Cosa cercano i criminali informatici? La motivazione principale in qualsiasi settore è quella economica. In questo senso, la famosa frase che risuona in ogni congresso sulla sicurezza informatica nel mondo è notevole. La piena sicurezza o Cybersecurity non esiste e indipendente dal numero di misure che un’azienda del settore integra, non saranno protette al 100%. L’incertezza qui è e sarà definita.

Questo è il motivo per cui il settore aereo globale ha già esperienza in attacchi informatici e diverse società e aeroporti sono stati colpiti. Un caso notevole è successo poco più di un anno fa alla British Airways che ha subito un attacco informatico che hanno rubato i dati di 380 mila carte di credito e dei passeggeri che avevano prenotato voli. La compagnia si è trovata a dover fronteggiare una sanzione di 204 milioni di euro in quanto la responsabilità della violazione è da imputare alle pessime disposizioni di sicurezza dell’azienda. L’impiego dell’ICT (Tecnologie dell’Informazione e della Comunicazione) ha delineato in maniera crescente lo sviluppo dell’aviazione civile.

L’inserimento nella rete di strumenti tecnologici complessi e la digitalizzazione implicano problematiche considerevoli per la sicurezza cibernetica nel trasporto aereo. Alcune vulnerabilità riscontrate nei sistemi statunitensi di gestione e controllo del traffico aereo civile possono, avere rilevanti conseguenze per la sicurezza.

Abbiamo intervistato l’Avv. Davide Maniscalco, uno dei più grandi esperti a livello nazionale di informatica giuridica e nuove tecnologie, con specializzazione in information security e data protection. Fa parte del gruppo informale di stakeholfers “esperti digitali” istituito presso la Commissione Europea e ricercatore presso il Cybersecurity Research Center (CYRCE) dell’ Università Link Campus.

Avv. Davide Maniscalco, cos’è che caratterizza la Cybersecurity? “La minaccia cibernetica diventa sempre più pervasiva, anonima e polimorfa e si caratterizza per uno scenario ibrido preordinato, tra l’altro, alla destabilizzazione di sistemi democratici, anche attraverso le mirate campagne di disinformazione, nonché all’attività di spionaggio e di sabotaggio di presidi strategici di uno Stato. Per queste ragioni, la natura transnazionale della minaccia e la sua connotazione asimmetrica, hanno richiesto e continuano a richiedere una risposta di sistema, per mitigare le vulnerabilità e le esternalità negative”.

Personal Cyber Security

A livello europeo esiste una road map per la realizzazione di un mercato unico digitale?L’espansione delle tecnologie di ICT unita alla forte esigenza di presidiare le infrastrutture critiche di un Paese nonché l’evoluzione progressiva dell’economia digitale “data driven”, al cui progressivo sviluppo contribuirà l’avvento delle reti di quinta generazione con l’aumento della potenza di calcolo “in locale” (edgecomputing), attraverso le interconnessioni sempre più eterogenee dei devices dell’Internet of Things, configurano, – continua Maniscalco – su scala europea, una road map verso la costruzione di un mercato unico digitale sicuro ed affidabile. In tale scenario, come recentemente dichiarato dal Vice Presidente Esecutivo della Commissione Europea Margrethe Vestager, “Poiché la nostra vita quotidiana e le nostre economie diventano sempre più dipendenti dalle soluzioni digitali, abbiamo bisogno di una cultura della sicurezza all’avanguardia in tutti i settori vitali che si affidano alle tecnologie dell’informazione e della comunicazione”. 

Avv. Maniscalco, può illustrarci la Direttiva Europea UE/2016/1148 recepita dall’Italia nel maggio 2018 sulla sicurezza delle reti e dei sistemi informativi (Directive on Security of Network and Information Systems, NIS).La Direttiva, molto importante sul piano della strategia europea sulla Cybersecurity, introduceva, tra l’altro, tre fondamentali elementi di novità: Necessità per gli Stati membri di dotarsi di un’organizzazione nazionale in grado di vincolare a stringenti misure di protezione i maggiori operatori di servizi essenziali (OSE) per l’economia (energia, trasporti, finanza, sanità, erogazione di acqua potabile, smistamento del traffico telematico) e di fornitori di servizi digitali (FSD), quali a titolo esemplificativo, motori di ricerca, mercati online, fornitori di servizi di cloudcomputing; Obbligo a carico degli OSE e FSD di notifica alle autorità degli incidenti con “effetti negativi rilevanti” (la cui definizione dei criteri di individuazione veniva demandata agli Stati membri); l’istituzione di un gruppo di cooperazione in ambito UE per l’information sharing e le best practices finalizzate alla più efficiente ed efficace difesa e resilienza cibernetica (CSIRT), che in Italia, a decorrere dal 6 maggio 2020, nell’ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) raccoglierà le funzioni del CERT-PA e del CERT Nazionale, con la collaborazione dell’Agenzia per l’Italia Digitale, specificamente in forza del DPCM 8 agosto 2019 in materia di “Disposizioni sull’organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano”, pubblicato in Gazzetta Ufficiale l’8 novembre 2019”.

