole" del testo – su un'ipotetica (e necessaria…!) strategia di risposta ai numerosissimi attacchi effettuati tramite la rete Internet verso i sistemi della Difesa americana. Infatti, com'è stato più volte affermato a mio avviso correttamente, in questo nuovo "operational domain" una buona strategia di attacco e di risposta agli attacchi è fondamentale per cercare di creare un minimo di deterrenza rispetto al dilagare di questi atti – più o meno espliciti – di cyber-warfare.
Più volte nel corso di questi mesi, infatti, nelle anticipazioni del contenuto del documento strategico, si era preannunciato che da ieri l'America avrebbe potuto decidere di rispondere anche con mezzi convenzionali a quei cyber-attack che avrebbero superato una predeterminata (ma non specificata!) soglia di danno.
L'affermazione, com'è noto, ha creato (giustamente) numerose polemiche. Prima fra tutte quella relativa alla particolare difficoltà nel riuscire ad avere la certezza sulla reale identità dell'autore di un attacco informatico; difficoltà ancor maggiore quando l'atto di spionaggio in Rete sia dato in "appalto" a un gruppo esterno e non ai c.d. "cyber-warriors" dello Stato attaccante. Secondo elemento di criticità, inoltre, sarebbe stata la mancanza di chiarezza su quali debbano essere i criteri e i livelli di “proporzionalità” della risposta militare convenzionale attraverso cui “leggere” un attacco effettuato utilizzando il cyber-spazio.
Insomma, le problematiche che un'affermazione del genere avrebbe posto sul piatto, sarebbero state quantomai complesse e di non facile ed immediata soluzione. Ovviamente io parlo alla luce di ciò che ho letto nella versione non classificata; magari in quella classificata (che pare essere di 30 pagine di testo) è tutto scritto.
Ora la mia domanda è: siamo di sicuri che affermare che il "DoD will treat cyberspace as an operational domain" e che "Furthermore, these efforts must include the performance of essential missions in a degraded cyber environment.", affinchè "At all levels, DoD will organize, train, and equip for the complex challenges and vast opportunities of cyberspace." non significhi affermare – in maniera "politica e diplomatica" piuttosto che militare" – proprio che il DoD valuterà se rispondere in maniera convenzionale ai cyber-attack…?
Parliamone.
Jack buongiorno. Io sono il meno indicato a discutere di questi argomenti ma mi hai fatto venire voglia di leggere la strategia.
f.
Nel frattempo, è passato un po' in sordina l'incontro tra le delegazioni di America e Russia per trovare una "soluzione" a questi atti di cyber-criminalità che "rischiamo di incrinare i rapporti tra questi due Stati".
Quanto amano prendersi reciprocamente in giro i politici di tutto il mondo…!
http://www.whitehouse.gov/blog/2011/07/12/us-and-russia-expanding-reset-cyberspace
Grazie Federico. Questo per me è veramente un bellissimo complimento…
E' ciò che scrive Guido Olimpio sul Corsera di oggi.
Linus
Mi linki Linus, per favore.
eh, Jack, non se è già on line.
Lo sto leggendo sul cartaceo. lo so, lo so… sono antiquato
Linus
Tanto per chiarire la mia posizione
, vi faccio un paio di esempi (ma ce ne sarebbero tanti altri) di cosa in realtà definisca il concetto di "SPAZIO CIBERNETICO".
e anche
Saluti cari!
Ecco, per l'appunto:
"I think we should start with the assumption that we want to win a war, if a war is fought in cyberspace," Stewart A. Baker, a former Homeland Security Department assistant secretary told. "And I don't think that defense is going to win a war."
The Pentagon strategy equates a devastating cyberattack to an act of war, a position widely believed to be the case: "The United States reserves the right, under the laws of armed conflict, to respond to serious cyberattacks with a proportional and justified military response at the time and place of our choosing," the strategy states. Defense now treats cyberspace as an operational domain, just like land, sea, air and space.
