La Cyber Security in Europa, nell’attuale scenario geopolitico

Centro Congressi Europa, Sala Italia – Università Cattolica del Sacro Cuore

Roma, 19 ottobre 2017

 

Signore e Signori,

desidero innanzitutto ringraziare il Magnifico Rettore Prof. Franco Anelli per la Sua presenza e il Prof. Americo Cicchetti, Direttore Altems per avermi invitato a parlare di un tema di così grande attualità a questa Open Evening dell’Alta Scuola di Economia e Management dei Sistemi Sanitari.

Cercherò nel mio intervento di approfondire due diversi ambiti:

  1. un primo di carattere generale sulla rilevanza dominante che la dimensione cyber ha acquisito nell’ultimo decennio per la sicurezza e gli equilibri geopolitici globali;
  2. un secondo ambito, quello europeo e nazionale, con particolare riferimento alla attenzione che queste problematiche devono avere in uno dei sei settori strategici, per l’Unione Europea, che è appunto quello della salute. Utilizzerò in questa ultima parte alcune schede di sintesi redatte da uno dei più accreditati esperti europei nel settore, il Prof. Pierluigi Paganini, Chief Technology Officer di Cyber Security Enterprise, membro di ENISA, del competente Gruppo di lavoro del G7, e Professore e Direttore del Master alla Link Campus University, tra i molti incarichi accademici e di ricerca che riveste.

 

  •  La dimensione cyber: un ambiente complesso e instabile.

La geopolitica è diventata un terreno di fondamentale rilevanza per le iniziative poste in essere nel dominio Cyber dagli attori statuali e non, in modo legittimo, o del tutto illegale, con finalità che si spingono alla destabilizzazione regionale o globale, al sovvertimento dello Stato di Diritto e della democrazia liberale sul piano interno,  alla negazione del diritto  attraverso un sistematico uso della forza e alla politica del fatto compiuto nelle relazioni internazionali. Gli esempi di questa impressionante crescita di potenza della dimensione Cyber nelle relazioni tra Stati non sono né pochi né riguardano soltanto fatti recenti.

Nell’agosto 2012 New Delhi accusava Islamabad di essere dietro a un gruppo di hackers che aveva diffuso false notizie, eccitando la violenza interetnica e causando gravissimi scontri tra hindu e musulmani. In un altro scacchiere, Hanoi è stata sospettata di non essere estranea alla diffusione di “verbali” di una conversazione tra il Presidente filippino Duterte e il Presidente Trump che risultavano imbarazzanti per le Filippine. In Maggio, le rivelazioni- poi dimostratesi false- diffuse da hackers attraverso stampa e social media Qatarini, sono stati l’innesco della crisi tra Doha e gli altri Paesi del Golfo. Sinora c’è stato poco da fare per impedire questo tipo di operazioni. Costano poco. Si smentiscono facilmente. Nessuna delle “vittime”, incluse quelle americane e europee, ha trovato il modo di far pagare un prezzo inaccettabile agli attaccanti. L’Amministrazione Obama ha reagito all’interferenza russa nella competizione elettorale, e all’hackeraggio della Convenzione Nazionale Democratica, espellendo diplomatici di Mosca, requisendo proprietà russe e imponendo sanzioni. Ciononostante gli hacker russi hanno continuato a agire.

L’esponenziale accelerazione degli attacchi informatici con finalità di intelligence, militari, di sistematica sottrazione di dati sensibili per governi, imprese, enti di ricerca si traduce in una casistica pressoché infinita di fattispecie dove realtà e fantasia si confondono. A esemplificarlo bastano alcune notizie di questi ultimissimi giorni:

