“Cyclone” (Cyber Crisis Liaison Organisation Network) è la rete creata per rispondere in maniera tempestiva ed efficace ad ogni tipologia di attacco informatico che dovesse colpire o coinvolgere uno qualsiasi dei paesi membri UE. La rete è stata lanciata in occasione della seconda edizione di un’esercitazione europea di cyber security a livello operativo chiamata Blue OLEx promossa dall’ENISA, l’agenzia europea per la cyber security, e dalla Commissione Europea.
Esaminiamone la genesi, i benefici e i vantaggi.
L’iniziativa Blue OLEx 2020
Un attacco cibernetico che interessi uno Stato membro, riguarda, in realtà, l’Europa intera; questo è il principio fondante su cui sono basate le esercitazioni “Blue OLEx” (Blueprint Operational level Exercise) che mirano a testare la preparazione dell’UE in caso di crisi, rafforzando la cooperazione tra le autorità nazionali di sicurezza informatica, la Commissione europea e l’ENISA. Tali esercitazioni, quindi, mettono in risalto il principio dell’”accountability” ovvero la responsabilità dell’Unione nel garantire una strategia comune contro gli attacchi cibernetici così da evitare che i singoli paesi, durante periodi di instabilità geopolitica, debbano fronteggiare individualmente i molteplici fattori di rischio informatico. Quindi più cresce il pericolo e più importante deve essere la collaborazione. Ecco perché la cyber esercitazione Blue Olex nasce nell’ambito delle indicazioni promosse dalla raccomandazione “Blueprint” del 2017 conosciuta anche come “incident response”, o quadro di risposta della crisi informatica in Europa. Essa contiene principi e meccanismi, in termini di obiettivi e modalità di cooperazione, per rispondere in modo coordinato a incidenti e crisi cyber improvvise su larga scala attraverso l’utilizzo di una strategia tattica di azione spalmata su tre livelli:
- il livello tecnico, in cui lo scopo delle attività deve essere finalizzato alla risoluzione dell’incidente e alla sua analisi;
- il livello operativo, in cui alle autorità preposte spetta il compito di coordinamento della risposta e della valutazione dell’impatto derivante dalla crisi;
- il livello politico, in cui sono coinvolti i maggiori decisori politici sia a livello nazionale (responsabili per la sicurezza cibernetica) che a livello europeo (come ad esempio il Presidente del Consiglio dell’Ue, della Commissione europea, il Comitato politico e di sicurezza e l’Alto rappresentante), ai quali spetta decidere se attivare ulteriori misure per la risoluzione della crisi e il coordinamento con altre organizzazioni internazionali come la Nato, l’Onu e l’Osce.
Nella prima edizione dell’esercitazione, avvenuta a luglio del 2019, ci si è concentrati su test di alto profilo che hanno riguardato il livello operativo, per meglio definire il quadro generale di risposta coordinata dei partner europei ad una crisi informatica improvvisa. L’operazione è stata condotta nel quadro della direttiva sulla sicurezza delle reti e dell’informazione (NIS), che ha istituito la cooperazione operativa e tecnica tra gli Stati membri tramite la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT). I risultati della prova hanno contribuito ad offrire coerenti indicazioni per sviluppare le procedure operative standardizzate previste nel quadro della raccomandazione “Blueprint”. In più, ha consentito di fare il punto sui progressi compiuti dal “NIS Cooperation Group” nell’ambito della cooperazione dei paesi membri dell’UE nel settore della cibersicurezza.
Invece, la seconda edizione dell’esercitazione, organizzata lo scorso 29 settembre 2020 dai Paesi Bassi con il supporto dell’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA), ha consentito agli Stati membri dell’UE, quelli del Consiglio e della Commissione di incontrarsi seppur da remoto (a causa della pandemia da Covid-19) per risolvere le questioni rimaste sul “tavolo” a luglio 2019, cercando di:
- porre le basi per la costruzione di relazioni più forti e durature tra tutte le componenti interessate alla esercitazione ovvero le autorità nazionali di cybersecurity rappresentative dei diversi Stati, la Commissione Europea e l’ENISA;
- aumentare la consapevolezza su eventuali pericoli incombenti;
- accrescere la condivisione delle migliori pratiche.
L’esercitazione, inoltre, ha offerto l’occasione per istruire un dibattito politico su questioni strategiche da adottare sulla sicurezza informatica e per definire, in particolare, un “framework” coerente per la gestione delle crisi a livello europeo. A rappresentare l’Italia, come nella precedente edizione, ci ha pensato il Dipartimento delle Informazioni per la Sicurezza (Dis) della presidenza del Consiglio dei ministri che, assieme all’Agenzia francese per la sicurezza dei sistemi informatici (l’Anssi), ha presentato la novità più rilevante ovvero il lancio ufficiale di CyCLONe (Cyber Crisis Liaison Organisation Network).
