Approvata la Direttiva UE sulla Cyber Security: un passo avanti, ma la strada da fare e’ ancora lunga

Scritto da:     Tags:  , , , , ,     Data di inserimento:  17 marzo, 2014  |  Nessun commento
17 marzo, 2014
cyber-security

Visite: 3051

Nonostante il compromesso che lascia fuori i big provider di servizi sulla rete, la direttiva UE sulla Cyber Security è un segnale che il cammino per il sistema di sicurezza europeo procede. Adesso tocca agli Stati Membri fare in fretta e bene le direttive nazionali, e impegnarsi in un grande cambiamento culturale.

Luci e ombre della Direttiva sulla Cyber Security approvata

Il 13 marzo il Parlamento Europeo ha approvato l’adozione della Direttiva sulla NIS (Network and Information Security), un passo importante per la costruzione di un sistema di sicurezza europeo, ma d’altra parte anche il frutto di un compromesso che lascia irrisolti alcuni temi significativi.

Nella stesura iniziale proposta dalla Commissione Europea la Direttiva sulla Ciber Security estendeva l’obbligo di riportare incidenti di alto impatto (oggi riservato solo agli Internet provider) ad attori che al momento ne sono esclusi, come le aziende dei seguenti settori

  • Internet (grandi provider di servizi cloud, social network, piattaforme e-commerce, motori di ricerca).
  • Banche e Finanza;
  • Energia (elettricità e gas), poiché la generazione, la distribuzione e la trasmissione di energia dipendono in modo significativo dalla sicurezza delle reti e dei sistemi;
  • Trasporti (operatori di trasporti e logistica);
  • Salute  (i dispositivi medici elettronici sono connessi in rete, per cui è necessario che sia assicurata la sicurezza delle trasmissioni di dati);
  • Pubbliche amministrazioni, guardando ai servizi sempre più indispensabili di eGovernment ed eParticipation.

Il tutto sulla base del principio, affermato anche dal Commissario Neelie Kroes, che la forza di un sistema di sicurezza si valuta rispetto al suo anello più debole. In un mondo sempre più globale, pertanto, la conoscenza delle debolezze e degli attacchi ricevuti è fondamentale per ridurre danni di propagazione, ma anche per intervenire prontamente e identificare misure adeguate ad elevare il livello di sicurezza complessivo. Il tema della Direttiva era stato posto per questa ragione dalla Commissione Europea come dirimente per affrontare con successo il problema della sicurezza europea delle reti, e assicurare davvero reti e sistemi resilienti e sicuri.

Parlando della Direttiva sul NIS e Cyber Security Neelie Kroes aveva affermato: “Una Direttiva debole manderà giù l’Europa”.  Una Direttiva “soft”, infatti, avrebbe potuto vanificare quanto fin qui costruito dal punto di vista economico, sociale, del futuro del digitale. La forma attuale della Direttiva è vincolante sui punti presi in esame e del tutto elusiva su quelli non vincolanti.

La Direttiva sulla Cyber Security approvata, infatti, limita l’estensione dell’obbligo di denuncia ai soli provider di infrastrutture critiche, lasciando fuori anche stavolta i provider di servizi globali come Google, Amazon, Ebay, Skype.

Su questo fronte la possibilità di una loro collaborazione è quindi da affrontare sul livello di coinvolgimento volontario e sulla base di un cambiamento culturale che permetta di dare valore (anche di immagine, oltre che di fiducia) alla trasparenza degli operatori che denunciano prontamente gli incidenti e gli attacchi e di penalizzare gli atteggiamenti di chiusura.

Approvata la Direttiva sulla Cyber Security, adesso il compito della Commissione si sposta sul monitorare i Paesi Membri, che hanno la responsabilità di riportare entro il 2014 gli obblighi della Direttiva Europea in norme e direttive nazionali. E qui la strada non è in discesa, sia per la riottosità dimostrata da diversi Paesi nel seguire con convinzione la strategia europea sulla sicurezza (che ha alla base il riconoscimento del valore prioritario di un sistema europeo e quindi omogeneo e trasparente al suo interno) sia per il loro stato di preparazione (tecnologico, culturale) ancora molto differenziato.

