Bruxelles – L’Unione Europea presenta ancora delle falle per quanto concerne la cyber sicurezza ed è essenziale per essa di fornirsi di un sistema più resiliente. le linee guida sono: il rafforzamento della propria governance; promuovendo sempre di più il settore in modo da aumentare l’interesse, e di conseguenza la sensibilità, da parte delle persone sul tema, ponendo così le basi per un ampliamento nel numero di esperti dalle capacità adatte ad affrontare i problemi provenienti dal mondo digitale; e, infine, migliorando il coordinamento tra i vari Stati membri.
“Le attuali sfide poste dalle minacce informatiche rendono questo momento cruciale per l’Unione Europea al fine di rafforzare la sicurezza informatica e la sua autonomia digitale, pur richiedendo un impegno costante per la salvaguardia dei valori fondamentali dell’UE”, ha spiegato Baudilio Tomé Muguruza, giudice della Corte dei conti europea illustrando a Bruxelles un rapporto dei magistrati contabili dell’Unione sulla sicurezza cibernetica.
Per quanto riguarda l’ecosistema informatico dell’Unione, questo è molto variegato, spazia dalle aree di politica interna (come per esempio la giustizia e gli affari interni), al mercato unico digitale, fino alle politiche di difesa. Il tutto relazionato a quella che è una strategia sulla cyber sicurezza approvata a livello europeo già nel 2013, poi implementata sul piano legislativo dalla direttiva NIS (Network and Information Security) nel 2016, e migliorata nelle ultime settimane dal nuovo cybersecurity act passato al Parlmanto, che rinvigorisce i poteri dell’Agenzia dell’Unione europea per la Sicurezza delle Reti e dell’Informazione (ENISA), conferendole un mandato permanente (altrimenti scaduto nel 2020) e dandogli la possibilità di gestire oltre ai soliti compiti di consulenza, anche un’attività di supporto della gestione degli incidenti informatici da parte degli Stati membri. Includendo, inoltre, un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali per facilitare lo scambio delle merci e rendere i prodotti più sicuri per i cittadini europei.
A queste migliorie si affiancano anche altri obiettivi, altrettanto prioritari, già dettati nella prima direttiva, che sono: aumentare la resilienza del sistema europeo da tutti i punti di vista, dalla difesa delle infrastrutture critiche alla protezione della società; ridurre i crimini informatici; costruire delle politiche di difesa da cyber attacchi più elaborate; sviluppare dei propri strumenti in ambito cyber per assicurare la massima affidabilità dei sistemi e delle reti; e creare uno spazio digitale a livello internazionale sempre più influenzato ed in armonia con i valori europei.
Lo scopo di queste direttive e regolamenti è stato quello di raggiungere un livello minimo di difesa e di risposta ad eventuali cyber attacchi, obbligando gli Stati membri ad adottare delle strategia NIS che rispecchiassero degli standard ben determinati e creando dei cosiddetti CSIRTs (Computer Security Incident Response Teams), delle organizzazioni incaricate della raccolta dei dati su eventuali incidenti informatici e possibili vulnerabilità nei software.
Per i consumatori europei invece, di grande importanza è stata l’approvazione del GDPR (Regolamento generale sulla protezione dei dati) nel 2016, entrato in vigore a partire da maggio 2018. Il suo obiettivo è quello di proteggere i dati personali dei cittadini europei stabilendo delle regole sul loro trattamento e diffusione imponendo degli obblighi ai fornitori di servizi digitali in merito all’uso e al trasferimento di informazioni.
Nonostante però gli sforzi mostrati fino ad ora, l’Unione ed i suoi membri non riescono ancora a mettersi sullo stesso livello di altre nazioni che pure hanno raggiunto dei sistemi di difesa e di attacco cyber ben più avanzati. I tre esempi più eclatanti sono gli Stati Uniti d’America in primis, insieme con Cina e Russia, le quali crearono una sorta di oligopolio mondiale sulla scena informatica, non tanto da un punto di vista dei servizi o dei prodotti offerti (cosa che rimane ancora nelle mani dell’America), quanto piuttosto sul piano politico e, se così si può dire, bellico.
L’UE prova a difendersi da questi giganti provando a fare in modo che questi adottino le sue norme di sicurezza, almeno all’interno dei suoi territori, con degli effetti ragguardevoli seppure ancora carenti in molti punti.
Proprio qui viene in aiuto il nuovo report redatto dalla Corte dei Conti Europea a marzo 2019 dal titolo “Le sfide insite in un’efficace politica dell’UE in materia di cibersicurezza“, il quale mostra le sfide più grandi che l’UE deve ancora affrontare per migliorare la propria risposta politica nei confronti di chi trasgredisce le regole in questo ambito ad oggi considerato così delicato. La Corte, in aggiunta, ha raggruppato queste falle in quattro diversi gruppi: il quadro normativo e strategico; il finanziamento e la spesa; Lo sviluppo della ciber-resilienza; Una risposta efficace agli incidenti informatici.
