L’emergenza coronavirus ha trasformato la nostra abituale convivenza con il digitale in una componente essenziale e spesso esistenziale, contrastando l’isolamento e assicurando l’operatività e, in alcuni casi, la sopravvivenza di milioni di imprese. Una nuova dimensione che fa emergere prepotentemente un elemento dai più fin troppo spesso trascurato: la sicurezza. Vediamo le misure attuate finora in Italia e Europa e le possibili attese nel quadro critico che stiamo attraversando.
Il Coronavirus spinge il rischio informatico
La pressione su social media ed altre piattaforme on line ha aumentato i rischi potenziali ed il web si è spesso trasformato in veicolo di intrusione nei dispositivi connessi. Campagne informative incentrate su tematiche COVID e sapientemente orchestrate da cyber criminali sono andate moltiplicandosi giorno per giorno, trasformando le piazze virtuali in contenitori di minacce informatiche. Secondo alcuni esperti, il tasso di domini con contenuti a rischio riguardanti il tema coronavirus è oggi del 50% più alto del tasso espresso da tutti i domini registrati nello stesso periodo. Se consideriamo che a fine 2019 si potevano stimare nel mondo più di 25 miliardi di dispositivi, con un trend di crescita esponenziale fino a 125 miliardi nel 2030, è facile immaginare quale sfida per la sicurezza tutto questo rappresenti. Una sfida anche per la fiducia dei consumatori verso un mondo fortemente interconnesso nell’ambiente dominato in un prossimo futuro dall’IoT.
Ancora nel World Economic Forum 2019 Global Risk Report gli attacchi informatici erano identificati tra i 5 maggiori rischi globali. L’edizione 2020 pone l’assoluta priorità sui rischi ambientali e climatici, ma quanto vale in termini economici un disastro ambientale se lo paragoniamo a un cyber attacco? L’uragano Katrina del 2005 in Florida e Louisiana aveva causato perdite per circa 125 miliardi di dollari. I Lloyd’s di Londra stimano che un attacco informatico su scala globale potrebbe causare danni per ben 120 miliardi di dollari.
Le imprese rappresentano senz’altro il principale obiettivo della criminalità on line: come è valutata la loro preparazione sul tema sicurezza e le risposte tecnologiche adottate? Una recente indagine di Eurostat presenta un quadro a luci ed ombre. Se è vero che la grande maggioranza delle imprese di ogni dimensione conferma l’utilizzo di misure tradizionali (aggiornamento del software, autenticazione delle password), differenze maggiori si evidenziano su strumenti di sicurezza meno comuni.
Il 70% delle grandi imprese, per esempio, si avvale della valutazione del rischio ICT, a cui si contrappone appena il 28% delle piccole imprese. Se poi si arriva a metodi di identificazione ed autenticazione biometrica, la situazione è poco incoraggiante sia per le grandi (22%) che per le piccole imprese (8%). La posizione dell’Italia rispetto agli altri Paesi si conferma intorno alla media europea, con risultati eccellenti in tema di condivisione delle misure di sicurezza ICT con i dipendenti mentre le imprese italiane sembrano rimanere meno sensibili alla necessità di assicurarsi contro i rischi legati alla sicurezza informatica.
Accelerazione digitale: lo smart working
L’emergenza di queste ultime settimane, come accennato in apertura, ha peraltro obbligato molte imprese a far uso dello strumento dello smart working, per garantire il prosieguo delle proprie attività. In questo caso, ovviamente, i rischi legati alla sicurezza aumentano in modo esponenziale. E le imprese italiane non sembrano essersi sufficientemente attrezzate al riguardo. Un’altra recente indagine di Unioncamere sulle 18.000 imprese che hanno svolto online il test di maturità digitale attraverso i Punti impresa digitale (PID) delle Camere di Commercio, conferma che solo 3 imprese su 10 si sono dotate di protezioni per le proprie connessioni da remoto. Il Nord Italia mostra di essere maggiormente equipaggiato (37%), con il Trentino a fare da capofila con 1 impresa su 2 in grado di proteggere i propri dati, mentre rimane in maggiore sofferenza il Mezzogiorno (17%).
