Sempre più attacchi cibernetici e sempre minore capacità da parte dell’Unione europea di fronteggiarli. Questo è l’allarme che arriva dalla Corte dei conti europea in una corposa relazione relativa alla capacità delle istituzioni Ue di fronteggiare appunto attacchi cyber.
Cybersicurezza, sempre più attacchi e sempre minore capacità da parte dell’Ue di fronteggiarli
Parliamo, come spiegano i magistrati contabili comunitari, dell’insieme “delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”.
Le istituzioni, gli organi e agenziedell’UE – che nel dossier sono definite EUIBA, EU institutions, bodies and agencies – trattano informazioni sensibili esono quindi obiettivi interessanti per potenziali aggressori, in particolare per gruppi in grado di attuare attacchi altamente sofisticati ed invisibili a fini di cyber-spionaggio o altro. Gli EUIBA sono strettamente interconnessi, nonostante siano istituzionalmenteindipendenti e amministrativamente autonomi. Pertanto, sostiene la Corte, “le debolezze di un singolo EUIBA possono esporre gli altri a minacce per la sicurezza”.
È un problema non di poco conto, considerando il forte aumento del numero di attacchi informatici agli EUIBA. Risultato? “La Corte conclude che la comunità degli EUIBA non ha raggiunto un livello di preparazione in materia di cybersicurezza commisurato alle minacce”. I problemi sollevati dalla magistratura sono tanti e vari. Innanzitutto alcuni controlli essenziali non sempre sono attuati e questo anche perché i vari organi comunitari “non spendono certo a sufficienza in cybersicurezza”.
Non solo: “Alcuni EUIBA non hanno ancora definito un’adeguata governance della cybersicurezza: le strategie di sicurezza informatica sono in molti casi carenti o non sono sostenute dall’alta dirigenza, le politiche di sicurezza non sono sempre formalizzate e le valutazioni dei rischi non coprono l’intero ambienteinformatico. Non tutti gli EUIBA sottopongono periodicamente la propria cybersicurezza a una verifica indipendente”.
Sorgono, però, anche altre questioni. Innanzitutto i singoli organi comunitari non condividono le informazioni, come detto. Questo, banalmente, vuol dire che se un ente scherma un attacco hacker, non comunicandolo all’intero apparato Ue, non mette al sicuro il resto degli organismi che restano in pericolo, a maggior ragione se sono magari più vulnerabili. Tutto ovviamente ruota anche attorno a un discorso di fondi insufficienti.
È la stessa Corte a dirlo chiaramente. Bisogna innanzitutto precisare che la Squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie europee (CERT-UE) e l’Agenzia dell’Unione europea per la cybersicurezza (ENISA) sono le due principali entità che forniscono sostegno agli EUIBA in materia di cybersicurezza.
Peccato che, “a causa delle risorse limitate o della priorità attribuita ad altri ambiti, non sono state in grado di fornire agli EUIBA il sostegno di cui questi necessitano, in particolare per quanto riguarda lo sviluppo di capacità per gli EUIBA meno maturi”. In conclusione, nonostante il conflitto in corso in Ucraina e nonostante annunci e dichiarazioni, la cybersicurezza sembra non essere una priorità per le istituzioni europee.