But, to date, most malicious activity on the Web has not reached this level, Lynn said. Intrusions largely have targeted intellectual property and personal information housed on government and commercial networks for profit — not for killing.
http://www.nextgov.com/nextgov/ng_20110714_5684.php
http://www.difesa.it/Sala_Stampa/rassegna_stampa_online/Pagine/PdfNavigator.aspx?d=15-07-2011&pdfIndex=72
x Jackallo
B.A.
Allora, Linus, controlla un po' se per caso il contenuto dell'articolo è il medesimo di quanto anticipato ieri mattina da Stefano Mele sul suo sito.. 😉
http://www.stefanomele.it/news/dettaglio.asp?id=234
@ Jack
"active defense" = versione cyber dell' "anticipatory self-defense" (la cui legittimità, sul piano del diritto internazionale, è ancora molto dibattuta)
barry lyndon
Ciao Jack.
Ho letto il documento ed il tuo primo intervento.
Secondo me quelle quelle frasi da te evidenziate vogliono dire: opereremo liberamente nel cyberspazio, agiremo, colpiremo, spieremo, ecc.
Non vogliono dire: ci lasciamo mano libera ritorsioni convenzionali ad attacchi virtuali.
Vediamo cosa ne pensa lo Stratega.
R.
…uhm, Barry… non credo che con "active defense" si vogliano riferire al concetto di "anticipatory self-defense".
Penso più a qualcosa tipo il programma EINSTEIN dell'US-CERT.
Grazie Babbano per il link e, soprattutto, grazie Roberto per il commento.
Se però leggi anche il mio post #10, riporto delle frasi di un articolo di NextGov in cui mi sembra che alcuni funzionari e lo stesso Lynn si "muovano" su idee più "belligeranti".
Su Wired e sul Wall Street Journal.
"Vediamo cosa ne pensa lo Stratega"
Ma sarei io????
credo di sì, Sil!!!! :))))
f.
Certo, Sil.!
R.
Nel silenzio temporaneo di Sua Strategia Silendo, riporto un passaggio del discorso di presentazione del documento di Lynn:
"Just as our military organizes to defend against hostile acts from land, air, and sea, we must also be prepared to respond to hostile acts in cyberspace. Accordingly, the United States reserves the right, under the laws of armed conflict, to respond to serious cyber attacks with a proportional and justified military response at the time and place of our choosing.
Our ability to identify and respond to a serious cyber attack is however only part of our strategy. […]"
La trascrizione completa del discorso la trovate qui:
http://www.defense.gov/speeches/speech.aspx?speechid=1593
Scusate… sarà la sbornia (di sole) domenicale, ma è davvero così tanto innovativa – et preoccupante, poi… – l'idea che il militari facciano le cose che fanno i militari negli "spazi" ove si renda necessario fare cose da militari?
Sua Strategia è sul punto di leggere il documento ;))
Sua Strategia Silendo non riposa, si prende una pausa di riflessione :)))))
En.
Buongiorno Giovanni.
Io non ci vedo assolutamente niente di male, anzi..!
Purchè, come dicevo nel mio commento #1, vengano risolte precedentemente – magari già nella parte classificata di questa strategia o in altro documento – alcune problematiche di rilevante complessità sia sul piano militare che giuridico.
In particolar modo, occorre anzitutto riuscire ad attribuire con assoluta certezza la responsabilità di un attacco informatico al suo reale autore, nonché chiarire quali siano i criteri e i livelli di “proporzionalità” della risposta militare attraverso cui “leggere” un attacco effettuato utilizzando il cyber-spazio.
@ Jack
spiego meglio il mio commento n. 13:
Il documento strategico invidua l' "active defense" quale principio cardine della cyber-dottrina statunitense.
L' "active defense" – sempre secondo il documento – sarà (è?) attuata mediante l'impiego di "campanelli d'allarme" (signatures & sensors) e di software per intercettare e contrastare gli attacchi perpetrati mediante software "malevolo".
Come facevi notare tu, si è di fronte, quindi, ad un approccio di tipo proattivo.
Nell'ipotesi in cui le misure di "active defense", adottate dal DoD USA, dovessero spingersi fino al punto di essere percepite e qualificate da un soggetto statuale come misure offensive, l' "active defense" risulterebbe avere molti punti in comune con l' "anticipatory self-defense".
