Cyberdifesa, l’Europa è un patchwork che non possiamo più permetterci - Agenda Digitale

sovranismi

Cyberdifesa, l’Europa è un patchwork che non possiamo più permetterci

Le barriere poste dagli Stati membri a tutela della loro potestà di difesa, sia tradizionale sia cyber bloccano il ricorso a strumenti sovranazionali efficaci. La difesa Ue resta così un insieme non troppo condiviso di azioni di coordinamento, standardizzazione, stimolo e suggerimento. Una miopia che va superata

27 Set 2021
Mario Dal Co

Economista e manager, già direttore dell’Agenzia per l’innovazione

Nel Discorso sullo stato dell’Unione europea, la Presidente Ursula Von der Leyen ha speso poche parole sulla sicurezza europea limitate alla cybersecurity, mentre il Presidente del Consiglio Mario Draghi sulla sicurezza europea si spinge più avanti “Sulla difesa europea non c’è più tempo da attendere”.

Necessaria una Cyber difesa basata su standard

Abbiamo bisogno di una cyber defense policy con legislazione basata su standard legislativi.

Draghi da parte sue riconosce i limiti delle difese nazionali, nell’arena globale sia essa finanziaria o militare, e ha dimostrato, con la gestione della crisi finanziaria del 2008, che l’Unione può dotarsi di strumenti sovranazionali efficaci.

WEBCAST
CISO as a Service: perché oggi la tua azienda non può fare a meno di un esperto di cyber security
CIO
Risorse Umane/Organizzazione

Su questo tema, la Commissione si incontra, dal punto di vista degli obiettivi strategici, con il Consiglio, ossia con l’organo rappresentativo dei governi, ma quella condivisione non è operativa, ma teorica. Rimane ancora un distacco troppo ampio da colmare, sul piano istituzionale, per ottenere una operatività politicamente responsabile dell’Unione sulla difesa.

Nato, la nuova “Cyber Defence Policy”: ecco le priorità dell’Alleanza nella difesa dello spazio cibernetico

Cyber difesa, le priorità del Consiglio Ue

Sullo specifico, ma pervasivo, tema della cybersecurity, all’interno della sicurezza europea, l’Agenzia per la Difesa Europea (EDA) ha pubblicato l’8 settembre scorso: Cyber Defence. Built on European cooperation.

EDA, Agenzia intergovernativa creata nel 2004 tra 26 Stati membri, risponde al Consiglio dei ministri e non alla Commissione, con gli obiettivi di:

  • sostenere lo sviluppo delle capacità di difesa e la cooperazione militare tra gli Stati membri;
  • stimolare la ricerca e la tecnologia rafforzando l’industria della difesa europea;
  • fungere da interfaccia militare alle politiche dell’Unione.

Dopo la definizione della prima Strategia delle Cybersecurity EU (febbraio 2013) il Consiglio europeo ha adottato il Cyber Defence Policy Framework nel novembre 2014, aggiornato nel novembre 2018 con priorità così definite:

  • promozione della cooperazione militare-civile e sviluppo delle sinergie;
  • miglioramento delle opportunità di formazione, educazione ed esercitazioni;
  • cooperazione con partner internazionali di rilievo.

In quello stesso anno veniva delineata, per la prima volta, la necessità di mettere in campo Cyber Responsive Operations, con cinque indirizzi di attività:

  • Cooperazione e sinergie cyber;
  • Ricerca e Tecnologia cyber;
  • Framework per il system engineering delle operazioni cyber;
  • Educazione e training cyber;
  • Sfide specifiche cyber nell’aria, nello spazio nel mare e sulla terra.

Questi indirizzi si affiancano alla Struttura Permanente di Cooperazione (PESCO), stabilita fin dal 2017 dal Consiglio europeo con 25 Stati membri. PESCO prevede una serie di progetti, che trovano in PESCO la definizione legale per sviluppare e pianificare le operazioni per la prontezza della risposta e la collaborazione con le forze armate.

Dei progetti PESCO quattro sono relativi alla cybersicurezza:

  • Cyber Rapid Response Teams and Mutual Assistance in Cyber Security (CRRT), destinato a sviluppare una collaborazione tra gli Stati membri aderenti per un livello superiore di resilienza e risposta collettiva agli incidenti;
  • Cyber Threats & Incident Response Information Sharing Platform (CTIRISP), destinato a sviluppare misure attive di difesa in direzione del superamento delle soluzioni semplicemente affidate ai firewall, puntando sulla condivisione tra gli Stati membri aderenti della detection delle minacce;
  • Cyber & Information Domain Coordination Center (CIDCC), è il progetto ambizioso di creare e rendere operativo un CIDCC a livello militare, dotato di staff forniti dagli Stati aderenti che decidono caso per caso su quali minacce fornire supporto informativo o operativo;
  • EU Cyber Academia & Innovation Hub (EU CAIH), punta a creare un hub di conoscenze e capacità professionali sulla difesa cyber, capace di fornire formazione e training sia all’Unione sia alla Nato.

