L’Unione Europea ha individuato la cyber security come principale sfida già con la Strategia per la Sicurezza 2020-2025, adottata lo scorso luglio dalla Commissione europea. La pandemia di Covid-19 però ha evidenziato ancora di più il bisogno di una nuova strategia per la sicurezza informatica che dia un chiaro indirizzo agli stati membri su come affrontare i rischi e le minacce crescenti, provenienti da attori statali e non.
Un mondo sempre più connesso ma meno sicuro
La EU’s Cybersecurity Strategy for the Digital Decade pubblicata il 16 dicembre dalla Commissione europea, congiuntamente con l’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, riconosce la fondamentale importanza che riveste il dominio cyber per la sicurezza dell’Unione. Tutti i settori della società, infatti, dalla finanza ai trasporti, dall’energia alla salute, dipendono sempre di più dalle reti e dai sistemi informatici. Proprio per questo, per costruire un’Europa resiliente, è necessario implementare le misure di sicurezza informatica.
Il dominio cyber è fortemente competitivo e le tensioni geopolitiche sono all’ordine del giorno. Il cyberspazio è utilizzato sempre più frequentemente per finalità politiche o ideologiche, attraverso campagne di disinformazione foraggiate da attori statali. Queste attività vanno a minare la stabilità internazionale, moltiplicando i motivi di attrito e vanificando gli effetti benefici che la digitalizzazione ha sullo sviluppo economico, politico e sociale.
La Commissione europea ha evidenziato come, al giorno d’oggi, ogni tipo di crimine comprenda un “elemento digitale”. Nonostante ciò, il documento sottolinea una mancanza di consapevolezza da parte degli stati membri della situazione collettiva delle cyber threats. Questo perché c’è una forte carenza di information sharing e di cooperazione tra gli stati in ambito informatico, mancando altresì un meccanismo operativo tra stati membri e istituzioni europee, che entri in funzione in caso di incidenti o di crisi cibernetiche su larga scala.
Si è davanti ad un’Europa sempre più dipendente dal digitale, fattore questo di sviluppo e di modernità. Tuttavia, come sottolineava il saggio della ricercatrice Jacquelyn Schneider, pubblicato nel 2019 sul Journal of Strategic Studies, l’aumento di capacità digitali e una maggiore dipendenza dai dati amplifica notevolmente la superficie di attacco, incrementando quindi le minacce potenziali. Sebbene il capability/vulnerability paradox delineato dalla ricercatrice dell’US Naval College si riferisca principalmente all’ambito militare, gli attacchi informatici degli ultimi mesi hanno messo in luce quanto il settore civile sia vulnerabile e sensibile ai fenomeni di hacking.
I tre pilastri della strategia
Il documento pubblicato dalla Commissione delinea una strategia di ampio respiro, non solo europea, ma addirittura globale. Attraverso tre principali strumenti, quelli regolatori, gli investimenti e quelli di policy, la strategia intende affrontare tre aree di interesse dell’azione dell’UE:
- Aumentare il livello di resilienza, ottenere la sovranità tecnologica e rafforzare la leadership;
- Sviluppare la capacità operativa di prevenzione, deterrenza e risposta agli attacchi informatici;
- Promuovere un cyberspazio globale e aperto attraverso una maggiore cooperazione.
Per quanto riguarda il primo punto, la Commissione è fermamente convinta che si debbano modificare le norme relative alla sicurezza informatica, aggiornando la Direttiva NIS del 2016 o adottandone una nuova (NIS 2). Ciò sarebbe necessario per aumentare il livello di ciber-resilienza dei settori pubblici e privati essenziali e, in particolare, per ridurre le incongruenze del mercato interno, “conformando gli obiettivi, i requisiti di sicurezza e di segnalazione degli incidenti e le capacità delle autorità competenti”.