Non a caso nel dibattito sulla Direttiva svoltosi al Parlamento Europeo, la Kroes auspicava “lavoriamo insieme per mostrare che governi e legislatori sono parte della soluzione per la sicurezza e la fiducia online, non parte del problema.”

Perche’ la sicurezza delle reti è un problema che ci tocca da vicino

Il tema della cyber security non è un’area per pochi iniziati, ma anzi uno dei punti dell’Agenda Digitale Europea che tocca più da vicino il cittadino e su cui il cittadino è chiamato ad intervenire. Prima di tutto imparando.

È anche per questo che alcune delle azioni dell’Agenda Digitale Europea su questo tema strategico sono rivolte proprio alla formazione, non solo degli adulti ma anche (e in qualche caso soprattutto) dei bambini.

Per Neelie Kroese, il tema della sicurezza non si pone solo in termini macropolitici, ma riguarda tutti noi: “è nella fiducia delle persone che i loro dati personali sui social network sono protetti. Nella comprensione delle piccole imprese sui servizi che il provider del cloud sta offrendo. Per i cittadini, nell’avere l’opzione di utilizzare una identità digitale sicura, se non vogliono essere riconosciuti. Nei bambini protetti e resi consapevoli per evitare rischi online. Senza sicurezza, non c’è privacy; nemmeno vera libertà. Non hai una vita privata se la tua casa non ha mura; non sei libero di camminare lungo le strade se questo non è sicuro.”

La strategia della sicurezza territoriale è scontata e consolidata nei nostri Paesi, e così anche la collaborazione tra i Paesi Europei, e nella cultura è radicato il principio che ciascuno ha una responsabilità sulla sicurezza globale del territorio. Non si può dire la stessa cosa per la strategia e la cultura diffusa sulla  cybersecurity.

Tra l’altro, dal sito dell’Agenda Digitale Europea apprendiamo che solo il 12% degli utenti Internet  si sente del tutto sicuro quando effettua delle transazioni online e che la mancanza di sicurezza è uno dei principali ostacoli alla diffusione dell’e-­commerce.

I danni di incidenti legati alla (mancanza di) sicurezza possono essere molto ingenti e, quelli resi noti, hanno suscitato scalpore avvalorando in molti (soprattutto politici, mass media, cittadini non digitali) l’idea che in rete i reati fossero molto più facili e quindi la rete fosse intrinsecamente un luogo non affidabile, da evitare quando possibile.

Non ultimo, il caso degli attacchi subiti in questi giorni dai siti web della NATO.

Senza un intervento di sistema, i danni rischiano di diventare sempre più elevati. Nel 2012 uno studio PwC survey sul sistema europeo rilevò che il 93% delle grandi imprese e il 76% delle piccole aveva riportato un problema di sicurezza nell’anno precedente, con perdite stimate (per le PMI) tra 15,000 e 30,000 sterline.

Attacchi alla sicurezza informatica, con conseguente danno di immagine, perdita di clienti e di mercato, oltre che in alcuni casi di immediate perdite finanziarie, hanno interessato la gran parte delle aziende, incluse quelle a più alto tasso tecnologico come Amazon.

Il timore di un forte danno di immagine nel 2011 spinse la DigiNotar (una società di certificazioni digitali) a non rivelare che un attacco era andato a buon fine e che molti certificati digitali fasulli sarebbero circolati in rete. Con danno per molti utenti e per l’intera rete.

L’obiettivo principale è pertanto legato all’adeguatezza del sistema di sicurezza al contesto e alla sua capacità di favorire un senso di fiducia diffuso. Questo significa che quanto più la società diventa consapevole sul digitale (e quindi in grado di esercitare le difese elementari) quanto più efficace può essere il sistema di sicurezza sulla rete. E quanto meno invasivo deve essere.

Lascia un commento


Ti potrebbe interessare anche: