Le opportunità economiche di Internet e del mercato digitale sono sempre più a rischio cyber crime. Per questo motivo alcuni Paesi si sono dotati di una articolata strategia nazionale di contrasto, come dimostra – da ultimo – l’investimento di 200 milioni di euro da parte della Germania.
Se attuata con successo, la Strategia per il mercato unico digitale Ue promette di contribuire ben 415 miliardi di euro all’anno allo sviluppo dell’economia europea, grazie ad un migliore accesso al libero flusso di beni, dati, servizi e capitale tra paesi europei, alla creazione di nuovi posti di lavoro, ad un mercato digitale ancora più esteso ed alla progressiva trasformazione dei servizi pubblici.
Questo è la posta in ballo.
Paesi come la Francia, il Regno Unito, la Polonia e la Danimarca hanno perfino istituito la carica di Ministro dell’Economia Digitale, responsabile per le strategie di sviluppo e promozione del mercato digitale.
La stessa struttura di Internet – per sua natura aperta, flessibile ed in continua evoluzione – che ha permesso ai paesi di prosperare, di migliorare le operazioni governative, e facilitare l’accesso alle informazioni, ha anche esposto la nostra società a nuovi rischi tra cui l’abuso dei dati personali, l’hacktivism, la violazione della sicurezza delle infrastrutture stesse, la distruzione di servizi e proprietà digitali, e le campagne di influenza e spionaggio digitale. Più di 100 nazioni e un numero sempre più grande di attori non-statali ed individui oggi hanno le capacità di distruggere o degradare infrastrutture critiche e servizi essenziali attraverso attacchi cibernetici di alto impatto come la campagna di ransomware, denominata WannaCry, che colpì oltre 150 paesi nel maggio 2017 o il cyber attacco più distruttivo e costoso della storia, denominato NotPetya, che si diffuse rapidamente nel mondo nel giugno 2017, causando miliardi di dollari di danni. Questi attacchi hanno avuto un impatto globale significativo in termini di perdite e danni economici, ma in realtà i virus utilizzati in sé non erano qualcosa di particolarmente elaborato, né tanto meno sconosciuto, e infatti chi aveva un sistema operativo aggiornato non ha dovuto temere nulla da WannaCry. Il numero di attacchi mirati contro settori critici, come energia, telecomunicazioni, trasporti e sistemi finanziari, si è quasi quintuplicato negli ultimi cinque anni, un trend che mette a rischio sia la sicurezza nazionale sia il benessere economico e crescita di tutti i paesi sviluppati del mondo.
Proteggere Internet, pertanto, è un imperativo sia economico che di sicurezza nazionale. I paesi europei riconoscono che la loro infrastruttura digitale, i servizi e la diffusione di informazioni – e potenzialmente di disinformazione – sono vulnerabili alle interferenze e alla manipolazione, ma le loro strategie per proteggere il futuro della loro innovazione economica, modernizzazione e sviluppo non sempre sono allineate alle loro priorità in materia di sicurezza nazionale. Deve, invece, diventare prioritario bilanciare il bisogno di sicurezza nazionale con la necessità di avanzamento economico ed investire ugualmente nella sicurezza e nella resilienza di questa infrastruttura di base – Internet – e del suo valore e potenziale intrinseco.
Lo scenario cyber security europeo
Nessun paese è del tutto ‘cyber-ready’ per il livello di minacce contro il proprio benessere economico e la propria sicurezza nazionale. Purtroppo, oggigiorno, poche nazioni hanno allineato i propri obiettivi economici (attraverso la loro agenda digitale) con le loro strategie di sicurezza nazionale. Questo, infatti, richiede un serio impegno da parte dei governi nazionali per mappare e richiamare l’attenzione sulle interdipendenze digitali più critiche di ciascun paese (e.g., compagnie, beni, infrastrutture e servizi), riconoscere gli effetti negativi sull’economica nazionale causati dalla cyber-insecurity, e sviluppare strategie di cybersecurity che allineino i bisogni di sicurezza nazionale con quelli di crescita economica, che promuovano una sicurezza maggiormente proattiva sin dalla progettazione di tutte le politiche digitali e che aumentino la capacità di prevenire, dissuadere e individuare gli attacchi informatici e di rispondere ad essi in maniera coordinata con le varie istituzioni coinvolte nell’architettura nazionale cyber. Considerati i costi del fallimento, è essenziale che i Paesi cerchino di trasformarsi in società digitali resilienti, che abbiano sicurezza, privacy e resilienza come nucleo fondante.
