Per tradizione, in cima alla classifica dei Paesi più bersagliati dagli attacchi cyber figurano gli Stati Uniti, che peraltro svettano anche nel ranking delle nazioni con la difesa informatica più agguerrita e aggiornata. Molto probabilmente, però, se si sommassero i casi delle minacce e degli incidenti subiti dai singoli Paesi UE, soprattutto da Germania, Francia, Regno Unito, Polonia, Italia, Spagna, Svezia, Finlandia, il cyberspazio della vecchia Europa risulterebbe di gran lunga il più bombardato a livello globale.
Difficile dire, però, quanto a tale bombardamento continuo e in costante accelerazione (i dati UE più aggiornati parlano di oltre 4.000 attacchi ransomware al giorno, di un loro trend di crescita del +38% solo nell’ultimo anno, di un 80% di aziende europee colpite da incidenti informatici) corrisponda anche una struttura di difesa a livello comunitario effettivamente all’avanguardia e adeguatamente coordinata tra tutti i Paesi membri dell’Unione Europea.
Minaccia Ue numero 1: il furto di credenziali
Secondo i dati elaborati da FireEye, società di consulenza statunitense specializzata in cybersecurity, la minaccia informatica più diffusa nei Paesi UE è quella dei malware per il furto di credenziali. Nel 2018 rappresenta quasi il 50% dei pericoli rilevati in Europa: per quanto il credential theft sia un problema globale, le organizzazioni più attaccate sembrano quelle nell’UE.
Finora, i malware per il furto di credenziali prendevano di mira principalmente i clienti nel settore dei servizi finanziari. Dai dati emersi nel 2018, però, si può cominciare a ipotizzare un cambio di scenario e i bersagli degli attacchi informatici, infatti, potrebbero diventare sempre di più le credenziali dei sistemi UE-centrici: dai governi ai servizi sanitari nazionali, così come quelli di gestione degli stipendi.
Negli ultimi anni, del resto, i malware più conosciuti sono andati diffondendosi anche al di fuori dell’ambito dei servizi finanziari. Non a caso, perciò, nel 2018 il cybercrime ha messo in vendita grandi volumi di credential theft, che garantirebbero accesso diretto alle infrastrutture aziendali.
Se in più si tiene conto che per molte aziende ed enti pubblici in diversi Paesi europei (Italia compresa) la gestione degli accessi e delle identità è tuttora problematica e piuttosto esposta agli attacchi, i rischi di contagio e di diffusione dell’epidemia di malware si fanno ancora più concreti e seri.
In cantiere il Programma Digital Europe
Il futuro del Vecchio Continente, peraltro, sarà inevitabilmente sempre più digitale, e come tale sempre più bisognoso di una solida barriera difensiva dalle incursioni informatiche di ogni genere.
È in fase di preparazione, infatti, un nuovo programma UE di finanziamento, denominato “Digital Europe”, che dovrà essere varato nel 2021 a sostegno della trasformazione digitale delle società e delle economie europee. Verranno erogati finanziamenti a progetti in cinque ambiti: supercalcolo (a vantaggio di settori come l’assistenza sanitaria, la sicurezza dei veicoli e l’energia rinnovabile), intelligenza artificiale, cybersicurezza e cyberdifesa, competenze digitali avanzate e garanzia dell’ampio utilizzo delle tecnologie digitali in tutti gli ambiti economici e sociali.
L’erogazione dei fondi mira a velocizzare ed estendere la trasformazione digitale delle pubbliche amministrazioni e ad accrescere l’interoperabilità dei servizi pubblici in tutta l’UE. Il programma intende rafforzare, infine, anche la rete dei poli dell’innovazione digitale fornendo alle imprese, in particolare alle piccole e medie aziende, e agli enti pubblici una maggiore accessibilità alle competenze tecnologiche.
Verso una legge UE per la cybersecurity
Anche in vista di questo prossimo futuro, l’ultimo trimestre 2018 ha registrato quindi un intensificarsi dell’attività legislativa comunitaria in materia di cybersicurezza, per attuare il pacchetto di riforme della Commissione europea presentato nel settembre 2017 e basato a sua volta sul pilastro della direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi (meglio nota come direttiva NIS-Network and Information Security).
