Autore: Stefano Ricci – 11 /03/ 2019
Secondo i dati pubblicati dalla Commissione Europea, l’87% dei cittadini europei considera la criminalità informatica come una delle sfide più importanti per la sicurezza interna dell’Unione; l’impatto economico dei reati commessi a mezzo informatico, nel solo 2018, è stato pari a circa 400 miliardi di euro, gli attacchi perpetrati alle strutture informatiche sono triplicati rispetto al 2015, mentre per il 2020 sono previsti almeno dieci miliardi di dispostivi tecnologici connessi in “rete”.
Eppure, nonostante una minaccia vieppiù crescente, la consapevolezza della cyber-security è ancora lontana dalla sensibilità dei cittadini: circa il 51% degli stessi ha dichiarato, nel 2018, di essere completamente disinformato in merito alle minacce informatiche, mentre addirittura il 69% delle imprese europee ha dichiarato, in un’indagine condotta dalla Commissione Europea, di possedere scarse conoscenze circa la propria esposizione ai rischi di natura informatica.
Nell’epoca dell’internet of things, dei metadati e dei servizi digitali, qual è il senso del parlare di sicurezza informatica e geopolitica del web?
Sono molti i paesi in grado ormai d’impiegare le proprie capacità tecnologiche per intervenire nella formazione dell’opinione pubblica di paesi rivali, per sottrarre dati sensibili da infrastrutture pubbliche (si pensi al caso Wannacry) o per delegittimare una forza politica in tempi di elezioni nazionali.
Senza considerare come la maggior parte delle aziende e delle amministrazioni oggi attive forniscano i propri servizi essenziali attraverso reti e infrastrutture digitali: causare un incidente a carico proprio di queste reti e dei relativi sistemi informativi significherebbe compromettere l’intero ciclo di lavoro delle imprese, impedendo loro di operare correttamente.
Infine, un’intrusione informatica può addirittura indebolire la fiducia dei consumatori nell’impiego di sistemi di pagamento online o nell’operato di grandi imprese, oltre all’abbandono di software di comunicazione digitale.
Su questo terreno, l’Unione Europea sembra procedere ancora con estrema lentezza, limitandosi a proporre un vago pacchetto di riforme già presentate nel 2017 dalla Commissione stessa, in materia di cyber-security.
Nel dettaglio, la “riforma” prevedrebbe la creazione di un’agenzia per la sicurezza informatica, l’introduzione di un sistema di certificazione della cyber-security a livello comunitario e l’attuazione rapida della direttiva NIS.
Nel primo caso, la Commissione ha suggerito all’epoca la creazione di un’agenzia UE sulle strutture già esistenti dell’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA), con il compito di aiutare gli stati membri e le aziende operanti in territorio comunitario, oltre alle istituzioni di Bruxelles stesse, ad affrontare e prevenire attacchi di natura cibernetica.
I sistemi di certificazione, per parte propria, consisterebbero invece in una serie di norme, requisiti tecnici e procedure volte a ridurre la frammentazione del mercato ed eliminare gli ostacoli normativi, al fine di creare un clima di fiducia reciproca e collaborazione fra gli operatori.
Infine, la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS) è stata introdotta per accrescere la cooperazione tra Stati membri su delicate questioni di sicurezza informatica; la NIS ha definito obblighi di sicurezza per gli operatori di servizi essenziali (in settori strategici come l’energia, i trasporti, l’assistenza sanitaria e la finanza) e i fornitori di servizi digitali (mercati online, motori di ricerca e servizi cloud).
Parallelamente, ogni paese dell’UE sarebbe tenuto a designare una o più autorità nazionali, oltre elaborare una strategia per affrontare le minacce informatiche.
Aldilà di decisioni politiche dall’indubbio valore, appare tuttavia evidente come la mancanza di una precisa direzione da percorrere, oltre a una scarsa considerazione culturale del tema in oggetto, caratterizzi la confusione oggi presente a ogni livello in materia cyber: stampa, università, gruppi di lavoro, aziende e informazione televisiva tradizionale.
In un’epoca in cui i dati (non solo informatici) rappresentano il vero motore portante dell’economia internazionale, è impossibile affrontare un tema tanto “tecnico” senza la precisa volontà di alimentare un dibattito che sappia mettere in evidenza non solo le lacune infrastrutturali in cui gli utenti si trovano oggi a operare, ma che possa generare quelle skill pressoché assenti a livello decisionale.
Gli stessi sistemi-paese, dunque, dovrebbero ragionare in maniera integrata fra chi gestisce la res publica, chi agisce a livello infrastrutturale, chi effettua scelte di business e chi ancora è coinvolto nei comparti della ricerca e del dibattito culturale: troppo spesso le misure postulate dall’uno o dall’altro comparto si sono mostrate lacunose in passato, prive di spessore a livello contenutistico e incapaci di applicare quella scalabilità che invece caratterizza per sua natura lo strumento informatico.
Per affrontare la cyber-security bisogna dapprincipio conoscere la dimensione cibernetica, poi avere contezza dei propri asset strategici e infine stabilire misure adeguate di contenimento e risposta: il tutto, attraverso una trasformazione sintetica che sappia coniugare innovazione e aggiornamento culturale.