La Commissione Europea sta provando a rilanciare un rapporto di rinnovata collaborazione con l’amministrazione statunitense post-Trump. La conferma in uno statement recente della Commissione.
Gli elementi toccati sono svariati e vanno dalla tassazione dei Big Tech sul suolo europeo alla sicurezza dei dati, fino ad un progetto europeo coordinato per la cyber security.
Un punto, quest’ultimo, cruciale: quella delle minacce cyber è una partita globale: l’attore che oggi attacca gli Stati Uniti domani attaccherà l’Europa, e una cooperazione più aperta con gli istituti di difesa cyber d’oltreoceano può essere sicuramente di beneficio per ambo le parti. Di qui la necessità di trovare un approccio più unitario, anche in virtù del fatto che molte delle minacce ai danni dell’EU sono le stesse che colpiscono gli USA.
Durante gli scorsi quattro anni, tuttavia, gli Stati Uniti hanno seguito una politica più di isolamento che di integrazione, con ripercussioni che non si sono limitate soltanto alla Cina ma che hanno avuto profonde ricadute anche sul terreno europeo. La spaccatura creata da Trump ha infatti messo in pericolo una serie di alleanze strategiche che avevano l’obiettivo di contrastare l’avanzata della Cina, ed è questo il punto cardine del documento, stilato dalla Commissione Europea e dai relativi esperti di politica estera.
L’escalation dei cyber attacchi
Come abbiamo già visto in un articolo precedente, gli istituti di ricerca per i vaccini sul COVID sono stati presi seriamente d’attacco, poco dopo è toccato alla supply-chain e siamo ancora all’inizio della partita, per cui ci aspettiamo l’emergere di nuovi attori e nuove minacce proprio su questo fronte. L’escalation dei cyber attacchi è infatti uno dei punti citati nella bozza tra le motivazioni per ricreare una relazione bilaterale tra EU e USA. Ma cosa succederà quando la EU chiamerà i vari stati per unirsi ad una nuova strategia di difesa comunitaria?
Italia nel mirino degli attacchi ransomware
Una conseguenza diretta di questo adattamento l’abbiamo ben vista durante il corso del 2020. l’Italia, ad esempio, è diventato uno degli stati europei maggiormente colpiti da attacchi ransomware, un dato che può essere utilizzato come proxy indicator per tentare di dedurre anche il numero di attacchi sofisticati contro il nostro paese. Questo perché laddove è triviale identificare un attacco ransomware – non fosse altro che perché gli attaccanti stessi pubblicano i dati delle vittime – è altresì più complesso dare una stima accurata degli attacchi più avanzati. Questi ultimi tendono infatti a passare inosservati per lunghi periodi, e quando vengono identificati non vi è ragione per doverli pubblicizzare, quindi il numero “reale” diventa più complesso da calcolare. Questo è il “problema della visibilità” che ha un impatto diretto sulla percezione del proprio livello di esposizione al rischio.
Stati dotati di appropriati meccanismi di difesa, e le giuste tecnologie, vedranno infatti più attacchi di stati che sono meno preparati, lasciando a questi ultimi l’illusione di non essere obiettivi di interesse. Il problema si trasmette quindi dal pubblico al privato, lasciando passare il messaggio sbagliato e contemporaneamente contribuendo ad indebolire gli stati che meno investono in sicurezza.
Cybersecurity: Stati Ue in ordine sparso
Jakub Boratyński, capo dell’unità per la cybersecurity e privacy digitale della Commissione Europea ha rivelato, poco sorprendentemente, che le direttive del NIS per gli operatori di servizi essenziali sono state adottate in maniera molto eterogenea tra gli stati membri. Fattore che ha contribuito ad aprire vuoti di sicurezza in alcuni stati che possono facilitare le operazioni di potenziali attaccanti. A questo è seguita la dichiarazione della Commissione Europea che prevede di rilasciare un NIS 2.0, stavolta non più come direttiva ma come regolamentazione (similmente a quanto già avvenuto col GDPR). L’intento è di forzare il settore dei servizi essenziali ad adottare un livello minimo e garantito di sicurezza contro i cyber attacchi.
