Una nuova strategia e un dibattito sulla cybersecurity: gli insegnamenti del caso Leonardo

Il 16 dicembre scorso la Commissione europea e l'Alto Rappresentante per gli affari esteri e le politiche di sicurezza hanno presentato la Nuova Strategia di Cybersecurity dell'Unione Europea.

Certamente il 2020 deve essere considerato un annus horribilis, la pandemia ha infatti causato un numero tristemente elevato di vittime insieme ai gravissimi problemi causati all'economia del Paese. Tuttavia, l'Unione Europea sostanzialmente all'unanimità ha fornito una forte risposta economica con un piano di finanziamento enorme e senza precedenti in Europa approvando il Recovery Fund, il SURE e le nuove modalità di funzionamento per il più controverso Meccanismo Europeo di Stabilità (c.d. MES).
La Strategia è stata accompagnata dalla nuova proposta di Direttiva della Commissione europea e volta alla riforma del Direttiva UE 2016/1148 (c.d. Direttiva NIS).

La Direttiva NIS è stata recepita in Italia con decreto legislativo del 18 maggio 2018, n. 65 (entrato in vigore il 24.06.2018), con tale Direttiva si persegue in via principale l'obiettivo di realizzare un livello comune elevato di protezione della sicurezza delle reti e sistemi informativi. Invece, lo scopo della nuova proposta di Direttiva della Commissione, denominata appunto Direttiva NIS 2, è quello di innalzare il livello di comune di capacità di resilienza e di risposta all'evoluzione delle minacce di cybersicurezza e di quella del mercato unico digitale.

La Direttiva NIS 2 proposta dalla Commissione europea rappresenta il frutto di un processo di valutazione sul funzionamento della Direttiva NIS, tale valutazione ha evidenziato che sebbene la stessa avesse raggiunto importanti obiettivi di armonizzazione tra gli Stati Membri, presentava ancora diverse carenze che si possono riepilogare in tre direttrici: 1. Il basso livello di resilienza delle imprese europee agli attacchi di cybersercurity; 2. Una resilienza disomogenea tra gli Stati Membri e tra i vari settori dell'economia; 3. un basso livello di consapevolezza rispetto alle situazioni congiunte e la mancanza di una capacità di risposta comune alle crisi.

Inoltre, la Direttiva NIS è risultata non applicabile in modo pienamente coerente alle infrastrutture critiche (rectius, operatori di servizi essenziali e fornitori di servizi digitali), come evidenziato dalla Commissione europea in uno Stato Membro alcuni dei maggiori Ospedali risultano essere fuori dall'ambito applicativo dalla Direttiva NIS; mentre, in un altro Stato Membro quasi ogni organismo sanitario è risultato soggetto alla Direttiva, pertanto, da una parte per alcune infrastrutture critiche non risultano sottoposte alle misure di sicurezza previste, in altre situazioni potrebbe invece risultare troppo oneroso applicare la Direttiva senza tenere in conto della natura e della dimensione dell'attività effettivamente svolta.

Per contro, la Direttiva NIS 2 è un tassello necessario nell'ambito della Strategia europea che si basa su quattro pilastri: protezione dei dati personali, diritti fondamentali, safety e cybersercurity.

Tra le novità più di impatto per gli operatori, non previste finora così in modo stringente, vi è l'obbligo per le cc.dd. entità essenziali (che ricomprende la classificazione della Direttiva NIS secondo gli operatori di servizi essenziali e i fornitori di servizi digitali) di notificare gli incidenti di sicurezza all'Autorità competente oppure al CSIRT (Computer Secuity Incident Response Team) entro e non oltre le 24 ore da quando si è scoperto l'incidente di sicurezza (considerando n. 55 e art. 20 della proposta di Direttiva NIS 2).

La notificazione, in analogia con quanto già previsto in altre normative come il data breach ai sensi dell'art. 33 del GDPR (Reg. UE 2016/679) potrà essere stratificata o a fasi, nel contesto della protezione dei dati il termine è delle 72 ore dalla conoscenza dell'evento. Nel contesto dalla NIS 2 la notifica iniziale, attualmente in vigore con la Direttiva NIS il termine è regolato secondo il criterio del "senza indebito ritardo", dovrebbe avvenire perentoriamente entro le 24 ore e pertanto in un termine persino più stringente rispetto alla 72 ore e che richiedere l'impiego di ingenti risorse per essere osservato. Entro il termine iniziale si dovrebbe notificare solo un contenuto minimo relativo alle circostanze che permettano di individuare in primo luogo se l'azione sia presunta illegale o malevola, mentre la notificazione finale dovrà avvenire entro un mese dalla notificazione iniziale.

Peraltro, su richiesta delle autorità competente, medio tempore, dovranno essere fornite ulteriori informazioni sullo stato della gestione dell'incidente, in tale ultimo caso si parla di notificazione intermedia.

