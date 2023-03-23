La Commissione europea e il servizio diplomatico dell’UE stanno avviando due iniziative concorrenti per collaborare con le aziende private sulle minacce alla sicurezza informatica. Nel frattempo, i governi dell’UE sembrano intenzionati a tenere per sé le informazioni sensibili.

Negli ultimi mesi, il Servizio europeo per l’azione esterna (SEAE), il braccio diplomatico del blocco, ha lavorato all’aggiornamento del suo EU Cyber Diplomacy Toolbox, un’iniziativa per coordinare una risposta diplomatica alle attività informatiche dannose.

La proposta, brevemente anticipata nella strategia militare dell’UE, la cosiddetta Bussola strategica, è stata stanziata l’anno scorso per attuare “misure preventive e sanzioni nei confronti di attori esterni per attività informatiche dannose contro l’Unione e i suoi Stati membri”.

Come parte del rinnovamento, il SEAE si è impegnato con aziende e associazioni di cyber sicurezza per sviluppare un partenariato pubblico-privato, secondo una serie di documenti, visti da EURACTIV.

Secondo una bozza di discussione sull’iniziativa, “il SEAE sta valutando la possibilità di istituire un impegno strutturato e regolare con il settore privato, che potrebbe costituire una piattaforma per lo scambio di osservazioni di alto livello sulle tendenze strategiche della cyber sicurezza nel contesto della politica estera e di sicurezza”.

Seguendo il modello ucraino, l’idea è quella di creare un “quadro vantaggioso per tutti”, che permetta al settore privato di mettere in comune le informazioni sulle minacce informatiche, per coordinare le risposte alle azioni informatiche dannose.

Strumenti di diplomazia informatica

Negli ultimi mesi il servizio diplomatico dell’UE ha organizzato seminari a porte chiuse, in collaborazione con l’European Cyber Agora, un’iniziativa multi-stakeholder guidata da Microsoft e dal German Marshall Fund degli Stati Uniti.

Il primo incontro, tenutosi a novembre, è stato organizzato presso la sede di Microsoft, azienda leader nel settore della sicurezza informatica che intrattiene regolari scambi di intelligence con i servizi di sicurezza statunitensi.

Le agenzie di intelligence dell’UE e degli Stati Uniti hanno avuto una storia travagliata per quanto riguarda la condivisione delle informazioni. Pertanto, le aziende europee si chiedono fino a che punto le informazioni sulle minacce informatiche possano essere di alta qualità se Washington è coinvolta, anche se indirettamente.

Giovedì scorso (16 marzo) si è svolto il secondo workshop dedicato allo studio di casi sulle minacce informatiche all’intelligence.

L’ultimo workshop è previsto per la prossima settimana e si concentrerà sulla verifica delle soluzioni individuate, mentre la riforma finale sarà presentata durante la conferenza European Cyber Agora del 25-26 aprile.

Tuttavia, a un mese dall’inizio, la forma di questo partenariato pubblico-privato rimane indefinita, poiché le aziende private attualmente non vedono il vantaggio di condividere le informazioni sulle minacce con il servizio, secondo le fonti informate sulla questione.

Come se non bastasse, anche la Commissione europea sta lavorando a un’iniziativa simile, ma separata.

Riserva informatica europea

Il mese prossimo la Commissione presenterà il Cyber Solidarity Act, una proposta per istituire il quadro giuridico per la distribuzione di finanziamenti dal fondo di emergenza per la cybersecurity per fornire risposta agli incidenti e audit di cybersecurity alle entità critiche.

Le aziende private che forniscono questi servizi dovranno qualificarsi attraverso un certificato di cybersecurity e costituiranno una Cyber Reserve. In cambio di questo accesso privilegiato ai contratti finanziati con fondi pubblici, i fornitori di servizi di fiducia dovranno probabilmente condividere le informazioni sulle minacce.

Una parte fondamentale dell’iniziativa di solidarietà informatica è la creazione di un’infrastruttura di rilevamento europea, destinata a fornire una piattaforma sicura per la condivisione delle informazioni sulle minacce.

Tuttavia, la questione non riguarda solo i dati grezzi, ma soprattutto la capacità di analizzarli in tempo reale. A questo proposito, la Commissione ha recentemente stanziato una sovvenzione per istituire una sala situazionale per gestire gli incidenti di cyber sicurezza, che colpiscono l’Europa.

In altre parole, l’esecutivo dell’UE si concentra soprattutto sulle risposte agli incidenti in caso di grandi attacchi informatici, mentre il SEAE è semplicemente interessato a poter attribuire la responsabilità agli attori malintenzionati, per informare le risposte diplomatiche dell’UE, come le sanzioni economiche.

I due servizi dell’UE lavorano su gruppi separati con approcci diversi. Il SEAE ha invitato la Commissione a partecipare al suo secondo workshop, ma l’esecutivo dell’UE non ha inviato alcun rappresentante.

Nel frattempo, anche gli Stati membri stanno cercando di mantenere l’intelligence sulle minacce informatiche nelle loro mani.

Vulnerabilità sfruttate

Una parte essenziale dell’intelligence sulle minacce informatiche riguarda le vulnerabilità sfruttate, punti deboli che gli hacker sfruttano per ottenere un accesso non autorizzato.

Il modo in cui gestire le vulnerabilità sfruttate è un argomento delicato nelle discussioni sul Cyber Resilience Act, un progetto di legge che introduce requisiti di sicurezza informatica per i dispositivi connessi.

La proposta originaria della Commissione prevedeva che i produttori di prodotti segnalassero queste vulnerabilità all’ENISA, l’Agenzia europea per la sicurezza informatica.

Tuttavia, molti hanno sollevato dubbi sul fatto che l’agenzia dell’UE potrebbe non avere la capacità di gestire un tale volume di dati e che un archivio centralizzato di tali informazioni sensibili sarebbe molto attraente per i malintenzionati.

I Paesi dell’UE vogliono invece che le notifiche siano inviate ai Cyber Security Incident Response Team (CSIRT) nazionali. Nel compromesso della scorsa settimana sulla bozza di legge sulla cyber security, la formulazione è stata resa ancora più ampia per consentire a un CSIRT nazionale di rifiutarsi di condividere le informazioni con i suoi colleghi.

Inoltre, la scorsa settimana Heise ha riferito che la polizia federale tedesca e l’Ufficio centrale per la tecnologia dell’informazione stanno lavorando dall’ottobre 2021 con le autorità di Francia, Paesi Bassi e Norvegia per identificare gli exploit zero-day, cioè malware specifici per attaccare i sistemi informatici.

L’intento del progetto, coordinato dal ministro degli Interni francese e il cui budget di 4,2 milioni di euro è coperto al 90% da finanziamenti dell’UE, è quello di trovare il tipo di vulnerabilità che consente alle forze dell’ordine di decifrare le password e spiare gli smartphone criptati.

Gli exploit zero-day sono il Santo Graal delle vulnerabilità, poiché sono sconosciuti ai fornitori di software. Sono considerati altamente sensibili in quanto possono essere utilizzati per violare la sicurezza non solo delle organizzazioni criminali ma anche obiettivi sensibili in paesi stranieri.

Leggi l’articolo originale qui.