La sicurezza cibernetica nell’Unione Europea

Il tema della sicurezza cibernetica é di estrema importanza per enti pubblici, privati e della societá civile di tutto il mondo. La ragione é semplice: pressoché ogni elemento della societá odierna é ormai in contatto – in maniera diretta o indiretta – con il mondo digital-informatico, e che tu sia un singolo privato, una multinazionale o il capo di stato di una qualsiasi nazione, ci saranno informazioni, dati e infrastrutture da proteggere a tutti i costi.

Inoltre, data la continua espansione dello spazio cibernetico e dei relativi servizi attualmente usufruibili, é indubbio che questo settore diventerá sempre piú importante. Si presenteranno quindi nuovi dilemmi su temi quali la gestione delle minacce e lo sfruttamento di nuove possibilitá, cosí come abbiamo visto riguardo al recente scontro geopolitico relativo all’uso della tecnologia 5G, e quanto accaduto con i dati raccolti e ‘commercializzati’ da parte di Facebook negli ultimi anni.

L’elemento chiave nel mondo della sicurezza cibernetica é rappresentato dalla sua intrinseca complessitá ed interconnetivitá. Con questo termine si toccano ormai diversi ambiti e discipline quali le relazioni internazionali, il diritto internazionale, la sicurezza nazionale ed i servizi di comunicazione internazionali che mantengono vivi il commercio e la libertá di opinione in molti stati. Data la crescente digitalizzazione in corso e lo sviluppo di tecniche di infiltrazione, spionaggio e sfruttamento di dati e informazioni nel mondo cibernetico, si presume che il meglio – o forse il peggio – debba ancora venire.

Nell’estrema interconnessione intrinseca al mondo cibernetico, l’Europa si configura come una regione estremamente interessante, dove l’altissimo tasso di interconnessione cibernetica tra gli stati membri é accompagnato da un periodo di tribalizzazione a livello politico mai vista prima dai tempi del dopoguerra – Brexit docet. Inoltre l’alto livello di interconnessione nello spazio cibernetico europeo fa sí che gli stati membri si trovino necessariamente a dover collaborare per poter fronteggiare attacchi ad un sistema cosí complessamente interconnesso e conseguentemente potenzialmente vulnerabile. Nonostante siano giá presenti politiche (CSDP, CFSP), iniziative (PESCO), ed agenzie (EDA) per la difesa del territorio Europeo, vi é ancora una grande incertezza su come si debbano difendere i confini comuni, se con mezzi e risorse nazionali o sovranazionali. Un perfetto esempio di questo dilemma é rappresentato dalle migrazioni provenienti dal Nord Africa e dal Medio Oriente. A fronte della natura virtuale degli attacchi cibernetici e delle crescenti incertezze, quali sono gli attori e le strategie europee per difendere il mondo cibernetico europeo?

Le cyber-organizzazioni europee

L’Unione Europea è una delle regioni maggiormente interconnesse al mondo. Un alto numero di stati membri offre servizi online di ogni genere e tipo, con l’Estonia che si presenta quale prima della classe avendo ormai digitalizzato praticamente ogni parte della vita dei propri cittadini[1], al punto tale da essersi denominata ‘e-stonia’. Anche il settore privato europeo si presenta all’avanguardia con un alto livello di informatizzazione che é andato crescendo durante gli anni 90 e 2000. Tuttavia, a fronte di crescenti attacchi cibernetici sia verso enti pubblici che privati, chi sono i guardiani dello spazio cibernetico europeo?

