Al giorno d’oggi nessuno può permettersi il lusso di trascurare il ruolo di Internet. Esso facilita una comunicazione rapida e aumenta il rapporto costo-efficacia degli impiegati, fornendo nello stesso tempo innumerevoli opportunità per il mondo degli affari, per i cittadini, ma anche per i governi.
Tuttavia, Internet è diventato anche da tanto tempo un ambiente privilegiato per malfattori, le cui tipologie e scopi sono sempre più eterogenei: Scripts Kiddies, Hacktivisti, crimine organizzato, terrorismo e anche gruppi di attaccanti e di intrusione patrocinati da Stati con uno scopo ben preciso. Questo gruppo di protagonisti, tanto disparato quanto le minacce che indirizza alle società, comporta l’adozione di altrettanti metodi, capacità tecniche e umane specifiche al conseguimento di scopi precisi di ciascuno di essi.
Lo sviluppo rapido di nuove tecnologie offre ai malfattori molte occasioni tra le quali scegliere quella più appropriata e favorevole per effettuare le loro intrusioni. Le amministrazioni pubbliche, ma anche il settore privato, non hanno mai faticato tanto ad affrontare con efficacia questa sfida.
L’epoca in cui ogni organizzazione poteva resistere, isolatamente, alle pressioni degli attaccanti, è ormai passata. Gli incidenti sofisticati recenti che hanno avuto come vittima grandissime imprese, come Sony, eBay o ancora JP Morgan, ma anche istituzioni governativi come l’Ufficio di gestione del Personale governativo degli USA, ne sono la prova. Ora, trattandosi di entità che hanno investito milioni di dollari nella cyber security, si può facilmente realizzare quanto siano reali le minacce di intrusione. Che cosa dovremmo dire allora a riguardo di imprese più piccole, dalle capacità ben più ridotte per quel che riguarda la loro protezione, anche solo nel cuore dell’ecosistema delle loro attività?
Per questa ragione, la cooperazione e lo scambio di informazioni svolge un ruolo sempre più importante nel garantire la sicurezza del mondo digitale. I vantaggi di tale partenariato sono evidenti – lo scambio di informazioni permette di rafforzare le capacità di individuazione di tutti i membri che partecipano ad una rete, permette il trasferimento rapido di conoscenze nel campo delle nuove minacce e impedisce anche la propagazione delle minacce conosciute, riducendo gli sforzi di ogni membro evitando la replica delle medesime attività di analisi da parte di più soggetti e consentendo l’applicazione di contromisure idonee.
Tuttavia, la messa in opera delle componenti necessarie ad uno scambio di informazioni funzionale, nel contesto delle imprese o dei governi, non è di gran lunga così facile come potrebbe apparire a prima vista.
Ci sono molti problemi da risolvere, come anche certi blocchi, sia in seno alle istituzioni pubbliche che nelle compagnie private, e altrettante sfide da affrontare che impediscono il raggiungimento di uno scopo comune – essere più resistenti per difendersi meglio.
Senza voler pretendere di essere esaurienti, ne elenchiamo di seguito alcuni.
Iniziative. Chi deve innescare e coordinare il processo? Il governo o il mondo degli affari? In generale il pubblico considera il mondo degli affari come il motore dello sviluppo delle tecnologie, le più progredite nella prevenzione degli attacchi cyber e, in qualche modo, la forza «che sa’ meglio ciò che si deve fare e come farlo». A differenza del settore privato, il settore pubblico, che è tra l’altro un fornitore dei servizi, pensa spesso «che non è nel suo ruolo occuparsi di tutte le componenti della nazione».
Concorrenza del mercato. Le società private dovrebbero comprendere che la conoscenza delle minacce rappresenta un vantaggio competitivo. D’altro canto, gli organismi di regolamentazione del commercio potrebbero riconoscere in un vero scambio di conoscenze un comportamento anti concorrenziale a discapito di chi paga per queste informazioni.
