Direttiva NIS e vertice NATO di Varsavia: la Cyber Security come presidio al Quinto dominio operativo globale.

Lo scorso mese di luglio è stata siglata dal segretario generale dell’Alleanza Atlantica, Jens Stoltenberg, e dai presidenti del Consiglio europeo, Donald Tusk, e della Commissione europea, Jean-Claude Juncker, la ‘Dichiarazione congiunta “UE-Nato” per garantire una più stretta cooperazione su temi sensibili come le guerre ibride, la cyber sicurezza e la sicurezza marittima. In proposito, la NATO ha ufficialmente riconosciuto il cyberspazio come il quinto dominio operativo militare, dopo terra, aria, cielo e spazio. Ciò potrebbe implicare una eventuale risposta, anche militare da parte della Organizzazione del Trattato dell’Atlantico del Nord in caso di un grave attacco informatico contro uno degli stati membri.
Per la prima volta in assoluto nella storia, si stabilisce che un attacco informatico contro l’infrastruttura critica di uno dei membri della coalizione NATO potrebbe innescare un conflitto militare. Dallo stesso Summit è emerso molto altro, come la necessità di investire fondi e risorse per migliorare la resilienza agli attacchi informatici degli asset critici. Più in particolare, Il riconoscimento del cyberspazio come “dominio operativo” significa che l’Alleanza Atlantica dovrà impegnarsi per migliorare le capacità informatiche dei propri stati membri, il che si traduce in investimenti importanti in “cyber security” e rilevanti cambiamenti culturali anche per quanto attiene alla pianificazione militare e strategica dell’organizzazione. Dal punto di vista prospettico, la difesa cibernetica dell’Alleanza, diventerà un elemento imprescindibile della pianificazione operativa e delle stesse missioni della NATO.
“Gli attacchi informatici rappresentano una sfida chiara alla sicurezza dell’Alleanza e rappresentano un pericolo per la società moderna, al pari di un attacco convenzionale. Abbiamo concordato in Galles che la difesa cibernetica rientra nei compiti della NATO. Ora, a Varsavia, riaffermiamo il mandato di difesa della NATO, e riconosciamo il cyberspazio come dominio di operazioni in cui la NATO deve difendersi nel modo più efficace come fa in aria, a terra e in mare. Ciò permetterà di migliorare la capacità della NATO di proteggere e condurre operazioni tra questi domini e mantenere la nostra libertà di azione e decisione, in ogni circostanza. ” recita il comunicato ufficiale rilasciato alla chiusura del Summit. “Noi continuiamo a implementare la politica avanzata della NATO sulla cyber difesa con l’intento di rafforzare le capacità dell’Alleanza, beneficiando di tecnologie all’avanguardia.”

