La sicurezza informatica è un tema che assume una rilevanza sempre maggiore nella strategia di sicurezza dell’Unione Europea. Le dinamiche geopolitiche dimostrano, infatti, che tra le sfide future, quella rappresentata dalle minacce cyber è tra le più disruptive e, quindi, necessita un maggiore sforzo in ambito di cooperazione tra i paesi membri.
A tal proposito, lo scorso luglio la Commissione europea ha presentato la Strategia per la Sicurezza 2020-2025, che pone al centro delle sfide da affrontare proprio la cybersecurity.
Una nuova consapevolezza
L’anno che si sta per concludere ha visto un mondo totalmente cambiato. La rapida evoluzione tecnologica della società, già avviata con la digitalizzazione diffusa in tutti i settori produttivi, ha subito un’impennata a seguito della pandemia globale. Questo, però, ha contribuito all’incremento dei cyber-attacchi ai danni di singoli, di aziende e di istituzioni. In particolare, si è evidenziata una forte attività di hacking da parte di attori statali, finalizzata a rompere gli equilibri geopolitici o a carpire informazioni preziose (si vedano, ad esempio, l’attacco informatico al Parlamento norvegese o quello più recente ai danni dell’Agenzia europea per i medicinali).
Proprio per queste ragioni, l’Unione europea ha sottolineato l’importanza di una strategia che ponga la sicurezza informatica tra le priorità. La Strategia per la Sicurezza 2020-2025, pubblicata lo scorso luglio dalla Commissione Europea, individua la sicurezza informatica come fattore necessario a garantire un contesto di sicurezza future proof, la cui creazione è inserita tra le priorità strategiche del documento.
Un documento strategico chiave in ambito cyber è la Strategia dell’Unione europea per la cibersicurezza. Essa, adottata nel 2013, si articola attorno a cinque priorità strategiche:
- Raggiungere la cyber-resilienza
- Ridurre drasticamente il cyber-crime
- Sviluppare una politica di cyberdefense connessa alla politica di sicurezza e difesa comune (PSDC)
- Sviluppare le risorse tecnologiche per garantire la sicurezza in ambito cyber
- Creare una politica internazionale coerente dell’Unione europea sul cyberspazio e promuovere i valori costitutivi dell’UE.
Dal 2013, l’UE ha compiuto numerosi passi in avanti in questo settore, dapprima con l’adozione della direttiva NIS nel 2016, che ha istituito un quadro normativo di riferimento per gli stati membri, e poi con il Cybersecurity Act, che ha assegnato un mandato permanente all’ENISA e ha istituito un certification framework a cui gli stati membri devono far riferimento.
Negli ultimi mesi, l’Unione Europea ha dimostrato un’accresciuta consapevolezza dei rischi insiti nel dominio cyber. In particolare, il documento “Europe’s moment: Repair and Prepare for the Next Generation”, pubblicato dalla Commissione Europea, riconosce il ruolo che le nuove tecnologie rivestono nell’aumentare l’autonomia strategica dell’Unione e sottolinea l’importanza di sostanziosi investimenti per garantire una migliore e maggiore connettività e per incentivare una maggiore presenza industriale e tecnologica in comparti strategici della catena di approvvigionamento digitale.
Il documento, inoltre, riconosce la necessità di una nuova strategia che “studierà come promuovere la cooperazione, le conoscenze e le capacità a livello dell’UE” e che “aiuterà inoltre l’Europa a rafforzare le sue capacità e i suoi partenariati industriali e incoraggerà le PMI ad emergere nel settore”.
Le minacce presenti e future
La decisione di imporre misure restrittive contro alcuni autori di attacchi informatici, presa dal Consiglio dell’Unione Europea lo scorso 30 luglio, ha creato un precedente di notevole rilevanza. Le sanzioni, comminate a sei persone e tre entità, responsabili degli attacchi “Wannacry, “NotPetya” e “Operation Cloud Hopper”, prevedono il divieto di viaggio e il congelamento dei beni.
Il dominio cyber, date le sue caratteristiche intrinseche, è caratterizzato da una forte volatilità, il che rende difficile individuare l’autore di un attacco informatico.