I punti comuni tra i due concetti ("active defense" e "anticipatory self-defense") aumenterebbero fino ad arrivare addirittura all'equivalenza degli stessi, nel caso in cui gli strumenti di difesa proattiva siano di aggressività tale da arrecare danni alle infrastrutture ed alla popolazione di uno stato.
Come noto, quando gli USA nel 2003 decisero di attaccare ed invadere l'Iraq, lo fecero perchè una serie di "sensori" (HUMINT e SIGNIT), rilevarono una serie di minacce (WMD, UAVs) riconducibili alla leadership di quello stato. In sostanza, gli USA attaccarono un'altro stato senza che quest'ultimo avesse compiuto attacchi armati al suolo o alla popolazione statunitense. E' uno dei casi più recenti ed eclatanti di attuazione del concetto di "anticipatory self-defense".
Analogamente, se oggi il DoD USA, attraverso i suoi "sensors & signatures", rilevasse una minaccia di tipo informatico proveniente dallo stato X e, conseguentemente, decidesse di dispiegare contromisure informatiche di intensità tale da arrecare danni alle infrastrutture ed alla popolazione di quello stato………..si avrebbe l'equazione concettuale riportata nel mio commento precedente:
"active defense" = "anticipatory self-defense"
Perchè è importante comprendere se i due concetti sono simili (se non, in alcune ipotesi, coincidenti)?
Perchè, ad oggi, il diritto internazionale non riconosce la piena legittimità dell' "anticipatory self-defense"…. e perchè un documento strategico, benchè importante come quello in esame, non può dare legittimazione, sul piano giuridico, ad azioni offensive eseguite al di fuori delle norme del diritto internazionale, consuetudinario e pattizio (vedi limiti ex art. 51 Carta ONU) e dell'orientamento della giurisprudenza (vedi orientamento della Corte Internazionale di Giustizia).
barry lyndon
Jack ma ti risulta che sia poi così facile attribuire con assoluta certezza le responsabilità (e dico RESPONSABILITA') di un attacco non-cibernetico (mi viene l'orticaria ad usare questa nomenclatura in questo modo
) oppure che siano chiari i livelli di "proporzionalità" della risposta militare ad un attacco "convenzionale"?
Sbaglio o gli ultimi conflitti "non cibernetici" (cioè in altre parole: nessuno! :)) sono stati piuttosto… "asimmetrici" in queste valutazioni?
;)))
@ Barry: Ok, adesso ho capito cosa intendevi. E sono totalmente d'accordo con te.
Io però, almeno allo stato attuale, non credo che l'active defense americana si spinga fino ad un "contrattacco" (o contrasto, come scrivi tu) nei confronti degli attacchi informatici subiti.
Ecco perchè ti facevo riferimento ad un "programma" di difesa pura quale l'EINSTEIN II: ovvero ad un sistema complesso hardware/software che svolge funzioni di IDS (intrusion detection systems) e IPS (intrusion prevention systems).
@ Giovanni, a mio modesto avviso, sulla certezza della responsabilità è certamente molto più facile attribuirla nel "mondo reale", che nel mondo cibernetico… sempre che qualche Agenzia di stato non faccia qualche "magheggio" per farti credere cose che non ci sono, in modo da far autorizzare un attacco militare in terra straniera… ;D
Sulla proporzionalità, effettivamente, ravvedo le medesime complicazioni… sia che tu scelga la pillola rossa, che quella blu… 😉
Come dice sempre il Supremo Stratega:integrazione!!!
per individuare la fonte di un attacco è errato pensare che si possa restare all'interno della sola dimensione cyber…….
F.
"per individuare la fonte di un attacco è errato pensare che si possa restare all'interno della sola dimensione cyber"… bellissimo :)))
Anche perchè nella cyber-dimensione le possibili correlazioni che all'interno di essa possono osservarsi – è un insieme enumerabile e finito. Un po' come una scacchiera, insomma: "stramilioni di biliardi" di iper combinazioni
… ma tutte calcolabili e finite. Cosa che non è fattibile nei ciberdomini "non cyber" 😉 Non fosse altro che per la difficoltà di identificare quali e quante – e di che "forma"*… – siano le caselle dello scacchiere…
* immaginate quanto ancora più complesso sarebbe il gioco degli scacchi se la scacchiera fosse composta da un campo di esagoni invece che un campo di quadrati…
Assolutamente d'accordo con te, Federico.