Da un punto di vista gerarchico, la Commissione Europea ricopre un ruolo chiave essendo il braccio esecutivo dell’Unione Europea e ospitando la Direzione Generale Migrazione e Affari Interni, il cui compito principale é di sviluppo delle politiche domestiche e di sicurezza[2], e la Direzione Generale Informatica, che invece fornisce infrastrutture e servizi informatici affidabili e sicuri[3]. L’Agenda Europea per la Sicurezza stilata dal Direttorato, riporta infatti tra le prioritá assolute la lotta al crimine nello spazio cibernetico che viene portata avanti per mezzo di agenzie quali eu-LISA ed Europol, in seguito brevemente descritte. Una seconda Direzione Generale – questa volta relativa ai sistemi di comunicazione e tecnologici – si prefigge il compito di stabilire unDa sottolineare inoltre l’importante ruolo ricoperto in prospettiva internazionale dalla EEAS (European External Action Service), l’organo presieduto da Federica Mogherini il cui compito é di proteggere gli interessi Europei all’infuori del vecchio continente. Sebbene solo relativamente coinvolto in materia cibernetica, questo organo dispone di un centro di monitorazione e di intelligence che allerta diplomatici europei su situazioni di crisi[4]e, generalmente parlando, sostiene le politiche centrali in materia di sicurezza cibernetica e gestione dello spazio cibernetico comune[5].
ENISA puó tuttavia essere considerata l’organizzazione regina in materia. Creata nel 2004 per assicurare un alto livello di protezione dei sistemi informatici europei, questa agenzia lavora fianco a fianco con istituzioni europee, stati membri e privati per prevenire e gestire problematiche di natura cibernetica. Tra i suoi compiti principali figurano l’assistenza, l’analisi dati e la promozione di metodi di valutazione dei rischi per migliorare la resilienza dei sistemi informatici. Inoltre, questa agenzia ha responsabilitá aggiuntive di natura operativa grazie al proprio CERT (Computer Emergency Response Team) a pieno supporto degli stati membri[6].
Una seconda organizzazione di notevole importanza é CERT-EU, costituita nel 2012 ed a servizio degli stati membri, delle istituzioni e delle agenzie europee[7]. Inizialmente pensata solamente quale organo di supporto, dopo un anno di prova si é stabilita come organizzazione cardine a livello istituzionale offrendo supporto di natura tecnica su una vasta gamma di attacchi cibernetici a livello software ed hardware.
La EDA (European Defence Agency) ricopre principalmente un ruolo di supporto agli stati membri in materia di difesa al fine di migliorare le proprie capacitá organizzative e di risposta a situazioni critiche. Nonostante sia stato pensato e creato come organo ‘analogico’, i suoi compiti sono andati adeguandosi alle necessitá odierne e oggi EDA ricopre incarichi chiave nel miglioramento delle tecnologie di difesa cibernetica e nell’addestramento del personale nel settore[8].
eu-LISA é un’agenzia con sede a Tallin nata nel 2011 per fornire soluzioni di natura gestionale e operativa dei sistemi IT e dei database riguardanti la protezione dei confini europei (Eurodac, VIS, SIS II). Il suo compito é quindi fondamentale per assicurare la continuitá di scambio dati tra istituzioni europee ed internazionali e nel prevenire l’infiltrazione di criminali e terroristi nel territorio europeo.
Il Centro Europeo contro il Cybercrimine ha sede all’Aia ed é stato inaugurato nel 2013 sotto il diretto controllo dell’Europol, la polizia dell’Unione Europea. Il ruolo di questo centro é semplice: scovare e smantellare le reti informatiche criminali anche grazie ad un esteso lavoro di collaborazione con altri enti internazionali (FBI, WCO, UNDCP).
Il Garante Europeo della Protezione dei Dati (GEPD) é infine un organo che ricopre compiti di supervisione, consultazione e cooperazione in materia di trattamento dei dati personali da parte delle istituzioni europee. Il GEPD si prefigge quindi il compito di assicurare che i dati dei cittadini europei vengano utilizzati in conformitá alle norme, soprattutto vista la piú recente GDPR che ha inserito nuove politiche riguardanti il trattamento dei dati personali, oggetto di mercificazione nell’economia digitale odierna.

Nonostante non direttamente parte dell’Unione Europea, bisogna sottolineare come il ruolo della NATO sia centrale in questo organigramma. La forte presenza NATO in Europa e lo storico rapporto tra le due organizzazioni sovranazionali é centrale nello sviluppo di politiche relative alla sicurezza cibernetica ed alla loro relativa attuazione, cosí come dimostrato a fronte degli attacci cibernetici NotPetya e WannaCry negli anni recenti[9].

