Il 2018 sarà l’anno della cybersicurezza in Europa (ma non per l’internet delle cose)



Foto: Getty Images

Nel 2018 la Commissione europea lancerà la sua controffensiva ai pericoli della cibersicurezza. Il 9 maggio entrerà in vigore la direttiva Nis, una lunghissima riforma partita nel 2013 per adeguare i protocolli di difesa dagli attacchi informatici. Dalla prossima primavera i 27 stati che compongono l’Unione europea dovranno dotarsi di una strategia nazionale per la cybersicurezza. O, se già l’avevano, adeguarla alle norme comunitarie. Avranno tempo sei mesi per individuare gli operatori di servizi essenziali, come le società di energia, trasporti, banche e finanziarie, aziende ospedaliere e operatori delle telecomunicazioni, imporre che adottino alti standard di sicurezza e che comunichino attacchi alla rete. Inoltre gli stati dovranno costituire delle unità di crisi, dette csirt, per gestire gli incidenti.

Lo scorso settembre Bruxelles ha rincarato la dose. Il presidente della Commissione, Jean-Claude Juncker, ha annunciato un rafforzamento delle difese informatiche nel suo discorso sullo stato dell’Unione. L’attuale Agenzia europea per la sicurezza delle reti e dell’informazione (Enisa), che ha un mandato a operare che scade nel 2020, sarà resa permanente per coordinare la difesa e fare ricerca nel settore informatico. Il pacchetto di settembre prevedeva una certificazione della cybersicurezza degli oggetti connessi. Tuttavia, come Wired ha potuto accertare da fonti al lavoro su queste misure, la Commissione non proporrà uno standard di sicurezza per i dispositivi dell’internet of things, né imporrà provvedimenti specifici all’industria.

Senza una forma di difesa per l’internet delle cose, la strategia della Ue parte zoppa. Come ha riconosciuto nel suo ultimo rapporto l’Associazione italiana per la sicurezza informatica, “la rapida diffusione di smart working” e “dell’internet of things, con apparecchiature per lo più prive delle più elementari misure di sicurezza, costituiscono punti di accesso sempre più immediati verso i sistemi informativi”. Nell’ottobre del 2016 gli oggetti connessi sono stati il pertugio attraverso il quale gli hacker si sono intrufolati per lanciare un attacco che ha paralizzato i siti di colossi come Twitter, Ebay, Paypal e Spotify. L’anno scorso gli attacchi Ddos, che si propagano attraverso gli oggetti connessi, sono cresciuti del 13%.

Tuttavia l’Europa, pronta a dettare legge su numerosi standard di sicurezza, in questo caso non prenderà un’iniziativa diretta. A Wired risulta da fonti attive sul dossier cibersicurezza che la Commissione non negozierà con i produttori di apparecchi connessi una serie di misure di difesa obbligatorie e specifiche. Né adotterà un’etichetta del livello di sicurezza di un dispositivo iot, sul calco di quella energetica, che identifica un elettrodomestico in base al risparmio di corrente. Questo sistema avrebbe semplificato la vita ai consumatori, permettendo loro di distinguere in modo immediato tra prodotti sicuri e insicuri, che pure è l’obiettivo che si pone la stessa Commissione. Inoltre, l’Europa avrebbe stabilito standard da negoziare anche con i produttori al di fuori del vecchio continente. La spiegazione della Commissione è che dispositivi diversi hanno prezzi diversi e quindi diversi livelli di sicurezza, perciò non ritiene possibile imporre ora standard produttivi.

Al momento la Commissione si limiterà a fornire uno schema generale di certificazione. Lo dovrà realizzare l’Enisa, consultando l’industria e altri portatori di interesse. La bozza dovrà essere approvata dal Berlaymont, che delibererà linee guida generali. Queste ultime serviranno agli stati per definire internamente quali certificazioni di sicurezza sono necessarie. Sarà quindi un sistema di controllo più burocratico. In questo modo i governi si muoveranno in ordine sparso, creando confusione sulle imprese. La stessa direttiva Nis, d’altronde, prevede che Bruxelles abbia una lista generica degli operatori di servizi essenziali che lavorano in ciascun stato, senza i nomi. La direttiva prevede un controllo anche sui fornitori di servizi digitali, come motori di ricerca, social network, piattaforme di ecommerce e gestori di servizi cloud. Sono aziende zeppe di dati personali e informazioni sensibili, ma la supervisione dell’Europa sul loro operato in termini di cibersicurezza è prevista solo ex post. Ovvero, solo se si verifica un incidente informatico Bruxelles chiede conto delle misure di difesa.

E dire che solo qualche mese fa Juncker dichiarava davanti all’Europarlamento che “per la stabilità delle democrazie e delle economie i ciberattachi possono essere più pericolosi delle armi e dei carri armati”. Secondo una stima della Commissione almeno l’80% delle aziende europeo ha subito un attacco hacker nell’ultimo anno.


Fonte: WIRED.it