Reputazione. «OK. Se rivelo le informazioni riguardanti una minaccia di cui sono stato oggetto e la rendo pubblica, chi avrà ancora fiducia nei servizi che propongo ai clienti?». La paura di danneggiare la propria reputazione rivelando tali informazioni sono spesso dovute al riflesso negativo che questa apertura potrebbe avere sui mass media avidi di scandalo più che di informazione.
Confidenzialità. In molti paesi, la legislazione sulla protezione dei dati nazionali impone che il Protocollo Internet (indirizzo IP) ed altre informazioni digitali a carattere personale non possano in alcun modo essere condivise senza il consenso esplicito degli interessati.
Capacità. Non è sufficiente solo far parte di una iniziativa di scambio di informazioni. Da un lato, l’organizzazione deve avere le capacità umane e tecniche necessarie per poter condividere con la community informazioni sulle minacce. Dall’altro, essa deve poter utilizzare le informazioni ricevute.
A questo proposito, è interessante osservare le differenze con cui i diversi Membri affrontano queste questioni. Uno studio recente1, effettuato dall’ENISA (l’Agenzia Europea incaricata della sicurezza delle reti e dell’informazione), gli Stati Membri dell’Unione Europea, dello Spazio Economico Europeo (EEA), gli Stati Membri dell’Associazione Europea di libero scambio (AELE), ha esaminato i diversi modi di promuovere lo scambio di informazioni nel campo della cyber-sicurezza.
Gli aspetti di base sono: «legislazione di comando e di controllo», «regolamentazione per la cooperazione», e «autoregolazione».
L’approccio «legislazione di comando e di controllo» implica l’applicazione delle norme giuridiche comuni e obbligatorie nelle legislazioni nazionali, identificando le parti che devono distribuire le informazioni concernenti gli incidenti di cyber riguardanti certe entità.
Un buon esempio di applicazione di queste regole è la direttiva 2009/140/EC, per la quale la legge dell’Unione Europea è stata rinforzata da parecchi emendamenti riguardanti le comunicazioni elettroniche e anche i prestatori di servizi delle comunicazioni elettroniche disponibili per il pubblico. Questi ultimi «notificheranno agli organismi di regolamentazione competenti le violazioni di sicurezza o la perdita di integrità, che hanno avuto un impatto significativo sulle reti o i servizi»2.
L’approccio basato sulle «regole basate sulla cooperazione» implica l’esistenza di un organismo di regolamentazione che faciliti in modo diretto la creazione di centri settoriali di analisi e di scambio di informazioni (ISACc), sotto la forma di partenariati Pubblico-Privato (PPP).
Si tratta di comunità chiuse, in certi casi, con un numero limitato di partecipanti, dove lo scambio di informazioni, in regola generale, è effettuata su una base volontaria durante una riunione plenaria, organizzata più volte l’anno e coordinata dalle istituzioni governative.
Un esempio di iniziativa basata sul quadro regolamentare della cooperazione è quella del Centro nazionale per la Cyber-Sicurezza (NCSC) dell’Olanda, che ha organizzato i centri settoriali, le analisi e lo scambio di informazioni in diversi settori quali l’acqua, l’energia, la finanza ed altri settori a rischio; ISACc simili sono stati organizzati dal Centro governativo per la protezione delle infrastrutture nazionali della Gran Bretagna, ma anche da altri Stati.
In definitiva, l’approccio basato sull’ «autoregolazione» implica che le iniziative che promuovono e che sostengono lo scambio di informazioni debbano poi divulgare i risultati ottenuti ad un target specifico, conformemente al proprio statuto di ogni organizzazione in parte, indipendentemente che si tratti di entità governative o private, commerciali o a scopo non lucrativo, nazionali o internazionali.
In generale, una tale impostazione è utilizzata dalle istituzioni vicine alla sfera della cyber security, come i team di risposta agli incidenti legati alla Sicurezza Informatica (CSIRT), le imprese della sfera della sicurezza dell’informazione o le community di esperti di settore.
