I consigli (e le regole) dell’Europa per la cybersicurezza

Daniele Manca, Roberto Viola Corriere della Sera 6 febbraio 2023
I consigli (e le regole) dell’Europa per la cybersicurezza
L’attacco informatico con richiesta di riscatto alla Royal Mail, le poste inglesi, è arrivato nella seconda metà di gennaio. E le sue conseguenze si stavano ancora allungando quando in queste ore e in questi giorni si è capito ancora di più quanto il tema delle cybersicurezza sia destinato a diventare centro delle preoccupazioni di aziende e semplici cittadini.

 

Ancora una volta, è decisivo, nell’era digitale, saper riconoscere i rischi della tecnologia per poterli prevedere e contenere. E non certo perché il digitale debba essere sinonimo di mondo sempre più incerto ed insicuro.

Da un lato esiste una realtà di transazioni che non siamo in grado di rintracciare – come raccontavamo nell’articolo del 23 gennaio scorso su L’Economia del Corriere sulle criptovalute –. Ma dall’altro la conoscenza del problema permette alle grandi istituzioni, come l’Europa, di avere l’ambizione di poter intervenire a difesa dei cittadini e delle aziende, delineando direttive, regole, misure alle quali attenersi per ridurre quei rischi di cui si parlava. È vero che il cyber-design prevede che ogni nuova rete o sistema informatico possa resistere a potenziali attacchi. Ma tale concetto dev’essere tenuto presente anche nei prodotti immessi sul mercato – area che purtroppo risulta alle volte precaria, come abbiamo visto nei recenti fatti di cronaca avvenuti in Spagna, dove immagini di videosorveglianza sono state diffuse senza autorizzazione.

Per questo l’Unione europea si è attivata detenendo – ancora una volta – la leadership mondiale nella regolamentazione della cybersicurezza dei prodotti. A settembre scorso è stato presentato il nuovo Cyber Resiliente Act (CRA). Il CRA fa subito una distinzione tra prodotti a basso e ad alto rischio informatico.

I primi possono essere autocertificati. Per i secondi è prevista una certificazione esterna che avviene tramite laboratori accreditati. Abbiamo visto durante il Covid quanto fosse importante la certificazione di un prodotto come le mascherine. Nel futuro, i prodotti immessi in Europa avranno bisogno della certificazione per poter circolare all’interno del mercato unico. Dovranno dunque essere effettuati degli aggiornamenti periodici nella vita del prodotto, individuando e registrando costantemente le vulnerabilità – la questione più temuta nella sicurezza dei prodotti; quelle vulnerabilità che se non individuate possono permettere attacchi informatici.

L’Idra di attacchi informatici
Come le molteplici teste dell’idra, esistono tre diversi livelli di attacchi informatici contro cui ci ritroviamo a combattere.

Il più immediato sono sicuramente le e-mail, inviate anche da hacker amatoriali che tentano di intercettare l’impreparazione dell’utente. L’Europa ha coniato il termine igiene informatica – cyber-igiene – attraverso diverse campagne informative per impiantare il riflesso istintivo di essere digitalmente cauti, ad esempio nella scelta della propria password o nel prestare maggiore attenzione alle e-mail di truffa. Una sorta di attacchi ingegnerizzati socialmente, sempre più verosimili alle e-mail ufficiali di aziende ed enti. Così come in pandemia vi era il riflesso di lavare le mani per prevenire il virus, così in cybersicurezza vi dovrebbe essere la cautela nell’uso della tecnologia informatica: l’imprudenza del singolo utente può permettere l’aprirsi di una porta alla cyber vulnerabilità. Una prova l’abbiamo avuta durante il Covid con l’esperienza della regione Lazio.

La seconda categoria di attacchi informatici è molto più sofisticata ed organizzata. Si tratta degli attacchi come i ransomware. Si entra nel sistema di un ente o azienda o istituzione e si chiede un riscatto per evitare danni. Si ha ragione di credere che questo tipo di attacchi sia molto più frequente di quello che viene dichiarato. Ammettere di essere stati soggetti ad un attacco informatico può intaccare la reputazione di un’azienda. Queste incursioni possono anche degenerare, portando a grandi incidenti come, ad esempio, quello dell’hackeraggio di SolarWinds negli Stati Uniti.

L’ultima testa dell’Idra, la più pericolosa, consiste invece in quegli attacchi di spionaggio – sia industriale che tra Stati – dove gli attaccanti sono gli attori pubblici con scopi offensivi, bellici e tattici. Un campo dove la geopolitica, le diplomazie, e autentiche guerre informatiche si verificano in modo più o meno espliciti. Come rispondere?

