Home » News » Cybersecurity

La strategia europea per la cybersecurity

La strategia europea per la cybersecurity

Focus on del Rapporto Clusit 2014 sulla sicurezza ICT in Italia, il presente articolo a firma di Corrado Giustozzi allarga gli orizzonti alla strategia europea per la cybersecurity.

In questi ultimi anni, diverse nazioni o organizzazioni internazionali hanno provveduto a dotarsi di una formale strategia per affrontare in modo sistematico i sempre più importanti temi della cybersecurity. Mancava tuttavia all’appello l’Unione Europea che, pur avendo affrontato più volte la problematica nel recente passato, lo aveva sempre fatto con interventi limitati in ambito e scopo, e quindi più tattici che strategici. Da circa un anno tuttavia questa carenza è stata finalmente colmata: nel febbraio del 2013, infatti, con la promulgazione del tanto atteso documento di impostazione strategica, l’Europa ha espresso la sua visione unitaria sul problema della cybersecurity e delineato le linee guida comuni per il contrasto al cybercrime ed a tutte le altre minacce “cyber”.
È chiaro che sviluppare una strategia comune per un’organizzazione transnazionale così complessa e peculiare come l’Unione Europea non è un compito facile: occorre infatti sempre tenere presente le specificità di ben ventotto diversi sistemi politici, sociali, giudiziari; e spesso mediare tra gli altrettanti, e forse ancor più differenti tra loro, approcci culturali e filosofici di ciascuno degli Stati membri. Tuttavia, come già la Convenzione di Budapest aveva pionieristicamente sottolineato nel lontano 2001 pur facendo riferimento al solo cybercrime, la transnazionalità delle nuove minacce rende inevitabile il dover raggiungere un forte consenso ed un’attiva collaborazione fra tutti i sistemi-Paese, se si vogliono ottenere risultati efficaci nella prevenzione e nel contrasto al fenomeno.
Nel cyberspazio nessuna nazione è un’isola, e dunque solo adottando strategie comuni e meccanismi di risposta collaborativi e coordinati si possono costruire risposte adeguate ai rischi globali che minacciano le, purtroppo vulnerabili, infrastrutture di comunicazione e di gestione delle informazioni sulle quali si basa il funzionamento della moderna società civile. Proprio in linea con queste considerazioni, dunque, il documento di strategia comune europea non si limita ad indicare le priorità ed individuare le modalità d’intervento comunitarie, ma fornisce inoltre ai singoli Stati membri indicazioni e linee guida sulle quali allineare operativamente le proprie strategie nazionali.
La strategia definita dall’Europa, inoltre, non risponde solo ad un’astratta esigenza formale, e soprattutto non vuole rimanere un mero buon proponimento “sulla carta”: essa pertanto si incastra in una serie di azioni concrete che, iniziate già da tempo, trovano ora un’adeguata sistematizzazione proprio nell’ambito della strategia stessa. Il documento è stato infatti pubblicato solo pochi mesi dopo l’attivazione del CERT-EU, avvenuta ufficialmente a fine 2012, ed è stato accompagnato dalla contestuale presentazione di una importante proposta di direttiva comunitaria per la sicurezza informatica di cui la Commissione raccomanda la pronta adozione da parte del Consiglio e del Parlamento europei. Solo poche settimane più tardi, inoltre, il Parlamento ha rinnovato ad Enisa (l’Agenzia europea per la sicurezza delle reti e delle informazioni) il mandato che era oramai scaduto, dotandola tuttavia nel contempo di un nuovo e più efficace statuto che ne amplia in modo importante missione e responsabilità: e ciò proprio in vista del ruolo cruciale che essa dovrà giocare nell’implementazione della strategia europea per la cybersecurity.

