Qual è oggi il livello di rischio di cybersicurezza dell’Ue nei settori più critici? Ne parla un report della Commissione Ue (SCARICA QUI IL DOCUMENTO) prodotto a seguito della richiesta del Consiglio – contenuta nelle conclusioni del maggio 2022 sulla posizione cibernetica dell’Ue e rivolta alla Commissione, all’Alto rappresentante e al gruppo di cooperazione Nis – di effettuare una valutazione dei rischi e di sviluppare scenari di rischio dal punto di vista della sicurezza informatica in una situazione di minaccia o di possibile attacco contro gli Stati membri o i Paesi partner. Le conclusioni includono 17 suggerimenti su quattro aree di miglioramento per “la postura e la resilienza complessiva dei settori civili dell’elettricità e delle telecomunicazioni in materia di cibersicurezza, intelligenza collettiva, gestione intersettoriale delle crisi e valutazioni di follow-up del rischio”.
Focus su tlc ed energy
La relazione si concentra su due settori – le telecomunicazioni (reti mobili, reti fisse, satellite e infrastruttura internet di base) e l’elettricità (compreso il gas nella misura in cui supporta la generazione di elettricità) -, per le cui catene di approvvigionamento la dipendenza da componenti critici provenienti da Paesi terzi e le vulnerabilità rappresentano un rischio particolare. “Molti componenti specifici – scirve la Commissione – hanno fornitori limitati con sede al di fuori dell’Ue, che possono essere considerati ad alto rischio a causa della suscettibilità a interferenze governative senza adeguati vincoli legali o giudiziari. Inoltre, la crescente importanza delle fonti di energia rinnovabili, come l’energia eolica e solare, introduce molte nuove tecnologie digitali, spesso meno sicure, nelle reti energetiche critiche per la società”.
Uno scenario denso di criticità
Dall’analisi emerge che la posizione informatica dell’Ue trarrebbe grande beneficio da ulteriori ricerche sulle potenziali misure di sicurezza.
“Per quanto riguarda il settore delle telecomunicazioni – si legge -, i rischi principali individuati sono quelli relativi alle reti di telecomunicazione mobili e fisse, all’infrastruttura centrale di Internet e alle comunicazioni satellitari. Gli enormi database di informazioni sensibili detenuti dal sottosettore della telefonia mobile sono uno dei principali obiettivi del ransomware. L’indisponibilità dei servizi del settore delle comunicazioni causata da ransomware e malware distruttivi comporta un ampio potenziale di ricaduta su altri settori. Inoltre, il rischio di interruzione è maggiore nelle aree in cui un operatore di telecomunicazioni è l’unico fornitore per entità critiche o in una particolare regione. Il rischio di spionaggio derivante dall’infiltrazione di insider malintenzionati o da Paesi terzi ostili che esercitano pressioni sui fornitori di 5G per facilitare i cyberattacchi è altrettanto probabile, anche se il suo impatto è molto più difficile da valutare. Le vulnerabilità nell’infrastruttura di roaming possono essere sfruttate per geolocalizzare gli utenti, intercettare le chiamate e gli sms, mentre gli attacchi di smishing (utilizzo di messaggi di testo ingannevoli) e vishing (utilizzo di tecnologie vocali e telefoniche) possono essere utilizzati per raccogliere credenziali e ottenere l’accesso a sistemi critici. I dispositivi non patchati utilizzati per connettersi a Internet sono suscettibili di essere compromessi e possono essere utilizzati come parte di botnet controllate da attori malintenzionati. Per l’infrastruttura centrale di Internet, compresi i circa 200 cavi sottomarini in tutto il mondo, il sabotaggio fisico è il rischio più importante. Il rischio maggiore per le reti satellitari è il disturbo dei segnali, a causa del suo basso costo e della facilità con cui può essere orchestrato”.
E ancora: “Per quanto riguarda il settore dell’elettricità, i rischi maggiori identificati riguardano le entità direttamente collegate alla rete elettrica (comprese le infrastrutture del gas). Le minacce più evidenti sono rappresentate da insider che lavorano per attori ostili e si infiltrano nelle organizzazioni, oppure vengono manipolati attraverso l’ingegneria sociale, oltre a cyberattacchi dall’esterno, in cui ransomware e malware vengono utilizzati per ottenere il controllo o perturbare in altro modo la tecnologia operativa su cui fanno affidamento i produttori di gas e i generatori di elettricità. Inoltre, lo spionaggio è un rischio importante per il settore dell’energia, per due motivi: in primo luogo, vi sono grandi quantità di proprietà intellettuale sensibile nel settore e, in secondo luogo, il settore attrae una notevole attività di preposizionamento da parte di attori di minacce avanzate con l’obiettivo di eseguire successivamente attacchi distruttivi”.