Il circolo vizioso della visibilità e l’implementazione non omogenea delle direttive chiave sono dovuti a molti fattori, ma si può rimediare. È essenziale che accada non soltanto per la nostra stessa sicurezza, ma anche per mantenere il più alto livello possibile di indipendenza da paesi extra europei per la tutela di asset critici, strategici e per tutelare il nostro patrimonio dati.
Come scrive Molinari nell’Editoriale di Repubblica, parlando dei bisogni da soddisfare nel settore della sicurezza: “Primo: [dobbiamo] creare un network integrato fra difesa, aziende e centri di formazione […] Secondo: non rimanere indietro nel cyber rispetto ad altri partner Ue e Nato. Terzo: dotarci in fretta di un efficace sistema di difesa nazionale”.
Il nodo delle competenze
Ognuno di questi punti ha tempistiche e ragioni differenti ma come al solito, andiamo con ordine: la cyber security è un settore tanto ampio quanto profondo, ovvero servono competenze molto specializzate, e molte di queste specializzazioni, per riuscire a muoversi agevolmente. La prima necessità diventa quindi quella dell’educazione, la cyber security infatti è tutt’altro che una nicchia e tocca chiunque abbia un telefono, un’email o usi un computer, perché dunque non partire dall’educazione di base? Del resto, secondo EU Kids Online, l’Italia è il primo paese in Europa per diffusione di smartphone tra i bambini, con un utilizzo del 97% tra i ragazzi dai 15 ai 17 anni.
Partendo dal basso si può assicurare una minima educazione digitale, e far avvicinare ad una tematica importante un bacino di futuri talenti che oggi è in fortissima richiesta, e continuerà ad esserlo per il prossimo futuro. Non possiamo assicurare un’adeguata preparazione contro minacce sofisticate se in prima linea non abbiamo neanche il personale minimo.
La collaborazione tra difesa cyber nazionale e aziende deve certamente crescere e funzionare in maniera proattiva per assicurare che ci sia un canale, il più possibile real-time, che dagli istituti di difesa cyber possa raggiungere immediatamente i privati, avvertendo di minacce in arrivo. La creazione di un threat feed nazionale, ovvero un canale che in tempo reale condivida degli indicatori standard, utilizzati dalle soluzioni di sicurezza di ogni azienda, sarebbe un passo avanti rispetto ai bollettini manuali che vengono utilizzati oggi.
L’ultimo step è tecnologico, senza dimenticare che la tecnologia va di pari passo con l’educazione, ma ciò non toglie che siano oramai chiaramente necessarie delle misure minime in ogni azienda, perché l’epoca dell’antivirus è oggi alle nostre spalle. Con l’aumentare della sofisticazione degli attacchi e degli attaccanti, ci sono una serie di misure minime, economiche e semplici da attivare che hanno un enorme ritorno: educazione del personale per imparare a distinguere tentativi di phishing o frodi e autenticazione multi-fattore al posto della singola password. A questi ultimi segue l’implementazione di sistemi di sicurezza più evoluti, capaci di garantire la visibilità su dispositivi, indipendentemente dalla loro posizione operativa (ovvero che funzioni tanto per il personale in azienda quanto per quello da casa). Tali strumenti, in genere raccolti sotto il nome di EDR, consentono di tracciare e rimediare attacchi più sofisticati. Ovviamente si possono aggiungere numerosi pezzi alla catena, ma è certo che in un’epoca che ha sdoganato il lavoro da remoto: educazione, visibilità e capacità di risposta agli attacchi diventano ancor più cardini fondanti di infrastrutture sicure.
Conclusioni
Rimanere indietro ha ripercussioni pesanti sull’intero Paese, perché come in ogni ambito nel quale non si hanno competenze, la lacuna finirà per essere colmata da attori esterni. Ma quando è in gioco la sicurezza di un paese e dei propri cittadini, non è più accettabile affidare la difesa a terzi che, pur competenti, possono avere agende ed interessi molto differenti. L’Ue in questo frangente può giocare un’ottima partita, abbiamo un enorme bacino di talenti e siamo in grado di produrre tecnologia di altissimo livello. Tutto ciò anche a fronte degli insegnamenti ricevuti dall’epoca Trump, che ci hanno fatto capire come gli assetti possano cambiare rapidamente, e a nessuno piace dover dipendere da altri nel momento del bisogno.