Tuttavia, nell’ultimo periodo si sono verificati attacchi di notevole rilevanza, ai danni di aziende e istituzioni, la cui provenienza è abbastanza certa.
Lo scorso settembre, il parlamento norvegese ha scoperto un attacco informatico che ha preso di mira il sistema di email di politici e impiegati, potenzialmente pericoloso per le informazioni riservate che contengono. Nonostante il caso sia stato chiuso per insufficienza di prove, l’Agenzia di Sicurezza della Polizia ha individuato nel gruppo russo APT28 il probabile responsabile dell’attacco.
Più recente, invece, è l’attacco all’Agenzia europea per il farmaco (EMA). Come evidenzia Pierluigi Paganini, docente del master in Cyber Security alla Link Campus University ed esperto di cybersecurity, “attori Nation-state sono da sempre interessati alle attività svolte da organizzazioni ed istituzioni che operano in ambito ricerca sanitario e farmaceutico per l’importanza strategica dei temi trattati […] è facile ipotizzare il coinvolgimento di un gruppo di hacker che operano per conto di uno Stato straniero. Russia e Cina sono quelli con maggiori interessi a riguardo.”
Le strutture sanitarie, già messe a dura prova dall’attuale pandemia, sono state oggetto di numerosi attacchi informatici. Ciò ha evidenziato quanto sia importante implementare la cybersecurity in questo settore, rientrante nelle infrastrutture critiche, da tempo ormai incluse nelle strategie di difesa nazionale e europea.
Il 5G e la minaccia cinese
L’Unione Europea è in prima linea nello sviluppo di un’infrastruttura 5G in tutti gli Stati membri. Tale tecnologia rappresenta sicuramente un fattore di sviluppo e di progresso per il settore delle telecomunicazioni, in quanto permetterà il trasferimento di un ingente quantità di dati in tempi molto brevi.
Tuttavia, il 5G rappresenta una grande sfida per l’Unione. Già a gennaio, il NIS Cooperation group aveva pubblicato l’EU Toolbox of risk mitigating measures, contenente una serie di misure necessarie per mitigare i rischi di sicurezza informatica legati allo sviluppo di reti 5G. La tecnologia, infatti, porta in sé numerosi rischi. Un primo rischio è legato ai third-party vendors, coinvolti nello sviluppo delle infrastrutture, ma la cui affidabilità deve essere verificata dagli operatori del settore TLC, pena la potenziale compromissione della sicurezza informatica della rete.
Inoltre, alcuni fornitori, come Huawei, sono considerati come ad alto rischio.
Tuttavia, l’approccio degli stati europei nei confronti della società cinese non è stato uniforme.
Lo scorso mese, il Regno Unito ha escluso il colosso cinese dai fornitori per la rete 5G. In particolare, dal primo gennaio 2021 Huawei sarà esclusa dalla lista dei fornitori ed entro il 2027 dovranno essere rimosse tutte le tecnologie fornite dalla compagnia alle reti britanniche negli ultimi 15 anni. La decisione è dovuta a una valutazione delle agenzie di intelligence, che hanno individuato nelle tecnologie Huawei una potenziale minaccia per la sicurezza nazionale.
Una politica simile era stata adottata in Svezia, quando il 20 ottobre l’Autorità svedese per le poste e le telecomunicazioni (Pts) aveva vietato l’uso di apparecchiature Huawei alle società che volessero partecipare alle aste per la realizzazione della rete 5G. Tuttavia, l’11 novembre il tribunale amministrativo di Stoccolma ha congelato questa decisione, sostenendo che Huawei può ricorrere in appello contro la decisione.
Un simile atteggiamento è stato adottato dalla Germania. Il governo tedesco ha deciso di non escludere, come aveva pensato di fare inizialmente, Huawei dai progetti 5G. Il Parlamento tedesco ha, infatti, creato un processo a più fasi per selezionare i vendor più affidabili ed escludere quelli ad alto rischio.
La nuova strategia di cybersicurezza UE
La strategia pubblicata dalla Commissione europea lo scorso 16 dicembre rappresenta un segnale evidente dell’evoluzione dell’UE e dell’aumentata consapevolezza dei rischi. Il documento, infatti, riconoscendo la profonda interdipendenza dei settori produttivi, assegna un ruolo strategico al dominio cyber, dato la crescente digitalizzazione della società.