Il Mercato Unico Digitale o Digital Single Market è una strategia adottata dalla Commissione Europea Juncker del 6 maggio 2015, di cosa si tratta? “La Direttiva ha evidentemente contribuito ad aumentare il livello di preparazione degli Stati membri verso una resiliente risposta agli incidenti cibernetici anche attraverso il costante confronto e supporto del Gruppo di cooperazione NIS. Dalla Direttiva NIS al Regolamento (UE) 2019/881 (Cybersecurity Act), è proseguito inesorabilmente l’impegno europeo nella costruzione di un Digital Single Market sicuro e affidabile, che possa polarizzare la fiducia degli utenti del mercato unico digitale. Per questo, è essenziale la costruzione di un framework condiviso che fissi regole efficaci per la protezione e la resilienza cibernetica nell’ambito del nuovo mandato dell’Agenzia Europea per la sicurezza informatica (ENISA) e del prossimo sistema di certificazione europeo di sistemi, prodotti hardware e software e processi. Frattanto, in Italia, con Decreto-Legge del 21 settembre 2019, n. 105 è stato introdotto il framework normativo che disciplina organicamente il perimetro di sicurezza cibernetica nazionale, in cui viene inclusa anche la delicata materia del “Golden power” che amplia i poteri speciali del Governo in materia di 5G e su atti ed operazioni delle aziende che detengono asset strategici. Orbene, – prosegue l’Avv. Davide Maniscalco – decorsi poco più di due anni dalla sua pubblicazione, la Commissione Europea, nel quadro di un strategia coordinata ed orizzontale alle sfide in materia di sicurezza, ha avviato una consultazione pubblica sulla revisione della Direttiva NIS, preordinata alla raccolta da parte degli stakeholders di opinioni funzionali sulla sua attuazione e sull’impatto di potenziali modifiche al pacchetto normativo, favorendo anche sia l’acquisizione di utili informazioni sullo stato di preparazione della sicurezza informatica di società e organizzazioni sia la proposizione di soluzioni di maggiore efficacia”.

Come si sta muovendo l’Agenzia Europea per la Sicurezza Informatica? “L’ENISA, nell’ambito del suo mandato permanente, rafforzato dal Cybersecurity Act, ha annunciato i seguenti sette obiettivi della nuova strategia dell’UE per la sicurezza cibernetica: comunità autorizzate e coinvolte nell’ecosistema della sicurezza informatica; sicurezza informatica come parte integrante delle politiche dell’UE; cooperazione efficace tra gli attori operativi all’interno dell’Unione in caso di incidenti informatici gravi; competenze e capacità all’avanguardia nella sicurezza informatica in tutta l’Unione; un alto livello di fiducia nelle soluzioni digitali sicure; lungimiranza sulle sfide emergenti e future della cyber security; informazioni e gestione della conoscenza della Cybersecurity efficienti ed efficaci per l’Europa. Infine, lo scorso 4 giugno – conclude Maniscalco – i rappresentanti permanenti degli Stati membri (COREPER) hanno raggiunto l’intesa per la prosecuzione dei negoziati tra Consiglio, Parlamento Commissione europei in ordine alla proposta di istituzione regolamentare di un Cybersecurity Research and Competence Centre”.

La sicurezza cibernetica necessita di competenze in continua evoluzione perché le vulnerabilità cambiano e nuove tecniche per sfruttarle si sviluppano incessantemente. In considerazione di quanto sopra, la Commissione Europea ha anche recentemente lanciato un sondaggio per partecipare alla definizione del profilo del “consulente europeo per la Cybersecurity.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *