Estonia: punto di rifermento mondiale della cybersecurity

di Francesco Frasca

Dalla sua indipendenza all’inizio degli anni ’90 e dalla presidenza del Consiglio dell’Unione Europea nel 2017, l’Estonia si è costruita la reputazione di pioniere nella digitalizzazione della sua amministrazione e-governance, sottolineando la volontà dei suoi leader di acquisire un vantaggio comparativo in il campo delle nuove tecnologie. Questa competenza è stata costruita con cura nel corso di più di 30 anni, basandosi sull’eredità lasciata dall’URSS. Durante il periodo sovietico (1940-1991), Mosca scelse l’Estonia per istituire il suo Istituto Cibernetico negli anni ’50.
Le repubbliche baltiche dell’URSS divennero negli stessi anni dei centri sovietici di sviluppo informatico e cibernetico. Dopo l’indipendenza nel 1991 il governo estone ha proseguito in questa direzione avviando lo sviluppo di un’ambiziosa infrastruttura digitale. È stato l’inizio di e-Estonia, dove il 99% dei servizi pubblici è accessibile online. La trasformazione digitale ha portato benefici economici e politici al Paese e ne ha accresciuto il profilo a livello mondiale come “apripista digitale” e “pioniere” dell’e-governance. Paese natale di Skype e Bolt l’Estonia ha ora 1500 startup, tra cui 10 unicorni (valutati oltre un miliardo di dollari) e un decacorno (valutato oltre 10 miliardi di dollari). I servizi digitali e le nuove tecnologie sono quindi tra le principali risorse economiche della “Silicon Forrest”, insieme al legno. E se l’Estonia eccelle nella sicurezza informatica, probabilmente lo si deve anche a un’azione della Russia.

L’attacco informatico del 2007.
Nel maggio del 2007 l’Estonia subiva un importante attacco cibernetico, che comprometteva numerosi servizi istituzionali e non. La crisi venne innescata principalmente dalla decisione del governo estone di spostare il monumento noto come “Bronze Soldier” (Soldato di Bronzo) e la tomba dei soldati sovietici dalla piazza centrale di Tallinn a un cimitero militare. Il monumento del Soldato di Bronzo rappresentava i soldati sovietici, che avevano combattuto contro i nazisti durante la Seconda Guerra Mondiale. Per la minoranza russa (russi etnici o russofoni), che costituisce attualmente circa il 25% della popolazione, situata principalmente lungo la frontiera est del Paese, questo monumento aveva un significato simbolico profondo e rappresentava la liberazione dall’occupazione nazista.
Tuttavia, per molti estoni, il monumento era visto come un simbolo dell’occupazione sovietica e delle sofferenze subite sotto il regime comunista. In risposta, la Russia orchestrava un attacco informatico contro l’Estonia causando il collasso del sistema bancario, dei media e di numerosi servizi governativi. Una serie di eventi coinvolsero politica, storia e tecnologia, un grave momento di tensione nelle relazioni tra Estonia e Russia.
Siti web di organizzazioni estoni, tra cui il parlamento, le banche, i ministeri, i giornali e le emittenti, furono resi inaccessibili a causa di cyberattacchi di tipo “denial of service” (DoS), con grave impatto sul pubblico generale e sulla funzionalità dei servizi online.
La Russia non ha mai riconosciuto il suo coinvolgimento in questo caso, e nessuno è stato in grado di certificarlo, ma sarebbe stata tollerato dal Cremlino, se non coordinato attivamente dai suoi leader.
Questo attacco ha avuto un impatto significativo sulla sicurezza cibernetica a livello nazionale e internazionale, e ha portato a una maggiore consapevolezza sulla necessità di proteggere le infrastrutture digitali e di collaborare a livello globale per affrontare le minacce cibernetiche.
Citato come uno dei primi esempi di guerra informatica contro uno Stato-nazione, ha sollevato importanti questioni sulla sicurezza cibernetica, la protezione delle infrastrutture critiche e la necessità di sviluppare strategie di difesa contro le incursioni informatiche.
In risposta l’Estonia ha intensificato le misure di sicurezza cibernetica per proteggere le infrastrutture critiche, i servizi governativi e le istituzioni finanziarie. Ciò ha incluso l’implementazione di firewall avanzati, monitoraggio costante e collaborazione con esperti di sicurezza informatica, sviluppando uno dei sistemi più avanzati al mondo. Attualmente i server governativi sono tutti in Estonia, con backup in Lussemburgo.
Inoltre, l’Estonia ha promosso la cooperazione globale nella sicurezza cibernetica creando il Centro di Eccellenza per la Difesa Cibernetica Cooperativa della NATO (CCDCoE) un’organizzazione multinazionale e interdisciplinare con sede a Tallinn, in Estonia, accreditato dalla NATO, che si concentra su ricerca applicata, sviluppo, consulenza, formazione ed esercitazioni nel campo della sicurezza informatica.
Il CCDCoE sostiene la NATO e i suoi Paesi membri migliorando le loro capacità di difesa informatica attraverso l’istruzione, la ricerca e lo sviluppo, promuovendo la cooperazione e la condivisione di informazioni tra i suoi membri e partner, conduce un’ampia gamma di ricerche nel campo della difesa informatica.
L’azione del CCDCoE si concentra su quattro aree principali: ricerca su strumenti di monitoraggio, digital forensics e soluzioni informatiche integrate, studi sugli effetti informatici, sul comando e controllo informatico e sulla deterrenza informatica, rafforzamento della cyber intelligence negli ambienti operativi e integrazione della cyber nella pianificazione operativa, e ricerca sulle funzionalità automatizzate nelle operazioni informatiche, sull’organizzazione e sulle strategie informatiche nazionali e sugli sviluppi nelle organizzazioni internazionali.