La nuova strategia parte dalla consapevolezza che lo scenario geopolitico è caratterizzato da forte tensioni, riscontrabili nell’innalzamento di “digital borders” da parte di un numero sempre maggiore di nazioni. Sottolineando come ogni tipologia di crimine ad oggi sia legato al mondo cyber, la Commissione afferma la propria volontà di incrementare il livello di cybersecurity, essenziale per salvaguardare i diritti e le libertà dei cittadini. Tuttavia, il documento fa emergere la mancanza, da parte degli stati membri, di una stretta collaborazione in materia cyber.
La “EU’s new Cybersecurity Strategy for the Digital Decade” fa parte di una serie di documenti strategici di notevole rilevanza, tra cui la Security Union Strategy 2020-2025 e si pone l’obiettivo di delineare le modalità attraverso cui l’Unione proteggerà i propri cittadini e le proprie istituzioni dalle minacce cyber.
Tra le misure chiave contenute nella strategia, vi è la creazione di una Joint Cyber Unit. Essa funzionerebbe quale centro di coordinamento operativo e tecnico tra i paesi membri, facilitando la cooperazione e colmando due divari che aumentano vulnerabilità e inefficienza. Da un lato, sarebbe un punto di contatto tra le varie comunità cyber (civile, militare, diplomatica, etc.); dall’altro aumenterebbe la cooperazione operativa e la mutua assistenza tra i principali stakeholders in ambito cyber.
Sul piano internazionale, l’Unione europea dovrebbe rafforzare la cooperazione in ambito cyber e stabilire relazioni stabili con organizzazioni regionali per promuovere i propri valori e la propria visione del cyberspace, attraverso la creazione del EU Cyber Diplomacy Network.
Inoltre, la cooperazione con la NATO dovrebbe raggiungere un livello più alto, in particolare per l’interoperabilità nella cyber defense.
Infine, l’Unione dovrebbe sviluppare laEU External Cyber Capacity Building Agenda per continuare a supportare i propri alleati nel contrasto ai cybercrimes e nell’incremento della cyber resilience. Per monitorare il progresso nell’ambito della cooperazione, la strategia propone la creazione dell’EU Cyber Capacity Building Board.
Conclusioni
Tutti gli elementi analizzati finora fanno emergere il un rinnovato slancio dell’Unione in ambito cyber.
Altro elemento che sottolinea una nuova consapevolezza da parte dell’Ue è l’approvazione, da parte del Consiglio dell’Ue di conclusioni in cui si riconoscono i nuovi rischi per la sicurezza informatica legati al crescente utilizzo dei dispositivi connessi. Il Consiglio ha evidenziato anche la necessità di approvare una legislazione che affronti tutti gli aspetti legati alla cibersicurezza dei dispositivi connessi.
Infine, sta iniziando a vedere la luce un progetto molto interessante per la sicurezza informatica in ambito Ue. Il 9 dicembre scorso, infatti, Bucarest è stata scelta come sede per ospitare il nuovo Centro europeo di competenza sulla cybersicurezza, che “rafforzerà il coordinamento della ricerca e dell’innovazione in materia di cibersicurezza nell’UE”. Il Centro, inoltre, faciliterà il lavoro della rete di centri nazionali di coordinamento, rafforzando la cooperazione tra i paesi membri in ambito cyber.
La nuova strategia si pone come elemento cardine del nuovo approccio dell’Unione nei confronti delle cyberthreats. Il punto chiave del documento è la cooperazione, emblema del multilateralismo che ha da sempre caratterizzato l’UE.
L’approccio dell’Unione al dominio cyber è senz’altro adeguato ai rischi e alle minacce che, sempre più, interessano gli stati membri. Tuttavia, come evidenziato dalla nuova strategia, essi devono fare ancora dei passi in avanti per raggiungere quel livello di resilienza richiesto dalle sfide attuali, ottenibile attraverso un vigoroso sforzo nell’implementazione delle misure comunitarie e attraverso una più proficua cooperazione.