Tra le iniziative europee importanti di questo tipo, si può menzionare il «Centro Industriale di Cyber-sicurezza» (CCI) in Spagna, l’N6 (piattaforma di Scambio d’Incidenti della Sicurezza delle Reti) in Polonia, o ancora l’«Associazione degli Esperti in infrastrutture critiche» in Italia.
Esiste anche un’altra modalità per affrontare i problemi della condivisione di informazioni di cyber security. Per esempio, alcune compagnie rinforzano il loro livello di cyber security ottenendo informazioni sulle minacce sia da fonti a pagamento o da siti «open source».
Tuttavia, nel primo caso, l’impresa dovrebbe già possedere un budget significativo (a partire da – 250000 euro all’anno e più), nel secondo caso essa dovrebbe essere capace di trattare delle informazioni grezze al fine di eliminare i dati non affidabili, ingannevoli o incompleti e quelli non in ambito che resta quello di analizzare i pericoli pertinenti ed imminenti.
Nella Repubblica della Moldavia, lo scambio di informazioni in campo della cyber-security è ancora in fase di avviamento. Tuttavia, i primi passi sono stati compiuti dall’anno 2009, con l’adozione della legge sulla prevenzione e la lotta contro la criminalità informatica. Ad oggi, lo scambio di informazioni è organizzato ad hoc, in caso di attacchi cyber.
Paragonata ai paesi dell’Unione Europea, la Repubblica della Moldavia applica l’approccio basato sulla «legislazione di comando e di controllo» e quella sull’ «autoregolazione» per trovare delle soluzioni che possano ovviare alle difficoltà di scambio di informazioni. La «Legislazione di comando e di controllo», a livello nazionale, si basa su una sola legge che inquadra i regolamenti per lo scambio di informazioni (Legge Non. 20 del 03.02.2009 sulla prevenzione e la lotta contro la criminalità informatica) e su tre risoluzioni governative (Risoluzione Governativa N. 735 dell’11.06. 2002 -per quanto riguarda i servizi di telecomunicazioni speciali della Repubblica della Moldavia – Risoluzione Governativa N. 857 del 31.10.2013 – sulla strategia nazionale per lo sviluppo delle tecnologie della società dell’informazione «Moldavia Numerica 2020» – e infine sulla Decisione Governativa N. 811 -del 29.10.2015 che concerne il programma nazionale di cyber-sicurezza della Repubblica della Moldavia per gli anni 2016- 2020).
Nel suo insieme, il corpus legislativo obbliga i fornitori di servizi elettronici (ESP) a riportare agli organismi nazionali competenti ogni incidente legato alla cyber-security e al cyber crime, permette alle Istituzioni di richiedere agli ISP e alle Autorità Pubbliche le informazioni necessarie per le indagini e stabilisce gli obiettivi e gli incentivi allo scambio informazioni sulla cyber-security con il settore pubblico e privato. Include, inoltre, il supporto allo sviluppo delle attività di cooperazione.
L’applicabilità dell’approccio basato sull’ «autorità autoregolatrice» a livello nazionale è datata 2010, con la creazione del team di risposta agli incidenti informatici, il CERT-GOV-MD.
Senza entrare nei dettagli, alla sua fondazione, il CERT- GOV-MD, doveva limitarsi ad assicurare unicamente una risposta agli incidenti delle reti governative.
Rapidamente, il CERT ha rinforzato eccellenti relazioni con gli altri organismi competenti, sia nazionali (Servizi di Informazioni e Sicurezza, Ministero degli Affari Interni, Procuratore Generale, Centro speciale della lotta contro la cyber-criminalità, ecc.) che internazionali (OSCE, UNDP, IMPACT e ben altri ancora), divenendo membro della comunità CSIRT e ponendosi come attore privilegiato e punto di dialogo centrale per risolvere non solo i problemi chiave di scambio di informazione, ma anche per creare un sistema nazionale di prevenzione e di allerta in tempo reale per far fronte ai rischi connessi ad Internet.