* La prima notizia riguarda il caso Equifax, la società americana specializzata nella valutazione dei crediti, diventata sempre più abile nell’acquisire -senza esplicito consenso degli interessati- masse enormi di dati personali da rivendere a imprese del credito. Le gravi inadempienze accertate nella protezione dei dati personali di cui Equifax aveva la totale responsabilità, hanno fatto sì che 146 milioni di americani, praticamente la metà dell’intera popolazione statunitense, abbiano subito un danno irreparabile senza che nessuno sembri doverne rispondere, oltre al CEO che è stato licenziato. Ciò che ha fatto dire a Thomas Friedman che un mondo dove miliardi di persone sono interconnesse, ma lo sono senza sufficienti architetture giuridiche, privi di adeguata protezione e sicurezza, e di “muscoli morali” tra imprese e utenti, in modo da gestire le interconnessioni senza abusi, può essere ben diverso dal mondo di sogno che ci aspettiamo dalle nuove tecnologie, e può facilmente diventare un mondo di incubi.

Lo scenario al momento più preoccupante riguarda il ruolo dei social media nella destabilizzazione delle democrazie liberali, con le gravi ombre emerse dal Russiagate nelle elezioni americane, e le punte di altri, simili iceberg nel referendum in Catalogna, nelle elezioni francesi e tedesche. Secondo gli inquirenti americani, in particolare il Presidente della Commissione Senatoriale di Intelligence, Mark Warner, la sensazione è che sinora Facebook, Twitter e Google ” non abbiano preso in modo sufficientemente serio le minacce che Russia e altri agenti stranieri pongono né abbiano investito abbastanza per rivelare quanto accaduto nel 2016 e sta ancora accadendo”. Lo scorso Novembre Mark Zuckerberg aveva liquidato come “piuttosto folle” l’idea che ci fossero persone che utilizzassero FB per generare notizie false che condizionassero le presidenziali americane. Pochi giorni fa, avendo dovuto ammettere l’esistenza di centinaia di accounts russi mirati a campagne infiammatorie su temi particolarmente divisivi, Zuckerberg ha dichiarato che “chiamarla folle è stato irresponsabile e me ne dispiaccio”. Qualcosa di simile è accaduto per Twitter, che ancora a fine settembre ammetteva l’esistenza di solo qualche centinaio di account russi organizzati per una campagna sistematica nelle elezioni americane, mentre ricercatori indipendenti davano valori assai più alti. Il che ha fatto dire al Senatore Warner: “c’è un’enorme mancanza di comprensione da parte di TW di quanto seria sia la questione, e della minaccia che essa pone alle istituzioni democratiche”. Una decina di giorni fa è stata la volta di Google a rivelare di avere le prove che agenti russi hanno speso decine di migliaia di dollari per acquistare annunci ad ampia diffusione, per interferire nelle elezioni presidenziali dello scorso Novembre. Thomas Friedman fa una considerazione che mi sembra necessaria e condivisibile. Questi tre giganti, FB, TW e Google -una sorta di “sovrastruttura globale e onnipotente nell’informazione, nella ricerca, nella finanza”- realizzano miliardi di profitti vendendo i nostri dati personali. I tre giganti hanno persino ottenuto deroghe alle norme europee e nazionali sulla protezione dei dati. E tuttavia sono estremamente riluttanti ad assumere qualsiasi responsabilità per quanto concerne usi ed abusi che si verificano sulle loro piattaforme. Ma non possono sostenere allo stesso tempo di non potere da un lato esser regolati alla stregua di servizi di pubblica utilità, dovendo godere di tutte le libertà d’informazione consentite ai media; e d’altro canto sostenere di non essere responsabili nella diffusione di notizie false o di propagande incendiarie. Da qui, l’urgenza di regole, come d’altra parte sempre avvenuto nella storia delle economie liberali ogni volta che sono sorte situazioni di monopolio. L’Unione Europea si muove appunto in questa direzione.