Al 1000%… 😉
Giovanni, per capire il tuo post #31 ho bisogno di un professore di fisica con specializzazione in filosofia e master in c-mf…!
allora l'esempio della cyberscacchiera esagonale non ha funzionato…
😀
Sua Strategia latita sul commento al documento..!
Ne sta discutendo con il Consigliere per la sicurezza nazionale…. :))))
f.
Lo sta "spiegando" al Consigliere per la sicurezza nazionale
Zaby
@ Jack
non "sfruculiare"…. 😀
barry lyndon
su quello non c'era dubbio, zaby! f.
Ragazzi, non vi dico…. qui a Washington proprio non capiscono una cippa…
però che postacci che sei costretto a frequentare…
Orribili, Gio', orribili…
Per farmi perdonare: l'intervista ad Adam Segal.
Una buona lettura, a mio avviso.
Tra le tante informazioni "spot" che vengono lanciate in questa intervista, mi compiaccio che finalmente qualcuno abbia scritto nero su bianco che creare un ".secure", ovvero una rete Internet nuova e più sicura, è un fallimento in partenza. Questo almeno se il progetto resta incentrato esclusivamente sull'hardening dell'autenticazione degli utenti e sulla certezza della sua identità.
Carissimo Jack, perchè?
PS… leggi qui: "The Pentagon’s new strategy should focus on threatening retaliation, rather than improving defense against cyber-incursions, Cartwright said in remarks at a Defense Writers Group breakfast on July 14. The current approach is “way too predictable. It’s purely defensive.""
Certo che Giovanni era alla disperata ricerca, ecco il sito della cyber-dottrina del Pentagono: http://www.defense.gov/cyber
Per quanto mi riguarda, in materia c-mf sposo completamente la frase di Bruce Schneier – uno dei miei security guru preferiti – "You can't defend. You can't prevent. The only thing you can do is DETECT and RESPOND".
Premesso questo, poi, sono fermamente convinto che la maggior parte delle critiche sollevate alla strategia americana, che io continuo a reputare un documento di buon valore, trovino una risposta nelle altre 18 pagine classificate. Questa, però, è ovviamente solo una mia supposizione.
Pertanto, alla luce della frase che ho citato, la resilienza dei sistemi informatici agli attacchi è attualmente, a mio avviso, uno degli elementi di assoluta e primaria importanza, dato che la difesa, come ha dimostrato Stuxnet e come stanno dimostrando al mondo le varie cellule sparse per il mondo di Anonymous e LulzSec, è attuabile forse solo in teoria.
"Imagine if President Kennedy issued a nuclear war strategy in the 1960s that omitted the fact that we had nuclear weapons, B-52 bombers, and long-range missiles. What if his public strategy had just talked about fallout shelters and protecting the government? As absurd as that would have been, that is similar to what the Obama administration just did with regard to the nation's cyber war strategy." ..
Un articolo molto critico sulla cyber-strategy americana pubblicato dal Belfer Center:
http://belfercenter.ksg.harvard.edu/publication/21222/coming_cyber_wars.html
Segnalo, poi, in risposta alla richiesta di chiarimenti fatta da Silendo nel post #44, una breve analisi dal titolo: "Dotsecure": una rete Internet "parallela" per la sicurezza delle infrastrutture critiche"
http://www.stefanomele.it/news/dettaglio.asp?id=242
Io rilancio, caro Jack:
http://nationalinterest.org/commentary/the-coming-cyberwar-5679
Io mi limiterei – timidamente e con la testa sotto i vostri cyberpiedi fermi
– a chiedere in che modo possa essere implementato il concetto di rete "parallela" all'interno di un sistema reticolare di… sistemi a rete 
Se nonho capito male si tratta di una rete autonoma da internet.
