La normativa cybersecurity ha le gambe fragili: ecco perché rischiamo un flop
Sono state varate tre diverse normative europee, che si propongono di approcciare il problema partendo da diverse angolazioni. Sono la Direttiva NIS (Network and Information Security), il Regolamento GDPR (General Data Protection Regulation), ed il Regolamento eIDAS (electronic IDentification Authentication and Signature). Ma hanno molti punti di debolezza: vediamoli
21 Luglio 2016
Andrea Zapparoli Manzoni, Clusit
Da alcuni anni ormai i principali studi italiani ed internazionali in materia di Cyber Crime, Cyber Espionage e Information Warfare sottolineano con forza la crescente gravità della situazione e l’urgenza di correre ai ripari in modo deciso, cadendo purtroppo frequentemente nel vuoto, al di là dei facili proclami e di azioni di facciata.
Questa lunga latitanza della politica e dei legislatori su una tematica tanto importante ha consentito a queste nuove minacce di svilupparsi enormemente, sostanzialmente indisturbate nonostante gli sforzi titanici delle Forze dell’Ordine, causando già oggi danni per centinaia di miliardi di dollari all’anno a livello globale, e per centinaia di milioni di euro nel nostro Paese (secondo stime molto prudenti, 900 milioni nel 2015).
L’insicurezza informatica si è profondamente trasformata ed oggi, nel giro di soli 4-5 anni, da problema secondario legato all’esercizio dell’IT è diventata una grave minaccia sistemica, imponendo quella che ormai è diventata una vera e propria “tassa” sull’uso del digitale, sia a carico dei privati che di aziende ed Istituzioni.
A titolo di esempio, recentemente il governo britannico ha dichiarato che il Cyber Crime costituisce la singola famiglia di reati più dannosa nel Regno Unito, provocando perdite annuali per diversi miliardi di sterline, e non ci sono oggettive ragioni per supporre che l’impatto di questo fenomeno sia diverso in altri paesi tecnologicamente avanzati come l’Italia, mentre il mese scorso il Garante Italiano ha affermato in conferenza stampa che il fenomeno cyber criminale sta assumendo le dimensioni del narcotraffico internazionale, in termini di giro d’affari e di impatti socio-economici.
In questo scenario, dopo lunghe trattative, notevoli sforzi diplomatici ed inevitabili compromessi sono state varate tre diverse normative europee, che si propongono di approcciare il problema partendo da diverse angolazioni. Queste normative sono la Direttiva NIS (Network and Information Security), il Regolamento GDPR (General Data Protection Regulation), ed il Regolamento eIDAS (electronic IDentification Authentication and Signature).
La direttiva NIS dell’Unione europea è la prima legislazione europea dedicata esclusivamente alla sicurezza informatica, ed ha come obiettivi dichiarati da un lato il rafforzamento delle Authorities nazionali in materia di sicurezza ICT, incrementandone il coordinamento, e dall’altro l’introduzione di requisiti di sicurezza per alcuni settori critici per l’economia, in particolare le Infrastrutture Critiche (OES) e gli operatori principali del digitale (DSP).
Il Regolamento GDPR, altrimenti chiamato “regolamento generale sulla protezione dei dati”, è mirato a rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione, e tratta anche il delicato tema dell’esportazione di dati personali al di fuori dell’UE.
Il Regolamento eIDAS ha l’obiettivo di fornire una base normativa europea per i servizi fiduciari ed i mezzi di identificazione elettronica utilizzati nei diversi Stati membri, ponendo le basi per la realizzazione di transazioni elettroniche sicure e certe fra cittadini, imprese e pubbliche amministrazioni, aumentando nel contempo la sicurezza e l’efficacia dei servizi di commercio elettronico.
Per quanto tali normative stiano entrando in vigore solo in questi giorni, prevedendo ciascuna diversi mesi di tempo per andare a regime, è già oggi possibile ipotizzarne gli esiti, o quantomeno individuare i principali rischi esistenti rispetto ad una loro piena ed efficace attuazione.