In relazione al primo punto il rapporto afferma che la strategia imposta dall’UE sulla cybersicurezza è forse eccesivamente generica, non andando a segnare quelli che sono i veri obiettivi da raggiungere, ma al contrario promuovendo una semplice visione comune sui diversi punti in ballo. Oltretutto, punti che si prefiggono come scopo il conseguimento di livelli minimi di operatività e armonizzazione tra i vari Stati membri, invece di puntare sull’ottenimento di un valore massimo. Il più recente quadro strategico in materia di ciberdifesa si limita a definire i criteri per una ciber-difesa senza fissare degli obiettivi che definiscano un livello di resilienza adatto per l’intera UE.
Ciò accade dal momento che le differenze tra le varie visioni in ambito cyber dei diversi Stati, unite alle diverse capacità a livello finanziario ed operativo di questi, limitano il lavoro delle istituzioni europee, che così si trovano a non poter estrapolare dalla normativa vigente tutte le sue potenzialità. Effetto dovuto in parte anche dalla possibilità dei membri dell’UE di poter trasporre i regolamenti e le direttive all’interno dei propri territori in maniera peculiare alle loro interpretazioni e volontà, frammentando così il modus operandi, rallentando e a volte impedendo una più veloce cooperazione fra loro.
Un altro problema importante è quello della scarsità e della poca qualità dei dati raccolti finora al fine di elaborare una strategia difensiva seria e completa. Gli effetti di un cyber-attacco sono misurati di rado e sono stati valutati pochi settori d’intervento. La sfida risiede dunque nel definire criteri di valutazione rigidi che ci possano aiutare nella rivelazione di questi dati. C’è da dire però che il nuovo cybersecurity act dovrebbe alleviare in parte questo problema dell’assenza di un sistema di monitoraggio comune e obbligatorio, rafforzando i poteri dell’ENISA ed imponendo un nuovo approccio sulla questione cyber.
Sul secondo punto, il finanziamento e la spesa, anche qui L’UE si trova a doversi difendere dagli squali solamente con un bastone in mano. I fondi stanziati, se comparati con gli Stati Uniti appaiono meno che sufficienti, ponendo l’Unione nella posizione obbligatoria di dover provare a fare di più avendo meno. Negli USA infatti le finanze per la gestione della cybersecurity equivalgono allo 0,1% del PIL, traducibile in circa 21 miliardi l’anno di investimenti solamente dalle casse pubbliche. Percentuale che sale allo 0,35% se si considerano anche gli stanziamenti privati. In Europa invece le spese per l’implementazione della cyber strategy sono state di 1,8 miliardi su di un periodo che va dal 2014 al 2018. Ai fondi della Commissione si è aggiunto dal 2016 anche un altro portafoglio tramite il partenariato pubblico-privato, che voleva il raggiungimento entro il 2020 di 450 milioni investiti dal fondo Horizon 2020 (H2020), per stimolare il settore della cibersicurezza europeo soprattutto nelle industrie, attraendo 1,8 miliardi dal settore privato. Purtroppo però i risultati si prefigurano molto negativi con, al 31 dicembre 2017, la raccolta di soli 67,5 milioni dall’H2020 ed un miliardo dai privati.
Per il futuro non si prospetta di meglio. Nel new digital Europe Programme sponsorizzato dalla Commissione per il periodo 2021-2027, si pensa andranno circa 2 miliardi di euro. Una cifra di certo più alta rispetto al passato, ma comunque insufficiente.
Questo, insieme alla non presenza di un budget dedicato esclusivamente alla cybersicurezza ed alla conseguente disorganicità dei fondi, fa risultare un’incapacità da parte dell’Unione di poter assitere sul lungo periodo le imprese esperte in cybersicurezza o le Start up nel settore, che potrebbero aiutare l’Europa a risolvere un altro dei suoi problemi, quello dell’importazione della maggior parte delle strutture informatiche e delle telecomunicazioni dall’estero, rendendo il continente più vulnerabile a possibili interferenze esterne. Rischi che aumentano nel momento in cui le società europee, incapaci di andare avanti da sole, vengono comprate da compagnie provenienti da paesi extra-UE, come la Cina, minando il principio questa volta ribadito dal cybersecurity act di “security by design”, significando che il software ed il sistema su cui esso gira siano stati progettati alle base per essere sicuri.
Sullo sviluppo di una cyber-resilienza si intende la costruzione di una società resiliente agli attacchi e agli incidenti informatici. Qui si ritorna al problema già citato di un sistema di operatività troppo diversificato tra i vari Stati membri. Differenze che impediscono una risposta su larga scala ai problemi derivanti da attacchi che passano i normali confini nazionali, cui si affianca anche la mancanza di fiducia che i paesi europei hanno nei confronti dei loro vicini quando si tratta di scambiare informazioni collezionate dalle proprie agenzie di intelligence.
Si rende indispensabile così migliorare la cooperazione e non solo. L’UE ha bisogno di incoraggiare sempre più i suoi cittadini verso una sensibilizzazione al tema, rendendo i popoli di tutta Europa più capaci di potersi difendere da soli, spingendo allo stesso tempo più e più persone ad intraprendere una carriera all’interno del settore della Cybersecurity.