Insomma, sembrano giustificate le preoccupazioni dei cittadini europei, l’87% dei quali, in base ai dati confermati dalla Commissione europea, vede i crimini on-line come una delle sfide maggiori per la sicurezza interna dell’Unione Europea.
L’UE lavora da diversi anni e su numerosi fronti per rafforzare la resilienza informatica, con un quadro regolamentare e operativo in continua evoluzione. La pietra angolare di tutta l’architettura europea è rappresentata dalla cd direttiva NIS (sicurezza delle reti e dei sistemi informativi), recepita nel nostro Paese ed in vigore dal 26 giugno 2018, intorno alla quale si è costruita la strategia nazionale, si sono individuate le autorità responsabili, le procedure operative, i regimi sanzionatori per tutti i settori oggetto della normativa (energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico).
Cybersecurity, i pilastri europei
Giusto un anno dopo, il 27 giugno 2019, entra in vigore il Cybersecurity Act, ulteriore pilastro della strategia europea. Viene innanzitutto introdotto un quadro di riferimento valido per tutta l’UE per la certificazione di prodotti digitali, processi e servizi, che pone particolare enfasi sull’utilizzo di standard internazionali; un passaggio fondamentale per ridurre la frammentazione del mercato e rimuovere barriere regolamentari, consentendo agli operatori di commercializzare più facilmente i propri prodotti nel mercato interno. Altro elemento portante è la creazione di un’Agenzia europea per la cybersecurity, che rileva la già operativa ENISA mantenendone l’acronimo. Obiettivo supportare gli stati membri, le istituzioni europee e gli altri stakeholder nella lotta ai cyber attacchi. Il Cybersecurity Act introduce inoltre un modello di risposta coordinata ad attacchi informatici su larga scala, concentrandosi sulla tassonomia e sulla cooperazione efficace tra i CSIRT nazionali (Computer Security Incident Response Team), previsti dalla direttiva NIS. Quello italiano, si ricorda, diviene operativo in queste settimane.
Ma lo sforzo europeo non si ferma qui. Dalle stanze della Commissione nasce la proposta per la creazione del Centro di competenza industriale, tecnologico e di ricerca europeo sulla cybersecurity, con il ruolo di mettere in rete i relativi centri nazionali per condividere le conoscenze, assicurare strategie di lungo termine tra industria, comunità di ricercatori e governi e facilitare investimenti comuni in particolare sulle infrastrutture. Una proposta ambiziosa, ancora in fase di negoziato tra le istituzioni europee e che si dovrà appoggiare sui finanziamenti previsti nel Quadro finanziario pluriennale 2021-2027 da programmi quali Digital Europe e Horizon Europe.
Mentre è già operativo dal 2016, sotto la forma di contractual Public-Private Partnership, il partenariato pubblico privato tra Commissione europea e European Cybersecurity organisation (ECSO), che riunisce l’industria del settore. Questo partenariato, che conta al suo interno più di 250 attori, da grandi e piccole imprese a associazioni, pubblica amministrazione, regioni, mondo bancario, università, avrà prodotto per fine 2020 più di 1,8 miliardi di investimenti nel settore (di cui quasi 1,35 miliardi di origine dal settore privato) e si proietterà verso la creazione del futuro Competence Centre con obiettivi sempre più ambiziosi.
Dietro questo imponente sforzo di collaborazione e fino dall’inizio degli anni 90, fanno da linfa vitale al sistema di ricerca e innovazione nel settore della sicurezza informatica quelle 1.350 imprese già coinvolte in 132 progetti europei.
L’Europa ha fissato peraltro elevati standard per garantire la privacy digitale, con un impatto evidente nei confronti della cyber sicurezza. Dal General data protection regulation (GDPR) all’eIDAS, sistema di identificazione elettronico europeo, fino alla riforma della direttiva sull’ePrivacy, a tre anni dalla pubblicazione della proposta della Commissione ancora in discussione tra Parlamento e Consiglio con numerosi punti di divergenza nei negoziati.
