La cybersecurity e l’autonomia europea

L’autonomia dell’Europa nel mondo digitale

“Solo un’Europa unita può affrontare le sfide della digitalizzazione. È per il nostro mercato unico – il più grande nel mondo – che noi dobbiamo definire standard per i big data, l’intelligenza artificiale, e l’automazione. E che, con questo, possiamo sostenere i valori, i diritti e l’identità degli Europei. Ma possiamo farlo solo se rimaniamo uniti.”

Questa è una delle frasi chiave pronunciate da Jean‑Claude Junker nel discorso sullo stato dell’Unione (Europea) per il 2018 denominato “L’ora della sovranità europea”[i].

Sembrano passati secoli. Il mondo è cambiato, anche a causa della pandemia. Forse, nel contingente, stiamo affrontando altre sfide: la necessità di sviluppare un’autonomia nella ricerca sanitaria, l’esigenza di aumentare la capacità produttiva di presidi medici e farmaceutici. Rimane, tuttavia, sullo sfondo il senso dell’intervento di Junker: sostenere i diritti, i valori e l’identità che hanno fondato e che guidano l’Unione Europea. Sostenerli nello spazio digitale che, com’è noto, soffre di due elementi critici:

  • è un mondo dominato, dal punto di vista economico e nonostante le frasi fatte sulla “libertà del web”, dagli Over The Top (Amazon, Google, Microsoft, Facebook, ecc.);
  • è intrinsecamente vulnerabile e, quindi, potenzialmente “campo di battaglia” per qualsiasi contrapposizione o conflitto (geopolitico, commerciale, religioso, ecc.) senza la necessità di un contatto fisico o di un confronto “muscolare”.

Quindi, se, da un lato, l’Unione Europea non tarda ad intervenire normativamente nella difesa dei propri valori, anche nel mondo digitale (GDPR[ii], Law Enforcement Directive – LED[iii], Proposta di Regolamento sull’intelligenza artificiale[iv], ecc.), dall’altro emerge un’obiettiva difficoltà a dare concretezza a questi princìpi in un mondo interconnesso e nel quale piccoli e grandi turbamenti, spesso esogeni rispetto ai confini europei, possono interferire con i diritti e le libertà degli individui.

Per questo, la Commissione Europea ritiene strategico recuperare autonomia o, se si vuole, sovranità negli ambiti applicativi del digitale. La UE sembra dire “Le norme servono ma, ancora di più, serve riuscire ad applicarle; e se non riusciamo a indurre i nostri partner stranieri, cerchiamo, se possibile, di farne a meno, diventando partner di noi stessi”.

Una strada tutta in salita che ha avuto, come tassello fondamentale, l’approvazione del Regolamento UE 2019/881 (d’ora in poi “Regolamento ENISA”)[v].

L’evoluzione dell’ENISA

Il Regolamento ENISA ha, appunto, come scopo principale quello di:

  • definire nuovi compiti, attività ed obiettivi per l’Agenzia dell’Unione Europea per la Cibersicurezza (appunto ENISA); infatti, l’ENISA era un’istutuzione già esistente (denominata Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione) istituita con Regolamento UE 2013/526[vi]; tuttavia, il legislatore europeo ha inteso sviluppare il suo ruolo, proprio nell’ottica del rafforzamento dell’autonomia continentale in ambiti che erano diventati strategici e che, appunto, richiedevano un solido centro di competenze che unificasse l’impegno degli stati membri nella cybersecurity;
  • introdurre certificazioni di sicurezza per prodotti, servizi e processi TIC (cioè basati sulla Tecnologia dell’Informazione e della Comunicazione).

L’ENISA, proprio nell’obiettivo di rilanciare l’autonomia digitale dell’Unione Europea, ha pubblicato lo scorso 23 aprile, un documento intitolato “Cybersecurity Research Directions for the EU’s Digital Strategic Autonomy”[vii] che fornisce molti elementi sull’impegno da profondere per raggiungere lo scopo.

Il documento individua sette aree che l’ENISA ritiene fondamentali per la ricerca e per lo sviluppo delle relative applicazioni:

  • sicurezza dei dati;
  • piattaforme software affidabili;
  • gestione e risposta alle minacce cyber;
  • piattaforme hardware affidabili;
  • crittografia;
  • strumenti e procedure di sicurezza centrate sull’utente;
  • sicurezza delle comunicazioni digitali.

Per ciascuna di queste aree, cercheremo di spiegare quali siano le raccomandazioni e le prospettive che l’ENISA propone.

Sicurezza dei dati

Il fronte della sicurezza dei dati si biforca nella necessità di proteggere i dati personali (la cui normativa europea, GDPR e LED, è particolarmente protettiva dei diritti e le libertà delle persone fisiche) ma anche di tutelare gli “altri dati”, per esempio quelli riferiti ai segreti industriali.

La “minaccia” che l’ENISA vede incombere, soprattutto sui dati personali, è l’intelligenza artificiale; la mole di dati riferiti ai nostri spostamenti, ai nostri acquisti, ecc. e che sono “trattenuti” dai player più grandi costituiscono, senz’altro, il terreno su cui operano algoritmi di intelligenza artificiale che “imparano” a conoscerci sempre meglio. Rispetto all’intelligenza artificiale l’ENISA, quindi, raccomanda di studiare soluzioni che:

  • possano sistematicamente individuare le vulnerabilità degli algoritmi affinché si riduca il rischio che una minaccia possa sfruttarle e, quindi, interferire indebitamente nel loro funzionamento e, di conseguenza, nei diritti e nelle libertà degli individui;
  • possano “dare contezza” delle modalità con le quali operano gli algoritmi per rispettare il principio di trasparenza nei confronti delle persone così come prescrive l’art. 13 della Proposta di Regolamento sull’intelligenza artificiale.

