Normative troppo complicate e di difficile applicazione, mancanza di trasparenza e visione troppo legata ai confini nazionali sono alcuni dei problemi che ostacolano la sicurezza informatica nei Paesi dell'Unione Europea.
Nel secondo community talk dell'anno firmato Kaspersky è andata in scena la
Cyber Diplomacy. Diplomazia e sicurezza informatica sono da sempre un binomio male assortito. Da una parte c'è la burocrazia, che è lenta a muoversi e che cambia, anche profondamente, da un Paese all'altro. Dall'altra c'è il cyber crime, che non conosce confini, che
è versatile e veloce nell'attuare i cambiamenti necessari per essere sempre micidiale.
Due mondi che apparentemente non hanno nulla in comune. Ma che sono
obbligati a trovare un punto d'incontro, se si vuole ostacolare la criminalità online e difendere in maniera efficace imprese e istituzioni. L'esigenza di una cyber diplomacy condivisa è emersa prepotentemente nell'ultimo anno. La pandemia ha messo in luce le vulnerabilità informatiche a ogni livello. E ha dimostrato l'
inefficacia delle misure difensive di organizzazioni pubbliche e private.
Mettere tutti d'accordo è la vera sfida
Nonostante l'esigenza di rafforzare le difese sia un argomento condiviso, trovare un'intesa allargata fra i 27 dell'UE è tutt'altro che semplice. Per comprenderlo basta un esempio espresso dall'Ambasciatrice Nadine Olivieri Lozano, Head of Division of Security Policy, Federal Department of Foreign Affairs della Svizzera. Quando si sono trovati a discutere sul come mettere in sicurezza le infrastrutture critiche,
i Paesi divergevano sulla definizione stessa di infrastrutture critiche. E una definizione comune non c'è ancora.
Ambasciatrice Nadine Olivieri Lozano, Head of Division of Security Policy, Federal Department of Foreign Affairs della SvizzeraQualcuno potrebbe proporre di affacciarsi semplicemente alla finestra per scoprire che
la sanità in questo momento è un'infrastruttura critica. Così come le scuole, i trasporti, eccetera. Ma non è così semplice. Ogni Paese europeo ha
una sua visione delle infrastrutture critiche e di come devono essere tutelate.
Semplificare la normativa è il primo passo
A questo si aggiunge un altro problema annoso, portato all'attenzione da Neil Walsh, Chief of Cybercrime, Anti-Money Laundering and Counter Financing of Terrorism Department, UN Office od Drugs and Crime (UNODC).
Le norme che regolano la cyber security sono spesso difficili da comprendere, e i requisiti che impongono sono difficili da implementare. Tanto che molti passano oltre senza avere capito che cosa avrebbero dovuto o potuto fare per migliorare la security posture.
È per questo, secondo Walsh, che spesso
non facciamo quello che potremmo. A questo ostacolo per dire il vero la soluzione sarebbe piuttosto semplice:
semplificare. Fare sì che le regole da seguire siano poche e chiare, così che tutti possano comprenderle e applicarle. Il condizionale tuttavia è d'obbligo, perché per ottenere un risultato che sulla carta sembra semplice occorrerebbe un
cross government per la cyber security che tenga le fila del cyber spionaggio e delle cyber minacce.
È su questo punto che spesso si finisce per sventolare bandiera bianca. Qui non basta la buona volontà, e spesso non è sufficiente nemmeno la competenza. Un tempo le capacità offensive erano in mano a pochissimi Stati. Ora sono su larga scala e in possesso di molti Stati. Capire chi ha scatenato un attacco e con quale obiettivo è spesso impossibile.
Confini geografici, un problema solo politico
Impossibile perché tendiamo a dimenticarci che
il cyber crime se ne infischia dei confini geografici. I Paesi invece ne tengono in gran conto, con il risultato che l'expertise non è condivisa e non ci sono ovunque le competenze necessarie per gestire gli attacchi. Si torna quindi al punto di partenza, ossia alla necessità di costruire un organo cross government che possa comprendere, prevenire e analizzare le minacce informatiche che possono riguardare ogni stato dell'Unione Europea, tracciando i necessari collegamenti fra i singoli Stati per coordinare le risposte.
Come sottolinea Olivieri Lozano, "
non ci possono essere best practice, ci sono buone pratiche. Una buona pratica per tutti gli Stati sarebbe la creazione di un flusso di informazioni condiviso sugli ICT threats e la creazione di un collegamento fra Governi e addetti della sicurezza".
E dato che nel cyber crime i confini non esistono, "
è necessario individuare i servizi condivisi e tracciare le supply chain fra più Paesi. Con difficoltà stiamo implementando alcune norme e stiamo iniziando a definire le infrastrutture critiche e le procedure da seguire. Servono delle linee guida che indichino a tutti gli Stati che cosa fare e a chi rivolgersi in caso di attacchi, oltre a un supporto per implementare le norme comuni".
Le aziende di cyber security possono contribuire? La risposta è affermativa, come sostiene Ivan Kwiatowsky, Senior Security Researcher ad Analysis Team (GReAT) di Kaspersky: i ricercatori di cyber security devono essere compliant con le normative in ogni fase del loro lavoro. Lavoro che dev'essere condotto all'insegna
della trasparenza e della collaborazione.
Quello che Kwiatowsky rileva al momento è un
pericoloso gap fra policy e realtà. Occorre specificità nel linguaggio, semplificazione delle normative in modo che possano essere comprese e implementate. In questo momento il problema è proprio l'implementazione. Aziende e istituzioni stanno adottando una serie di soluzioni adeguate. È un buon passo nella giusta direzione, ma serve di più. Le linee guida sono lasche, soprattutto
non sono chiare le conseguenze degli attacchi, che pertanto vengono sottovalutati.
Il fatto che ci sia una collaborazione è testimoniato da enti
come Europol, che funziona. Manca però l'intesa fra Stati, come denuncia Nadine Olivieri Lozano: "
Sulle linee guida sono tutti d'accordo, quando si va nel dettaglio le visioni divergono. La collaborazione c'è, ma spesso è una questione politica trovare la via di mediazione". E nel frattempo si naviga a vista, senza strategie di cyber security aggiornate, con palesi ritardi nella messa in sicurezza delle infrastrutture, mancanza di risorse, di capacità, e in ultimo di implementazione.