Un set di norme che comunque fa dell’Europa una delle aree più avanzate al mondo di protezione e contrasto alla cyber criminalità, tra le 10 priorità dell’UE per il periodo 2018-2021. Un’azione che si avvale degli strumenti della Politica estera e di sicurezza comune per riaffermare anche a livello internazionale l’azione di resilienza, di prevenzione di conflitti e di promozione di comportamenti altamente responsabili in uno scenario ormai fortemente interconnesso. Basti pensare a tutti quei service provider che operano nell’UE ma che sono soggetti alla legislazione di Paesi terzi, con il rischio che i dati di cittadini ed imprese europee siano resi disponibili in Paesi che non applicano gli stessi nostri regimi di protezione dei dati e regole di cybersecurity.
Cybersecurity, il rilancio europeo sugli investimenti
Un vasto campo d’azione per l’Unione Europea, che è stato ulteriormente rilanciato dall’attuale Commissione. Fin dal suo discorso programmatico del novembre 2019, la Presidente von der Leyen aveva posto il digitale tra le priorità del suo mandato. Le prime tre comunicazioni del febbraio di quest’anno, finalizzate ad inquadrare la strategia globale per il quinquennio con due focus specifici, uno sui dati e uno sull’intelligenza artificiale, guardano al tema della cybersecurity come un elemento portante. Numerosi i temi all’attenzione.
In una prospettiva che vede sempre meno dati disponibili nei data centre e sempre maggiore utilizzo di strumenti diffusi come il cloud, diventerà ancor più centrale la necessità di preservare la sicurezza dei dati al momento dello scambio, garantendo la continuità dei controlli di accesso lungo tutta la catena del valore dei dati stessi. Obiettivo impegnativo ma fondamentale per garantire la fiducia tra i differenti attori degli ecosistemi europei.
Nuove tecnologie digitali decentralizzate, come la blockchain, potranno offrire un’interessante opportunità per cittadini e imprese nella gestione dei flussi informativi, garantendo la portabilità dinamica dei dati. E la crittografia diviene un altro strumento vitale per la salvaguardia dei dati, come riconosciuto nello stesso GDPR. Nei primi nove mesi di adozione di questo regolamento, le autorità europee competenti hanno ricevuto quasi 65.000 notifiche di violazione. Un piccolo numero, peraltro, rispetto ai più di quattro miliardi di documenti di cui si dimostrò la violazione nel 2019 a livello globale.
La strategia sui dati guarda con decisione, come ricordato sopra, all’utilizzo del cloud. E iniziative come la European Cloud Initiative, già dal 2016 tra gli obiettivi della Commissione, devono garantire l’accesso maggiormente securizzato del mondo della ricerca a supercomputer, a grande capacità di analisi e di immagazzinamento dati. Lo sviluppo del cloud dovrà peraltro assicurare l’acquisizione di servizi a condizioni eque e competitive e rimane obiettivo della Commissione quello di rendere gli stessi servizi conformi alle regole UE e, quando necessario, provvedere alla loro implementazione attraverso meccanismi di auto e co-regolamentazione, come anche attraverso strumenti tecnologici ad hoc quali la sicurezza predefinita nella progettazione e la gestione automatizzata della conformità. Niente di tutto ciò è oggi disponibile per i fornitori e gli utilizzatori di servizi cloud.
La disponibilità e portabilità dei dati tocca peraltro diversi settori sensibili, tra i quali per esempio quello dell’energia. Numerose direttive regolano trasparenza, non discriminazione e conformità con la normativa di protezione dei dati, come anche l’obbligo della condivisione dei dati tra gli operatori del settore. La sicurezza informatica si trova davanti a numerose sfide, tra le principali la necessità di operare in un mix di tecnologie obsolete e smart.
Intelligenza artificiale e 5G: due temi chiave
L’altra direttrice sulla quale si muove con decisione l’Unione Europea è quella dell’Intelligenza Artificiale. E il suo utilizzo in vari prodotti e servizi può far sorgere rischi non esplicitamente coperti dalla legislazione europea, con le minacce informatiche che ne rappresentano uno dei più evidenti. Rischi che possono già essere presenti al momento della messa sul mercato o possono risultare da aggiornamenti dei sistemi o in fase di auto apprendimento degli stessi. A questo riguardo la direzione della Commissione è chiara: di fronte alle possibili minacce si ritiene che una valutazione di conformità preventiva comprendente test, ispezioni o certificazioni sia necessaria. Una valutazione di fatto già ricompresa, come principio, nella regolamentazione di numerosi prodotti.
