.png)
Atene - Tre settimane fa, mentre la Russia scatenava l’invasione in Ucraina, la società statunitense di connessioni satellitari Viasat denunciava un blackout parziale dei suoi servizi per clienti ucraini e di altri paesi europei. Un blocco ai servizi di banda larga garantiti dal satellite Ka-Sat, che l’azienda ha subito attribuito a un attacco informatico tra i tanti che si sono registrati a ridosso dell’aggressione di Mosca. E di cui Viasat subisce ancora gli strascichi. Su Twitter Netblocks, organizzazione che sorveglia la libertà di accesso alla rete, ha pubblicato dati che dimostrano che, a 18 giorni dall’incidente, Viasat non è riuscita a ripristinare in toto la connettività della rete Ka-Sat.
“Circa 27mila utenti tra gli Stati dell’Unione sono stati colpiti dall’incidente”, osserva il direttore esecutivo dell’Agenzia europea per la cybersecurity (Enisa), Juhan Lepassaar. Il caso Viasat, per il numero uno dell’autorità, è un esempio dello spillover del conflitto cibernetico tra Russia e Ucraina che Bruxelles vuole a tutti i costi evitare. Nessuno vuole rivivere di nuovo il copione di NotPetya, un attacco ransomware diretto contro l’Ucraina che si è poi diffuso a macchia d’olio in tutto il mondo e di cui sono accusati informatici al soldo dei servizi segreti russi. Correva l’anno 2017.
X content
This content can also be viewed on the site it originates from.
Il rischio c’è. Aziende europee con sedi o sussidiarie in Ucraina, Russia o Bielorussia sono state colpite da incidenti informatici che con ogni probabilità originano dagli scontri in quello che in gergo Nato si chiama il “quinto dominio”, ovvero il cyberspazio. Al momento, però, i casi di spillover sono stati contenuti.
Come spiega Lepassaar in un colloquio con Wired in occasione dell’inaugurazione della nuova sede di Atene (anche se il trasloco risale a luglio 2021), “negli ultimi due mesi abbiamo assistito a un’importante escalation nel panorama delle minacce e dall’inizio dell’aggressione della Russia all’Ucraina, abbiamo registrato un grande aumento degli attacchi cibernetici contro Ucraina, Russia e Bielorussia. Tuttavia quello che non abbiamo visto è un largo spillover di questi eventi nello spazio cibernetico dell’Unione. Il che non significa che non ce ne siano stati, al contrario. Ma se si guarda al livello complessivo e alla media degli incidenti cibernetici all’interno dell’Unione l’anno scorso e nel 2020, l’incremento non è stato significativo”.
Enisa, quartier generale ad Atene in un ex palazzo usato durante la Seconda guerra mondiale dall’arcivescovo per scopi di intelligence contro l’occupazione tedesca, sta coordinando le difese cibernetiche dell’Unione, facendo rete tra le agenzie nazionali, i cybersecurity incident response team locali e gli operatori che gestiscono servizi essenziali o infrastrutture critiche, dalla sanità all’energia, dalla finanza alle telecomunicazioni. Quelli che non si possono fermare, a costo di bloccare la quotidianità di migliaia di persone.
Uno dei punti caldi dell’agenda politica di queste settimane riguarda le tecnologie russe in forza in aziende o uffici pubblici d’Europa. Uno su tutti l’antivirus prodotto da Kaspersky, tra i migliori in commercio, finito tuttavia nel mirino a causa del rischio che possa essere manipolato per condurre attacchi su ordine del Cremlino, come evidenziano alcuni esperti di sicurezza informatica.
L’autorità tedesca per la sicurezza informatica, Bsi, ne ha sollecitato la rimozione, al punto da spingere il fondatore dell’azienda, Eugene Kaspersky, a prendere carta e penna e scrivere un messaggio in cui afferma che “non è mai stata scoperta o provata nessuna traccia dell’uso o abuso di Kaspersky per scopi dannosi nei venticinque anni di storia dell’azienda” e che “la decisione del Bsi è stata presa solo per motivi politici”.
In Italia l’omologa Agenzia per la cybersicurezza nazionale (Acn), senza menzionare direttamente l’azienda, ha diramato una comunicazione, visionata da Wired, in cui invita ad analizzare l’evoluzione “della situazione internazionale e del quadro geopolitico”, che rende “in particolare, opportuno considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione russa”. “Tra queste, particolare rilevanza assumono quelle di sicurezza informatica per l’elevato livello di invasività rispetto ai sistemi su cui operano - precisa l’Acn -. Stante la necessità di disporre di tali soluzioni tecnologiche, non si esclude che gli effetti del conflitto ne possano pregiudicare l’affidabilità e l’efficacia, potendo per esempio influire sulla capacità delle aziende fornitrici legate alla Federazione russa di assicurare un adeguato supporto ai propri prodotti e servizi”.
“È essenziale e urgente che ogni autorità nazionale proceda con la propria valutazione del rischio sulla supply chain e che includa tutti i rischi che provengono dai fornitori di cybersecurity, fino ai top player che sono collegati alle parti in guerra - osserva il direttore di Enisa -. E specificamente nel caso di fornitori russi di servizi, le autorità nazionali devono valutare i rischi e prendere misure adeguate. Vediamo che un numero di Stati ha già emesso raccomandazioni e avvisi e reputiamo che sia appropriato che lo abbiano fatto ed è importante che continuino a farlo”. "Siamo in contatto con le autorità nazionali per coordinare alcuni di questi passaggi”, prosegue Lepassaar.