Locked Shelds.
Dal 2010 il CCDCoE ospita l’annuale Locked Shields, la più grande e complessa esercitazione internazionale di difesa cibernetica in tempo reale, organizzata a Tallinn, in Estonia, che mira a migliorare le competenze degli esperti di sicurezza informatica nella difesa dei sistemi informatici nazionali e delle infrastrutture critiche in caso di attacchi in tempo reale. Coinvolge squadre di Paesi membri della CCDCoE, che assumono il ruolo di squadre nazionali di reazione rapida cibernetica.
L’esercitazione prevede scenari realistici, tecnologie all’avanguardia e simula l’intera complessità di un incidente informatico di massa, compresi gli aspetti decisionali strategici, legali e di comunicazione.
L’esercitazione simula un attacco ostile contro un paese immaginario. Gli esperti di sicurezza formano squadre “Blue Team” che coordinano la difesa contro l’attacco di un team “Red” che simula gli attacchi, creando scenari complessi e realistici. Questi attacchi coinvolgono tecnologie all’avanguardia e mettono alla prova la capacità di risposta delle squadre “Blue”.
Locked Shields simula l’intera complessità di un grave incidente cibernetico, comprese decisioni strategiche, aspetti legali e comunicazione. Le squadre “Blue” devono segnalare gli incidenti, prendere decisioni strategiche e risolvere sfide forensi, legali e mediatiche.
La più recente esercitazione Locked Shields si è svolta nel 2024 e mostrando la potenza della difesa cooperativa. Oltre 3mila partecipanti da 38 Paesi, compresi gli alleati e i partner della NATO, hanno preso parte all’esercitazione, che prevedeva la difesa di un Paese insulare immaginario, Berylia, che ha dovuto affrontare attacchi informatici coordinati ai suoi sistemi informatici militari e civili.
Nonostante la natura competitiva dell’esercitazione, le squadre hanno formato coalizioni per condividere informazioni e migliorare la sicurezza collettiva. L’esercitazione comprendeva simulazioni della gestione delle riserve e dei sistemi di messaggistica finanziaria di una banca centrale, nonché una piattaforma di comunicazione mobile 5G Standalone. Le squadre che hanno ottenuto i punteggi più alti sono state quelle della Lettonia (con con agenti delle agenzie della NATO), una squadra finlandese-polacca e una squadra franco-estone.
Locked Shields 2024 ha sottolineato l’importanza della cooperazione internazionale nel cyberspazio e ha fornito una preziosa formazione ai difensori informatici per proteggere i sistemi informatici nazionali e le infrastrutture critiche in caso di gravi attacchi informatici.

Il meccanismo di Tallinn.
Il CCDCoE è conosciuto per i suoi progetti di punta come il Meccanismo di Tallinn noto come Tallinn Manual, un sistema creato per coordinare e facilitare la costruzione di capacità civili nel campo della cybersecurity, al fine di aiutare l’Ucraina a sostenere il suo diritto fondamentale all’autodifesa nel ciberspazio e a soddisfare le sue esigenze di resilienza informatica a lungo termine.
Il Tallinn Manual è un’importante opera di riferimento nel campo del diritto internazionale, specificamente riguardante la cyberwarfare. Originariamente pubblicato nel 2013 e aggiornato nel 2017 (Tallinn Manual 2.0), è il risultato di uno sforzo collettivo di esperti internazionali per stabilire come il diritto internazionale si applichi ai conflitti cibernetici e alle operazioni nello spazio cibernetico.
Il Tallinn Manual 3.0, attualmente in fase di revisione, affronterà la pratica emergente degli Stati e nuovi argomenti di importanza per gli Stati nel contesto cibernetico. Lanciato il 20 dicembre 2023 da dieci paesi: Canada, Danimarca, Estonia, Francia, Germania, Paesi Bassi, Polonia, Svezia, Regno Unito e Stati Uniti, coinvolge vari stati donatori e permette di sistematizzare le esigenze dell’Ucraina e abbinarle alle possibilità di assistenza da parte dei paesi coinvolti.
Il Meccanismo collabora con la Coalizione IT, un’organizzazione che si occupa delle questioni cibernetiche in ambito militare, per migliorare la sicurezza e la resilienza delle infrastrutture digitali utilizzate dalle forze armate, la protezione dei sistemi informatici, la gestione delle minacce cibernetiche e lo sviluppo di strategie per affrontare gli attacchi informatici.
In conclusione il Tallin manual, pietra miliare nell’applicazione del diritto internazionale alle operazioni cibernetiche, è divenuto uno strumento di riferimento che chiarisce il diritto internazionale applicabile alle operazioni cibernetiche, contribuendo alla comprensione e alla gestione delle sfide legate alla sicurezza informatica. Risorsa influente per i consulenti legali, e gli esperti di politiche che si occupano di questioni informatiche, esso fornisce una base essenziale per la comprensione e la regolamentazione delle attività cibernetiche, contribuendo alla sicurezza e alla stabilità globale nel contesto digitale delineando diversi principi chiave del diritto internazionale applicati alle operazioni informatiche.