L’adozione di una strategia nazionale di sicurezza cibernetica è uno dei passi più importanti per comprendere le interdipendenze e vulnerabilità delle infrastrutture digitali di ciascun paese e rafforzare quelle strutture e servizi da cui dipendono il futuro digitale ed il benessere economico di una nazione moderna. La EU Cybersecurity Strategy del 2013, seguita poi dalla direttiva UE 2016 sulla sicurezza delle reti e dell’informazione (Direttiva NIS) e dal più recente pacchetto UE per la cybersecurity del 2017, impone a ciascuno Stato membro dell’UE di adottare una strategia nazionale di sicurezza cibernetica. Tutti i paesi europei hanno pubblicato strategie nazionali di sicurezza cibernetica a partire dal 2011 in poi, ma queste strategie differiscono – e non poco – nell’identificazione di chi debba essere l’autorità competente nazionale incaricata dell’esecuzione di tali strategie, nell’attribuzione dei ruoli e delle responsabilità alle diverse entità coinvolte nella sicurezza cibernetica nazionale, negli obiettivi specifici stabiliti nei piani di attuazione, nelle misure specifiche di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, ed infine nelle risorse umane e finanziare stanziate per raggiungere tali obiettivi.
Gli esempi per l’Italia nei diversi Paesi
La governance della cyber security
L’Italia non ha bisogno di guardare lontano per trovare degli esempi d’eccellenza e best practice e per poter imparare da altri paesi che hanno sviluppato meccanismi efficaci di governance, coordinamento, risposta agli incidenti cibernetici e formazione per raggiungere un’adeguata preparazione in materia di cybersecurity.
Per esempio, il Regno Unito e i Paesi Bassi hanno creato dei Centri Nazionali per la Sicurezza Cibernetica (National Cyber Security Centre o NCSC) largamente sovvenzionati per aiutare le organizzazioni pubbliche e private a difendersi meglio e a rispondere alle minacce cibernetiche, per incoraggiare lo scambio di informazioni, e promuover una collaborazione più stretta in tutto il paese.
La Francia e la Germania hanno identificato nelle loro rispettive Agence Nationale la Sécurité des Systèmes d’Information (ANSSI) e nel Bundesamt für Sicherheit in der Informationstechnik (BSI, Ufficio Federale per la Sicurezza Informatica) le loro autorità competenti nazionali (centralizzate) incaricate non solo di mantenere la sicurezza e la difesa dei sistemi informatici nel settore pubblico e privato ed eseguire la strategia nazionale di cybersecurity, ma anche di individuare, contenere e rispondere ad attacchi cibernetici, fornire linee guida per la rafforzare la sicurezza di imprese ed enti statali, attuare norme europee in materia cyber come la Direttiva NIS, vigilare sul rispetto della stessa e coordinare le attività in materia di cybersecurity tra i vari Ministeri, il settore pubblico e privato. In particolare, le competenze dell’ANSSI, che è sottoposta al Segretariato Generale della Difesa e della Sicurezza Nazionale dipendente direttamente dal Primo Ministro francese, comprendono tutta la sfera dell’infrastruttura civile e quella statale francese ad eccezione delle Forze Armate. (Al contrario, in Italia, tutte queste responsabilità sono divise tra il Nucleo per la Sicurezza Cibernetica e ben 5 Ministeri – sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente – ciascuno responsabile per uno o più settori rientrati nelle proprie aree di competenza).
Gli obiettivi strategici e le macro misure
Prima ancora di adottare, o come nel caso dell’Italia magari aggiornare, la propria strategia nazionale di sicurezza cibernetica, bisognerebbe però delineare chiaramente gli obiettivi strategici che un paese si vuol porre nel medio termine (3-5 anni) e capire come poterli raggiungere anche nel lungo termine.