* La seconda notizia riguarda la crisi Coreana. Fonti parlamentari a Seoul hanno denunciato la sottrazione di documenti militari ad alta classifica contenenti i piani in caso di guerra con la Corea del Nord, tra i quali l’eliminazione del regime di King Jong Un. Non è certo la prima volta che attacchi hacker su ampia scala, al limite di una vera cyberwar, si verificano tra Pyongyang, Seoul e Washington. Ricordiamo l’attacco contro la Sony del Novembre 2014 e la pronta risposta, ritenuta opera dell’apparato della difesa Cyber statunitense, contro la DPRK e la temporanea neutralizzazione di quelle reti informatiche. Nell’ultimo triennio si sono ulteriormente confermate, in questo settore, capacità Nord Coreane non meno avanzate di quelle missilistiche e nucleari.

*Una terza notizia riguarda l’utilizzo spregiudicato di strategie Cyber a fini di concorrenza commerciale. Non si tratta più solo di sottrarre dati per il mercato nero della criminalità organizzata o per furti di proprietà intellettuale. L’hackeraggio viene “commissionato” per colpire concorrenti e compromettere mercati. In passato ciò era avvenuto nel quadro di conflitti regionali e operazioni di intelligence: ad esempio nell’Agosto 2012 un attacco cyber su ampia scala e di grande efficacia aveva bloccato tutta l’attività del gigante petrolifero  Aramco, una delle più grandi multinazionali esistenti: la “disabilitazione” di 35.000 computer, aveva colpito la principale industria strategica saudita in una fase particolarmente critica dei rapporti tra Teheran e Riyad. Gli attacchi di hacker contro imprese e operatori economici sembrano ora “commissionati” da alcune grandi aziende inserite nel Gotha delle 500 censite da Fortune. Secondo il FT (9 us) sarebbe di questa natura la vicenda di una società multinazionale di giochi on line colpita poche settimane fa da un “Distributed Denial of Service”- “DDoS”- esattamente nel momento in cui si stava svolgendo un popolarissimo e assai redditizio campionato mondiale di poker. Un sondaggio tra 4000 aziende di 25 Paesi ha rivelato che le vittime di attacchi DDoS ritengono  che i responsabili siano da cercare  più  tra i concorrenti che non tra la criminalità cyber. Secondo il sondaggio, solo il 38% riconduce questi attacchi alla criminalità, mentre il 43% li addebita ai concorrenti. Raj Samani, Capo ricerca di McAfee, ha detto a Wired magazine: “Uscire e distruggere il tuo competitor può costare meno di una tazza di caffè”. La vulnerabilità è maggiore per attività concentrate in ristretti periodi temporali. Un’altra rilevazione su 6 milioni di clienti di una società di cyber security indica che ognuno di loro subisce un attacco DDoS ogni tre minuti.

Gli “attori non statuali” – si tratti di organizzazioni terroriste come l’ISIS, di sindacati del crimine o di gruppi autonomi – hanno acquisito capacità operative simili a quelle degli Stati. Acquisiscono dati protetti, orientano i social media con obiettivi geopolitici, diffondono radicalizzazione e violenza.  Una definizione di regole per la dimensione cyber resta molto arretrata rispetto alla proliferazione degli attacchi.

Da oltre un decennio diverse proposte sono state presentate all’Assemblea Generale delle Nazioni Unite da Russia, Stati Uniti e altri Paesi membri. Ma considerazioni geopolitiche, diversità di interessi nazionali, e soprattutto asimmetrie nel progresso tecnologico tra i principali protagonisti hanno ostacolato qualsiasi negoziato per una Convenzione ” tipo Ginevra” sull’utilizzo delle tecniche cyber a scopi militari e sulle stesse armi “cyber”. Queste ultime costituiscono ovviamente la preoccupazione più grande per la Comunità internazionale. Le più recenti sessioni negoziali non sono riuscite a esprimere un’intesa su quello che dovrebbe apparire principio fondamentale e ineludibile: il diritto internazionale deve essere applicabile anche e soprattutto alla dimensione cyber.

  • II) La situazione europea e “l’effetto trasformativo” delle misure adottate con il GDPR – General Data Protection Regulation  e la Direttiva NIS – Security of Network and Information Systems (NIS Directive).