Pilastri fondanti
Denominata formalmente “An Open, Safe and Secure Cyberspace” (che, nella traduzione ufficiale in italiano, diventa “Uno spazio informatico aperto e sicuro”), la cyberstrategy europea risponde ad una necessità ben radicata da tempo nella consapevolezza dei responsabili sia politici che tecnici dell’Unione, ossia che la sicurezza del cyberspazio comunitario è prerequisito imprescindibile per lo sviluppo dell’Europa. Non a caso il terzo dei sette “Pillars” (pilastri) sui quali si articola l’Agenda Digitale Europea, il documento fondamentale di indirizzo che declina lo sviluppo tecnologico europeo da qui al 2020 attraverso l’implementazione di 101 specifiche “Actions” (azioni), si chiama proprio “Trust & Security”. Tale pilastro consta di 17 azioni mirate a rafforzare i prerequisiti fondamentali di sicurezza e fiducia delle infrastrutture tecnologiche e di comunicazione, le quali sono considerate come il più importante strumento per poter ottenere competitività, sostenibilità e progresso sociale ed economico in Europa.
L’aspetto che più caratterizza la strategia europea rispetto alle altre omologhe iniziative proposte da altre nazioni od organizzazioni sovranazionali sta nei principi per così dire più “filosofici” che ne hanno ispirato l’impostazione, e su cui a sua volta essa si poggia: i quali quindi, e non poteva essere altrimenti, si richiamano direttamente ai valori fondanti dell’Unione stessa. È interessante quindi esaminarli brevemente.
In primo luogo viene sancito esplicitamente il principio fondamentale secondo cui i valori fondanti dell’Unione Europea si applicano al mondo digitale tanto quanto a quello fisico; ciò in particolare comporta, come diretto corollario, che le medesime leggi e norme che regolano gli altri aspetti della vita quotidiana dei cittadini europei valgono direttamente anche nel dominio cyber. In altre parole l’UE afferma che non vi sia alcun bisogno di sviluppare nuove leggi e norme specifiche per il cyberspazio: quelle esistenti sono già più che sufficienti a descrivere e regolare la vita, le azioni e le attività on-line, basta applicarle estensivamente al modo giusto.
Il secondo principio fondamentale è quello che traguarda la protezione dei diritti fondamentali, della libertà di espressione, della riservatezza (privacy) degli individui e dei relativi dati personali. Le libertà e i diritti individuali dei cittadini europei, che sono alla base della carta politica dell’UE, vengono dunque riflessi direttamente nei principi che la strategia intende salvaguardare.
Gli altri principi ispiratori riguardano infine le garanzie irrinunciabili per una moderna ed efficace democrazia partecipata, che si basa anche sulla sicurezza di Internet e delle altre infrastrutture ICT: accesso per tutti, una multi-stakeholder governance democratica ed efficiente, e soprattutto la responsabilità condivisa da parte di ciascun attore, istituzionale o no, per garantire la sicurezza della complessa e variegata società digitale.

Ambiti di intervento
Il documento di strategia, dicevamo, espone la visione complessiva ed unitaria dell’Unione europea non solo sul modo migliore di prevenire perturbazioni e attacchi informatici, ma anche su come organizzare ed articolare la risposta: al fine, come recitava l’annuncio ufficiale, di “promuovere i valori europei di libertà e democrazia e garantire che l’economia digitale possa svilupparsi in modo sicuro”.
A tal fine sono previste azioni specifiche per rafforzare la resilienza dei sistemi di informazione, ridurre la criminalità informatica e potenziare la politica internazionale dell’UE in materia di sicurezza e di difesa in tale ambito.
Va notato a tal proposito come la nuova strategia riconosca esplicitamente ed onestamente come alcune delle passate iniziative comunitarie a sostegno della sicurezza siano state talvolta condotte in modo tattico e poco coordinato, diciamo “a macchia di leopardo”, e spesso senza un chiaro obiettivo in mente. Trasformando tuttavia in opportunità gli errori del passato, la nuova strategia mira anche a recuperare e mettere a fattor comune, inserendole sinergicamente in una visione unitaria, tutte le iniziative sinora già realizzate a livello di strutture o attività.
Per perseguire i propri obiettivi, la cyberstrategia europea articola dunque le sue iniziative specifiche su cinque priorità fondamentali, da cui discendono direttamente altrettante direttrici basilari d’intervento. Esse specificamente sono mirate a:
• conseguire la resilienza informatica;
• ridurre drasticamente la criminalità informatica;
• sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune;
• sviluppare le risorse industriali e tecnologiche per la sicurezza informatica;
• istituire una coerente politica internazionale del ciberspazio per l’Unione europea e sostenere i valori fondamentali dell’UE.
Ciascuna di queste cinque direttrici a sua volta raccoglie ed indirizza, declinandole opportunamente, specifiche linee d’azione.

