L’approccio dell’Agenda Digitale Europea, soprattutto sul pilastro della sicurezza, è basato essenzialmente sulla definizione delle regole e delle piattaforme di supporto. Non ci sono pertanto indicatori che vanno a misurare l’effetto delle misure intraprese sulla cybersecurity, a livello di incidenti, transazioni danneggiate, cittadini “offesi”. L’implementazione dell’Agenda si ferma così alla predisposizione degli strumenti. Un limite che è sempre più evidente man mano che le prime azioni di impostazione sono realizzate e che quindi è da superare in un’ottica di evoluzione permanente.
Le azioni previste dall’Agenda Digitale Europea su questo pilastro si dividono in due tipi:
· azioni a carico della Commissione Europea, soprattutto a livello legislativo, di strategie e di linee guida;
· azioni a carico degli Stati Membri, in termini di adeguamento della normativa alle indicazioni europee e di applicazione concreta.
Dal punto di vista delle azioni a carico della Commissione molto è stato fatto, sulla base della filosofia di base per cui l’obiettivo è la protezione e non il protezionismo sui dati, e cercare il bilanciamento corretto che consenta di trarre pieno beneficio dai big data e da una rete globale “aperta, innovativa, unificata.”
Obiettivi raggiunti dalla Commissione
Le milestone raggiunte dalla Commissione sono notevoli, anche considerato il breve tempo in cui sono state realizzate:
· una strategia per la cybersecurity europea;
· l’inserimento della cyber security e dei temi della privacy e del trust all’interno del programma Horizon 2020;
· la definizione della piattaforma “NIS” (Network and Information Security), una piattaforma pubblica, che punta all’identificazione di buone pratiche per migliorare la cyber security, stimolare soluzioni ICT sicure e migliorare la gestione dei rischi;
· l’avvio del European Cybercrime Centre (EC3)
· l’accordo con il Parlamento e il Consiglio per le nuove leggi sull’identificazione, autenticazione e firma elettronica.
Un punto chiave è però la realizzazione di reti e sistemi resilienti e sicuri che siano conseguenti a queste strategie. Per questa ragione è stata definita la Direttiva sulla NIS, di cui si aspetta l’approvazione. La Direttiva estende l’obbligo di riportare incidenti di alto impatto (oggi riservato solo agli Internet provider) ad attori che al momento ne sono esclusi, come le aziende dei seguenti settori
· Internet (grandi provider di servizi cloud, social network, piattaforme e-commerce, motori di ricerca).
· Banche e Finanza;
· Energia (elettricità e gas), poiché la generazione, la distribuzione e la trasmissione di energia dipendono in modo significativo dalla sicurezza delle reti e dei sistemi;
· Trasporti (operatori di trasporti e logistica);
· Salute (i dispositivi medici elettronici sono connessi in rete, per cui è necessario che sia assicurata la sicurezza delle trasmissioni di dati);
· Pubbliche amministrazioni, guardando ai servizi sempre più indispensabili di eGovernment ed eParticipation.
I ritardi dei Paesi membri
Per quanto riguarda invece le azioni a carico dei Paesi Membri nessuna di quelle che aveva una scadenza già trascorsa è stata rispettata. In particolare, tranne l’azione 39 (relativa a realizzazioni di simulazioni di attacchi informatici), con scadenza prevista nel 2020, si evidenzia un colore rosso fuoco (scadenza non rispettata) su
· Azione 38, relativa alla realizzazione di CERT (Computer Emergency Response Teams) in tutti i Paesi, prevista per il 2012, vede 6 Paesi inadempienti, tra cui l’Italia;
· Azione 40 relativa alla realizzazione di hotline di allerta sui contenuti pericolosi, soprattutto verso i soggetti deboli, come i bambini (previste per il 2013), vede 12 Paesi inadempienti, tra cui Norvegia, Finlandia, Belgio, Austria);
· Azione 41 relativa alla realizzazione di piattaforme nazionali di allerta (prevista per il 2012), vede ben 16 Paesi inadempienti, tra cui Svezia, Danimarca, Italia, Paesi Bassi, Germania.
La situazione dello stato di avanzamento su queste azioni è preoccupante, per due aspetti:
· non pochi Paesi rimangono ancorati ad una politica ed una programmazione sostanzialmente nazionale (vedi ad esempio Svezia e Germania sulla piattaforma di allerta);
· diverse risposte fornite dai Paesi sono valutate con magnanimità, per cui in effetti la risposta è spesso valutata positiva solo perché il Paese che la fornisce la ritiene tale (vedi ad esempio la risposta sul tema della formazione a scuola sulla sicurezza in Internet, a cui la Finlandia risponde negativamente, dichiarando che non è parte integrante del curriculum, ma sono realizzate delle campagne ad hoc, mentre l’Italia risponde positivamente, dichiarando che sono realizzate delle campagne ad hoc).