Lo sviluppo di tecnologia sul territorio europeo non significa però isolamento. Mantenere il controllo delle proprie infrastrutture – per quanto possibile – rimane essenziale, ma in ottica di condivisione globale.
Quello della sicurezza è un problema che non risolveremo nel breve periodo e che non va trascurato, anzi va reso parte integrante del percorso di crescita di ognuno: educazione, cooperazione e tecnologia saranno i cardini principali, e speriamo che la nuova proposta della Commissione Europea ci porti nella giusta direzione.
Il nodo delle competenze
Ognuno di questi punti ha tempistiche e ragioni differenti ma come al solito, andiamo con ordine: la cyber security è un settore tanto ampio quanto profondo, ovvero servono competenze molto specializzate per riuscire a muoversi agevolmente. La prima necessità diventa quindi quella dell’educazione: la cyber security infatti è tutt’altro che una nicchia e tocca chiunque abbia un telefono, un’email o usi un computer, perché dunque non partire dall’educazione di base? Del resto, secondo Eu kids online, l’Italia è il primo paese in Europa per diffusione di smartphone tra i bambini, con un utilizzo del 97% tra i ragazzi dai 15 ai 17 anni.
La collaborazione tra difesa cyber nazionale e aziende deve certamente crescere e funzionare in maniera proattiva per assicurare che ci sia un canale, il più possibile real-time, che dagli istituti di difesa cyber possa raggiungere immediatamente i privati, avvertendo di minacce in arrivo. La creazione di un threat feed nazionale, ovvero un canale che in tempo reale condivida degli indicatori standard, utilizzati dalle soluzioni di sicurezza di ogni azienda, sarebbe un passo avanti rispetto ai bollettini manuali che vengono utilizzati oggi.
Le “misure minime” che le aziende devono adottare per la cyber sicurezza
L’ultimo step è tecnologico, senza dimenticare che la tecnologia va di pari passo con l’educazione, ma ciò non toglie che siano oramai chiaramente necessarie delle misure minime in ogni azienda, perché l’epoca dell’antivirus è oggi alle nostre spalle. Con l’aumentare della sofisticazione degli attacchi e degli attaccanti, ci sono una serie di misure minime, economiche e semplici da attivare che hanno un enorme ritorno: educazione del personale per imparare a distinguere tentativi di phishing o frodi e autenticazione multi-fattore al posto della singola password. A questi ultimi segue l’implementazione di sistemi di sicurezza più evoluti, capaci di garantire la visibilità su dispositivi, indipendentemente dalla loro posizione operativa (ovvero che funzioni tanto per il personale in azienda quanto per quello da casa). Tali strumenti, in genere raccolti sotto il nome di EDR, consentono di tracciare e rimediare attacchi più sofisticati. Ovviamente si possono aggiungere numerosi pezzi alla catena, ma è certo che in un’epoca che ha sdoganato il lavoro da remoto: educazione, visibilità e capacità di risposta agli attacchi diventano ancor più cardini fondanti di infrastrutture sicure.
Conclusioni
Rimanere indietro ha ripercussioni pesanti sull’intero Paese, perché come in ogni ambito nel quale non si hanno competenze, la lacuna finirà per essere colmata da attori esterni. Ma quando è in gioco la sicurezza di un paese e dei propri cittadini, non è più accettabile affidare la difesa a terzi che, pur competenti, possono avere agende ed interessi molto differenti. L’Ue in questo frangente può giocare un’ottima partita, abbiamo un enorme bacino di talenti e siamo in grado di produrre tecnologia di altissimo livello. Tutto ciò anche a fronte degli insegnamenti ricevuti dall’epoca Trump, che ci hanno fatto capire come gli assetti possano cambiare rapidamente, e a nessuno piace dover dipendere da altri nel momento del bisogno.
Lo sviluppo di tecnologia sul territorio europeo non significa però isolamento. Mantenere il controllo delle proprie infrastrutture – per quanto possibile – rimane essenziale, ma in ottica di condivisione globale.
Quello della sicurezza è un problema che non risolveremo nel breve periodo e che non va trascurato, anzi va reso parte integrante del percorso di crescita di ognuno: educazione, cooperazione e tecnologia saranno i cardini principali, e speriamo che la nuova proposta della Commissione Europea ci porti nella giusta direzione.