Ma una delle maggiori sfide con cui si dovrà confrontare la nuova Commissione nel contrasto alla cyber criminalità è l’adozione del 5G, su cui si fonda lo sviluppo proprio di cloud e Intelligenza Artificiale. Un mercato in grado, secondo le stime, di generare redditi a livello globale per 225 miliardi di EUR nel 2025, con 114 miliardi di EUR di benefici concentrati su 4 settori (auto, sanità, trasporto ed energia). L’Action Plan europeo del 2016 aveva fissato al 2020 la data per il lancio commerciale del 5G ed al 2025 la sua diffusione capillare a livello città e reti di trasporto. L’Europa è in effetti una delle aree più avanzate nel mondo quanto a avvio della commercializzazione dei servizi 5G, con un investimento di 1 miliardo di EUR di cui 300 milioni di fondi UE. Per la fine di quest’anno si prevede che i servizi saranno resi disponibili in ben 138 città europee.
A seguito della raccomandazione pubblicata dalla Commissione Europea poco più di un anno fa, tutti gli Stati membri hanno in questi mesi prodotto una valutazione di rischio a livello nazionale, fornendo un quadro delle problematiche che possono influenzare il futuro sviluppo dell’infrastruttura 5G.
Un impegno a cui è seguita in ottobre una nuova comunicazione che valuta in modo coordinato il rischio UE, identificando due sfide principali per la sicurezza: le innovazioni chiave contenute nella tecnologia 5G ed il ruolo dei fornitori delle reti. Ed ecco, finalmente, il 20 gennaio di quest’anno la pubblicazione, da parte della Commissione della cd “cassetta degli attrezzi”, contenente le misure di contrasto ai rischi di sicurezza informatica individuati.
Sicurezza informatica, la “cassetta degli attrezzi”
Il pacchetto delinea piani di attenuazione dettagliati per ciascuno dei 9 grandi rischi e raccomanda una serie di misure strategiche (poteri di regolamentazione, fornitori terzi, diversificazione dei fornitori, sostenibilità e diversificazione della catena di approvvigionamento e di valore del 5G) e tecniche (sicurezza della rete – misure di riferimento; sicurezza della rete – misure specifiche al 5G; requisiti relativi ai processi e agli strumenti dei fornitori; resilienza e continuità). Un percorso di collaborazione tra Stati membri e Commissione europea dovrebbe consentire entro l’anno la valutazione congiunta delle misure chiave messe in opera per arrivare a eventuali aggiustamenti.
La certificazione rappresenta un elemento essenziale per promuovere i livelli più opportuni di sicurezza, consentendo lo sviluppo di schemi che rispondano ai bisogni degli utilizzatori di dispositivi e software utilizzati per le infrastrutture 5G. L’efficacia del quadro volontario, previsto dal Cybersecurity Act, è tutta da dimostrare. La Commissione potrà valutare entro la prima scadenza, prevista di fine 2023, se è necessario trasformare questo strumento in obbligatorio accompagnandolo con opportune misure per la transizione e l’implementazione.
Ma non è solo al settore privato che l’UE guarda per lo sviluppo della cyber sicurezza. Numerosi passi avanti si stanno compiendo per proteggere le infrastrutture critiche europee. E qui entra in gioco l’internet quantistica. Collegare tutte le capitali così da consentire ai dati sensibili (finanziari, sanitari, governativi) di viaggiare in modo ultrasicuro potrà presto diventare realtà. E questo attraverso la nuova iniziativa “Infrastruttura di comunicazione quantistica” (QCI), basata su quella tecnologia che governa atomi e particelle su cui si basa il programma europeo già operativo, ed i cui risultati sono ora applicati ai bisogni della società. 23 Paesi, tra cui l’Italia, hanno ad oggi firmato l’accordo e lavoreranno con Commissione e Agenzia Spaziale europea (ESA) per lo sviluppo dell’infrastruttura.