I Paesi Bassi, per esempio, hanno stimato che entro il 2020 il 25% del loro prodotto nazionale lordo (PIL) sarà composto dall’economia digitale (sia prodotti che servizi digitali) e che il loro futuro benessere economico dipenderà sempre di più da una economia digitale funzionante, sicura e affidabile. Inoltre, il loro nuovo governo di coalizione conta sul fatto che i Paesi Bassi possano fungere da tramite tra l’Europa e il Regno Unito dopo la decisione di quest’ultimo di lasciare l’EU (Brexit) e possano presentarsi come un luogo politicamente più stabile per condurre business rispetto ad altri paesi europei alle prese con l’avanzata di movimenti populisti e instabilità politiche. Pertanto, il governo olandese si è posto come obiettivo fondamentale di proteggere e rafforzare il settore ICT e sta investendo ulteriormente nella sicurezza cibernetica del paese stanziando €300 milioni in quattro anni per la cybersecurity e attuando riforme strutturali per facilitare il raggiungimento dei suoi obiettivi.
Nel 2015, il Regno Unito si è posto l’ambizioso obiettivo di diventare “il luogo più sicuro al mondo per condurre business online” ed essere un leader mondiale nel settore della cybersecurity. Per raggiungere questi obiettivi, l’UK ha lanciato una nuova Strategia Nazionale sulla sicurezza informatica nel 2016, stanziato 1.9 miliardi di sterline in cinque anni per la cybersecurity, e inaugurato il nuovo National Cyber Security Centre come autorità nazionale per la cybersecurity, responsabile per la risposta ad attacchi cibernetici con impatto nazionale, lo scambio di informazioni tra gli attori coinvolti, la riduzione dei rischi generali per la sicurezza informatica del sistema paese (specialmente nelle infrastrutture critiche), l’assistenza ad enti e organismi che ne hanno bisogno, la diffusione di informazioni pertinenti e la gestione del Cyber Security Information Sharing Partnership (CiSP) – uno strumento che permette lo scambio di informazioni tra organizzazioni e che fornisce un supporto ad hoc ogni volta che se ne ravvisi la necessità. Inoltre, l’UK ha messo in campo il programma Cyber Essentials – un set di criteri e standard che garantiscono una sicurezza informatica di base e costo/efficace a favore di organizzazioni di tutte le dimensioni e in tutti i settori per aiutarle a proteggersi dai più comuni rischi cyber e aumentare le loro capacità di resistenza verso gli attacchi cibernetici. Questo schema innovativo permette alle organizzazioni, ai loro clienti e ai loro partner, di acquisire maggiore fiducia nell’esprimere delle capacità, misurabili in maniera oggettiva da terze parti, e dimostrare a clienti, investitori, assicuratori e a chiunque altro, di aver adottato queste precauzioni ritenute, appunto, essenziali. Altre iniziative in UK includono un sistema di voucher per piccole e medie imprese (PMI) con fondi fino a 5 mila sterline per servizi di consulenza sulla sicurezza informatica e formazione online, volto a rafforzare la sicurezza e resilienza delle PMI.
La definizione, l’aggiornamento e la promozione di controlli essenziali di cybersecurity e modelli di certificazioni analoghi, specialmente per PMI (in Italia le PMI rappresentano oltre il 90% dell’industria nazionale), rappresentano uno strumento attraverso cui definire un livello minimo di protezione da attacchi cibernetici e favorirne il raggiungimento da parte delle aziende, riducendo così la superficie di attacco e fornendo una base al consolidamento del tessuto produttivo nazionale nei confronti del rischio cyber. Simili pacchetti di riforme e altri incentivi governativi come crediti fiscali, finanziamenti per la formazione, fondi per l’innovazione, ecc. possono contribuire a diminuire l’esposizione delle imprese al rischio di attacchi cyber, garantire ad un paese la formazione di un bacino di competenze informatiche e una diffusione della cultura della cybersecurity nella realtà imprenditoriale nazionale necessaria per proteggere sia il settore pubblico sia quello privato da un numero sempre crescente di minacce informatiche e aiutare l’economia digitale del Paese a prosperare.
Nel 2018, il governo britannico ha anche lanciato una Cyber Security Export Strategy (CSES) per promuovere le competenze di eccellenza nel settore della cybersecurity in UK e rafforzare le capacità di difesa nel paese e nelle nazioni alleate. La CSES stabilisce 3 impegni del Dipartimento per il commercio internazionale (DIT) verso le società di informatica britanniche: 1) “Pursue” – nei mercati prioritari il DIT fungerà da consulente di fiducia per supportare le società britanniche che offrono servizi e prodotti specifici, vendendo principalmente a governi esteri e infrastrutture nazionali critiche; 2) “Enable” – DIT curerà offerte personalizzate per i principali acquirenti in questi settori in tutto il mondo, eseguendo missioni commerciali e organizzando le società per colmare lacune di capacità individuate; 3) “Respond” – DIT svilupperà e implementerà in tutto il mondo una campagna di branding e marketing del meglio che la cybersecurity UK ha da offrire.