Giusto Jack?
F.
In tal caso più che creare delle nuove reti basta "staccare" opportunamente delle altre rendendole – passatemi il termine – "eccentriche" rispetto alle reti indesiderate (internet o altre ;)))
Si, Federico.
L'idea è proprio quella di creare una rete completamente svincolata da Internet.
giò, vuoi dire che è più semplice isolare un "pezzo" di rete (già esistente) rispetto alla creazione di una nuova rete?
Si, è decisamente più semplice e meno costoso, ma non risolve il problema.
E non lo fa proprio per le osservazioni – tutte giustissime – fatte da Giovanni più volte, ovvero che utilizziamo un'infrastruttura logico/applicativa e tecnologica non creata per il transito di informazioni classificate e sensibili.
Cerchiamo solo di mettere "toppe" ad un pantalone fatto per strapparsi.
Purtroppo, i costi di una nuova infrastruttura sono "folli" e questo crea un problema nel senso inverso.
Io onestamente non capisco perchè ci stiamo ancora ponendo il problema… Ogni volta mi riprometto di non intervenire su questi argomenti ma poi ci rcasco sempre
.
Ci stiamo poneno tutti ledomande sbagliate.
Io faccio sempre l'esempio del coltello del macellaio (o il bisturi del chirurgo): il coltello del macellaio è fatto per essere super tagliente. E' la sua caratteristica peculiare. Senza quella caratteristica ontologica non sarebbe più "coltello_da_macellaio" ma diventerebbe "coltello_da_cucina" o, spingendoci ancora più in là, "tagliacarte".
Ora supponiamo che siamo la DARPA (o come divaolo si chiama ora ;))) e che abbiamo costituito un gruppo di esperti mondiali per studiare una soluzione, un accorgimento tecnico, sistemico, o quel che volete voi, per far si che il coltello da macellaio continui ad essere affilatissimo sulla mortadella MA al contempo sia assolutamente sicuro per il macellaio e per quelli che stanno vicini… compresi, che so, gli animali da macellare ma ancora vivi (ovvero i pazienti da operare ma ancora non anestetizzati ;))).
Ebbene nonostrante tutti gli sforzi del gruppo di esperti galattici, ci accorgeremo presto che tutte le soluzioni proposte avranno o 1) un grado di complessità tale da rendere il coltello da macellaio inservibile (o servibile in modo eccessivamente complesso che richieda – che so – un livello di abilità o formazione che tutti i normali macellai non hanno e non vorrano mai raggiungere) al macellaio medesimo oppure 2) una soluzione iper-geniale che rende il coltello taglientissimo sulla carne "morta" (o addormentata) ma sicurissimo sulla carne viva (o sveglia) sarà – per forza di cose – non implementabile a causa di costi stratosferici.
In questi casi, di solito, si utilizzano soluzioni semplici, spesso molto funzionali ma ahimè limitate a contesti assai specirfici: il guanto di metallo, ad esempio, protegge solo la mano sinistra del macellaio e comunque non protegge il cliente del macellaio da un momento di follia del medesimo…
Internet è il coltello. Noi siamo macellai e clienti.
Ora io – ma nemmeno tanti altri – non è che abbia risposte significative già belle che pronte… però direi che "mi sembra appena il caso di segnalare l'eventuale possibile opportunità" (fraseologia ministeriale…) di approcciare a questo diavolo di problema da un punto di vista "serio".
Punto di vista che non mi sembra quello della discussione su "reti parallele, reti nuove e reti vecchie, sistemi di sicurezza, firewall, exploit, personalità degli hacker e dei cracker" eccetera, così come non mi sembra nemmeno quella del "ciberpropensioneall'attacco o ciberpropensionealladifesa nella cibereventualeguerra sulla ciber-rete", giacchè un concetto ampio – ma profondo – di "sicurezza" (quindi riservatezza) a mio parere prescinde – almeno nel momento della sua genesi iniziale – DEVE PRESCINDERE dalla presenza di atteggiamenti (quindi minacce) più o meno belliggeranti di qualcuno.