Le cyber-politiche europee

Da un punto di vista organizzativo abbiamo visto come l’organicitá europea sia abbastanza complessa e diversificata, pensata per poter fronteggiare diversi ambiti e difficoltá. In maniera differente seppur efficace, le principali politiche attuate fino ad oggi si rivelano alquanto dirette e semplici.

L’elemento cardine é la ‘Strategia per la sicurezza cibernetica dell’Unione Europea’[10]del 2013. In questo documento si contestualizzano le minacce cibernetiche ad istutizioni e cittadini europei, delineando le prioritá strategiche e le responsabilitá operative condivise tra i vari organi sopra descritti. Dovendo necessariamente includere istituzioni e paesi membri, questo documento presenta direttive alquanto generali, presentando comunque l’Unione Europea quale attore principale nella lotta al terrorismo e al crimine cibernetico.
La successiva direttiva NIS (Network and Information Security)[11]– di cui giá si parlava nella Strategia sopra descritta – del 2016 impone agli stati membri di regolamentare la legislazione nazionale sulla sicurezza cibernetica seguendo i principi enunciati in questo documento, sebbene proponendo anche un certo grado di flessibilitá date le individuali circostante nazionali. La direttiva presenta tre parti principali: la prima impone la presenza e la continua formazione di un team di risposta ad attacchi cibernetici (CSIRT) al fine di prevenire, individuare e gestire gli incidenti informatici. Il secondo punto ricade sulla necessaria collaborazione tra stati membri per mezzo di gruppi di cooperazione appositamente istituiti. Con questa solida politica di collaborazione gli stati membri possono attingere dalle strategie e ‘best practices’ alleate per fronteggiare i sempre crescenti e nuovi attacchi informatici. Infine, viene richiesto agli stati membri il controllo delle organizzazioni di punta dei propri mercati nazionali attivi nei cosidetti settori critici (energia, trasporti, salute, finanza, servizi informatici), al fine di garantire buone misure di prevenzione e gestione delle minacce cibernetiche.
Infine, il recente Cybersecurity Act dell’Aprile di quest’anno é considerato una pietra angolare per la sicurezza cibernetica europea e va a completare la triade di politiche europee in materia[12]. Il testo prevede maggiori risorse per ENISA, la quale vede peró anche crescere le sue responsabilitá in materia di sicurezza. L’agenzia svolgerá infatti un ruolo chiave nella certificazione delle infrastrutture critiche, dei servizi e dei prodotti europei al fine di garantire che i minimi standard di sicurezza siano rispettati. Inoltre, vengono richiesti maggiori livelli di supporto e di attivitá di cooperazione di natura operativa a fini addestrativi. In poche parole, con questa legge ENISA ha ricevuto piena riconoscenza quale attore cardine della sicurezza cibernetica europea, guadagnandosi un posto tra le grandi agenzie dell’UE, anche a fronte del crescente bisogno di sicurezza informatica. Con questo regolamento chiave riguardante la certificazione per la sicurezza informatica viene quindi stabilito un terreno comune utile per implementare la cosidetta ‘security by design’, che prevede la considerazione dei rischi e delle vulnerabilitá in un sistema informatico fin dalle fasi iniziali della progettazione di prodotti e servizi ICT. D’ora in avanti, gli stati europei potranno godere di linee guida comuni utili per potersi dire – almeno sulla carta – conformi e protetti. Per quanto possa sembrare superficiale, la ‘security by design’ – astrattamente traducibile come ‘sicurezza dalla progettazione’ – é uno dei dilemmi principali nel mondo della cybersecurity, dove molti prodotti o servizi vengono pensati in primis per il cliente e per l’uso, senza invece considerare appropriatamente le possibili vulnerabilitá dell’oggetto o del servizio stesso.

