Negli ultimi anni, le Istituzioni europee e gli Stati membri hanno riconosciuto alla cybersicurezza un ruolo centrale per la sicurezza dell’Unione Europea. Ciò è dovuto in modo particolare alla trasformazione delle minacce, divenute sempre più complesse e difficili da contrastare. L’utilizzo degli attacchi informatici contro la popolazione civile rappresenta una delle principali problematiche nel dominio cibernetico, in quanto non è sufficiente rafforzare, come negli altri domini operativi, le difese militari. Una maggiore capacità difensiva degli Stati, infatti, passa inevitabilmente attraverso l’aumento della consapevolezza dei cittadini dei rischi informatici. Per raggiungere tale obiettivo, gli Stati membri e l’UE hanno messo in atto campagne di sensibilizzazione alla cybersicurezza.
L’articolo è disponibile anche su Spotify!
Il ruolo della Cybersecurity Awareness nell’UE
La crescita degli attacchi informatici a livello globale, come rilevato dal Rapporto CLUSIT 2021, fa da sfondo all’aumento dell’utilizzo di tecniche di social engineering, quali il phishing, per mettere in atto frodi informatiche o accedere a dati sensibili di aziende ed enti governativi. Questo rappresenta una minaccia concreta per la sicurezza degli Stati, dimostrando come il fattore umano rappresenti la principale vulnerabilità nel campo della cybersicurezza. A tal proposito, la European Union Agency for Cybersecurity (ENISA), nel 2013, ha ideato l’iniziativa European Cybersecurity Month (ECSM) che si svolge ogni anno ad ottobre. Il progetto si compone di molteplici iniziative degli Stati membri finalizzate ad aumentare la consapevolezza dei cittadini e fornire strumenti per la prevenzione degli incidenti informatici. L’ECSM è fondamentale, inoltre, per far comprendere come la cybersecurity non riguardi solo gli esperti del settore, ma tutti gli individui.
L’importanza dell’awareness è stata sottolineata anche dalla nuova strategia dell’UE per la cybersicurezza proposta lo scorso dicembre, la quale espone un programma specifico per aumentare la consapevolezza dei rischi e sviluppare una cultura della sicurezza informatica. Sviluppare programmi di formazione e sensibilizzazione è fondamentale, si legge nel documento, per innalzare il livello di cybersicurezzadei Paesi membri. A tal fine l’ENISA, la European Defence Agency (EDA) e lo European Security and Defence College (ESDC) devono collaborare attivamente, creando sinergia tra le loro attività.
Incrementare la consapevolezza dei cittadini deve andare di pari passo con altre misure di prevenzione dei rischi e di mitigazione delle minacce. La nuova strategia europea si basa, infatti, su tre pilastri:
• Raggiungere resilienza, sovranità tecnologica e leadership;
• Sviluppare la capacità operativa di prevenire, esercitare deterrenza e rispondere agli attacchi;
• Promuovere un cyberspazio globale e aperto attraverso una maggiore cooperazione.
Il primo obiettivo, dovrà essere raggiunto sia attraverso l’adozione della nuova Direttiva Network and Information Security (NIS 2), volta a innalzare il livello di cybersicurezza e resilienza degli Stati membri, sia attraverso la creazione di Digital Innovation Hubs e la previsione di investimenti nella ricerca. Per il secondo punto, l’UE ha proposto la creazione della Joint Cyber Unit, volta a migliorare le capacità dell’Unione nel contrastare le attività malevole nel cyberspazio. Infine, l’UE intende rafforzare l’EU Cyber Diplomacy Toolbox, al fine di migliorare la cooperazione tra gli Stati membri in tale ambito.
Le misure previste dagli Stati per incrementare l’awareness
Negli ultimi anni, gli Stati membri hanno implementato le policies emanate dall’Unione Europea inerenti alla cybersicurezza. Lo sviluppo di un quadro normativo uniforme è una misura essenziale per adottare un approccio condiviso alle minacce cibernetiche che garantisca la sicurezza non solo delle infrastrutture nazionali, ma della stessa Unione. Nel far ciò, la maggior parte degli Stati membri ha incluso la cybersecurity awareness tra i principali obiettivi della propria strategia nazionale per la sicurezza informatica.
In Italia, il Dipartimento per le informazioni della sicurezza (DIS) ha lanciato nel 2017 la campagna “Be aware. Be digital” per promuovere tra i nativi digitali e le piccole e medie imprese (PMI), la consapevolezza nell’utilizzo delle tecnologie dell’informazione e della comunicazione (TIC). Ogni anno, poi, il Ministero dello Sviluppo Economico organizza convegni e seminari nell’ambito dell’European cybersecurity month. Inoltre, attraverso il Computer Security Incident Response Team (CSIRT) Italia sono organizzate, periodicamente, campagne di sensibilizzazione per I cittadini e le PMI, al fine di mitigare i rischi cibernetici.
Negli ultimi mesi, il governo ha dato vita all’Agenzia per la cybersicurezza nazionale, autorità che sarà responsabile anche della promozione di una maggiore consapevolezza in materia di cybersicurezzae del coinvolgimento delle università e dei centri di ricerca per lo sviluppo di capacità tecniche e scientifiche in tale ambito. Questo rappresenta un allineamento importante alla strategia europea e un fattore fondamentale per garantire una maggiore sicurezza nazionale.