Iniziative specifiche
La principale priorità individuata dal documento di strategia è il conseguimento della cyber resilience, ossia la capacità delle reti e dei sistemi di comunicazione di resistere ad attacchi condotti per sabotarli, danneggiarli o impedirne il regolare funzionamento.
In quest’ambito l’Europa si sta muovendo già da diversi anni, e l’iniziativa forse più importante e visibile messa in atto è l’organizzazione periodica di regolari esercitazioni pan-europee nelle quali, simulando svariati realistici scenari di attacco, gli Stati membri e le strutture comunitarie verificano la propria readiness e la capacità di fronteggiare le minacce via via presentate. Sino ad oggi, grazie al fattivo supporto di Enisa, già si sono tenute due esercitazioni pan-europee (Cyber Europe 2010 e 2012) ed una esercitazione congiunta EU-USA (Cyber Atlantic 2011). La strategia raccomanda di proseguire attivamente in questa importante pratica, ed infatti è già in corso l’organizzazione della prossima Cyber Europe 2014 alla quale per la prima volta parteciperanno anche i Paesi europei aderenti all’EFTA ma non alla UE. In sottordine alle esercitazioni pan-europee la strategia prevede inoltre che anche gli Stati membri debbano organizzare periodiche esercitazioni nazionali per verificare la “tenuta” agli attacchi delle proprie infrastrutture critiche locali.
Altre due iniziative più tecniche in ambito a questo obiettivo sono il lancio di un progetto pilota per la lotta alle botnet (soprattutto quelle localizzate in Europa), e lo studio di fattibilità per un CERT europeo dedicato specificamente alla sicurezza dei sistemi automatici per il controllo industriale (SCADA e simili).
Sul piano legislativo invece la Commissione raccomanda al Parlamento di approvare rapidamente la Direttiva sull’alto livello comune di sicurezza delle reti e delle informazioni (NIS Directive) che, una volta in vigore, obbligherebbe gli Stati membri ad adottare misure tecniche ed organizzative comuni e condivise per innalzare il livello di sicurezza delle infrastrutture nazionali, e migliorare altresì la cooperazione internazionale a livello di preparedness e di information sharing.
Ulteriori iniziative in ambito riguardano l’innalzamento della consapevolezza delle istituzioni e dei cittadini sui temi della cybersecurity, ad esempio mediante l’istituzione del “mese della cybersecurity” a livello europeo e dei singoli Stati membri, di specifici “campionati di cybersecurity” per gli studenti universitari, dell’insegnamento della cybersecurity nei licei e nelle pubbliche amministrazioni, e anche di un progetto di certificazione volontaria delle competenze di sicurezza informatica progettato sulla falsariga della “Patente europea del computer”.
Per quanto riguarda la seconda priorità, ovvero la lotta al cybercrime, oltre a raccomandare a tutti gli Stati membri che non l’abbiano ancora fatto di ratificare al più presto la Convenzione di Budapest, la strategia prevede iniziative soprattutto sul piano dell’armonizzazione a livello europeo delle singole legislazioni nazionali e dei relativi strumenti di contrasto. In particolare il Centro Europeo per il Cybercrime (EC3), recentemente fondato all’interno di Europol, collaborerà con Europol ed Eurojust per supportare gli Stati membri in tale allineamento sia sul piano normativo che su quello tecnico. Inoltre il CEPOL (l’Accademia Europea di Polizia) svilupperà specifici piani di formazione per fornire a tutte le forze di polizia nazionali le adeguate conoscenze e competenze per fronteggiare al meglio la lotta al crimine informatico.
La terza priorità, lo sviluppo di una politica di difesa comune, prevede iniziative specifiche di cyberdefence da svilupparsi nell’ambito del framework CSDP (Common Security and Defence Policy) già attivo per le necessità di difesa tradizionale. Ciò prevede una maggiore cooperazione specifica tra strutture civili e militari dell’EU, e ovviamente anche un dialogo operativo con la NATO e gli altri partner internazionali del mondo della difesa.
La quarta priorità indirizza la necessità per l’Europa di sviluppare competenze industriali autonome ed indipendenti in ambito cybersecurity, e conseguentemente l’obiettivo di promuovere un mercato unico europeo per i prodotti e i servizi di cybersecurity. A tale riguardo sono dedicate iniziative che vanno dallo sviluppo di linee guida e best practice europee da adottarsi per indirizzare la sicurezza nei settori pubblico e privato, all’introduzione di incentivi per favorire l’adozione nelle aziende di strumenti e soluzioni di sicurezza aggiornati ed efficaci. Ma oltre a ciò sono previste iniziative specifiche per rafforzare la competitività delle aziende europee nel settore dei prodotti e servizi di sicurezza, in particolare favorendo la Ricerca e Sviluppo e l’innovazione industriale in tale segmento di mercato; il supporto a tali iniziative sarà fornito mediante il coordinamento con i progetti finanziati già previsti dal vasto programma Horizon 2020.
Infine la quinta priorità indirizza le esigenze di preservare un cyberspazio libero, aperto e sicuro, nel quale valgano i principi fondanti europei di dignità, libertà, democrazia, uguaglianza, così come le norme di legge ed il rispetto dei diritti fondamentali. Questo obiettivo più “alto” e filosofico verrà perseguito mediante iniziative di natura essenzialmente politica, indirizzate allo sviluppo di policy comuni e norme di comportamento nel cyberspazio, anche finalizzate alla responsabilizzazione di tutti gli stakeholder che insistono su di esso.

