L’Europa continua a intensificare la protezione e la salvaguardia dei cittadini dalle minacce cyber: dopo la creazione dello European Cybersecurity Competence Centre, ora il Consiglio Europeo ha annunciato le nuove conclusioni che verranno adottate per il programma del decennio digitale, presentato dalla Commissione europea e dall’Alto rappresentante per gli affari esteri lo scorso dicembre.
Nel frattempo, anche le Nazioni Unite vogliono istituire un report sulla cybersecurity (tramite l’OEWG, Open-Ended Working Group) che possa elevare il senso di responsabilità nei confronti degli attacchi malevoli nel cyberspazio. Lo ha deciso il gruppo di lavoro aperto sulla sicurezza informatica delle Nazioni Unite, che si è chiuso a metà marzo.
Vediamo insieme in che direzione si stanno muovendo Ue e Onu.
Le nuove conclusioni dell’Unione europea
L’Europa sta lavorando duramente per rendere il mondo cyber sempre più sicuro e lo dimostrano anche le ultime conclusioni del 9 marzo scorso in materia di difesa del cyberspazio per il decennio digitale 2020 – 2030, per una transizione che porterà i paesi europei a un’economia neutra, circolare e resiliente.
Ricordiamo alcuni dati relativi all’incremento di aggressioni informatiche che si è verificato nell’anno 2020: l’aumento generale che è stato registrato è del 20% e, in particolare, quelle rivolte ai sistemi IT di soggetti pubblici sono salite all’83% (10 punti percentuali in più rispetto al 2019), tra cui le maggiormente colpite sono state le amministrazioni pubbliche con un 48%, 30 punti percentuali in più rispetto al 2019, e i ministeri di funzioni critiche con un 2% in più. In questo quadro abbastanza esplicativo, l’Unione europea sta strutturando una rete di centri operativi per la Cybersecurity, per una prevenzione e una gestione più stringente di eventuali attacchi cyber, che saranno presenti in tutti i territori nazionali, con un centro madre europeo, lo European Cybersecurity Competence Centre, a capo del coordinamento.
Altri punti su cui il Consiglio Ue spinge molto nelle nuove conclusioni sono:
- la definizione di un’unità congiunta per il cyberspazio;
- l’applicazione delle misure del pacchetto di strumenti UE per il 5G, con relativa attuazione in tempi brevi;
- l’accelerazione nell’attuazione di norme di sicurezza internet chiave.
Per quanto riguarda la comunicazione, si torna a promuovere una crittografia avanzata e sulla prevenzione di attacchi informatici con effetti sistemici, che possono danneggiare catene di approvvigionamento, così come infrastrutture critiche, servizi essenziali e istituzioni.
Nelle conclusioni si accenna anche, inevitabilmente, all’impatto che ha avuto e sta avendo tuttora la pandemia Covid-19 sugli strumenti e sui sistemi ICT (Information and Communication Technology), a quanto ha minato la nostra sicurezza come cittadini e a quanto è importante, soprattutto in questo contesto, preservare la funzionalità di pubbliche amministrazioni e istituzioni sia a livello nazionale che internazionale, non solo per la società, ma anche per l’economia dei paesi e, pertanto, alla necessità di una Cybersecurity sempre più incisiva. La ripresa post Coronavirus deve partire dalla tutela e dalla protezione degli ambienti tecnologici, informatici e digitali.
Il primo rapporto di cybersecurity delle Nazioni Unite
Il cosiddetto OEWG, Open-Ended Working Group, il gruppo di lavoro aperto delle Nazioni Unite, che vede dal 2019, anno della sua creazione, circa 150 paesi partecipanti, nella sua ultima sessione, quella che si è conclusa qualche giorno fa, si è dedicato alla negoziazione di un compromesso sul contenuto del report finale.
Nonostante lo scetticismo e le continue tensioni geopolitiche, gli Stati membri delle Nazioni Unite hanno deciso di comune accordo, quasi inaspettatamente, di approvare un rapporto contenente raccomandazioni per promuovere la pace e la sicurezza nel cyberspazio.
La novità non è rintracciabile tanto nel contenuto del rapporto, quanto nell’essere riusciti per la prima volta ad arrivare a un accordo sulla cybersicurezza a livello internazionale, con tutti i paesi concordi, anche se nessuno di loro pienamente soddisfatto dei contenuti e, in particolare, l’Iran si è “dissociato” da essi, definendoli “unacceptable”, inaccettabili.
Nella relazione si ritrovano tutti i punti di consenso e le raccomandazioni da tenere presente per gli ulteriori sviluppi delle minacce cyber, norme comportamentali volontarie, diritto internazionale e potenziali strutture per un dialogo regolare delle Nazioni Unite su questi temi.
Questa recente relazione rappresenta una riaffermazione del linguaggio e delle raccomandazioni di un documento precedente, risalente al 2015, e redatto dal Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, i cosiddetti GGE, ossia il gruppo di esperti governativi delle Nazioni Unite che si occupa dello sviluppo del campo dell’informazione e delle telecomunicazioni nel contesto della sicurezza internazionale. Se, quindi, da una parte, con il nuovo rapporto, le Nazioni Unite sembrano ripetersi rispetto a quanto già messo nero su bianco anni fa, dall’altra è significativo perché vengono potenziati gli sforzi degli Stati Uniti nel diffondere un senso collettivo di responsabilità verso i crimini informatici.
Al di là del confermare punti già trattati in precedenza, il rapporto delle Nazioni Unite porta a galla anche altri argomenti fino a oggi non ancora trattati con la dovuta attenzione, come la salvaguardia delle infrastrutture mediche e altre infrastrutture critiche specifiche e l’affermazione secondo cui i paesi cercheranno di assicurare “l’integrità e la disponibilità generale di Internet”.
Conclusioni
Il successo dell’OEWG nel raggiungimento del consenso significa che la sicurezza internazionale nel cyberspazio è diventata, per la prima volta, una questione discussa da tutti gli Stati membri delle Nazioni Unite. Segna così una fine quasi certa del formato GGE dopo la chiusura dei lavori dell’attuale GGE a maggio 2021.
È probabile che l’GGE venga sostituito da una proposta franco-egiziana per un Programme of Action, PoA, un programma d’azione sostenuto dagli Stati Uniti, mentre un altro OEWG inizierà i suoi lavori dal 2022 al 2025.
