Qualche giorno fa l’IISS di Londra ha pubblicato l’annuale (e famosissimo) “Military Balance”. Leggendolo, in queste ore, ho notato con piacere che l’Istituto anche quest’anno ha dedicato una parte al c.d. “Quinto dominio”, il cyber. Questa volta, però, l’International Institute for Strategic Studies ha scritto una piccola chicca di analisi strategica delle capacità cyber nazionali. Mi riferisco alla terza parte del primo capitolo, intitolata “Measuring cyber capability: emerging indicators“, da pag. 19 a pag. 22 del Military Balance 2014.

Scrivono gli analisti dell’IISS che le capacità cyber stanno diventando un nuovo strumento di potere, di influenza e di sicurezza nazionale degli Stati ma che, nonostante oramai moltissime nazioni stiano sviluppando tali capacità risulta piuttosto problematico misurarle. Lo è per vari motivi. Non tutti gli Stati, ad esempio, hanno pubblicato documenti di strategia cyber e pochi diffondono informazioni sulle relative capacità militari nel settore:

Understanding military cyber capabilities requires analysis of states’ strategic, technological and political intentions. It also involves understanding how states themselves view the cyber domain. Nations – and also different organisations and departments within states – may have varying conceptions of the term
‘cyber’. These range from information technologies that encompass some aspects of cyber, including data and the information within it, to a more strict doctrinal notion of cyber as a mainstream, cross-domain layer of physical information infrastructure, computers and networks. While some states have seen the need to create new organisations dedicated to cyber, others might not yet see cyber as requiring new structures or doctrines, and may place it within existing military disciplines, such as IW (information warfare) and EW (electronic warfare) (see ‘Developing doctrines’ below).

La difficoltà deriva, quindi, dal fatto che le informazioni sono spesso riservate ma deriva anche dalla natura “duale” ed “ubiqua” della tecnologia stessa, sviluppata spesso in ambito civile.
Come può, allora, l’analista strategico valutare le capacità cibernetiche di uno Stato, assodato che, per l’appunto, tali capacità sono sempre più rilevanti per gli interessi  nazionali? L’IISS ha fissato una serie di indicatori – politici, militari, economici, sociali, infrastrutturali e tecnologici (si veda figura in basso, tratta da pag. 22 del Military Balance 2014) – utili per tali valutazioni.
Innanzitutto si parte dal presupposto che per lo sviluppo di tali capacità cyber necessitano competenze tecnologiche che vanno oltre i più classici ambiti militari:

Effective military cyber capability requires a flourishing civil and commercial information technology (IT) sector. A history of excellence in engineering education and a solid cyber-security research and development (R&D) base, for instance, could indicate the availability of domestic talent, while a high degree of Internet penetration and digital-media freedom suggests the potential for innovation and creativity. The level of advanced technology available, and legislative and political developments in the area also reflect countries’ interest in the cyber domain. […]
The ability to operate in cyberspace requires skills and experience sometimes beyond the traditional competencies of armed forces’ personnel; these include advanced computer analysis and programming abilities and forensic IT skills.

In definitiva, quindi, l’efficacia militare nel cyberspazio si basa anche su capacità civili, sulla ricerca e lo sviluppo nel settore privato e, molto importante, sulle capacità di intelligence strategica non militare (“national intelligence capacities“).
Indicatori rilevantissimi sono quelli economici ed organizzativi. Quali e quante risorse ed investimenti vengono dedicati dagli Stati al cyber (sia in ambito civile che militare) e come vengono organizzate le strutture competenti (militari, civili e di intelligence).
E’ importante, ovviamente, valutare in dettaglio le reali capacità difensive ed offensive. Elementi, questi, che devono essere dedotti da un’attenta ed approfondita analisi del contesto. Attacchi subiti e realizzati, capacità di raccolta e di elaborazione informativa sui potenziali avversari, capacità di produzione domestica di software ed hardware, visione strategica e capacità di pianificazione complessa, ecc.
Lo studio delle dottrine, qualora esistenti, costituisce un pilastro portante dell’analisi strategica. Scrivono gli analisti dell’Istituto londinese:

The British Army’s Army Doctrine Primer, quoting the late Professor Richard Holmes, describes doctrine as ‘an approved set of principles and methods, intended to provide large military organisations with a common outlook and a uniform basis for action’. Military cyber organisations require doctrine, not least because activity in this area often has to take into account the interests and activities of other government departments.
The US has almost four decades of doctrine development in technical military matters, while many countries are just beginning to develop theirs. In many European states, cyber doctrine has not superseded electronic warfare (EW) or computer network operations (CNO), with many relevant units and doctrines still in use. The observable trend, however, is for states to incorporate all these capabilities, together with information warfare, in an integrated set of doctrines and systems, as indicated by ongoing doctrinal reforms in the US and China.
[…] developing defensive and offensive cyber capabilities at the state level requires the careful application of resources, and careful management of, potentially, competing imperatives and doctrines among various armed services. Therefore, joint military doctrine plays an important role in translating strategic interests into operational capabilities.

In conclusione, l’IISS ha scritto una piccola guida per chi voglia, seriamente e con competenza, procedere ad un’analisi strategica delle c.d. “cyber capabilities” di Stati e governi.