17 suggerimenti per 10 scenari di rischio
Sulla base dei risultati, sono stati sviluppati dieci scenari di rischio da utilizzare negli esercizi di preparazione al rischio sia a livello europeo che nazionale. Gli scenari riflettono i rischi più salienti in un’ampia gamma di sottosettori e sono stati concepiti per mettere alla prova le attuali misure di preparazione. Le conclusioni includono 17 suggerimenti su quattro aree di miglioramento per la postura e la resilienza complessiva dei settori civili dell’elettricità e delle telecomunicazioni in materia di cibersicurezza, intelligenza collettiva, gestione intersettoriale delle crisi e valutazioni di follow-up del rischio. Queste le linee guida:
Resilienza e postura di cybersecurity
- Ove necessario, gli Stati membri dovrebbero scambiare buone pratiche e sviluppare linee guida che coprano la sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset, con particolare attenzione alle procedure di vetting e di cessazione o cambiamento del rapporto di lavoro (ad esempio, il nulla osta per ruoli sensibili e funzioni di sicurezza). Gli Stati membri sono incoraggiati a sostenere formalmente tali procedure e a puntare a una maggiore coerenza in tutta l’Ue.
- Sforzi coordinati per condividere le buone pratiche sulla mitigazione del ransomware, insieme al monitoraggio delle vulnerabilità (ad esempio, Csirt nazionali o informazioni sui fornitori) e alla divulgazione coordinata delle vulnerabilità (Cvd), ad esempio, ai sensi della direttiva Nis2.
- Inoltre, le sinergie e lo scambio di informazioni tra i gruppi di risposta agli incidenti di sicurezza informatica (Csirt) e le forze dell’ordine, così come gli sforzi per “seguire le tracce del denaro” della criminalità organizzata, dovrebbero essere rafforzati per migliorare la mitigazione e la deterrenza. Inoltre, è necessario promuovere e intensificare il coordinamento delle politiche con i partner internazionali, ad esempio attraverso la Counter Ransomware Initiative.
- L’approccio “all-hazards” della direttiva Nis2 implica l’importanza di valutazioni che coinvolgano tutte le autorità competenti, comprese quelle della direttiva sulla resilienza delle entità critiche (Critical Entities Resilience – Cer), in merito alla sicurezza e alla resilienza delle infrastrutture fisiche come i cavi sottomarini.
- La legge sulla resilienza informatica (Cyber Resilience Act – Cra) migliora la sicurezza a livello di prodotto attraverso requisiti di sicurezza che riducono la probabilità di uno scenario che includa una vulnerabilità menzionata in una banca dati Cve (Common Vulnerability Exposure). Si raccomanda agli Stati membri di promuovere una transizione precoce e agevole per gli enti del settore energetico e delle telecomunicazioni al fine di raggiungere i requisiti stabiliti nel Cra. La transizione per gli enti può comprendere la promozione della familiarizzazione con il quadro normativo dell’Ue sui prodotti, l’assunzione del personale necessario per soddisfare i requisiti del Cra e la messa in atto dei processi pertinenti.
- L’Enisa dovrebbe facilitare lo scambio di buone pratiche sulla mitigazione degli attacchi DDoS di grandi dimensioni, tra le autorità nazionali e i grandi operatori di reti di telecomunicazioni e infrastrutture Internet di base.
- In collaborazione con il Berec, l’Enisa dovrebbe sviluppare linee guida tecniche sulla sicurezza dei router domestici.
Consapevolezza collettiva della situazione informatica e condivisione delle informazioni
- Gli Stati membri e gli organi e le agenzie delle istituzioni dell’Ue dovrebbero migliorare la consapevolezza della situazione dell’Ue e la capacità di rilevare e monitorare le minacce e gli incidenti informatici nel più ampio contesto geopolitico, in particolare nei settori delle telecomunicazioni e dell’elettricità, che sono obiettivi tipici delle minacce costanti evolutive. La consapevolezza collettiva della situazione contribuisce a ridurre tempestivamente gli sforzi di mitigazione e a minimizzare gli effetti di ricaduta.
- Gli Stati membri dovrebbero intensificare la condivisione all’interno e tra gli enti dei settori delle telecomunicazioni e dell’elettricità di informazioni tempestive e perseguibili sulle attività di spionaggio fisico e informatico. Le entità esistenti, come i centri di condivisione e analisi delle informazioni (Isac), e le reti, come la rete dei Csirt e Eu-CyCLONe, dovrebbero essere sfruttate al massimo delle loro potenzialità.
- Dovrebbe essere organizzato un “invito all’azione” coordinato per combattere i crescenti livelli di operazioni di influenza cibernetica e le campagne di disinformazione condotte da attori sponsorizzati dallo Stato e dalle Apt, attraverso l’identificazione dei principali attori e delle relative minacce, tecniche e procedure, la condivisione degli insegnamenti tratti e la promozione del Codice di condotta dell’UE sulla disinformazione e di iniziative simili.