Al momento, tuttavia, non sarà Enisa a dettare una linea comune. Primo perché, volendo, una regola che funga da bussola c’è già: è la cassetta degli attrezzi varata dalla Commissione sul 5G, quando il problema era fare lo screening dei fornitori di telecomunicazioni, specie dalla Cina.
Secondo perché, dice Lepassaar, “è una questione urgente”, su cui gli Stati possono muoversi più velocemente se agiscono direttamente. E molto pratica: non si può mollare un fornitore prima di aver trovato un sostituto. Men che meno se si parla di sicurezza informatica. Un’uscita frettolosa potrebbe essere altrettanto pericolosa. È la questione che si trova a dover affrontare l’italiana Acn dopo aver raccomandato di revisionare le tecnologie russe. A quanto apprende Wired, l’autorità guidata dal direttore Roberto Baldoni si sta coordinando anche con la centrale acquisti della pubblica amministrazione, Consip, per individuare alternative a Kaspersky e accelerare l’imbarco, prima di staccare la spina all’antivirus russo, che oggi ricorre in oltre 2.800 contratti degli enti pubblici italiani.
L’emergenza dettata dalla guerra in Ucraina mette ancora più in risalto uno dei problemi strutturali dell’Europa: tra enti pubblici e aziende, gli investimenti destinati alla cybersecurity non hanno ancora raggiunto il livello necessario a far fronte allo scenario delle minacce. “Dobbiamo investire nella resilienza delle aziende, degli ospedali, dei fornitori di servizi di trasporti e degli operatori di energia - puntualizza Lepassaar -. Quello che abbiamo visto è che il livello di investimenti tra quelli che consideriamo fornitori di servizi essenziali o critici non è alto. In un nostro studio del 2020 è emerso che in media le organizzazioni europee investono in sicurezza informatica il 40% in meno delle controparti statunitensi”.
E il perimetro da sorvegliare è destinato ad aumentare. Parlamento e Consiglio europeo sono nella fase di negoziazione della revisione della direttiva Nis sulla sicurezza delle reti, la cui prima versione è stata approvata nel 2016 ed entrata in vigore nel 2018. Se andrà in porto così come sta emergendo dalle bozze in discussione, estenderà gli obblighi di sicurezza informatica a nuovi settori, come il commercio, l’università, i centri di ricerca e gli enti pubblici. “Si stima che con la proposta di Nis2 saranno 160.000 le nuove entità che dovranno occuparsi di sicurezza informatica come non hanno mai fatto prima”, chiosa il direttore, in aggiunta a quelle già coperte. E aggiunge: “Penso che gli Stati e le organizzazioni debbano rivedere le loro politiche di investimento, le loro capacità di indirizzare le risorse e, siccome la situazione non è rosea, dobbiamo far sì che questa diventi una priorità per gli enti in prima linea”.
Un altro aspetto che potrebbe determinare la Nis2 è una soglia minima di enti che devono attenersi alle sue regole. Oggi tocca agli Stati iscrivere gli operatori che reputano essenziali, un sistema che porta alcuni paesi, come la Finlandia, a porre migliaia di realtà sotto lo scudo Nis e altre cancellerie a stare sotto il centinaio. Un domani invece, se passasse l’attuale proposta, la procedura dovrebbe essere armonizzata per garantire un livello minimo di sicurezza comune.
Per Lepassaar, “in termini di politiche, l’Unione sta allargando il dibattito” sulla cybersecurity. Dalle iniziative sul cloud alla nuova proposta di legge sulla resilienza cibernetica, per stabilire regole comuni sulla sicurezza per i prodotti digitali e i servizi associati immessi sul mercato nell’Unione, Bruxelles sta spingendo sulle norme per recuperare terreno in un settore critico e in cui soffre bassi investimenti e pochi campioni tecnologici.
“L’età dell’innocenza è finita - il commento di Margaritis Schinas, vicepresidente della Commissione europea con delega alla promozione dello stile di vita europeo (sotto cui rientra anche la sicurezza interna -. Stiamo costruendo un sistema di risposte regolatorie alle minacce”. A Wired Schinas spiega che Enisa, che oggi conta su 120 persone, “ha ricevuto nel 2019 un raddoppio del suo budget” (attualmente quello annuale si aggira sui 24 milioni di euro) e “altri fondi arriveranno dal programma Digital Eu, per svilupparne e dispiegare le capacità di intervento”.
Uno dei campi su cui Bruxelles vuole investire sono unità cyber congiunte (di cui aveva già parlato la presidente Ursula von der Leyen a luglio 2021), ossia, dice Schinas, “una rete di esperti informatici dei vari Stati in perenne contatto, che possono agire insieme in una dimensione europea”. Nel frattempo, dopo aver inviato “esperti informatici in Ucraina” in tandem con il Servizio di azione esterna della Commissione (una sorta di ministero degli Esteri dell’Unione), Schinas spiega che Bruxelles “è pronta a fare di più, in base alla situazione sul campo”.