Il patchwork della difesa europea

In prevalenza, si tratta di azioni di coordinamento, standardizzazione, stimolo e suggerimento: le azioni contro gli attacchi cyber rimangono nell’esclusiva disponibilità dei governi nazionali, anche se alcune sono previste dai progetti PESCO.

Anche il primo indirizzo, la cooperazione, indispensabile per la cyberdefence, è affidata alla collaborazione volontaria dei governi. I governi hanno creato vari CERT o CSIRT militari e civili e molti ritengono necessaria, date le scarse risorse disponibili, l’estensione delle pratiche di condivisione delle informazioni tra i CERT militari, con la creazione di una comunità che condivide valori, obiettivi e che nutre fiducia reciproca, anche al fine di condividere esercitazioni, pratiche di formazione e messa in pratica delle acquisizioni comuni. Ma solo 20 tra governi, partner e organizzazioni partecipano a questo progetto.

Un altro esempio importante di collaborazione europea promosso dall’EDA è la Cyber Range Federation, ossia un processo di condivisione degli ambienti tecnologici in cui i professionisti della cybersicurezza si muovono, in ambito nazionale, per scoprire e mitigare gli attacchi cyber utilizzando le dotazioni tecnologiche standard del loro ambiente di lavoro.

Un’area di scambio di esperienze e di formazione congiunta di estrema importanza, come ha riconosciuto il Segretario alla difesa finlandese: “Non vi è area in cui le nuove minacce alla sicurezza siano così evidenti come nel cyber. Quindi è questione urgente e prioritaria far progredire la comune difesa cyber. Condividendo le proprie cyber ranges gli Stati membri che partecipano accrescono la loro resilienza cyber”. Lo dice uno dei paesi più esposti agli attacchi che possono provenire da chi lavora al servizio del neo-zar Putin. Ma vi sono solo dieci paesi che partecipano a questa iniziativa, come si vede dal grafico che abbiamo elaborato dalle informazioni contenute nel recentissimo documento dell’EDA Cyber defence, citato.

Il pachwork della difesa cyber europea

Nel complesso, l’impegno delle istituzioni europee è diffuso, ma incide in misura molto limitata sulle operazioni, come si vede dal grafico che segue dove abbiamo ricostruito il patchwork delle partecipazioni degli Stati membri alle attività indicate in testa alle colonne della figura precedente.

EDA, quindi, non supera, come non lo fa la Commissione, le barriere poste dagli Stati membri a tutela della loro potestà di difesa, sia tradizionale sia cyber e rinvia, per quanto riguarda l’operatività della difesa europea, all’Alleanza Atlantica. In alcuni casi, come la Francia, la scarsa partecipazione ai progetti comuni richiama il principio della autonomia e primazia francese in seno all’Europa, e dunque una scelta politica. In altri casi, come i paesi di minore dimensione, la scarsa partecipazione può essere dovuta a scarsità di risorse umane da mettere a disposizione del progetto europeo. Una scelta miope quanto quella francese, anche se con diversa motivazione.

La cybersecurity deve diventare un impegno chiave dell’Europa

Il nostro commento non deve suonare come una critica all’operato delle istituzioni europee, ma come una denuncia dei limiti al cui interno esse sono costrette a muoversi in ragione delle resistenze sovraniste degli Stati membri: la via intrapresa, in assenza di deleghe di sovranità verso le istituzioni federali, è senza sbocchi anche se non inutile. Ma, se la gelosia degli Stati nazionali è sovrana e vincente, per ora, sulla visione federalista della difesa comune, di cui per altro tutti i responsabili della Commissione sono convinti e alcuni capi di Stato, come il premier Draghi, la cybersecurity è un terreno assai più dinamico, non fosse altro che per il fatto che chi si occupa di cybersecurity ha un’età media assai più bassa di un generale di corpo d’armata.

Non solo, ma l’intelaiatura istituzionale della cybersecurity è assai più recente, meno fossilizzata rispetto a quella della difesa tradizionale. Infine, il linguaggio e le tecniche usati nella gestione della sicurezza cyber sono ab origine di tipo globale, e creano una community globale che comprende immediatamente l’esigenza di una collaborazione e condivisione delle conoscenze a livello internazionale, tra alleati.

La Nato ha adottato la Cyber Defence Policy, commentata da Lorenzo Damiano ed Enrico Scatto su questa rivista il 17 giugno scorso, in cui si indicano le priorità per rispondere agli attacchi sempre più frequenti alle infrastrutture critiche e alle istituzioni democratiche.

L’Alleanza è consapevole della fragilità europea e collabora con l’Unione nel settore della formazione, delle esercitazioni, e degli scambi di informazioni.

L’auspicio è che questa consapevolezza sia condivisa dagli Stati membri e che l’urgenza e la criticità della sicurezza cyber possano essere di stimolo anche a una dinamicità maggiore dell’Unione nel settore tradizionale della difesa, che sempre di più dipende dalle difese cyber.

WHITEPAPER
I 5 errori che caratterizzano la gestione delle Risorse Umane nel Manufacturing
Risorse Umane/Organizzazione
Smart working
@RIPRODUZIONE RISERVATA

Articolo 1 di 4