L’agenzia comunitaria Enisa prepara gli schemi di certificazione per la sicurezza informatica di cloud e reti intelligenti. Ecco come cambia il mercato
Smart grid e cloud. Sono queste le prime tecnologie a cui l’Unione europea darà la patente di cybersecurity. Enisa, l’agenzia comunitaria per la sicurezza informatica, è al lavoro sui primi due schemi di certificazione per stabilire quale gamma di difese dagli attacchi hacker devono possedere prodotti o servizi in vendita nel vecchio continente. La misura fa parte del più ampio programma di difesa cibernetica dell’Unione a 27, varato con il Cybersecurity act. Tra i compiti di Enisa rientra quello di mettere nero su bianco gli standard per certificare la sicurezza informatica dei prodotti tecnologici.
“Stiamo lavorando alle bozze di due schemi”, spiega a Wired Steve Purser, a capo delle operazioni centrali dell’agenzia. Il primo riguarda gli operatori di smart grid, le reti energetiche intelligenti. “Stiamo procedendo bene, sarà completo per fine anno”, anticipa Purser. Più o meno stessi tempi anche per il secondo, che riguarda i servizi cloud, sempre più nel mirino di attacchi cibernetici perché, come riconosce la stessa Enisa, sono altamente redditizi. La società di sicurezza informatica Trend Micro si aspetta nel 2020 un aumento delle violazioni al cloud, sia per impadronirsi dei dati in esso archiviati, sia per amplificare un’aggressione cibernetica, per esempio bloccando un impianto attraverso le connessioni alla rete.
Tutti sotto controllo
Reti intelligenti e cloud rappresentano le due facce della direttiva europea Nis, promulgata nel 2019. Da una parte ci sono i servizi essenziali per la vita quotidiana delle persone, come acqua, luce, gas, banche, ospedali e telecomunicazioni, già sorvegliati speciali dallo scorso anno (in Italia 465 aziende sono state chiamate ad alzare le loro difese). Nel 2019 il centro studi statunitense Center for strategic and international studies ha censito nel mondo almeno 17 campagne contro infrastrutture critiche, venute a galla anche a distanza di anni. Mentre la società di cybersecurity Kaspersky ha calcolato che l’anno scorso i servizi di 174 città nel mondo, da scuole a ospedali, dalle società municipalizzate ai comuni stessi, sono stati colpiti da ransomware (+60% sul 2018).
Sull’altro versante della Nis si trovano i fornitori dei servizi digitali, come social network, ecommerce, piattaforme di prenotazioni viaggi o broker di criptovalute, ormai diventati sempre più pervasivi nelle abitudini di consumo e di vita, nonché casseforti di enormi quantità di dati sensibili. Secondo l’osservatorio Information security and privacy del Politecnico di Milano, la spesa per la protezione del cloud nel 2019 ha drenato il 13% del budget totale delle aziende italiane, ma è la voce cresciuta di più (+55% in un anno) e per il 67% dei manager è la priorità.
Le regole del gioco
La certificazione è un passaggio critico perché fissa standard identici su tutto il territorio europeo. E impone regole del gioco uguali per grandi imprese e pmi. Un rapporto della società di consulenza Accenture evidenzia che, se le società che non sono leader di un settore si comportassero come i primi della classe, potrebbero ridurre di due terzi i costi di un singolo attacco cibernetico.
Basti vedere cos’è successo con le misure di sicurezza in campo 5G. All’inizio i 27 governi dell’Ue si sono mossi in ordine sparso, adottando provvedimenti più o meno rigidi sulle modalità di installazione della prossima generazione di comunicazioni mobili. Con il rischio di lasciare varchi nelle difese aperti alle incursioni. Così, dopo lunghe trattative, Bruxelles ha sfornato la sua cassetta degli attrezzi per stabilire se una tecnologia 5G è sicura o meno.
Ora lo schema sarà riprodotto su altri campi: dai semiconduttori alle smart card, dagli strumenti di crittografia ai sistemi di trusted computing (calcolo fidato). Ci saranno tre livelli di rischio, spiega Purser: “Basico, sostanziale e alto”, a seconda del prodotto o servizio che si certifica, che richiederanno diversi criteri da rispettare e tempi più lunghi di analisi. “Per i dispositivi dell’internet of things i tempi saranno abbastanza veloci, dai 6 ai 9 mesi, mentre per tecnologie più critiche, come il 5G, si andrà da uno a due anni”, aggiunge il responsabile dell’Enisa.
Secondo Gabriele Faggioli, presidente di Clusit (l’associazione italiana sulla sicurezza informatica) l’arrivo della certificazione è una notizia che va salutata “in modo molto positivo, perché è una garanzia per il mercato quando acquista un prodotto. Dobbiamo arrivare a un punto in cui i prodotti digitali e telematici sono riconosciuti come sicuri dal mercato e non devono essere studiati ogni volta a un costo alto”. Oggi la mancanza di schemi comunitari impone alle aziende di ottenere un via libera per ciascun Paese in cui vogliono vendere, con spese e tempi che diventano insostenibili. Una patente unica, invece, avrà un effetto Gdpr: chi vorrà commerciare in Europa, dovrà adeguarsi. “Gli schemi potranno essere recepiti a livello extra-europeo e generare un equilibrio di mercato”, chiosa Faggioli.
Il fattore tempo
Per far fronte al ruolo rafforzato, non solo di certificazione, ma anche di coordinamento comunitario in caso di crisi cyber, l’agenzia (sede ad Atene, uffici anche a Creta) ha visto raddoppiare il suo budget: 21,8 milioni di euro nel 2020, contro gli 11 incassati, ogni anno, tra 2014 e 2017. Anche lo staff è cresciuto: era composto da 84 persone, entro il 2022 devono arrivare a 121.
La politica di Bruxelles non è esente da rischi, soprattutto in ordine di tempo. Il processo di certificazione prevede che la Commissione incarichi Enisa di scrivere un determinato schema. A quel punto l’agenzia deve confrontarsi con gli stati e i rappresentanti dell’industria, poi scrivere una bozza da consegnare a Bruxelles per l’approvazione finale. E a quel punto i produttori devono mettersi in fila per ricevere la patente europea.
Purser non lo nasconde, “ci sarà un rallentamento”. Ma, aggiunge, “la qualità sarà più alta”. “Sottoporsi provocherà un enorme vantaggio competitivo”, scandisce Faggioli. E questa è una delle sfide: fissare i paletti comuni senza condannare l’Europa unita a un’eterna rincorsa dei due corridori di testa, Stati Uniti e Cina. Come chiede d’altronde il nuovo programma digitale varato dalla presidente Ursula von der Leyen. Ma per Purser non si vive di sola certificazione: “La sicurezza è fatta di persone, processi e tecnologie. Per mitigare i rischi abbiamo in mano altri meccanismi”.