Innanzi tutto, quella che sarebbe la normativa più importante dal punto di vista della protezione cibernetica europea, ovvero la Direttiva NIS, è, appunto, una Direttiva e non un Regolamento, il che sottrae efficacia e in parte depotenzia l’intero discorso di protezione del cyberspace europeo che la Commissione vorrebbe portare avanti. Inoltre, nel testo la Direttiva esclude esplicitamente una serie di importantissime previsioni, per esempio che possano essere dettati standard specifici di sicurezza informatica per prodotti hardware e software.
Pur comprendendo perfettamente le motivazioni politiche ed economiche di questa esclusione, va detto che in assenza di standard puntuali e mandatori in questo campo, ad oggi inesistenti, non sarà ragionevolmente possibile mitigare l’attuale livello di minaccia cyber in tempo utile (ovvero prima che i danni crescano ancora considerevolmente, minando potenzialmente il sistema), ed anzi la situazione di rischio attuale potrà solo peggiorare. Va anche sottolineato che l’assenza di questi standard è un unicum del comparto ICT, dal momento che in altri settori più maturi (p.es. quello automotive) non è possibile vendere un veicolo se non dotato di una lunga serie di dispositivi di sicurezza attiva e passiva, e se non ha sostenuto con successo una serie di test specifici.
Oltre a ciò, la Direttiva NIS non impone particolari controlli, standard o sanzioni per i DSP, anzi li esclude, il che non genererà gli auspicati investimenti in sicurezza da parte di questi operatori, che sarebbero invece essenziali.
Per quanto riguarda il Regolamento GDPR, per quanto siano presenti un numero importante di previsioni innovative, e vengano introdotti concetti importantissimi quali ad esempio quello della “security by design” per i sistemi deputati al trattamento di dati personali, oltre a sanzioni sulla carta molto pesanti per i trasgressori, non è ancora chiara l’effettiva portata pratica di questi oneri, ed al momento sembra improbabile che possano essere applicati in modo stringente senza provocare costi altissimi per i diretti destinatari, considerando anche che questi soggetti tenderanno a trasferire il più possibile questi costi sugli utenti finali. L’aspetto economico in questo caso farà decisamente la differenza, e sarà necessario trovare un equilibrio ragionevole tra maggiori costi e mitigazione dei rischi, non facile da individuare.
Il Regolamento eIDAS, il più tecnico ed il più focalizzato dei tre, definisce sulla carta dei meccanismi certamente validi per rafforzare la sicurezza e la certezza delle transazioni elettroniche, che però per raggiungere l’efficacia auspicata dovranno essere implementati a regola d’arte e sostenuti da forti investimenti. Oltre alla complessità delle piattaforme tecnologiche oggetto del Regolamento, va considerato un aspetto fondamentale, spesso minimizzato, che si ricollega a quanto detto in merito alla Direttiva NIS, ovvero che gli attuali livelli medi di sicurezza dell’hardware e (soprattutto) del software sono sostanzialmente inadeguati per fungere da substrato e da fondamenta per realizzare processi di business e transazioni elettroniche che abbiano il livello di sicurezza e certezza desiderati dal legislatore.
In conclusione, le tre normative (in particolare le prime due) rischiano di avere un’efficacia inferiore a quanto desiderato, e gli investimenti che richiederanno per essere adottate potrebbero non fornire il ROI sperato, in assenza di due fattori fondamentali: da un lato è necessario un deciso e rapido aumento della cultura della sicurezza informatica da parte di tutti gli utenti e di tutti gli stakeholders della nostra civiltà digitale (la cyber security non è più un problema per tecnici, ma un problema di tutti) e dall’altro è fondamentale un forte impulso verso la definizione di standard stringenti di sicurezza informatica per gli strumenti ICT sui quali questa civiltà digitale oggi è basata.
Senza compiere questi due passi cruciali, i buoni propositi ed i giusti principi espressi dalle tre nuove normative europee saranno molto difficilmente implementabili, o meglio, non sembra ragionevole che possano produrre tutti gli effetti positivi sperati.