Individuare gli asset critici
Un altro aspetto fondamentale per raggiungere un’adeguata preparazione in materia di cybersecurity è riconoscere quali siano le organizzazioni, i beni (assets), le infrastrutture e servizi critici (high-value assets) che richiedono un più alto livello di protezione e definire dei piani di valutazione e gestione dei rischi informatici più importanti per un paese (cyber risk assessment/cyber risk management). Nazioni come la Germania e gli Stati Uniti, per esempio, hanno già identificato le compagnie più importanti che contribuiscono almeno al 2% del PIL nazionale e che meritano particolare attenzione, protezione e scambio di informazioni critiche per prevenire, mitigare e rispondere in maniera adeguata ad attacchi cibernetici che potrebbero avere effetti devastanti sull’economia di questi paesi.
Identificare gli operatori di servizi essenziali nei settori critici di un paese è uno dei requisiti della Direttiva NIS, e si pone l’obiettivo di delineare una chiara linea di responsabilità e “forzare” le aziende che fanno parte dei settori riconosciuti quali critici ad adottare misure per ridurre vulnerabilità e aumentare la resilienza delle loro infrastrutture e servizi. È necessario però ricordare che l’aver individuato specifici settori critici, come quello sanitario, che devono implementare un certo livello standard di sicurezza secondo la Direttiva NIS o altre norme nazionali, non significa automaticamente che gli operatori di tali servizi essenziali siano poi disposti ad investire le proprie risorse per aggiornare i loro sistemi operativi e proteggere i dati sensibili dei cittadini da minacce informatiche. Questo è stato dimostrato chiaramente dall’attacco di WannaCry che ha avuto un impatto globale significativo, soprattutto in realtà aziendali dotate di sistemi obsoleti e/o con processi non efficienti (o addirittura assenti) di aggiornamento dei sistemi operativi, come nel settore ospedaliero. Nel Regno Unito, furono proprio i sistemi ospedalieri – da lungo tempo considerati parte del settore critico sanitario – ad essere colpiti maggiormente da WannaCry (un virus non particolarmente sofisticato), tanto da costringere il governo britannico a riesaminare il suo tanto acclamato programma Cyber Essentials – lo schema di standard essenziali per rafforzare la sicurezza cibernetica delle organizzazioni – e chiedersi se fosse necessario un ulteriore intervento governativo per gestire adeguatamente i rischi cyber control il paese e i suoi cittadini. (In Italia, paradossalmente, la mancanza di connessione tra gli ospedali ci ha probabilmente risparmiato dal contagio di WannaCry).
Ricerca e formazione
Infine, il rafforzamento della sicurezza e della resilienza di un sistema paese passa necessariamente da una più ampia diffusione della cultura della cybersecurity, un serio investimento in materia di ricerca e sviluppo (R&S) nel settore ICT, e la formazione di un bacino di competenze informatiche (ma anche di ingegneria gestionale, scienze politiche, giuridiche, sociali e di altre discipline che oggigiorno sono toccate dalla cybersecurity) che serviranno sempre di più per una vera e propria società moderna sicura e resiliente. La Francia, per esempio, ha promesso di investire oltre 150 milioni di euro in supporto di attività di R&S in sei aree di sviluppo tecnologico strategiche (Internet of Things, supercomputing, cloud computing, big data analytics, Artificial Intelligence, e cyber security) e ha già stanziato un fondo di più di 200 milioni di euro per il suo programma “La French Tech” – un’iniziativa a lungo raggio per sostenere la crescita a livello internazionale delle startup francesi ad alto potenziale, accelerare il loro sviluppo così che possano diventare rapidamente dei grandi leader mondiali nel loro settore, federare tutti gli attori (startup, investitori, incubatori, ecc.) presenti sul territorio francese e all’estero e dare visibilità a livello internazionale alla French Tech. L’iniziativa sponsorizza anche delle comunità di imprenditori francesi all’estero sotto forma di “French Tech Hub” in grandi metropoli internazionali, tra cui Milano, Londra, Berlino, Barcellona, New York, Mosca, Shanghai e Tokyo.