Tale proposta di Direttiva, in ogni caso, una volta che venisse approvata dal Consiglio europeo e dal Parlamento, prevederà con ragionevole certezza un periodo di transizione prima di essere recepita a livello di Stati Membri, pertanto, si presume un processo di alcuni anni prima che la proposta di Direttiva, approvata nelle sedi istituzionali europee, divenga applicabile interamente in ciascun Paese.

Tuttavia, il pericolo attuale consiste nel fatto che come asserito da autorevoli esperti internazionali di studi strategici (tra i quali merita certamente di essere citata l'opera di Thomas Rid, Cyber War Will Not Take Place, Hurst & Company, London, 2017), il dibattito sulla cybersecurity venga trattato quasi esclusivamente come un tema "militarizzato" diventando così appannaggio solo di alcuni ambienti istituzionali, mentre l'esigenza di innanzare il livello resilienza per le imprese sembra tanto impellente quanto necessario anche e soprattutto per i cittadini, perché molte delle informazioni e dei dati personali che vengono trattati degli operatori dei servizi essenziali (OSE) e dai fornitori di servizi digitali si riferiscono proprio ai cittadini.

In tale contesto, allo stato attuale le statistiche non sembrano certo confortanti, né sembra esserci sufficiente consapevolezza del problema di cybersecurity inteso in senso ampio.

Infatti, il contesto attuale come evidenziato dalla recente analisi pubblicata da Europol non è affatto confortante (INTERNET ORGANISED CRIME THREAT ASSESSMENT (IOCTA) 2020), le tecniche di social engineering e il phishing rimangono una manaccia reale ed effettiva, anche il SIM Swapping rappresenta una nuova frode in crescita (studi pubblicati da ABI LAB evidenziano i primi casi in Italia sin dal 2009), tuttavia, gli attacchi più diffusi risultano perpetrarsi tramite malware sempre più sofisticati insieme ad attacchi nei quali vengono veicolati i cryptolocker.

Risulta da una parte in tale analisi di settore che i criminali abbiano trasformato i tradizionali banking trojans in malware modulari in grado anche di carpire impronte digitali del PC per poi venderle per gli scopi più disparati. Per contro, i criminali informatici fanno continuo ricorso al dark web sia per fini di procacciamento che di vendita illegale, rendendo il ciclo di vita dei mercati più brevi e senza un mercato dominante; inoltre, la pandemia ha generato anche un incremento di utilizzo delle piattaforme per la vendita di prodotti illegali contro il covid-19 come per esempio la piattaforma OpenBazaar.

In tale contesto, nei primi giorni di dicembre 2020 è stato reso noto ai quotidiani il grave incidente di cybersicurezza relativo alla società Leonardo S.p.A.. Nel corso dell'indagine condotta dal CNAIPIC e dal Compartimento della Polizia di Napoli un ex dipendente e un dirigente Responsabile del Cert (Cyber Emergency Response Team) della società Leonardo S.p.A., organismo deputato alla gestione degli attacchi informatici, sono stati sottoposti a misure restrittive. Allo stato, i capi di imputazione risultano essere relativi ai delitti di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali per il primo e di depistaggio per il secondo.

Secondo quanto riferito dal comunicato stampa dell'Autorità di pubblica sicurezza già nel 2017 la società Leonardo S.p.A. aveva segnalato un traffico anomalo di dati in uscita dallo stabilimento di Pomigliano D'Arco (Napoli), tuttavia, il traffico anomalo risultava diretto verso una pagina web sottoposta a sequestro preventivo, le limitate circostanze all'epoca dei fatti sembra non abbia consentito di poter individuare alcun colpevole.

Recentemente le indagini hanno portato alla luce delle nuove circostanze estremamente gravi anche a livello di interessi di Stato; infatti, risulta che tra il maggio 2015 e il gennaio 2017, le strutture informatiche di Leonardo S.p.A. erano state colpite da un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT).

Tale attacco era stato perpetrato tramite l'installazione nei sistemi, nelle reti e nelle macchine, di un codice malevolo finalizzato alla creazione ed al mantenimento di attivi canali di comunicazione idonei a consentire una sostanziale esfiltrazione di elevati quantitativi di dati e informazioni di importante valore aziendale. Quanto ai colpevoli risulta allo stato attuale dell'indagine che il responsabile di questo attacco sia stato un addetto alla gestione della sicurezza informatica della stessa Leonardo S.p.A., il quale sembrerebbe che abbia sviluppato il software malevolo, successivamente era stato inoculato nei PC mediante chiavette Usb, si avviava automaticamente ad ogni esecuzione del sistema operativo, leggeva il traffico (sniffing) ed evidentemente era in grado fare esfiltrazione dei dati. Purtroppo, le informazioni sottratte risulterebbero oltre centomila file anche includendo dei progetti aerospaziali e di altre società, oltre i dati personali dei dipendenti, e riguarderebbe anche la progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale.