È in questo quadro che l’approvazione di una Direttiva vincolante diventa un passaggio chiave.
Posizione dell’Italia
L’Italia sta lentamente ma costantemente progredendo su questo fronte.
È del 19 febbraio l’adozione dei documenti chiave sulla sicurezza , il “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” e il “Piano nazionale per la protezione cibernetica e la sicurezza informatica”. I due provvedimenti sono stati adottati, su proposta unanime del CISR (Comitato interministeriale per la sicurezza della Repubblica), a conclusione di un lavoro condotto, lungo tutto il 2013, dagli esperti della Presidenza del Consiglio e delle diverse amministrazioni coinvolte.
Come si legge dal sito web del governo, “il Quadro Strategico nazionale per la sicurezza dello spazio cibernetico individua i profili e le tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale, specifica ruoli e compiti dei diversi soggetti pubblici e privati e individua strumenti e procedure con cui perseguire l’accrescimento delle capacità del Paese di prevenire e rispondere in maniera compartecipata alle sfide poste dallo spazio cibernetico”. Con il Piano Nazionale vengono invece “individuate le priorità, gli obiettivi specifici e le linee d’azione per dare concreta attuazione al Quadro Strategico”. Stranezza italiana, il Piano Nazionale non contiene riferimenti a indicatori, né tempi di attuazione, né responsabilità identificabili per tutte le azioni indicate. Alcune delle quali rimangono a livello di obiettivo (come “Sviluppare capacità di incident response”) e come tali molto preliminari a delle vere e proprie linee di azione.
L’unico “rosso conclamato” italiano nella Dashboard europea riguarda la definizione e la messa in esercizio di un CERT nazionale. Dal Piano Nazionale si comprende che il CERT nazionale è ancora in alto mare dal punto di vista dell’operatività, mentre procede più rapidamente la definizione del CERT-PA, una struttura che opera all’interno dell’Agenzia per l’Italia Digitale, specifica per la prevenzione e la gestione degli incidenti di sicurezza informatica nella Pubblica Amministrazione (quindi una parte, importante, dell’area della sicurezza nazionale. Ma solo una parte). Il CERT-PA non è ancora del tutto operativo, ma è stato avviato su alcune aree (Ministero degli Esteri, della Giustizia, dell’Economia e della Finanza, oltre che in Consip).
L’operatività effettiva è però la chiave del problema della sicurezza europea delle reti. Com’è evidente, la possibilità di assicurare davvero reti e sistemi resilienti e sicure dipende dall’applicazione capillare e totale delle regole definite e il soddisfacimento dei requisiti stabiliti dalla Commissione UE. Applicazione che si può raggiungere solo con una Direttiva realmente vincolante per i singoli Paesi Membri.
Parlando della Direttiva sul NIS Neelie Kroese ha affermato: “Una Direttiva debole manderà giù l’Europa”. Una Direttiva “soft”, infatti, potrebbe vanificare quanto fin qui costruito dal punto di vista economico, sociale, del futuro del digitale. Ed è qui, nella reale volontà dei Paesi di fare rete sulla sicurezza, che si gioca l’attuazione di questo pilastro dell’Agenda Digitale Europea.
Perché è un tema importante
Il tema della sicurezza informatica, o meglio ancora della sicurezza nella rete, è uno dei pilastri dell’Agenda Digitale Europea perché si ritiene che una delle condizioni essenziali per uno sviluppo dell’utilizzo della rete sia la confidenza di poter agire senza rischi di subire danni.
Non diversamente agiamo nel nostro territorio: preferiamo muoverci dove minore è il rischio di borseggiatori e delinquenti di vario genere. Ci informiamo sul livello di rischio di una zona prima di prenotare un hotel o cercare una casa. La sicurezza è quindi una delle condizioni fondamentali che valutiamo per decidere di frequentare un luogo. Soprattutto se è un luogo nuovo, che non conosciamo, e che accostiamo soltanto se possiamo associare una valutazione affidabile di sicurezza. Affidabile perché altri lo valutano tale avendolo conosciuto.