Il futuro della sicurezza cibernetica europea

Sebbene sia un tema tutto sommato nuovo in materia di sicurezza europea, la sicurezza cibernetica ed il piú recente Cybersecurity Act (2019) sottolineano una forte volontá comunitaria nel fronteggiare le problematiche del nuovo millennio. Tuttavia, cosí come per le politiche di difesa dei confini, sebbene altamente interconnessi, gli stati membri potrebbero trovarsi ancora a dover fronteggiare individualmente problematiche di natura cibernetica. Lo stesso Cybersecurity Act richiede agli stati membri di supervisionare le proprie compagnie di punta, sottolineando ancora una volta che il problema deve esser gestito individualmente, seppur con direttive sovranazionali. Per il momento non si sono registrate particolari controversie riguardanti queste politiche europee, probabilmente data la scarsa preparazione e la lentezza di alcuni attori istituzionali e privati nel fronteggiare le onnipresenti novitá in ambito cibernetico[13]. A fronte delle necessarie divergenze che intercorrono tra i 28 paesi membri, cosí come nel mondo analogico (ricordiamo le difficoltá nella creazione di un esercito europeo, anche e soprattutto a causa delle diverse strategie e strumenti in uso) anche in quello digitale prima o poi potranno crescere insoddisfazioni e divergenze fondamentali. Nonostante un alto livello di iniziativa comunitaria e partecipazione da parte degli stati membri, questi sono solamente i primi vagiti delle politiche comuni relative alla cybersecurity. Se singoli stati membri dovessero fronteggiare nel cyber spazio attori istituzionali del calibro di Russia o Cina per periodi prolungati (avendo cosí potenzialmente a che fare con un APT – Advance Persistence Threat), é difficile ipotizzare come l’UE e altri stati membri potrebbero intervenire in questioni cosí delicate.

Con centinaia di milioni di utenti attivi, miliardi di Euro in servizi ed un complesso sistema di infrastrutture critiche unico al mondo, l’Europa é certamente un obiettivo che fa gola a molti ‘cattivi’ sia nel mondo istituzionale che criminale. Olanda, Gran Bretagna (con menzione particolare per l’Irlanda), Francia, Germania ed Italia sono nel mirino di molti in quanto stati-nazione di rilevanza mondiale le cui infrastrutture, se attaccate correttamente ed al momento giusto, potrebbero causare un effetto a catena difficile da contenere. Quanto successo con WannaCry e NotPetya nell’arco degli ultimi anni ne é un perfetto esempio, anche se questi attacchi hanno coinvolto sia il settore privato che parzialmente quello pubblico. A riguardo, con una recente votazione per alzata di mano[14], il parlamento europeo ha richiesto una posizione piú decisa per fronteggiare la crescente spinta sul mercato europeo da parte cinese. Ancora una volta al centro del dibattito la tecnologia 5G, le cui relative infrastrutture potrebbero presentare entrate secondarie (backdoor) che consentirebbero ai fornitori di tale servizio di accedere ai dati di molti cittadini, compagnie e istituzioni europee. Se, ad esempio, Huawei dovesse fornire assistenza o infrastrutture a paesi membri o compagnie di punta nel settore sarebbe alquanto difficile poter controllare l’uso che verrebbe fatto di dati personali di diversi milioni di persone, soprattutto a fronte delle recenti mancate promesse cinesi in materia di spionaggio cibernetico[15].

[1]https://www.ilsole24ore.com/art/commenti-e-idee/2017-08-24/estonia-sogno-un-paese-tutto-digitale-214856.shtml?uuid=AEp8d4GC

[2]https://ec.europa.eu/home-affairs/what-we-do/policies/european-agenda-security_en

[3]https://ec.europa.eu/info/departments/informatics_it#responsibilities

[4]https://euobserver.com/news/29519

[5]https://eeas.europa.eu/topics/eu-global-strategy/17304/global-strategy-european-unions-foreign-and-security-policy_en

[6]https://www.enisa.europa.eu/

[7]http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%206225%202013%20INIT

https://cert.europa.eu/cert/plainedition/en/cert_about.html

[8]https://www.eda.europa.eu/what-we-do/activities/activities-search/cyber-defence

[9]https://www.nato.int/nato_static_fl2014/assets/pdf/pdf_2018_02/1802-factsheet-nato-eu-en.pdf

[10]http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%206225%202013%20INIT

[11]https://www.enisa.europa.eu/topics/nis-directive