Il caso di incidente di cybersecurity della Leonardo S.p.A., società che come noto opera nella difesa, aerospazio e sicurezza partecipata a maggioranza dal Ministero dell'Economia e Finanza, è una vicenda che mostra da una parte con tutta evidenza come il Paese Italia non abbiamo ancora approntato una reale strategia efficace in ambito cybersecurity e dall'altra è chiaro che il costo dell'incidente lo pagherà il Paese Italia in termini di immagine e pertanto in termini di credibilità internazionale che si rifletterà presumibilmente anche sulle commesse internazionali.

Come è noto, il caso in oggetto, per quanto reso noto finora, è riconducile alle situazioni dei dipendenti infedeli ovvero insider, tuttavia, gli interessi essenziali dello Stato complicano non poco la vicenda fungendo da moltiplicatore rispetto ai danni cagionati all'intera collettività.

Questo evento per la gravità e per alcune caratteristiche riporta alla mente lo Scandalo Telecom-Sismi del 2006, ove il personale responsabile dell'allora security room (34 persone indagate, tra le forze dell'ordine e dipendenti della società) venne coinvolto in un'inchiesta che portò alla scoperta nel 2006 di attività illegali di intercettazioni e di attività dossieraggio rivolte anche a leader politici e con il coinvolgimento di servizi segreti deviati. Il caso di gravità estrema e che ebbe risonanza internazionale, al netto dei procedimenti penali e delle condanne definitive, mise in evidenza l'assenza di un quadro normativo applicabile alle organizzazioni e portò nel 2008 all'adozione da parte del Garante privacy del provvedimento sulle attribuzioni degli amministratori di sistema.

Si trattava di una prima fonte normativa regolamentare che definitiva le misure tecniche come il log collecting inalterabile degli accessi compiuti da parte degli amministratori di sistema (log in, log out e tentativi di accesso falliti di tutti i ruoli amministrativi) e alcune misure organizzative connesse. Tuttavia, dal 2008 è passato oltre un decennio e non sono stata previste altre normative trasversali di settore, si ritiene, infatti, che l'ambito degli addetti IT e della cybersecurity (responsabili dei CERT) nelle organizzazioni pubbliche e private, anche soprattutto se rientranti nelle infrastrutture critiche, necessiti di una disciplina più stringente che riguardi tutti le fasi da quella fase assuntiva alla fase esecutiva, definendo puntuali presidi di controllo in ambito anche deontologico connesso alla delicatezza del ruolo ricoperto. Inoltre, la normativa dovrebbe disciplinare anche il monitoraggio delle attività compiute da parte degli amministratori di sistema e di altre figure tecnico-informatiche pur bilanciando tale monitoraggio con le esigenze di protezione dei dati personali (da una parte l'accountability e dall'altra i principi di minimizzazione, di trasparenza, di non eccedenza, divieto di controllo a distanza dei lavoratori).

Tale iniziativa sarebbe tanto più auspicabile, solo qualora fosse frutto di una effettiva concertazione tra i ministeri competenti, CSIRT, DIS, AGID e le corrispondenti Autorità indipendenti, perché, delle semplici proposte normative non multidisciplinari e non coordinati a livello istituzionale tra le diverse normative di settore applicabili avrebbero scarsa efficacia rispetto all'obiettivo di rafforzare il mercato unico digitale nazionale ed europeo.

Più in generale, come affermato da noti esperti di studi strategici siamo nell'era della cyber war, ove le azioni di spionaggio e sabotaggio sono all'ordine del giorno, questo evento per quanto grave sia e confidando che non si tratti, come paventato da alcuni, di uno State-Sponsored Cyber Attack, deve insegnarci che è necessario investire di più ed un modo più oculato nella sicurezza. Non solo nella sicurezza ma anche nella protezione dei dati personali all'interno delle organizzazioni pubbliche e private, ambito nel quale la normativa sulla protezione dei dati obbliga a dotarsi di politiche di sicurezza specifiche e di adottare misure di sicurezza organizzative e tecniche in linea con le migliori buone pratiche del settore.

La cybersercurity come disciplinata dalla Direttiva NIS riguarda principalmente sette settori dell'economia dall'erogazione dell'acqua, ai trasporti, alla fornitura di gas e di energia elettrica, al mercato bancario e finanziario, al settore sanitario, alle infrastrutture digitali e inoltre vi sono anche tre aree di servizi digitali, dagli online marketplace, ai motori di ricerca ai servizi di cloud computing. Mentre, la Direttiva NIS 2 tende ad espandere l'ambito operativo degli adempimenti, includendo i servizi postali, la gestione rifiuti, la produzione e la distribuzione di prodotti chimici, la produzione e la distribuzione di prodotti di genere alimentare, pur prevedendo comunque un sistema di generale esclusione e di semplificazione degli oneri a carico della Piccole e Medie Imprese.

