Secondo l'amministrazione Trump ai militari non serve formazione in tema di cybersecurity. Anzi, è "una distrazione" dall'obiettivo principale che è "vincere le guerre". Oltre a ricordare quell'episodio in cui Chruchill si trovata con un soldato Dalek, l'operazione del Ministero per la Difesa, ribattezzato recentemente in Ministero della Guerra, fa sollevare più di un sopracciglio.
Sì perché nelle guerre moderne l'elemento digitale è tutt'altro che secondario, e in molti casi è proprio lui a fare la differenza tra vittoria e sconfitta. Certo, non sono direttamete in gerarchi militari a gestire la questione, perché ci si affida a team specializzati - spesso composti in parte da personale civile.
Ma non è che siccome "ci sono gli hacker nello stanzino" allora generali e ufficiali possono disinteressarsi. Anche perché spesso e volentieri sono proprio loro gli obiettivi degli attacchi. E in queste cose, si sa, momenti di formazione frequenti possono fare la differenza.
Il Segretario alla Difesa Pete Hegseth ha firmato un memorandum che riduce drasticamente l'obbligo di addestramento informatico per i militari, insieme ad altri programmi formativi considerati non essenziali per il combattimento. Il documento datato 30 settembre, parte di una serie di undici direttive annunciate durante un controverso discorso a Quantico, stabilisce che "il Dipartimento della Guerra" eliminerà o ridurrà tutti i corsi di formazione obbligatoria non direttamente collegati alle operazioni belliche. L'obiettivo dichiarato è permettere ai combattenti di concentrarsi sulla loro missione principale senza distrazioni.
Oltre alla cybersicurezza, finiscono nel mirino anche i corsi sulla gestione delle Informazioni Controllate Non Classificate e, più drasticamente, viene completamente eliminata la formazione sul Privacy Act, che insegna ai militari a riconoscere le informazioni personali identificabili e i requisiti legali per la loro raccolta. Il CIO del Dipartimento riceve inoltre l'ordine di automatizzare i sistemi di gestione informatica per eliminare ulteriori necessità formative.
Sembra di sentire il personaggio di un brutto film, di quelli che dicono "non ho tempo per queste stupidaggini". Quel tipo di personaggio che qualche scena dopo ci resta secco.
Il confronto con la realtà del mondo fa apparire questa decisione paradossale, per non dire appunto surreale, visto che ci sono grandi conflitti in corso e la parte informatica è sempre centrale. E ad essere bersaglio spesso e volentieri sono proprio i militari statunitensti e le agenzie governative. Dall'altra parte ci sono i soliti gruppi state sponsored, dietro a cui in genere ci sono paesi come Russia, Cina, Corea del Nord o Iran.
Tom Kellermann, vicepresidente per i rischi informatici di Hitrust, considera la mossa "estremamente miope", sottolineando come si stia assistendo a un aumento esponenziale degli attacchi alla catena di approvvigionamento. La vigilanza informatica, secondo l'esperto, dovrebbe essere considerata fondamentale, non accessoria: "Questa direttiva mina la nostra sicurezza nazionale".
Bruce Jenkins, attuale chief information security officer di Black Duck e ex direttore della sicurezza dei sistemi dell'Aeronautica Militare, porta una prospettiva diversa basata sull'esperienza diretta. Pur ammettendo di non aver sempre apprezzato immediatamente l'addestramento ricevuto durante il servizio militare, riconosce che quella formazione ha migliorato significativamente la sua preparazione per situazioni ad alto rischio e alta intensità.
La ricerca scientifica supporta questa posizione, dimostrando che l'esposizione frequente ai concetti attraverso l'addestramento crea connessioni più solide rispetto a una formazione sporadica. Jenkins avverte che la riduzione della frequenza dell'addestramento cyber potrebbe rappresentare "un invito a rischi maggiori che si faranno sentire mesi e anni dopo l'entrata in vigore della nuova politica".
Il Pentagono non ha risposto a richieste di commento da parte della stampa.