Nel campo dello scambio informazioni, un ulteriore passo avanti è stato fatto nel 2015, quando il CERT- GOV-MD ha tentato di superare un «punto morto», quello dell’assenza dei PPP, convocando un congresso nazionale sull’argomento. Malgrado la presenza, l’interesse e un’apertura per lo meno dichiarata, di tutti i principali attori privati del settore, rimane chiaro che le imprese rimangono prioritariamente interessate alla vendita delle loro soluzioni e dei loro prodotti, anche a discapito della ricerca di soluzioni multi stakeholder che aiutano a risolvere i problemi nazionali nel campo della cyber security.
Noi pensiamo che l’esempio della Moldavia può servire per una riflessione in numerosi paesi.
Considerando che anche le multinazionali con i livelli di sicurezza più elevati sono state vittime di attacchi cyber, è evidente che solo una conoscenza comune delle minacce e dei pericoli può permettere all’ecosistema nazionale di costituire uno scudo minimo indispensabile per proteggere cittadini, imprese e Stato. Ciò apporterà benefici a coloro che, pur non avendo grandi mezzi finanziari, potranno assicurare la propria difesa a costi accessibili.
Lo scambio reciproco di informazioni dovrebbe essere una regola naturale di coesistenza nella prosperità ma, come abbiamo visto nella maggior parte dei paesi, molti interessi, sia privati che pubblici, ostacolano la realizzazione di partenariati realmente efficaci e proattivi.
Alle difficoltà già menzionate si aggiunge la realizzazione tardiva da parte dei think-thank internazionali, che deve tener conto delle specificità di ogni paese. La diversità delle amministrazioni pubbliche e delle loro competenze, le caratteristiche del tessuto economico, il grado di educazione dei cittadini, la ricchezza del paese e la sua cultura devono essere tenuti in considerazione per adattare ad una nazione un concetto europeo e farlo diventare percorribile. Solo degli insiemi di leggi, di regolamenti, di CERT settoriali e di PPP realizzati per ogni paese nel quadro del framework dato dall’ENISA, potrà portare i suoi frutti.
Nella Repubblica della Moldavia, la lotta contro la cyber criminalità non è più nella sua fase iniziale grazie alla condivisione delle informazioni. L’esperienza acquisita nel tempo ha dimostrato che l’applicazione di un insieme di misure legislative e amministrative troppo diverse del quadro europeo e troppo individuali non produrrà, neanch’essa, il risultato desiderato. Nello stesso tempo, si osserva che il settore privato non sarà pronto a cooperare pienamente con il settore pubblico nello scambio di informazioni e di esperienze sulla cyber-security.
Tutto ciò ci porta a credere che l’«autoregolazione» è verosimilmente l’approccio più attuabile a livello nazionale moldavo. Parecchi passi avanti sono stati fatti in questa direzione dal team del CERT-GOV-MD, fra l’altro con solidi risultati presso le comunità locali e dei gruppi di lavoro internazionale come anche la messa a disposizione pubblica di numerose fonti che dettagliano le minacce attuali, ma il successo a medio e lungo termine degli obiettivi proposti è incerto, poiché le risorse del CERT-GOV- MD sono estremamente limitate.
Ma questo è un altro dibattito, relativo al finanziamento delle istituzioni pubbliche per le attività di collaborazione con i cittadini e privati a cui non spetta a noi dare una risposta.
Nota:
1 European Union Agency for Network and Information Security, Cyber Security Information Sharing : An Overview of Regulatory and Non-Regulatory Approaches (Heraclion : ENISA , 2015 ).
2 Official Journal of the European Union, Directive 2009/140/EC of the European Parliament and of the Council (Strasbourg: OJEU,2009).