Ruoli e responsabilità
Naturalmente il documento prende anche in considerazione il complesso intreccio di ruoli e responsabilità dei vari attori coinvolti nell’attuazione della strategia: un aspetto reso critico dalla peculiare natura dell’Unione, che non è un unico soggetto politico ed amministrativo ma una struttura di governo partecipata la quale mantiene tuttavia intatte le sovranità nazionali dei singoli Stati membri.
La strategia tiene dunque conto di tale situazione, riconoscendo esplicitamente l’esistenza di due livelli di responsabilità cui corrispondono altrettanti ambiti d’azione: quello nazionale, situato al livello interno dei singoli Stati membri, e quello sovranazionale, situato a livello comunitario. E mentre alcune iniziative previste dalla strategia sono naturalmente idonee ad essere portate avanti a livello comunitario, altre per la loro specifica natura non possono che essere demandate ai singoli livelli nazionali.
Così i tre pilasti operativi “verticali” sui cui ricade l’attuazione operativa complessiva della strategia, ossia le autorità ed istituzioni competenti per la sicurezza informatica, le agenzie di law enforcement e le agenzie per la Difesa militare, dovranno a loro volta declinare ordinatamente le proprie attività sui due distinti livelli orizzontali, quello comunitario e quello nazionale, secondo una suddivisione di compiti e responsabilità organizzata a matrice secondo lo schema di Figura 1.

Clusit

Figura 1: la complessa articolazione europea prevede una ripartizione a matrice di ruoli e responsabilità fra i diversi attori (pilastri verticali), i quali dovranno declinare la propria attività sui livelli (orizzontali) nazionale e comunitario. (Fonte: “Cybersecurity Strategy of the European Union”)
In esso sono indicate le istituzioni ed organizzazioni direttamente responsabili delle iniziative, ed i flussi di comunicazioni tra di esse intercorrenti; a latere va sottolineata la presenza dell’industria privata e del mondo accademico, due soggetti non strettamente istituzionali ma evidentemente importantissimi, i quali partecipano attivamente alle iniziative ad entrambi i livelli.

Conclusione
L’Europa è giunta a definire una propria strategia per la sicurezza del cyberspazio dopo molti altri Grandi del pianeta, ma ha finalmente colmato il divario e lo ha fatto in modo efficace. Essa infatti ha consolidato una visione molto pragmatica del problema, orientata soprattutto alla tutela, in linea coi principi fondanti di libertà e democrazia, del cyberspazio come presupposto tecnologico irrinunciabile per lo sviluppo sociale, politico ed economico dell’Unione; individuando a tal fine obiettivi concreti e soprattutto attuabili, ed iniziative chiare e operative per conseguirli.
Certo il percorso futuro non è facile: l’elemento caratterizzante dell’Unione, ossia la straordinaria diversità culturale tra i suoi Stati membri, è anche il vincolo maggiore da superare quando si tratta di definire politiche comuni. È infatti necessario armonizzare tra le molte e differenti visioni, e mettere a fattor comune le situazioni già consolidate; cosa che richiede tempo e sforzi molto maggiori di quelli richiesti a singoli organismi nazionali, dove è evidentemente più facile ad un governo centrale imporre un determinato percorso.
È molto rilevante, a tale riguardo, il forte appello che la strategia rivolge alla collaborazione tra pubblico e privato, la quale viene vista come uno strumento cruciale per il conseguimento degli obiettivi individuati. La volontà della Commissione, che non è neanche tanto nascosta tra le righe, è quella di sviluppare un comparto industriale comunitario che, col supporto della ricerca accademica opportunamente incanalata e potenziata, possa essere in grado sia di svincolare il mercato europeo dall’attuale dipendenza commerciale nei confronti di Paesi extraeuropei per quanto riguarda servizi e prodotti di cybersecurity, sia di supportare le istituzioni comunitarie nel conseguimento degli obiettivi di protezione e cyber resilience individuati dalla strategia.
Alcuni tasselli operativi cruciali, quali la costituzione della rete europea di CERT nazionali e del CERT europeo, o l’effettuazione di esercitazioni allargate di preparedness e readiness, sono già efficacemente in atto. Altre iniziative specifiche sono già partite, molte delle quali veicolate sotto il grande ombrello del programma Horizon 2020. Ma il grosso dell’attuazione rimane ancora da fare, ed è quello che deve partire dal basso: tutti gli Stati membri dovranno infatti dare attuazione convinta ed efficace alle indicazioni della strategia declinandole adeguatamente al proprio interno, con la collaborazione delle proprie istituzioni specificamente dedicate alla cybersecurity nazionale, e coordinandosi con le istituzioni europee e degli altri Stati membri.

a cura di Corrado Giustozzi

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.