Il divario in termini di forza lavoro in ambito informatico è cresciuto del 20% dal 2015 rispetto alle domande di personale, inoltre la disparità di genere è palese, con circa il 90% dei lavoratori di sesso maschile. Una mancanza che va a restringere ancor di più il serbatoio di talenti cui attingere.
Si rende necessaria dunque una migliore e maggiore formazione e istruzione per tutti, dai semplici civili ai funzionari pubblici, alle autorità giudiziarie, le forze armate e gli educatori. Ottenere queste competenze è importante per far sì che anche le istituzioni possano essere in grado di identificare e di definire in modo appropriato e rapido le esigenze di sicurezza o altrimenti si correrebbero il rischio di non disporre delle capacità di gestione adeguate dei problemi infomatici. Ma al momento non esistono degli standard di formazione e certificazione applicabili a tutta l’UE.
Sul quarto punto: Rispondere in modo efficace agli incidenti informatici, è indispensabile individuare in maniera rapida le fonti dei problemi. Tuttavia ad oggi, molte delle imprese private non si forniscono degli strumenti indispensabili ad una celere risposta nei confronti di eventuali attacchi telematici. Per di più, molte compagnie si rifiutano di dichiarare gli incidenti da loro rilevati, molto spesso per paura di minare l’immagine della società stessa, rendendo l’azione di prevenzione da parte di enti pubblici e privati ardua.
Da considerare anche la mancata elaborazione a livello europeo di un sistema di risposta comune ad un attacco trasfrontaliero, perché la nuova strategia europea sulla sicurezza informatica non prevede un più ampio ruolo operativo da parte dell’ENISA nella gestione degli incidenti di cibersicurezza su vasta scala dal momento che gli Stati non hanno voluto sostenere l’iniziativa, preferendo un agenzia che semplicemente sostenga e affianchi il lavoro dei CERT (Computer Emergency Response Team) e CSIRT dei paesi membri. Un sistema che ostacola un’efficace cooperazione in risposta agli incidenti di grande entità.
Un ultimo sguardo va rivolto all’importanza di difendere le infrastrutture critiche del vecchio continente, tra le quali alcune sono lasciate indietro dal regolamento europeo. Prima fra tutte l’assenza di un sistema dedito alla protezione dell’integrità democratica delle elezioni, che si occupi del controllo delle infrastrutture elettorali e dalla disinformazione,
Dal 23 al 26 maggio i cittadini europei andranno al voto per il Parlamento. In questo processo il rapporto della Corte dei Conti evidenzia alcuni punti deboli che potrebbero minarne la legittimità. Difetti sia dal punto di vista delle infrastrutture elettorali che della possibile attività di disinformazione perpetrata da agenti esterni.
Sulle infrastrutture merita di essere evidenziato come anello debole della catena il cosiddetto “ultimo miglio”, ossia la comunicazione dei risultati dalle capitali nazionali a Bruxelles.
A tal riguardo la Commissione ha previsto delle misure per potenziare la cibersicurezza elettorale, come la nomina di punti di contatto nazionali per coordinare e scambiare informazioni nei giorni precedenti le elezioni. O, ancora, l’elaborazione da parte del gruppo di cooperazione NIS istituito presso la Commissione europea di orientamenti pratici sulla sicurezza delle tecnologie elettorali, al fine di migliorare la collaborazione tra le autorità pubbliche.
Sulla disinformazione, l’Ue già dal 2015 si era dotata di una task force per contrastare le campagne di disinformazione condotte dalla Russia, chiamata “East StratCom”. Eppure le risorse incanalate in questo gruppo sono limitate, rendendo necessario un nuovo piano che preveda un’interazione più sistematica con le esistenti strutture dell’UE, oltre che ad una migliore cooperazione in materia di comunicazione strategica. A tal proposito, la comissione ha adottato un codice di condotta non vincolante ed autoregolamentato, basato sugli esistenti strumenti d’intervento, al quale hanno aderito le piattaforme online e il settore pubblicitario, che prevede delle azioni azioni volte ad incrementare l’attendibilità dei contenuti ed a sostenere gli sforzi per accrescere l’alfabetizzazione mediatica e in materia di notizie. E proprio con tale scopo ha creato una rete europea indipendente di verificatori, o fact-checkers, per assicurare che il codice venga rispettato.
Resta ancora da migliorare però l’individuazione ed il monitoraggio di queste fonti, che sempre più riescono a camuffarsi nel mondo digitale. Si parla infatti di deepfake, video falsi creati con l’aiuto dell’intelligenza artificiale e del deep machine learning che girano sul web diffondendo informazioni false su eventi ed avvenimenti. Ma purtroppo gli strumenti necessari per individuarli sono ancora scarsi in Europa.
Insomma, il viaggio verso un’Europa completamente sicura e compatta è ancora lungo, ma i miglioramenti ci sono e si fanno notare. L’interesse a raggiungere una linea comune di azione cresce sempre di più tra gli Stati membri e con la giusta spinta forse riusciremo a vedere un’Unione europea più salda e coerente in futuro.