C'è davvero esigenza, da parte di certe entità, di proteggere un certo particolarissimo tipo di beni immateriali (informazioni o conoscenza, come vi pare…)?
Se c'è, che lo si faccia.
Gli acquedotti romani sono in piedi ancora oggi, così come la grande muraglia. Dicono pure che sono anche andati sulla luna e la gente viene operata tramite un sistema cibernetico (ecco, questo si…) dalla stanza affianco alla sala operatoria: non mi pare che nel 2011 sia un grosso problema affrontare in modo scientifico un problema di questo tipo…
Se non c'è – a mio insignificante parere – è inutile spippettarsi con queste sub-discussioni di carattere tecnico o fintamente strategico. Tutto quanto sopra fatti salvi "eventuali" interessi economici in ballo che giustifichino questa… "ballata" (= vendita di beni e servizi di sicurezza add-on).
Questi sono i miei ultimi 5 cent :)))
Poi se volete ve li ridò anche indietro, pagandovi anche gli interessi
Saluti cari a tutti!
P.S.: vi prego perdonate eventuali errori & refusi…
Bell'analisi, Giovanni.
Mi piace. La stampo e la conservo.. 😉
Risparmia la carta Jack…
Già quei 2, 3 Kb che occupa il mio post sono "byte rubati all'agricoltura"… non vorrei ora sentirmi in colpa anche per le foreste :PP
😉
Caro Giovanni, buonasera.
Ho trovato il tuo commento interessantissimo.
Come sai io non sono un esperto della materia. Proprio per questo mi permetto di dissentire su un passaggio specifico del tuo pensiero.
Probabilmente solo perchè non l'ho capito bene.
Tu scrivi quanto segue: ""ciberpropensioneall'attacco o ciberpropensionealladifesa nella cibereventualeguerra sulla ciber-rete", giacchè un concetto ampio – ma profondo – di "sicurezza" (quindi riservatezza) a mio parere prescinde – almeno nel momento della sua genesi iniziale – DEVE PRESCINDERE dalla presenza di atteggiamenti (quindi minacce) più o meno belliggeranti di qualcuno".
Vuoi dire la predisposizione dei livelli di sicurezza deve prescindere da ragionamenti riguardanti difesa ed attacco?
E ancora: non è forse necessario, nel predisporre una qualunque strategia, non limitarsi ad essere "difensivi"?
Sono domande e non affermazioni mascherate.
Un caro saluto, Giovanni.
Roberto
Roberto carissimo, il fatto è mi sono lasciato trasportare dal "cibergiramento di cabasisi"* che spesso mi piglia – insieme a delle orrende macchie rosse sulla faccia – quando si parla in un certo modo di "cyberquestioni" e mi sono espresso male (anzi malissimo) :))
Il fatto è che – ormai lo sapete – mi piace moltissimo la visione sistemica delle cose. Quel che volevo dire è che se io sono un sistema "solo al mondo" e ho un certo "carico pagante" in termini di conoscenza significativa (in altre parole informazioni sul funzionamento del sistema, oppure informazioni sulla struttura del sistema oppure ancora dati primari detenuti dal sistema [il tutto in linea con la teoria della G.D.I., la "definizione generale di informazione"]) allora non ho nessun bisogno di preoccuparmi di che tipo di misure dovrò prendere riguardo la trasmissione all'esterno delle informazioni (ovvero la "permeabilità" del sistema stesso) nel momento in cui deciderò di diventare un sistema "aperto".
Questo proprio perchè sono l'unico sistema e (non è proprio così ma approssimiamo :))) non fa alcuna differenza se decido di essere aperto o chiuso.
Invece nel caso in cui il nostro povero sistema "chiuso" non sia solo al mondo, ma immerso (come SEMPRE accade) in un "ambiente di sistemi" allora PER FORZA DI COSE deve ben valutare in che misura (di solito piccolissima) rilasciare la sua permeabilità per il semplice motivo che se la rilascia oltre una certa soglia (=elevata apertura all'esterno, quindi elevata possibilità di stabilire correlazioni tra i singoli nodi del sistema con altri sistemi/singoli nodi esterni) il nostro sistema finirà prestissimo per perdere la sua INDIVIDUALITA', finendo per essere fagocitato dagli altri.