Il 18 ottobre 2018 il Consiglio europeo ha chiesto di mettere mano a ogni misura necessaria per rafforzare la difesa cibernetica. “Chiediamo – è stata la dichiarazione ufficiale di Donald Tusk, Presidente del Consiglio europeo – di elaborare un regime di sanzioni specifico per gli attacchi informatici che contribuisca a proteggere i cittadini, le imprese e le istituzioni da tutti i tipi di minacce relative alla cybersicurezza”.
Tra i provvedimenti richiesti dal Consiglio europeo figurano il potenziamento dell’agenzia UE per la cybersicurezza, rafforzando quindi il mandato e le risorse finanziarie e umane all’Enisa-Agenzia dell’Unione europea per la rete, l’informazione e la sicurezza, e l’introduzione di un sistema di certificazione della cybersicurezza a livello comunitario, nonché la rapida attuazione della direttiva NIS.
E lo scorso 10 dicembre il Parlamento e il Consiglio europei e la Commissione UE si sono accordati proprio su questi punti qualificanti della legge per la cybersicurezza, confermando il rafforzamento del mandato dell’Enisa, la definizione di un quadro normativo comunitario per la certificazione della sicurezza informatica e il complessivo potenziamento dei sistemi di salvaguardia cibernetica dei servizi online e dei device dei cittadini del Vecchio Continente.
Per il potenziamento dell’Enisa, è stato preannunciato un graduale incremento dello staff nel corso dei prossimi cinque anni da 84 a 125 persone e un aumento della dotazione finanziaria da 11 a 23 milioni di euro, con uno stanziamento di 5 milioni già a partire del primo anno.
Nascerà l’European Competence Centre
Ma oltre alle iniziative di sicurezza informatica dell’UE finora concordate, in nome della cooperazione e della collaborazione tra governi statali, istituti di ricerca e aziende, la Commissione ha proposto di creare un European Competence Centre di tecnologia e ricerca per sviluppare e lanciare insieme gli strumenti e le tecnologie necessari per tenere il passo con la costante evoluzione delle minacce.
Accanto a esso, si darà vita anche al Network of National Coordination Centre, una rete per i 660 centri di cyberdefense già attivi su tutto il territorio del Vecchio Continente, e spazio d’azione a una Competence Community: un gruppo ampio, aperto e diversificato di soggetti interessati alla cybersicurezza, dagli istituti di ricerca alle aziende private e agli enti pubblici, sia civili sia militari.
In vista del Network comunitario, ogni Stato UE dovrà scegliere il proprio centro nazionale di riferimento e coordinamento alla testa delle altre analoghe strutture operative all’interno del proprio Paese. Ciascun centro nazionale fungerà da cabina di regia per lo sviluppo di soluzioni e sistemi innovativi di cybersicurezza e delle competenze informatiche più generali. Il Network europeo permetterà poi di identificare e di sostenere i più importanti progetti di cybersicurezza emersi da ogni Stato membro.
All’European Competence Centre spetterà l’incarico di coordinare nel modo più mirato e pertinente i fondi previsti per la cybersicurezza, nell’ambito dei programmi Europa digitale e Horizon Europa, nel prossimo bilancio UE per gli anni 2021-2027 insieme con gli Stati membri, per contribuire così a creare nuove competenze informatiche 100% made in Europe, favorire la cooperazione strategica a lungo termine tra aziende industriali e dei servizi, comunità di ricerca e governi, co-investire per creare e condividere le infrastrutture più costose e a rafforzare la resilienza agli attacchi informatici.
L’European Competence Centre supporterà, inoltre, le altre due strutture, il Network of National Coordination Centre e la Competence Community, nelle loro attività destinate a stimolare e guidare la ricerca e l’innovazione della cybersicurezza. Potrà poi organizzare investimenti comuni da parte dell’Ue, degli Stati membri e dell’industria. Come per esempio nell’ambito del programma Digital Europe, dove l’investimento preannunciato è di 2 miliardi di euro, per rafforzare l’economia digitale, la società e le democrazie dell’Ue, nonché, appunto, l’industria europea della cybersicurezza.