Piattaforme software affidabili

Questa è l’area più critica, per complessità, affrontata dall’ENISA perché il software agisce a vari livelli e, quindi, l’autonomia richiede che siano assicurati:

  • sistemi operativi e middleware affidabili attraverso il rafforzamento di un sistema di competenze che possa garantirne la conoscenza profonda a partire dalle fasi di sviluppo;
  • componenti software delle piattaforme affidabili nelle loro componenti che cooperano con i sensori che, ormai, sono diffusi sia in ambiente industriale che domestico;
  • un mercato del cloud aperto affinché sia limitato il rischio che gli utenti rimangano prigionieri di un determinato fornitore (lock‑in).

Gestione e risposta alle minacce cyber

L’enorme quantità di dati acquisiti dai Security Operations Center (SOC) rende proficuamente applicabili a quest’area le tecniche di analytics e di intelligenza artificiale. L’ENISA, quindi, indica la necessità di un impegno specifico della ricerca europea nello sviluppo di applicazioni che gestiscano questa enorme mole di dati e che forniscano elementi significativi ai responsabili della cybersecurity, limitando al massimo i falsi positivi ed i falsi negativi.

In quest’area, tuttavia, esiste anche la necessità di avere un quadro standard della catena di rilevazione‑mitigazione‑risposta, tendendo a sviluppare, in particolare, modalità e strumenti più efficaci di protezione degli end‑point (p.e. smartphone). Quest’ultima necessità riveste particolare importanza, soprattutto a seguito della pandemia, considerata la diffusione prevedibile (ed in parte già attuale) della telemedicina e del lavoro agile.

Piattaforme hardware affidabili

Le modalità di progettazione dell’hardware suggerite dall’ENISA devono seguire standard che:

  • assicurino la catena dell’integrità, durante le fasi di avvio dei dispositivi (bootstrap), nel passaggio tra hardware, firmware e software;
  • disvelino le caratteristiche tecniche di ogni componente evitando di riferirsi ai modelli black‑box o, più banalmente, al paradigma (spesso utilizzato anche molti grandi player) basta‑che‑funzioni.

Questa tendenza deve essere sostenuta perché, ormai, le competenze degli attaccanti sono tali che permettono loro di sfruttare ogni elemento di debolezza, compresi quelli connessi all’hardware.

Crittografia

Per questa area, tendenzialmente molto vicina alla matematica applicata, l’ENISA invita gli stati membri ad investire nelle nuove frontiere di ricerca (crittografia post‑quantum) ma, soprattutto, a:

  • introdurre le nuove tecniche di cifratura nell’ambito dei protocolli di comunicazione;
  • realizzare un’infrastruttura europea per la verifica delle chiavi pubbliche nelle tecniche di cifratura basate su chiavi asimmetriche.

Strumenti e procedure di sicurezza centrate sull’utente

L’ENISA, nel prendere atto che sono disponibili una molteplicità di strumenti di “protezione dell’utente”, non può che rilevare la circostanza che esiste un gap, finora non colmato, tra le funzionalità disponibili e le conoscenze e competenze dell’utente medio. Per colmare tale gap, suggerisce di:

  • sviluppare metodi e strumenti che vadano concretamente incontro alle necessità dell’utente e che supportino la sua attività anziché agire come barriera (spesso rimossa volontariamente) alla sua produttività;
  • sviluppare metodi e strumenti che permettano all’utente di poter verificare autonomamente la fiducia che può accordare agli elementi ICT con i quali interagisce (siano essi sistemi di messaggistica piuttosto che piattaforme cloud).

Sicurezza delle comunicazioni digitali

La sicurezza della “catena comunicativa” è considerata dall’ENISA il principale building‑block della sicurezza dei sistemi informativi. In particolare, l’ENISA invita a curare tutti gli anelli della catena e a proporre modelli di gestione di tutti gli apparati, con particolare attenzione ai dispositivi intermedi, fisici o virtuali, per i quali gli aggiornamenti di sicurezza sono, spesso, trascurati.

Conclusioni

Sarebbe stato auspicabile, a fronte delle prospettive indicate dall’ENISA, che nel Piano Nazionale di Ripresa e Resilienza[viii] italiano fossero presenti incisivi interventi volti a:

  • migliorare la percezione dei cittadini dei rischi presenti in rete;
  • investire in attività di ricerca e sviluppo specificatamente volte a fronteggiare le sfide del cyberspazio.

Purtroppo, invece, spiace constatare che sono previsti solo marginali interventi (Investimento 1.5: Cybersecurity e Investimento 1.7: Competenze digitali di base) nell’ambito della missione M1C1.1 Digitalizzazione della PA. Troppo poco per far crescere i nostri cittadini.

Note

[i]       https://ec.europa.eu/info/sites/default/files/soteu2018-speech_en_0.pdf

[ii]      https://eur-lex.europa.eu/eli/reg/2016/679/oj

[iii]     https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680

[iv]     https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:52021PC0206

[v]      https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32019R0881

[vi]     https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32013R0526&from=IT

[vii]    https://www.enisa.europa.eu/publications/cybersecurity-research-directions-for-the-eu2019s-digital-strategic-autonomy/at_download/fullReport

[viii]   https://www.pmi.it/app/uploads/2021/04/pnrr.pdf

Articolo a cura di Francesco Maldera

Francesco Maldera è Data Protection Officer e Data Scientist.

Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.

Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it

https://www.ictsecuritymagazine.com/articoli/la-cybersecurity-e-lautonomia-europea/