Un’altra misura chiave proposta dalla Commissione per raggiungere il primo obiettivo è la costruzione di un European Cyber Shield. Per fare ciò, sarebbe necessario creare una rete di Security Operation Centres (SOCs) in tutta Europa, promuovendo il miglioramento di quelli già esistenti e la creazione di nuovi centri. Per questo progetto, la Commissione propone di stanziare oltre 300 milioni di euro per supportare, in particolare, la cooperazione transfrontaliera e tra il settore pubblico e privato. L’obiettivo finale è quello di connettere quanti più centri possibili per creare una conoscenza collettiva e condividere best practices.
Infine, la strategia pone l’attenzione su due elementi chiave: la ricerca e la formazione. Attraverso la creazione del Cybersecurity Industrial, Technology and Research Competence Centre and Network of Coordination Centres (CCCN), proposta nel 2018,l’Europa sarà in grado non solo di sviluppare una sovranità tecnologica in ambito cyber, ma anche di rendere più sicure le infrastrutture sensibili, come quella 5G. La formazione, invece, costituirà un elemento fondamentale per creare la cosiddetta Cyber-skilled EU workforce. Il Digital Education Action Plan (2021-2027) si pone l’obiettivo di aumentare la consapevolezza tra i cittadini europei, in particolare tra i giovani e le piccole e medie imprese. Inoltre, la Commissione si ripropone di sviluppare strumenti per aumentare la cyber awareness, specialmente per contrastare il furto di proprietà intellettuale favoriti dal dominio cyber.
L’obiettivo che richiederà un approccio maggiormente proattivo è sicuramente il secondo. Per prevenire, scoraggiare e rispondere ai futuri attacchi informatici, è necessario un maggiore livello di cooperazione tra gli stati membri, in particolare tra le autorità NIS, quelle di polizia, quelle giudiziarie, la comunità della cyber diplomacy e quella della cyber defence.
Lo strumento chiave per aumentare la cooperazione è la Joint Cyber Unit, che avrebbe un focus sul coordinamento operativo e tecnico per contrastare le minacce e gli incidenti cibernetici transfrontalieri. La piattaforma, sia fisica che digitale, ridurrebbe due gravi lacune: innanzitutto, creerebbe uno spazio di cooperazione tra la comunità civile, diplomatica, di polizia e di difesa, facilitando il coordinamento operativo e tecnico. La Joint Cyber Unit sarebbe, inoltre, una piattaforma di collaborazione con il settore privato, che finora non è riuscito a sfruttare le strutture esistenti per una proficua cooperazione. Essa, infine, dovrebbe perseguire tre obiettivi:
- Assicurare la preparedness di tutte le comunità di cyber security;
- Fornire una continua e condivisa situational awareness;
- Rafforzare le capacità coordinate di risposta e recupero.
Come evidenziato dalla strategia, incrementare il livello di resilienza non è sufficiente. Sarà necessario aumentare la cooperazione nel contrasto ai cybercrimes, in modo da sviluppare una capacità di risposta rapida ed efficace. Sebbene l’Agenzia dell’Unione europea per la cybersecurity (ENISA) e l’Europol abbiano eseguito finora un ottimo lavoro, la Commissione evidenzia la necessità di migliorare le capacità delle forze di polizia di contrastare i crimini informatici, come evidenziato dall’inclusione di elementi cyber in documenti di policy relativi alla sicurezza, come la Counter-Terrorism Agenda.
L’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, Josep Borrell, ha proposto la creazione del Member States’ EU cyber intelligence working group all’interno dell’EU Intelligence and Situation Centre (INTCEN). Il working group dovrebbe promuovere la cooperazione in attività di intelligence strategica su attività e minacce cyber.
Inoltre, l’Alto rappresentante presenterà una proposta per definire la postura di cyber deterrence dell’Unione, in modo da fornire un preciso indirizzo nel contrastare le minacce più significative, tra cui quelle dirette contro le infrastrutture critiche. In particolare, questo indirizzo dovrebbe fornire una guida per gli stati membri nell’utilizzo degli strumenti politici, economici, diplomatici e legali contro gli attacchi informatici.