Il Regolamento sulla Protezione dei Dati e la Direttiva sulla Sicurezza della Rete, l’Unione Europea sta creando le premesse per un’evoluzione molto significativa della sicurezza informatica, della collaborazione tra pubblico e privato, e della interazione tra Paesi alleati per prevenire, resistere, e contrastare gli attacchi informatici.

L’adozione nel Luglio dello scorso anno – dopo due anni di lavori del Parlamento Europeo, del Consiglio e della Commissione – di una normativa ampia e vincolante, sanzionata da precisi obblighi e responsabilità, sulla Protezione dei Dati è stata accompagnata dalla creazione di un “sistema strutturato” per la protezione di sei comparti strategici – energia, trasporti, credito, finanza, salute, risorse idriche -; attraverso misure di rafforzamento della “prontezza operativa”, dello scambio di informazioni della cooperazione sistematica tra Stati membri. Completano il quadro la definizione di coerenti strategie nazionali, di cybersecurity, l’individuazione dei “business operators” di servizi essenziali, dei “service providers”, la precisazione di standard obbligatori per i sistemi di sicurezza ai diversi livelli, e un nuovo mandato per l’Agenzia Europea per la sicurezza della Rete -ENISA-.

Si tratta di sviluppi molto importanti per l’Italia. Recenti sondaggi rilevano infatti che solo il 46% delle imprese italiane si dichiarano pronte ad applicare tutte le misure previste dalla normativa GDPR e NIS, sin dalla data della sua entrata in vigore dal 25 Maggio 2018. Ma l’88% precisa che restano ancora problemi tecnici, legali e organizzativi da risolvere urgentemente.

In ogni caso, per la prima volta sarà realizzato in Europa un sistema unitario nella sicurezza dell’informazione, posto sotto la responsabilità delle Autorità nazionali, con la supervisione di quelle europee, regolato da comuni standards di sicurezza.

* Il Regolamento per la protezione dei Dati- GDPR- sostituisce la Direttiva sulla Protezione dei Dati 95/46/EC ed è stato concepito per armonizzare in tutta Europa le leggi sulla privacy, per proteggere e rafforzare i diritti dei cittadini, per riformare interamente una materia che influisce su prevenzione, deterrenza, resilienza, risposta alla criminalità cyber e al terrorismo. In sintesi, le principali innovazioni del GDPR sono:

1) l’obbligatorietà delle norme specificamente sanzionate -e in misura economicamente significativa – nei confronti di chiunque sia responsabile di violazioni;

2) il GDPR riguarda tanto la sfera dei controlli che quella dei processi;

3) la notifica degli incidenti – attacchi con sottrazione di dati che possano comportare rischi per i diritti e le libertà delle persone – deve aver luogo entro il termine massimo e vincolante delle 72 ore; 4) il GDPR si applica anche all’esterno dell’UE.

* La Direttiva NIS costituisce “l’elemento strutturale”. Essa precisa anzitutto i sei settori di interesse strategico -energia, trasporti, credito, finanza, salute, acqua- ai quali sono destinate le norme sulla protezione dei dati, con l’obiettivo di potenziare la sicurezza complessiva attraverso:

  1.  rafforzamento delle capacità di ogni singolo Stato membro, l’istituzione degli CSIRT – Computer Security Incident Response Team – e della Autorità Nazionale competente per l’attuazione della Direttiva – la “Data Protection Authorithy – DPA”- in Italia il Garante della Privacy;
  2.  cooperazione e scambio di informazioni su incidenti e rischi tra tutti gli Stati membri, e creazione di un “Network CSIRT”;
  3.  identificazione a livello nazionale degli operatori dei servizi essenziali e dei providers dei servizi digitali;
  4.  rafforzata cooperazione tra Paesi membri dell’Unione nel caso di incidenti di particolare gravità;
  5.  un nuovo e più incisivo mandato per l’ENISA ,”EU Agency for Network Information Security”;
  6.  la definizione di una strategia nazionale, la creazione di un’Autorità competente, e di un CERT – “Computer Emergency Response Team”- per gestire incidenti e rischi;
  7.  determinazione degli standards obbligatori per gli operatori pubblici e privati;
  8.  attribuzione alle Autorità competenti del potere di indagine sui casi di inadempienza.