L'auspicio è che tanto nelle società partecipate dallo Stato, quanto nella PA e che nelle grandi società private, come anche nelle imprese piccole e medie, si percepisca la gravità della mancanza di adeguate misure di sicurezza per rafforzare sin da subito ad investire soprattutto nella sensibilizzazione dei vertici aziendali sia in ambito di cybersecurity che nella protezione dei dati.

Infatti, come mostrato anche dalla recente esperienza nell'ambito della lotta al covid-19, le soluzioni tecnologiche come per esempio la APP immuni, rischiano di avere una scarsa se non limitata efficacia se non inserite in una strategia organizzativa complessiva e multidisciplinare, poiché la tecnologia necessita sempre del fattore umano.

In conclusione, come sopra accennato, in primo luogo vi è l'impellente esigenza che il dibattito sulla cybersecurity porti con sè anche un tema più ampio che ricomprenda anche la sicurezza delle informazioni e la data protection.

In tal senso, gli studi sulla definizione di cybersercurity conducono ad un significato più ampio in linea con i principi e nel contesto indicati nel Cybersecurity Act e nella nuova strategia europea. Anche ricorrendo al noto dizionario di inglese Marriam-Webster la cybersercurity viene definita come "measures taken to protect a computer or computer system (as on the Internet) against unauthorized access or attack", pertanto, ci si riferisce ad un concetto internazionale che rimanda come esempio al di contesto di internet, nozione certamente più ampia rispetto al criterio della protezione delle reti e sistemi informativi relativi ai servizi essenziali dello Stato e servizi digitali come previsto nella Direttiva NIS.

Infatti, il Regolamento UE 2016/881 (c.d. Regolamento sulla cibersicurezza o Cybersecurity Act) definisce all'art. 2 la "cibersicurezza come l'insieme di attività necessarie per proteggere le reti e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate alle minacce informatiche", tale definizione sebbene ampia e in linea con le definizioni più condivise, si inserisce tuttavia all'interno dell'impianto normativo definito dalla NIS.

A tal riguardo si richiama uno studio particolarmente interessante titolato "Defining Cybersecurity" a firma di Dan Craigen, Nadia-Daikun-Tibauld e Randy Purse (Technology Innovation Management Review, october 2014), dopo aver analizzato numerose definizioni, gli autori pervengono ad una proposta di una nuova nozione di Cybersecurity vista come l'organizzazione e la raccolta di risorse, elaborazioni, e strutture usate per proteggere, il cyberspazio e i sistemi che consentono l'accesso di sistemi del cyberspazio, dagli incidenti intenzionali o accidentali che violano i diritti proprietà che potrà essere perseguita da parte dell'Autorità competente (gli autori ricorrono in realtà ad una più complessa teoria del disallineamento de facto rispetto a quella de iure dei diritti proprietà; la traduzione è una libera interpretazione dell'autore del presente articolo).

Da una parte corre l'obbligo di rilevare che il cyberspazio in senso tecnico è un concetto più ampio di internet, dall'altra parte non può non essere colto l'aspetto che in tale definizione vi sono in generale presenti forti elementi comuni con la nuova strategia europea volta a proteggere il diritto alla protezione dei dati e i diritti fondamentali, rappresentando anch'essi i pilastri del futuro mercato europeo digitale e della cybersecurity. Se è così il tema della cybersecurity è una disciplina che non può essere più solo legata ad un dibattito "militarizzato" o comunque riservato a pochi esperti di settore.

In tal senso, si ritiene necessario che il dibattito sulla cybersecurity diventi più trasparente con un maggiore coinvolgimento delle società civile e sia inspirato ad un forte approccio necessariamente multidisciplinare, poiché la cybersecurity non è più solo un tema per esperti di informatica o di sicurezza informatica e deve includere anche altri esperti, come quelli della protezione dei dati, gli psicologi ed esperti di comunicazione.

Infatti, si tratta di una disciplina comunque strettamente connessa al fattore umano, sarà lo staff dell'organizzazione che dovrà applicare le misure di sicurezza all'interno della stessa, senza la sensibilizzazione dei vertici e la formazione del personale tali misure non saranno inefficaci, inoltre, solo un dibattito aperto e trasparente potrà portare ad un confronto costruttivo verso un più elevato livello di protezione delle infrastrutture critiche e dei dati personali, non ultimo tale contesto porterà ad un efficace tutela dei diritti fondamentali dei cittadini continuamente a rischio di pregiudizio nel mondo digitale interconnesso.

____

*Avvocato - Data Protection Officer - Docente universitario a contratto - Fondatore Studio Legale Di Resta Lawyers