Cyclone (Cyber Crisis Liaison Organisation Network)
CyCLONe è nata nell’ambito di un contesto molto fecondo, in termini di confronto tecnico, economico e politico. Tra le personalità più rilevanti che hanno salutato positivamente l’iniziativa sono da menzionare Thierry Breton, Commissario per il Mercato interno, il quale ha dichiarato che “la nuova rete delle organizzazioni di collegamento per le crisi informatiche (Cyclone) dimostra ancora una volta l’eccellente cooperazione tra gli Stati membri e le istituzioni dell’UE per garantire la sicurezza informatica delle reti e dei sistemi critici europei”. Breton ha anche sottolineato che “la cybersicurezza è una responsabilità condivisa” che necessita della collaborazione tra tutte le autorità preposte “per preparare e attuare piani di risposta rapida alle emergenze, ad esempio in caso di incidenti o crisi cibernetiche su vasta scala”. Sulla stessa lunghezza d’onda Juhan Lepassaar, direttore esecutivo dell’ENISA, partendo dalla costatazione degli “illimitati confini delle crisi informatiche”, ha evidenziato che “l’attuale compito dell’Agenzia dell’UE per la cybersicurezza è quello di impegnarsi a sostenere l’Unione Europea nella risposta agli incidenti informatici”. Per raggiungere questo obiettivo ha invitato le agenzie nazionali per la cybersicurezza ad unirsi per coordinare il processo decisionale a tutti i livelli.
Infine, il direttore generale dell’ANSSI (l’Agenzia Nazionale Francese per la Sicurezza dei Sistemi Informativi) ha voluto porre l’accento sulle competenze nazionali di Francia e Italia che “sono state le forze trainanti della costruzione della rete CyCLONe”.
Gli obiettivi di CyCLONe
“CyCLONe” mira a supportare il meccanismo europeo di risposta rapida alle crisi e agli incidenti cyber transfrontalieri su larga scala ponendosi come un dispositivo che andrà a rafforzare ed integrare le strutture a presidio della sicurezza cibernetica tutt’ora vigenti nell’UE. Potrà pertanto contribuire all’attuazione della raccomandazione “Blueprint”, favorendo la collaborazione sia a livello tecnico, tra gli CSIRT (Computer Security Incident Response Teams), vale a dire i team di prevenzione e risposta agli incidenti cibernetici, sia a livello politico tra gli IPCR (Integrated Political Crisis Response), ovvero i dispositivi integrati per la risposta politica alle crisi, che favoriscono un processo decisionale rapido e coordinato dell’UE in caso di crisi gravi e complesse, compresi gli atti di terrorismo. In questa cornice si coglie il senso delle dichiarazioni del direttore esecutivo dell’ENISA Juhan Lepassaar che vede in Cyclone lo strumento di coordinamento tra i rappresentanti tecnici e politici nel prendere decisioni che siano quanto più coerenti ed efficaci per la sicurezza cibernetica che riguarda molteplici settori. In questo modo, il Cyclone raggiungerà due obiettivi fondamentali:
- discutere le strategie di risposta nazionali;
- appurare le conseguenze tecnico-politiche di un attacco cyber sulla base della stima degli impatti previsti ed osservabili durante una crisi informatica.
Tutto questo naturalmente andrà a beneficio dei decisori politici, sia a livello nazionale che dell’UE. A tal fine, Cyclone opererà avvalendosi degli strumenti di comunicazione e condivisione delle informazioni forniti dall’ENISA, che offrirà tra l’altro indicazioni sulle procedure di cooperazione.
Con il sostegno della Commissione Europea, si è stabilita una chiara tabella di marcia per il prossimo anno che ruota intorno a tre momenti chiave che contribuiranno a rendere Cyclone più performante: il feedback di Blue OLEx 2020 da cui si capirà su quali modalità dovrà avvenire la collaborazione tra gli CSIRT e gli IPCR europei, l’esercitazione Cyber Europe 2021 e la terza edizione del Blue OLEx che avverrà nel 2021.
Le indicazioni apprese da quest’ultimo evento completeranno le procedure di cooperazione di CyCLONe e daranno forma alle future esercitazioni. Non è quindi un caso che Guillaume Poupard, Direttore Generale dell’ANSSI, veda in CyCLONe “un mattone decisivo nella costruzione di un’Europa resistente e sovrana della sicurezza informatica”.