In Germania, i Ministeri della Difesa e dell’Interno hanno recentemente annunciato la creazione di una nuova agenzia per la sicurezza cibernetica e lo sviluppo di tecnologie innovative per la difesa, con fondi di 200 milioni di euro per i prossimi cinque anni – di cui circa l’80% saranno dedicati alla ricerca. La nuova “Agenzia per l’innovazione della sicurezza informatica”, che avrà in forza cento operatori e sarà operativa entro la fine di quest’anno, prende spunto dalla DARPA americana (Defense Advanced Research Projects Agency), l’agenzia governativa del Dipartimento della Difesa USA incaricata dello sviluppo di nuove tecnologie per uso militare, e che quasi 50 anni fa inventò la celeberrima ARPANET, antesignana della rete internet. (Per confronto, si pensi però che solo nel 2019 gli Stati Uniti spenderanno 2,95 miliardi di euro per DARPA, con più della metà di questi fondi dedicati alla realizzazione di una nuova “generazione” di AI). Alcuni degli obiettivi principali della nuova agenzia tedesca saranno quelli di identificare e investire su tecnologie “cutting-edge”, che spesso hanno un alto rischio di fallimento ma grande potenziale, sia per la difensa che per un uso offensivo, e di accelerarne l’acquisizione per usi sia civili che militari.
Il Regno Unito ha puntato moltissimo sulla ricerca e formazione sia nelle sue università che nelle aziende. Il NCSC, oltre alle responsabilità elencate sopra, supporta e finanzia una serie di iniziative a livello nazionali, tra cui:
- Certificazione di corsi di studio in cybersecurity. Il governo offre un meccanismo di certificazione per corsi di studio in cybersecurity, con l’obiettivo di garantirne qualità̀ e fruibilità̀. Questo crea un ciclo virtuoso dal momento che tale certificazione attira i migliori studenti da tutto il mondo, garantendo all’industria il reclutamento continuativo di personale qualificato e la formazione professionale di abilità correlate alla cybersecurity per il personale preesistente.
- Finanziamento di borse di dottorato in cybersecurity. Il governo sovvenziona annualmente un programma di dottorato per studenti dei centri di eccellenza e assiste annualmente gli studenti offrendo loro tirocini estivi presso NCSC o GCHQ su argomenti d’avanguardia in cybersecurity. La cooperazione tra governo e centri di eccellenza favorisce lo sviluppo di un’agenda di cybersecurity comune tra governo, industria e accademia.
- Finanziamento di centri di alta formazione in cybersecurity. Il governo finanzia scuole di dottorato in Cybersecurity che forniscono una spina dorsale per l’intero paese capace di assicurare la formazione di nuovi esperti in cybersecurity per l’industria e l’accademia. I centri offrono programmi multidisciplinari di formazione e ricerca che permettono la formazione di esperti capaci di rispondere ai bisogni di cybersecurity in ambiti noti o emergenti del cyberspace. La diversità̀ di competenze e abilità favorisce la creazione di tecniche innovative di difesa da attacchi cyber e il loro continuo adattamento nel tempo.
Consigli per l’Italia
Per sviluppare la cyber readiness italiana, il Governo dovrebbe:
- promuovere un approccio più bilanciato che allinei la visione economica nazionale del Paese con le priorità di sicurezza nazionale, eviti la duplicazione delle iniziative e indentifichi un meccanismo di coordinamento centralizzato per assicurare che siano raggiunte queste priorità.
- Dovrebbe anche aumentare l’awareness pubblica sulle minacce rivolte alle infrastrutture e servizi critici italiani e potenziare il ruolo che ognuno svolge nel contrastare le minacce cyber. Rafforzare le partnership pubblico private e la risposta della legge per proteggere meglio cittadini, imprese e PA. Accelerare la cooperazione civile-militare. Finanziare adeguatamente i programmi.
- Una svolta nella cultura pubblica sarà pure necessaria. Passare dal conoscere rischi e opportunità connessi all’innovazione ICT e a internet al gestire quei rischi e investire nella sicurezza in modo appropriato. Solo così l’Italia può ottenere appieno i benefici dell’economia digitale e raggiungere gli obiettivi ambiziosi posti nelle sue strategie.
Completando tutti questi passi, l’Italia si porrà sul percorso di diventare una nazione cyber-resilient capace di prosperare ed essere sicura nell’era digitale.
L’articolo Le migliori strategie cyber security dei Paesi europei: il confronto proviene da Agenda Digitale.