Anche in rete, diffidiamo di effettuare transazioni economiche su siti web che non possono dichiararsi “sicuri” con una certificazione terza, e sappiamo che la navigazione non ragionata e ispirata a criteri naturali di prudenza (come faremmo andando in giro per la città) conduce spesso a siti web da dove si esce con programmi installati sul proprio dispositivo a propria insaputa.
Questo è quanto Neelie Kroese ha ribadito nel suo recente discorso sulla Cybersecurity: “le persone –inclusa io- qualche volta parlano dei nostri “diritti digitali”. Ma non penso sia corretto. Questi non sono diritti digitali, né diritti online: sono diritti fondamentali, e si applicano sia online che offline. Che si tratti di privacy, di libertà di parola, o di protezione del consumatore.”
La strategia della sicurezza territoriale è scontata e consolidata nei nostri Paesi e così anche su questo tema la collaborazione in Europa e nella cultura è radicato il principio che ciascuno ha una responsabilità sulla sicurezza globale del territorio. Non si può dire la stessa cosa per la strategia e la cultura diffusa sulla cybersecurity.
Tra l’altro, dal sito dell’Agenda Digitale Europea apprendiamo che solo il 12% degli utenti Internet si sente del tutto sicuro quando effettua delle transazioni online e che la mancanza di sicurezza è uno dei principali ostacoli alla diffusione dell’e-commerce oltre allo sviluppo in generale dell’uso del digitale.
I danni di incidenti legati alla (mancanza di) sicurezza possono essere molto ingenti e, quelli resi noti, hanno suscitato scalpore avvalorando in molti (soprattutto politici, mass media, cittadini non digitali) l’idea che in rete i reati fossero molto più facili e quindi la rete fosse intrinsecamente un luogo non affidabile, da evitare quando possibile. Tutto è naturalmente cambiato da quando Papa Francesco ha affermato che “Internet è un dono di Dio” e quindi di per sé non condannabile.
Senza un intervento di sistema, però, i danni per la mancanza di una politica sulla sicurezza rischiano di diventare sempre più elevate. Nel 2012 uno studio PwC survey rilevò che il 93% delle grandi imprese e il 76% delle piccole aveva riportato un problema di sicurezza nell’anno precedente, con perdite stimate (per le PMI) tra 15,000 e 30,000 sterline.
Attacchi alla sicurezza informatica, con conseguente danno di immagine, perdita di clienti e di mercato, oltre che in alcuni casi di immediate perdite finanziarie, hanno interessato la gran parte delle aziende, incluse quelle a più alto tasso tecnologico come Amazon.
Il timore di un forte danno di immagine nel 2011 spinse la DigiNotar (una società di certificazioni digitali) a non rivelare che un attacco era andato a buon fine e che molti certificati digitali fasulli sarebbero circolati in rete. Con danno per molti utenti e per l’intera rete.
Così si ritorna all’obiettivo principale, che non è rappresentato dalla potenza del sistema di sicurezza in sé, ma alla sua adeguatezza al contesto e alla sua capacità di favorire un senso di fiducia diffuso. Questo significa che quanto più la società diventa consapevole sul digitale (e quindi in grado di esercitare le difese elementari) quanto più efficace può essere il sistema di sicurezza sulla rete. E quanto meno invasivo deve essere.
Questa premessa per sottolineare come questo pilastro non sia relativo ad un aspetto tecnico, come spesso viene visto il tema della cybersecurity (quasi un’area per pochi iniziati) ma anzi ad uno dei punti dell’Agenda Digitale Europea che tocca più da vicino il cittadino e su cui il cittadino è chiamato ad intervenire. Prima di tutto imparando.
È anche per questo che alcune delle azioni dell’Agenda Digitale Europea su questo pilastro strategico sono rivolte proprio alla formazione, non solo degli adulti ma anche (e in qualche caso soprattutto) dei bambini.
Tornando al discorso di Neelie Kroese, il tema della sicurezza non si pone solo in termini macropolitici, ma riguarda tutti noi: “è nella fiducia delle persone che i loro dati personali sui social network sono protetti. Nella comprensione delle piccole imprese sui servizi che il provider del cloud sta offrendo. Per i cittadini, nell’avere l’opzione di utilizzare una identità digitale sicura, se non vogliono essere riconosciuti. Nei bambini protetti e resi consapevoli per evitare rischi online. Senza sicurezza, non c’è privacy; nemmeno vera libertà. Non hai una vita privata se la tua casa non ha mura; non sei libero di camminare lungo le strade se questo non è sicuro.”