* Questo insieme di regole e di misure rappresenta una riforma di assai ampia portata per l’UE. Esso crea per la prima volta- desidero ancora sottolinearlo- un sistema integrato, governato da Autorità nazionali ed europee, sulla base di standards di sicurezza   comuni, e di norme opportunamente sanzionate. Per tali motivi, si può a buon titolo parlare di “effetto trasformativo”.

Appare evidente il considerevole salto di qualità che si verrà a determinare “nell’ambiente” europeo della sicurezza informatica: non soltanto nei sei comparti strategici individuati dalla Direttiva NIS: tra questi l’intero settore della salute, anche per lo stretto collegamento tra questa Direttiva europea e il Regolamento Generale sulla Protezione dei dati, immediatamente e obbligatoriamente applicabile all’interno dei 28 Stati membri dell’Unione.

* L'”effetto trasformativo” sull’ “environment” della sicurezza informatica in Europa sarà non solo geograficamente esteso, di portata globale, dato che GDPR e NIS impegnano anche  entità esterne all’Unione che siano  coinvolte nel trasferimento dei Dati Protetti. L'”effetto trasformativo” agirà in profondità. Appare evidente che il significativo progresso di cui stiamo parlando influirà positivamente anche sul rafforzamento della comune sicurezza militare e della Difesa: sia questa destinata a rimanere ancorata essenzialmente all’Alleanza Atlantica, o sia destinata a evolvere rapidamente in una vera e propria Difesa Europea. L’insieme delle misure di Protezione dei Dati nelle comunicazioni, nella logistica, nella tutela delle risorse essenziali rafforza la “resilience” dei paesi interessati. Sarebbe impensabile attuare il Regolamento GDPR e la Direttiva NIS senza un deciso salto di qualità  anche nello scambio di informazioni e di dati utili all’intelligence. Il terreno applicativo è tipicamente “dual use”. Su di esso vi è ampio spazio per sviluppare strategie di Difesa anche di natura militare, di deterrenza, e di risposta.

Il processo di integrazione Europea deve quindi concentrarsi sulla dimensione Cyber per recuperare il tempo perduto dai paesi europei, dall’Italia più di altri. Senza volersi rapportare alle esperienze maturate dalle principali potenze mondiali, guardiamo ad esempio a quanto avvenuto in Israele, un Paese eminentemente agricolo nei primi vent’anni dalla sua indipendenza e successivamente, per deliberate scelte di una politica economica fortemente focalizzata su scienza e innovazione, è diventato leader riconosciuto nelle tecnologie più avanzate,  cruciali tanto per la crescita economica che per la Difesa del Paese.

Ricordo che la decisione di dare alla dimensione Cyber la massima priorità nella Difesa e sicurezza del Paese fu presa da Benjamin Netanyahu nel 1999, incaricando i maggiori specialisti del Paese di creare le necessarie infrastrutture, di intraprendere massicci programmi formativi, e di collegare organicamente tutta la ricerca e sviluppo Cyber con gli apparati di intelligence e militari, le Università, le imprese. A quasi vent’anni da tale svolta, Israele costituisce oggi una realtà avanzatissima alla quale è utile guardare soprattutto per la sua capacità di innovazione assicurata da una strettissima interrelazione tra il settore pubblico (Università, Enti di Ricerca, Difesa) e settore privato con oltre 400 start up che operano nel campo della cybersecurity.

  •  II bis) Cyber Security e Sanità.

1) Scenario corrente

2) Impatto economico

3) Perché il settore sanitario è a rischio?

4) Tra i sette principali incidenti del 2015, tre hanno riguardato il settore sanitario

5) Protezione delle infrastrutture critiche

6) Direttiva NIS.

©2022 Giulio Terzi

Log in with your credentials

pergot your details?