La strategia europea per la cybersecurity

Negli ultimi anni si è assistito ad un continuo degrado dello scenario globale della cybersecurity. A causa della vertiginosa espansione della “superficie d’attacco” dei sistemi informatici, conseguente ai processi di digitalizzazione e delle crescenti capacità tecniche e organizzative della criminalità informatica, il numero di violazioni dei sistemi informatici è aumentato esponenzialmente.  

Uno degli aspetti più preoccupanti è dato dal fatto che anche le strutture informatiche del settore pubblico e dei sistemi “critici” (energia, telecomunicazioni, sanità, etc..) sono sempre più spesso vittime di questi attacchi. Di conseguenza è cresciuta, centralmente, la consapevolezza della necessità di una iniziativa di alto livello. Un numero sempre maggiore di Paesi (USA per primi, ma anche India, Australia e molti altri) ha deciso di varare dei piani e delle iniziative per contrastare, contenere e rispondere alle minacce informatiche, dotandosi di una strategia nazionale di cyber security. 

Tale strategia consiste in un piano di azioni progettato per migliorare la sicurezza e la resilienza informatica delle infrastrutture e dei servizi nazionali. Si tratta di un approccio top-down alla sicurezza, che stabilisce una serie di obiettivi e priorità nazionali, da raggiungere in un determinato periodo di tempo.   

Anche l’Europa ha confermato questa tendenza, propendendo per una strategia di respiro sovra-nazionale, avviando un approccio di difesa informatica comune per tutti gli stati membri: la Cyber Strategy 2020. 

È opportuno ricordare come l’Unione Europea avesse già proposto una Cyber Strategy nel 2013, con l’obiettivo di aumentare e rafforzare la sicurezza online e le libertà fondamentali dei cittadini europei. Tuttavia, questo pioneristico progetto aveva portato ad un numero limitato, seppur significativo di iniziative. Quella di maggior impatto è stata la Direttiva NIS, entrata in vigore nell’estate 2016 e recepita dagli Stati membri dopo due anni. La velocissima evoluzione del digitale (e delle minacce informatiche) ha già reso necessario un adeguamento di tale Direttiva, rispetto alla quale già nel 2020 la Commissione Europea aveva lanciato una consultazione pubblica e del cui destino parleremo nella seconda parte di questo articolo.  

È nato così il progetto di Direttiva NIS2, approdato al Parlamento Europeo a dicembre 2020.  

Quali sono, quindi, i punti salienti della Cyber Strategy 2020?

Nel 2013 è stata proposta una Cyber Strategy europea, la quale ha portato all’entrata in vigore della Direttiva NIS nel 2016 e alla sua recezione da parte degli Stati membri dell’Unione dopo pochi anni.  

Nel 2019 è stato approvato il Regolamento 2019/881, chiamato Cybersecurity Act, mirato all’evoluzione e rafforzamento dell’Agenzia Europea ENISA e all’attivazione di un programma di certificazioni, dedicate alla sicurezza informatica di prodotti e servizi. Un altro importante elemento all’attenzione delle istituzioni europee è stata la protezione delle nuove reti wireless. Sono state varate infatti molte iniziative per rafforzare la sicurezza delle future strutture 5G, attraverso ad esempio l’iniziativa “5G Security Toolbox”.  

Infine, nel dicembre del 2020:  

• È stata presentata al parlamento Europeo la proposta di Direttiva NIS2;  
• nell’ambito del lancio del Recovery Plan europeo, è stata annunciata la nuova Strategia Europea per la Cyber Security¹, della quale saranno illustrati nel seguito i principali elementi. 

La nuova iniziativa strategica europea si differenzia notevolmente dalle altre proposte similari o precedenti. Si tratta di un progetto che è sia visionario, come ci si deve aspettare da un piano che riguarda il futuro digitale di oltre 440 milioni di cittadini europei, sia denso di iniziative tecnologiche e operative molto concrete. 

In sintesi, possiamo descrivere la strategia come costituita da tre pilastri: 

1. Incrementare resilienza, leadership ed il primato tecnologico della UE

Il primo pilastro ha l’obiettivo di “corazzare”, a livello europeo, le infrastrutture di base del cyberspazio. Questo significa evidentemente incentivare (od obbligare) i paesi membri a intraprendere delle azioni per rafforzare la resilienza delle rispettive aziende ed infrastrutture critiche. Lo strumento prescelto è stato evidentemente la Direttiva NIS.   