Prioritaria la sicurezza di infrastrutture e sanità digitale
Intanto l’Europa si trova confrontata con una battaglia, quella contro il coronavirus, che rischia di far ripiombare nell’incertezza tutto quanto già acquisito e programmato anche nel settore della cybersecurity. La visione del settore privato, a questo riguardo, conferma la sempre maggiore difficoltà ad anticipare gli sviluppi della transizione digitale. In una recente intervista a Mosaico Europa, quindicinale di aggiornamento da Bruxelles di Unioncamere Europa, proprio il direttore di ECSO, Luigi Rebuffi, conferma che il COVID-19 ha imposto un’ulteriore accelerazione all’utilizzo dei sistemi digitali, trovando impreparati i più e allargando allo stesso tempo la superficie di attacco.
All’attuale crisi del settore sanitario si aggiungono stress in altri settori vitali che potrebbero portare ad ulteriori crisi di estrema importanza della società e dell’economia. Per questi motivi è sempre più imperativo ridurre al minimo i rischi di interruzione di servizi e infrastrutture vitali. Tante le azioni che ECSO sta preparando a sostegno dei suoi membri e della comunità in generale, in particolare dei settori più fragili, come le PMI.
Dalla disseminazione di informazioni per soluzioni che possano ridurre i rischi (a breve ma anche a lungo termine) in settori chiave come la salute, le infrastrutture critiche e la finanza; una grande visibilità per le PMI, le loro soluzioni e i loro servizi, soprattutto se utili a ridurre i rischi in questo periodo ed a cercare metodi di finanziamento per risollevarsi una volta terminata la crisi sanitaria; le iniziative di istruzione a distanza di giovani e meno giovani che possano approfittare di questo periodo di confinamento per migliorare le proprie conoscenze nel settore e magari orientarsi verso una carriera in un settore che senza dubbio sarà sempre più importante nel futuro.
Ma non bisogna solo pensare al breve termine, conclude Rebuffi. Bisogna anche preparare la visione e le azioni necessarie una volta usciti dalla crisi. Le nazioni europee stanno reagendo a volte in modo indipendente, con un istinto di sopravvivenza, ma una volta superata la crisi bisognerà affrontare la rinascita a livello europeo, così come per le risposte alle minacce cyber. Solo attraverso una forte cooperazione e solidarietà tra i diversi attori e i diversi Stati si potrà ridurre l’impatto della crisi e sostenere la ripresa dell’economia e della società basate sempre più su una sicura trasformazione digitale.
È assolutamente vero. Un’azione costruita sulla collaborazione tra ENISA, Commissione, Stati membri, autorità nazionali di regolamentazione, mondo della ricerca e settore privato, diventa necessaria per arrivare a mettere in campo in Europa una massa critica di investimenti in sicurezza informatica e tecnologie digitali avanzate. Investimenti che possano rendere operative le numerose proposte che le istituzioni europee hanno in questo momento sul tavolo delle discussioni.
Digital Europe Programme: cosa riserva il futuro
Per questo motivo la Commissione ha deciso di fare della sicurezza informatica una priorità nella prossima programmazione finanziaria 2021-2027, attraverso la sua proposta per un nuovo Digital Europe Programme (DEP). 2 miliardi di EUR, su un totale presentato per l’intero programma di 9,2 miliardi, dovranno assicurare l’utilizzo più ampio delle soluzioni ottimali di sicurezza, rinforzare le funzionalità di Stati membri e settore privato per migliorare reti e sistemi informativi, sostenere l’adozione di tecnologie digitali avanzate da parte dell’industria, in particolare le PMI. Per finire, poter beneficiare di una rete di centri specializzati, i cd Digital Innovation Hubs, per assicurare i necessari flussi di passaggio di conoscenze e condivisione di percorsi di innovazione tra tutti gli attori coinvolti.
Un programma ambizioso, concepito in un momento storico completamente diverso e che oggi potrebbe essere fortemente messo in discussione. Due fattori agiscono con forza sulle future prospettive: la risposta che l’UE intende dare per rilanciare la ripresa dopo l’emergenza COVID e la difficoltà ormai strutturale dei Governi dei 27 a trovare una mediazione nella definizione di importo e contenuti della prossima programmazione.
Se guardiamo allo stato dei negoziati, fino ad oggi era stato proprio il DEP uno dei programmi maggiormente penalizzati nelle proposte di compromesso sia della passata Presidenza di turno finlandese, sia più recentemente del Presidente del Consiglio Europe Charles Michel. E da qui si ripartirà nelle prossime settimane per trovare un punto d’equilibrio.