La triade che governa la cybersicurezza in Europa
Un’altra importante lezione che ci viene dalla pandemia e che possiamo applicare alla cybersicurezza è l’importanza dell’individuare il punto di rischio e di vulnerabilità per poter restringere il campo d’azione e prevedere l’attacco informatico e la sua propagazione. Questo permette alle aziende di avere dei sistemi informativi preparati e pronti a rispondere velocemente. Tuttavia, non è sufficiente. Innovativo il fatto che nella direttiva dello scorso settembre si richieda esplicitamente la responsabilizzazione del top management all’interno delle aziende e delle catene di approvvigionamento. E questo con l’introduzione di sanzioni nel caso in cui le aziende non facciano il proprio dovere, soprattutto nei settori più critici. Per rispondere agli attacchi informatici, il nuovo CRA non è l’unico strumento ma è parte di una triade fondamentale che governa la cyber security in Europa. Essa è composta – oltre che dal nuovo CRA il quale, come abbiamo già spiegato, riguarda i prodotti in circolazione all’interno del mercato unico europeo – anche dalla direttiva NIS (sicurezza di sistemi informativi e di rete) che concerne i sistemi e l’organizzazione aziendale.

Inoltre, esiste un terzo elemento già accennato che è quello della certificazione, rappresentato dal Cybersicurezza Act (CSA). Il CSA introduce procedure per certificare soprattutto i sistemi complicati, come le reti cloud, i chip, le smart card che si usano nei documenti, e così via. Il concetto di certificazione informatica non dovrebbe limitarsi solo ai prodotti (CRA) e ai sistemi (CSA) ma dovrebbe essere esteso anche alle persone, attraverso una certificazione standardizzata per educare ed affermare operatori della cybersicurezza. L’Europa si sta già muovendo in questa direzione. Il 2023 sarà l’anno europeo delle competenze digitali la cui carenza è plateale.

Le ambizioni europee e italiane
L’ambizione è dunque creare dei centri europei di cybersicurezza avanzata – proprio come è stato fatto con i supercalcolatori – che possano utilizzare le migliori tecnologie per riuscire a scoprire quello che è uno degli elementi più delicati nella cybersicurezza: i cosiddetti piccoli segnali che possano aiutare a individuare attacchi subdoli in grado di assumere il controllo silente di un sistema per poi arrivare a un attacco anche a distanza di mesi o anni. A livello nazionale, l’Italia non era di certo nel gruppo di testa quando è cominciata l’avventura europea della cybersicurezza, ma è stato un allievo che ha appreso rapidamente.

Oggi possiamo disporre di un’Agenzia per la cybersicurezza nazionale – anche grazie al Piano Nazionale di Ripresa e Resilienza – che si è distinta a livello europeo e che sta operando efficacemente per l’utilizzo di tecnologie più avanzate nel settore grazie all’uso di intelligenza artificiale e super calcolo: ad attori tecnologici sofisticati bisogna rispondere tecnologia ugualmente sofisticata. È grazie a questi tipi di strumenti e potenza che un comportamento informatico anomalo può essere reso evidente anche pochissimo tempo. La priorità europea ed italiana è quindi quella di investire in centri d’eccellenza, i quali giocheranno un ruolo essenziale. La lezione più importante che ci ha però lasciato la pandemia è la consapevolezza che una crisi sanitaria – così come un attacco informatico – non conosce confini nazionali. Ha effetti spillover che coinvolgono quasi contemporaneamente più Stati. Cosa che stiamo vedendo con il conflitto in Ucraina.

La chiave per affrontare questo tipo di crisi è attivare una difesa informatica transnazionale, basata su un sistema satellitare sicuro e sulla comunicazione quantistica, che permettano, grazie alla complementarietà, di sconfiggere minacce comuni. In questo momento storico è necessario un approccio nel quale tutti gli attori siano impegnati. Serve un’Europa più forte e che strategicamente sia in grado di riaffermare il proprio ruolo nello scenario internazionale e il proprio primato nella cybersicurezza. Ma ognuno di noi ha piccola quanto decisiva parte: è da una cyber-igiene dell’utente che si garantisce una maggiore tutela della cybersicurezza di domani e in prospettiva della propria azienda e del mercato unico.

Aggiungi ai preferiti : Permalink.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.