Sebbene non ci siano stati cambiamenti radicali nelle minacce informatiche dall’inizio della guerra in Ucraina, gli attacchi sono diventati più intensi e sofisticati, ha affermato lunedì (26 settembre) Juhan Lepassaar, direttore esecutivo dell’Agenzia europea per la sicurezza informatica, ENISA.
Dal febbraio 2022 è stato registrato un solo attacco informatico significativo con effetti di spillover: l’attacco Viasat, che ha avuto l’effetto di spillover di incidere sul funzionamento di migliaia di mulini a vento in Germania.
Tuttavia, il costo degli attacchi ransomware è in aumento, con la carenza di competenze e la protezione di settori critici di particolare preoccupazione.
“Questo non dovrebbe significare che possiamo abbassare la guardia. Il panorama complessivo delle minacce rimane impegnativo”, ha affermato Lepassaar dell’ENISA durante un’audizione parlamentare presso la commissione per l’industria, la ricerca e l’energia.
Gli attacchi ransomware sono la principale minaccia, seguiti da ingegneria sociale e malware. “Con gli attori sponsorizzati dallo stato che si concentrano maggiormente sugli attacchi di impatto mirando alle catene di approvvigionamento, il costo del ransomware potrebbe essere ben oltre i 250 miliardi di euro entro il 2031”, ha aggiunto il capo dell’agenzia.
Un problema importante, secondo Lepassaar, è che, in molti casi, le organizzazioni colpite non denunciano gli attacchi alle autorità competenti. Nel 2021 gli Stati membri hanno segnalato zero casi di rilevanza transfrontaliera, sebbene la maggior parte dei casi abbia interessato diversi paesi.
“Il motivo per cui non stanno segnalando è che non lo sanno. Il motivo per cui non lo sanno è che non condividono. Quindi è un circolo vizioso che dobbiamo in qualche modo rompere a livello di Unione”, ha detto Lepassaar.
Per ridurre al minimo i rischi di attacchi informatici, il capo dell’agenzia ha suggerito di concentrarsi sugli investimenti per combattere la carenza di manodopera qualificata e per aumentare gli investimenti nei settori critici, citando in particolare l’assistenza sanitaria.
Alla fine di ottobre, il mese europeo della cibersicurezza, l’ENISA pubblicherà la sua relazione annuale sul panorama delle minacce dell’UE per il 2022.
Schema di certificazione della sicurezza informatica
Il capo dell’ENISA ha inoltre sottolineato che l’UE sta aumentando la consapevolezza in merito alle minacce e che sono attualmente in corso di elaborazione numerosi fascicoli legislativi e progetti volti a migliorare la sicurezza informatica.
Più di recente, il 15 settembre, la Commissione ha presentato la sua bozza di Cyber Resilience Act per affrontare le vulnerabilità nei dispositivi connessi attraverso un approccio security-by-design.
Inoltre, è avanzato il sistema di certificazione della sicurezza informatica per i servizi cloud (EUCS), in cui l’ENISA ha presentato quest’estate una bozza che ha incitato una controversia sui suoi requisiti di sovranità sulla localizzazione europea dei dati e sull’immunità dal diritto straniero.
L’eurodeputato liberale Bart Groothuis, relatore della direttiva sulla sicurezza delle reti e dell’informazione 2, ha ribadito l’invito a un dibattito politico durante l’audizione di lunedì. “Abbiamo bisogno di un dibattito politico perché è contrario all’approccio basato sul rischio che abbiamo proposto in NIS 2”.
Sebbene il mandato dell’ENISA sia puramente tecnico, diversi Stati membri, tra cui Estonia, Paesi Bassi, Grecia – e ora anche la Germania – hanno chiesto discussioni politiche e hanno criticato il fatto che i requisiti del sistema limiterebbero la concorrenza anche se le società non UE potessero fornire lo stesso o anche un livello superiore livelli di sicurezza informatica.
Un diplomatico dell’UE ha dichiarato a EURACTIV che la probabilità che tali discussioni politiche si svolgano a livello del Consiglio è in aumento.
Nel frattempo, l’ENISA presenterà una nuova bozza dello schema, su cui dovrà esprimere un parere il Gruppo europeo di certificazione della sicurezza informatica (ECCG), composto da rappresentanti delle autorità nazionali di certificazione della sicurezza informatica. Qui, gli Stati membri avranno la possibilità di esprimere le loro opinioni su questi requisiti.
In precedenza, il processo di redazione dello schema è stato descritto come non trasparente da molti attori, “con le parti interessate del settore e gli altri Stati membri lasciati all’oscuro e ora è stato chiesto di accettare una nuova versione dello schema come fatto compiuto”, come ha detto a EURACTIV un portavoce di DIGITALEUROPE.
A seguito del parere dell’ECCG, l’ENISA consegnerà la bozza alla Commissione, che poi redigerà l’atto di esecuzione. Resta da vedere se l’ENISA recepirà il parere dell’ECCG previsto per fine novembre.
[Edited by Nathalie Weatherald]