Infine, la strategia delinea alcune misure per rafforzare le capacità di cyber defence. Innanzitutto, l’Alto rappresentante, insieme alla Commissione, presenterà una revisione del Cyber Defence Policy Framework (CDPF), un documento focalizzato sullo sviluppo, da parte degli stati membri, di capacità di difesa cyber adeguate al contesto attuale. L’importanza sempre maggiore della cyber security per la Politica di sicurezza e difesa comune verrà maggiormente definita dalla Military Vision and Strategy on Cyberspace as a Domain of Operations che adotterà il Comitato Militare dell’UE. Il documento, nello specifico, approfondirà ulteriormente come il cyberspazio, quale dominio, permette di attuare missioni e operazioni militari previste dalla PSDC. La cooperazione in ambito militare verrà ulteriormente rafforzata con la creazione di una rete di Computer Emergency Response Team (CERT), che sarà istituita dalla European Defense Agency (EDA). Ultimo elemento per rafforzare la cooperazione sarà l’adozione, ad inizio del 2021, del Piano di azione sulle sinergie tra settore civile, della difesa e dello spazio. Il documento, infatti, includerà iniziative per incrementare le sinergie in ambito tecnologico e di innovazione.
Per raggiungere il terzo obiettivo, l’UE deve intensificare il proprio impegno nei processi di standardizzazione internazionali e aumentare il coinvolgimento negli organismi di standardizzazione internazionali. L’Unione, secondo la strategia, dovrebbe sviluppare una propria posizione sull’applicazione del diritto internazionale nel cyberspazio. Attraverso il Programme of Action to Advance Responsible State Behaviour in Cyberspace (PoA), l’UE potrebbe collaborare ancora più proficuamente con le Nazioni Unite per l’applicazione di norme per imporre agli stati un comportamento responsabile.
Inoltre, per rafforzare la cooperazione, l’UE continuerà il percorso già da tempo intrapreso. Innanzitutto, continuerà a collaborare con le nazioni che hanno firmato la Convenzione di Budapest sul cybercrime e incoraggerà l’accesso ad essa di paesi terzi. Poi, sarà fondamentale che l’Unione continui a collaborare strettamente con la NATO, in particolare sui requisiti di interoperabilità di cyber defence e sui programmi di formazione, esercitazione e addestramento.
Conclusioni
Negli ultimi anni l’Unione Europea ha acquisito una maggiore consapevolezza dei rischi derivanti dal dominio cyber. L’anno appena trascorso ha evidenziato un incremento delle minacce e degli attacchi informatici alle reti degli stati membri, causando gravi danni, da ultimo quello all’Agenzia europea del farmaco (EMA), che ha rubato dati rilevanti sul vaccino Pfizer.
La strategia presentata dalla Commissione si propone di adeguare gli strumenti di cyber defence allo scenario attuale. Il piano di investimenti predisposto è finalizzato a colmare la lacuna dovuta all’esiguo budget destinato alla cyber security. Come evidenziato dal report dell’ENISA NIS investments, infatti, l’Unione europea spende ancora troppo poco in sicurezza informatica: le organizzazioni europee assegnano in media il 41% in meno alla cyber security rispetto alle organizzazioni americane.
I prossimi mesi saranno cruciali per le proposte presenti nel documento. Se da un lato la Commissione e l’Alto Rappresentante monitoreranno i progressi nell’implementazione della strategia da parte degli stati membri, dall’altro il Parlamento europeo e il Consiglio dovranno decidere se approvare o meno la direttiva NIS 2 e le altre misure delineate dalla strategia. Entro 18 mesi dalla loro entrata in vigore, poi, le misure dovranno essere implementate dagli stati membri.
Dati gli avvenimenti degli ultimi mesi e il panorama delineato dai vari Enisa Threat Lanscape Reports, era necessario un nuovo documento di strategia sulla cyber security che prendesse in considerazione il mutato scenario, caratterizzato da minacce sempre più complesse e da una società sempre più digitalizzata. La sfida reale sarà adottare misure concrete per prevenire e rispondere agli attacchi, oltre ad incrementare il livello di investimenti e il grado di cooperazione tra stati membri.
Davide Lo Prete,
Geopolitica.info