nato

Da un punto di vista operativo, ciò implica che ogni alleato si impegna a migliorare la sua postura in materia cyber security, prestando particolare attenzione agli aspetti di difesa delle infrastrutture critiche. Ciascun membro della NATO dovrà essere in grado di individuare tempestivamente la minaccia cibernetica, rispondere prontamente all’offensiva, anche in contesti ibridi, e condividere le informazioni con gli altri stati della NATO. Altro aspetto interessante emerso dal Summit, è la volontà della NATO di intensificare la cooperazione con l’Unione Europea che, tra l’altro, ha di recente approvato la nuova direttiva per la sicurezza delle reti e dell’informazione (Direttiva Network and Information Security meglio nota con la sintesi NIS) e che si appresta a percorrere una simile a quella dell’Alleanza. Attraverso l’approvazione della nuova Direttiva NIS si stabiliscono inoltre i requisiti minimi per la sicurezza informatica per gli operatori di infrastrutture critiche degli stati membri dell’Unione. Si tratta del primo insieme di regole specifico per la sicurezza informatica delle infrastrutture critiche degli stati dell’Unione.
Ancora una volta ci si confronta con il tema cyber security, riconoscendo la necessità di dover mettere in sicurezza i servizi vitali erogati dalle infrastrutture europee. La Direttiva ha un impatto significativo sui gestori di tali infrastrutture presenti in settori strategici, quali l’energia, i trasporti, le banche, la sanità ed i servizi digitali.
Quali sono però i danni potenziali, in termini economici, cui una organizzazione è esposta? Ciò partendo dal presupposto che gli attacchi degli hacker molto spesso sono guidati da una logica economica. Pensiamo ad esempio, ad un attacco che abbia come obiettivo dati sanitari dei cittadini e quindi sensibili per definizione con relativo mercato secondario di commercializzazione. In proposito, un recente Survey condotto da Grant Thornton a livello globale su un campione di 2.500 dirigenti d’azienda presenti in 35 paesi rivela che il costo totale degli attacchi si attesta sui 315 miliardi di Dollari nel corso degli ultimi 12 mesi. Una dimensione economica del fenomeno molto rilevante che giustifica l’adozione di decisioni che si muovono in un perimetro “preventivo” per tutti gli Stati UE.
La Direttiva NIS formalizza l’obbligo di l’implementazione di standard minimi di sicurezza informatica, al fine di poter respingere il crescente numero di attacchi informatici contro i servizi erogati dalle infrastrutture critiche di ciascun Paese della UE.  “Il 6 luglio i deputati hanno approvato la Direttiva per la sicurezza delle reti e dell’informazione, che definisce un approccio comune dell’UE in materia di sicurezza informatica. Essa elenca i settori critici come l’energia, i trasporti e il settore bancario in cui le imprese dovranno assicurare di essere in grado di resistere ad un attacco informatico. Esse saranno obbligate a segnalare gravi incidenti di sicurezza alle Autorità nazionali, mentre i fornitori di servizi digitali come Amazon e Google dovranno inoltre notificare loro eventuali attacchi importanti. Inoltre, la direttiva mira a rafforzare la cooperazione in materia di sicurezza informatica tra i Paesi dell’UE.” si legge nel comunicato stampa emesso dal Parlamento Europeo.
Come la NATO, anche l’UE, raccomanda l’adozione di norme comuni di sicurezza informatica ed insiste sulla necessità di intensificare la cooperazione tra i Paesi dell’UE e fornitori di servizi digitali. La condivisione delle informazioni tra gli Stati Membri è quindi un fondamento della Direttiva NIS, ogni incidente dovrà essere rapportato alle strutture denominate CSIRT (Computer Security Incident Response Team) dei paesi dell’EU. La nuova direttiva conferisce inoltre all’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) un ruolo cruciale, di raccordo tra i vari attori coinvolti nella difesa delle infrastrutture della comunità europea.
Un attacco informatico è per sua natura istantaneo, asimmetrico per genesi e soprattutto di difficile attribuzione. Gli attori malevoli, siano essi gruppi criminali oppure hacker operanti per conto di governi stranieri, operano in un contesto transnazionale, per questo motivo è necessario uno sforzo congiunto per individuare la minaccia e neutralizzarla prima che accada l’irreparabile. “Incidenti di sicurezza informatica hanno molto spesso un elemento transnazionale e quindi riguardano più di uno Stato membro dell’Unione Europea. L’implementazione di una protezione frammentaria ci rende tutti vulnerabili e rappresenta un grande rischio per la sicurezza dell’Europa nel suo complesso”, ha affermato il relatore del Parlamento Andreas Schwab, eurodeputato per la Germania. “Questa direttiva stabilirà un livello comune di sicurezza delle reti e dell’informazione e rafforzerà la cooperazione tra gli Stati membri dell’UE, aiutando a prevenire gli attacchi informatici su importanti infrastrutture interconnesse in Europa in futuro.”
Gli Stati membri avranno 21 mesi di tempo per adeguarsi alla direttiva NIS e 6 mesi supplementari per identificare gli operatori delle infrastrutture critiche nazionali. Ogni Stato dovrà censire tali infrastrutture ed individuare le organizzazioni che devono essere conformi alla Direttiva stessa.
E’ facile rendersi conto della criticità dell’argomento “cyber security,” un termine di recente spesso abusato, ma di indiscutibile centralità. Viviamo tutti in una società con elevato e progressivo tasso di crescita tecnologica che ci fa dipendere completamente dai servizi erogati dalle strutture critiche di ciascuno stato, tuttavia, in molti casi, i sistemi in uso non sono disegnati e concepiti per fronteggiare una minaccia informatica sempre più sofisticata ed aggressiva. Altro fattore importante è la velocità con la quale evolve il contesto tecnologico moderno, con la medesima velocità muta la minaccia informatica ed è per questo motivo che la NATO, così come l’UE, hanno deciso di adottare misure straordinarie sul fronte cyber security.
Appare, infine, molto interessante rappresentare la relazione esistente tra il “cyber risk” ed il relativo costo assicurativo. In proposito, secondo un recente rapporto redatto dal Ponemon Institute, il valore globale dei premi assicurativi per le polizze cyber risk è pari solo a 2 miliardi di dollari con il 90% delle polizze concentrate negli Stati Uniti. Tuttavia, sulla base di proiezioni recenti i premi assicurativi aumenteranno a circa 20 miliardi di dollari nei prossimi 10 anni. A fronte di tali dati assicurativi il fenomeno potenziale del danno riveniente dal rischio cyber oscilla tra i 200 ed i 300 miliardi di dollari. Crediamo che i dati si commentino da soli e che sia indispensabile un investimento in prevenzione e relativa cultura del rischio al livello più elevato delle organizzazioni sia pubbliche che private.

Francesco Pastore
Amministratore Delegato di Grant Thornton Consultants Italia;

Pierluigi Paganini
Esperto Cyber Security e membro del Gruppo di Lavoro Cyber G7-2017 presso il Ministero degli Affari Esteri e della Cooperazione.

LASCIA UNA RISPOSTA

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.