Pianificazione di emergenza, gestione delle crisi e collaborazione operativa
- Per attenuare il rischio di ricadute e prepararsi meglio alle crisi multisettoriali, occorre rafforzare le linee di comunicazione tra i settori e con le autorità preposte alla sicurezza informatica, anche a livello di Ue. La collaborazione operativa (ad esempio, piani di emergenza intersettoriali, esercitazioni collaborative tra enti e autorità competenti settoriali) è fondamentale per poter mitigare le ricadute intersettoriali e gli effetti a cascata.
- È necessario intensificare gli sforzi per garantire che le procedure di gestione delle crisi informatiche a livello dell’Ue, comprese quelle che coinvolgono Eu-CyCLONe e la rete dei Csirt (ad esempio, ruoli e responsabilità, mezzi di comunicazione, ecc. ruoli e responsabilità, mezzi di comunicazione e flussi di informazioni tra gli operatori e le autorità competenti, mantenimento della sicurezza delle reti e delle informazioni) siano collegate agli stakeholder settoriali, soprattutto nei settori ad alto rischio di ricaduta.
Sicurezza della catena di approvvigionamento
- Gli attacchi alla catena di approvvigionamento possono avere rapidamente un effetto a cascata e di impatto su entità all’interno dello stesso settore o anche in altri settori critici in cui le entità utilizzano lo stesso fornitore. È opportuno effettuare una valutazione preliminare dei rischi di cybersecurity della catena di fornitura derivanti dalla dipendenza da fornitori di componenti hardware e software critici di Paesi terzi ad alto rischio. Tale valutazione dovrebbe evidenziare, ad esempio: il livello di garanzia dei servizi Ict, dei sistemi Ict o dei prodotti Ict rispetto ai livelli di sicurezza richiesti; il grado di lock-in dei fornitori terzi; l’esistenza di processi sicuri del ciclo di vita dello sviluppo del software (Sdlc); l’esistenza di politiche “secure by design” e “zero trust” e la probabilità di interferenze da parte del governo di un Paese non appartenente all’Ue senza adeguati vincoli legali o giudiziari.
- Dal punto di vista dello sviluppo delle politiche, occorre intensificare gli sforzi tra la Commissione e gli Stati membri per la creazione di un quadro dell’Ue per la sicurezza della catena di approvvigionamento, nonché per la realizzazione di valutazioni dei rischi a livello dell’Unione, incentrate sulle catene di approvvigionamento critiche e sulla condivisione delle migliori pratiche.
- Gli Stati membri dovrebbero inoltre continuare ad attuare il piano di azione per la sicurezza della catena di approvvigionamento. Gli Stati membri dovrebbero inoltre continuare ad attuare le misure del 5G toolbox, che affrontano la sicurezza della catena di approvvigionamento delle reti di telecomunicazione, compreso il 5G in particolare, come precedentemente affermato nelle conclusioni del Consiglio sulla sicurezza della catena di approvvigionamento delle TIC del 17 ottobre 2022.
- Gli Stati membri e la Commissione dovrebbero analizzare le vulnerabilità della catena di approvvigionamento in settori in rapida espansione, come i parchi eolici, i parchi solari e le reti intelligenti, sfruttando, ad esempio, il gruppo di esperti in materia di energia intelligente recentemente istituito e il suo gruppo di lavoro sulla sicurezza informatica.
- Se necessario, la supervisione dei fornitori di servizi condivisi gestiti e la supervisione generale della catena di approvvigionamento dovrebbero essere rafforzate, dato che la compromissione di Msp o Mssp potrebbe portare a effetti a cascata di grande impatto, come già affermato nelle conclusioni del Consiglio sulla sicurezza della catena di approvvigionamento delle TIC.
Una base per i risk assessment nazionali
“Le raccomandazioni – scrive la Commissione – tengono conto dei recenti sviluppi politici e legislativi: in particolare, l’adozione della legge sulla resilienza informatica creerà le condizioni per lo sviluppo di prodotti sicuri con elementi digitali, garantendo che i prodotti hardware e software siano immessi sul mercato con meno vulnerabilità e assicurando che i produttori prendano sul serio la sicurezza durante l’intero ciclo di vita di un prodotto. Si raccomanda agli Stati membri e alle reti informatiche di tenere conto di questa relazione nell’organizzare i loro futuri esercizi di preparazione al rischio. Ciò include qualsiasi valutazione del rischio a livello nazionale e dell’Ue, nonché esercizi di preparazione organizzativa e prove di stress delle infrastrutture critiche nei settori dell’elettricità e/o delle telecomunicazioni”.