Già da tempo, la Francia ha creato, all’interno dell’Agenzia nazionale per la sicurezza dei sistemi informatici (ANSSI), il Cybersecurity Training Center (CFSSI), un centro di formazione che si occupa in modo specifico di aumentare la cybersecurity awareness. Il Libro bianco sulla difesa e sicurezza della Francia, pubblicato nel 2013, ha evidenziato come “la sicurezza informatica debba essere parte integrante di tutti i corsi di istruzione superiore in computer science”. Questo evidenzia l’importanza prioritaria data dal Paese alla formazione in cybersicurezza, tanto da includerla in un documento strategico. Il CFSSI ha lanciato alcune iniziative per aumentare il livello di awareness dei cittadini: il corso online “SecNumacadémie”, uno strumento per incrementare la consapevolezza dei lavoratori e migliorare la posture di cybersicurezza degli stessi, garantendo una maggiore sicurezza delle aziende; la piattaforma CyberEdu, creata per rendere tutti i lavoratori consapevoli e formati sui rischi di cybersicurezza.
Anche la Germania concepisce l’awareness come un elemento strategico fondamentale per garantire la sicurezza informatica. Nella nuova strategia per la cybersicurezza, pubblicata lo scorso settembre, la formazione e la sensibilizzazione dei cittadini occupano un ruolo centrale. La prima “Strategic area” su cui si basa la strategia, è “Remaining safe and autonomous in a digital environment”, che si focalizza sui cittadini e sulla società. L’obiettivo è quello di aumentare la consapevolezza dei rischi informatici per assicurare la sicurezza e la resilienza cibernetica del Paese. A tal fine, il Ministero dell’istruzione e della ricerca ha incrementato, negli ultimi anni, i fondi per la ricerca e per le iniziative rivolte ai cittadini, cercando di aumentare la formazione in cybersicurezza all’interno delle scuole e delle università.
Lo scorso marzo, poi, è stata lanciata la campagna nazionale di awareness, condotta dal Ministero federale dell’interno, dei lavori pubblici e della patria e dall’Ufficio Federale per la Sicurezza Informatica (BSI), con l’obiettivo di aumentare la digital literacy e fornire ai cittadini informazioni sui rischi cyber.
La crescita delle minacce a livello internazionale
Aumentare la consapevolezza dei cittadini sui rischi informatici nasce anche da un’esigenza di sicurezza internazionale. Nell’ultimo anno, sono stati numerosi gli attacchi da parte di gruppi state-sponsored per finalità geopolitiche. In particolare, gli Stati Uniti e l’UE sono stati vittime di molteplici campagne di cyberespionage e di disinformazione da parte di attori russi. Ciò ha comportato un cambiamento dell’approccio sia da parte della NATO, sia dalle istituzioni europee. L’Alleanza atlantica, a giugno, ha ribadito la possibilità che una campagna di attacchi informatici possa causare l’attivazione della clausola della difesa collettiva. A fine settembre, l’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, Josep Borrel, ha dichiarato inaccettabile la campagna Ghostwriter, ritenuta opera del governo russo. Essa si è concretizzata in attacchi informatici contro politici, giornalisti e membri della società civile, al fine di rubare dati utili per mettere in atto campagne di disinformazione e influenzare le elezioni in Germania. L’UE ha, inoltre, intimato alla Russia di aderire a regole per un comportamento responsabile nel cyberspazio, questione ancora aperta in ambito ONU.
Tali attacchi mettono in luce come i cittadini giochino un ruolo chiave nel prevenire gli incidenti e, quindi, garantire la sicurezza dell’Unione. Le campagne di cybersecurity awareness sono uno strumento necessario per contrastare l’intrusione di altri Stati, che potrebbero acquisire informazioni rilevanti dal punto di vista politico e strategico, come avvenuto nei casi di cyebrespionage ai danni delle agenzie governative statunitensi (Solarwinds) e dello Stato del Vaticano, il primo ad opera di attori russi, il secondo messo in atto da gruppi cinesi.
Conclusioni
Le iniziative introdotte dall’Unione Europea per incrementare la consapevolezza dei cittadini fanno quindi eco a un approccio più proattivo nel cyberspazio. Questo mutamento è dovuto a una maggiore comprensione – da parte dei policy makers – dei rischi insiti nel dominio cibernetico. Gli attacchi informatici, infatti, vengono utilizzati in modo sempre più frequente dagli Stati per incrementare il proprio peso sullo scenario internazionale o regionale, anche attraverso l’acquisizione di informazioni strategiche, come dimostrano i casi di cyberespionage menzionati in precedenza. Il fatto che gli attacchi che sfruttano il fattore umano siano in crescita è significativo dell’importanza di aumentare gli investimenti per migliorare la formazione e incrementare l’awareness dei cittadini. Se è vero, quindi, che la principale vittima degli attacchi informatici è la società civile, risulta di vitale importanza – al fine di aumentare le difese cibernetiche – formare le persone sulle potenziali minacce ed educarle a tenere un comportamento responsabile e consapevole nel cyberspazio. Come sottolineato da Margrethe Vestager, vicepresidente esecutivo di “Un’Europa pronta per l’era digitale”, è necessario adottare comportamenti adeguati nel cyberspazio, al fine di costruire una “vita digitale” sicura e protetta.