In altre parole un sistema che si avvicina agli altri in modo totalmente aperto perde il suo perimetro e costituisce – insieme agli altri sistemi con cui ha interazioni – un nuovo "soggetto sistemico" con strutture, pesi e perimetri diversi.
Internet e il suo protocollo IP per come sono stati costruiti (quando all'inizio della famosa storia della DARPA erano un sistema solo [nel senso di solitudine :)))] di 3 nodi) funzionano esattamente in questo modo.
Tutto le varie esigenze applicative – comprese quella della sicurezza – sono moduli implementati successivamente. E intendiamoci, anche questa adattabilità è stata il motivo del suo successo.
Però Internet è un sistema che ontologicamente lascia poco spazio alla "solitudine" (ovvero, in ultima istanza, alla sicurezza).
Voglio quindi dire che se invento il coltello da macellaio non posso pretendere che nei suoi piani progettuali sia stata valutata la "minaccia" del macellaio che impazzisce e taglia la gola alla cara zietta.
Anzi proprio per questo motivo sono d'accordissimo con te su come porsi mentre si progetta una strategia. Ma riportando il tuo esempio a internet e al macellaio, sarebbe come dire che siccome a) il macellaio ha coltelli taglientissimi e b) il macellaio può impazzire e aggredire i clienti allora c) alla zietta dobbiamo dare il porto d'armi (atteggiamento proattivo) oppure c1) il macellaio deve lavorare con le manette ai polsi e alle caviglie (atteggiamento preventivo).
Vi pare una cosa che si possa fare?
E poi: perchè cavolo ce l'avete tanto con la zietta?
Saluti carissimi a Roberto e a tutti :))
* il Nostro Vate se vorrà poi ti dettaglierà meglio la mia cyBBBerepulsione 😉
P.S.: ariscusate gli errori, sto verniciando casa e scrivo in una pausa dei lavori…
Qui un altro parere.
Dato che il padrone di casa ha promesso di non pubblicare più link "c-mf" fino alla fine dell'anno, salvo in caso di eventi catastrofici e/o documenti di assoluta e primaria rilevanza strategica, tocca a me aggiornarvi sul meraviglioso mondo dei "bit esplosivi".
Pochi giorni or sono anche il governo Ceco ha pubblicato il suo documento strategico in materia di cyber-security per il periodo temporale 2011-2015.
Il testo, particolarmente breve (10 pagine), ricalca in pieno quello dei documenti strategici degli altri Paesi che lo hanno preceduto, sia a livello di obiettivi che di metodologie.
Quindi, se potete riscrivere a memoria i documenti strategici americani, sapete quelli di Francia e Svizzera in lingua originale, vi sognate una biondona che vi spiega quello tedesco e una brunetta di 1 metro e mezzo vi parla in una lingua incomprensibile (ma dentro di voi sapete che vi racconta la strategia giapponese), potete anche evitare di leggerlo.
L'unica informazione che vi deve restare è: anche il governo Ceco ha il suo documento strategico in materia di "c-mf".
Sperando, però, che l'aggiornino prima del 2015.. 4 anni nel "mondo dei bit" corrispondono a 12 del mondo reale.
Here the doc:
http://www.enisa.europa.eu/media/news-items/CZ_Cyber_Security_Strategy_20112015.PDF
Salutammo.
Jack, grazie!!! Proprio adesso stavo segnalando in un apposito post il documento ceco 😉
Buongiorno a tutti,
solo per segnalarvi che oggi – alle 2.00 PM EDT – si svolgerà un webinar gratuito su "Cyber-security: Pinpointing the DoD’s Challenges".
Parleranno:
Davi D'Agostino – Director, Defence Capabilities and Management, GAO
Nelsie Alcoser – Senior Defense Analyst, GAO
Ovviamente io sarò in "ascoltone".. 😉
Per registrarsi, qui:
http://event.on24.com/r.htm?e=346038&s=1&k=4103D328A346B5B191EADC0975E24C57
Grazie Jack!