Un altro elemento fondamentale da proteggere, come noto a chi lavora nel campo della sicurezza e delle reti, è il meccanismo di risoluzione DNS. A questo proposito la strategia prevede la progressiva adozione sia di protocolli più evoluti, sia di un meccanismo di risoluzione interamente basato in Europa. Inoltre, sarà vincolante l’adozione di tutte le best practice di sicurezza esistenti e sarà creato un sistema europeo di recovery, in caso di collasso globale dell’infrastruttura DNS.  

Sempre nell’ottica di aumentare la resilienza delle comunicazioni sarà poi lanciato un programma pluriennale per realizzare un sistema di comunicazione basato sulla tecnologia quantistica (realizzata e finanziata solo da industrie europee), per permettere la trasmissione di informazioni critiche, fra gli enti pubblici europei, al massimo livello di sicurezza.  

Saranno poi messi a disposizione una serie di incentivi per consentire alle aziende di allineare i propri prodotti ai futuri schemi di certificazione di sicurezza europei. Questo piano (integrato nell’ambito del Cybersecurity Act) ha lo scopo di innalzare progressivamente il livello di sicurezza nativo dei prodotti “Made in Europe”. A questo proposito non si può non evidenziare la coerenza dei principi di “security-by-design” e “security-by-default” con i principi di “privacy by design e by default” introdotti dal GDPR.  

Infine, il capitolo dedicato alla ricerca e sviluppo, con la dotazione di fondi per un programma comunitario di ricerca sulla Cybersecurity, con l’obiettivo dichiarato di attrarre i migliori talenti in Europa, per contribuire all’avanzamento delle conoscenze in questo settore. Questo sforzo di investimento nella ricerca ha anche come obiettivo la soluzione al problema della mancanza di skill specialistici in ambito sicurezza, una difficoltà che riguarda non solo l’Europa. 

2. Costruire un’effettiva capacità di prevenzione, deterrenza e reazione agli attacchi informatici

Un altro mattone fondamentale è l’innalzamento della capacità di rilevamento degli attacchi, che sarà ottenuta costruendo una serie di Security Operation Centre (SOC) in tutta Europa. Questi SOC avranno funzioni simili alle analoghe strutture usate da aziende pubbliche e private, ma opereranno a livello intereuropeo.  

La difesa dagli attacchi informatici viene qui dispiegata con diverse strutture operative e va a coprire e a collegarsi anche con il mondo militare e dell’esplorazione spaziale. Prevede per prima cosa una Joint Cyber Unit, che costituirà una piattaforma virtuale e fisica di cooperazione per le diverse comunità di sicurezza informatica nell'UE, dedicata al coordinamento operativo e tecnico contro incidenti e minacce informatiche esterne. Questa unità avrà l’obiettivo di garantire la preparazione delle unità di sicurezza informatica, facilitare la condivisione delle informazioni e abilitare una risposta ed un recupero comune e coordinato dagli attacchi.  

Altri obiettivi dichiarati sono la creazione di un gruppo di lavoro comune per la cyber intelligence, supportare le attività di contrasto al crimine informatico (aumentando le sinergie fra ENISA, Europol - con la sua unità cyber EC3 - JRC, CSIRT) e le agenzie degli stati membri), rafforzare e promuovere maggiormente la convenzione di Budapest sul Cyber crime. Non da ultimo, incrementare la sicurezza informatica di una delle infrastrutture più sofisticate, costituita dalla rete satellitare, basi di lancio e di comunicazione, del Programma Spaziale Europeo. Infine, sviluppare una strategia militare europea di difesa cyber, in coordinamento con l’Agenzia di Difesa Europea. 

3. Realizzare un “cyberspazio” aperto e sicuro 

Terzo e non meno importante baluardo della strategia europea è la difesa delle fasce deboli della popolazione, con un programma di sostegno alle libertà fondamentali e ai diritti umani su internet, specificatamente dedicato alla protezione dei minori. 

L’Unione Europea sta compiendo sforzi concertati e programmando ingenti investimenti al fine di innalzare il livello generale di sicurezza informatica, nel tentativo di offrire soluzioni tecnologiche competitive alla sicurezza digitale. Dalla capacità di combattere collettivamente la criminalità informatica e rafforzare in modo collaborativo la resilienza dell'Europa agli attacchi informatici dipenderanno il futuro economico e di sicurezza dell'UE. Si apre così la strada a una più profonda cooperazione a livello globale per il raggiungimento di tali obiettivi.