Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-security

A V V . S T E F A N O M E LE

La strategia dell’Unione Europea

sulla cyber-security

Chi sono..

Stefano Mele..

Avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza ed Intelligence.

Dottore di ricerca presso l’Università degli Studi di Foggia.

Vivo e lavoro a Milano, come “of Counsel” di Carnelutti Studio Legale Associato.

Collaboro presso le cattedre di Informatica Giuridica e Informatica Giuridica avanzata della Facoltà di Giurisprudenza dell’Università degli Studi di Milano.

Esperto di cyber-security, cyber-terrorism e cyber-warfare.

Consulente per organizzazioni nazionali ed estere;

Direttore di Ricerca su “Cyber-security & Cyber-Intelligence” del Ce.Mi.S.S. (Centro Militare di Studi Strategici);

Siede al tavolo “CyberWorld” presso l’OSN (Osservatorio per la Sicurezza Nazionale) del Ce.Mi.S.S.;

Docente di “Intelligence e utilizzo delle informazioni per la gestione della sicurezza nei Paesi a rischio” presso il Peace Operations Training Institute (POTI-UN);

Coordinatore dell’Osservatorio “InfoWarfare e Tecnologie emergenti” dell'Istituto Italiano di Studi Strategici ‘Nicolò Machiavelli’.

#Lo scenario attuale

E’ una minaccia reale per la sicurezza nazionale?

- Incremento esponenziale del numero degli attacchi

- Incremento degli “attori”

- Innalzamento della qualità degli attacchi e degli obiettivi/bersagli

Cyber-attack per:

- Spionaggio elettronico

- Manipolazione delle informazioni

- Facilitare attacchi cinetici

- Cyber-warfare e cyber-weapons

La strategia dell’Unione Europea sulla cyber-security


#Unione Europea


#Unione Europea

L’attuale [bozza di] strategia europea in materia di cyber-security non è il primo approccio dell’EU ai temi della sicurezza informatica.

1. “Communication Network and Information Security: Proposal for a European Policy Approach“ (2001): attraverso cui la Commissione sottolineò per la prima volta la necessità di innalzare il livello di consapevolezza da parte degli Stati membri nel campo della Network and Information Security (NIS);

2. “Strategy for a Secure Information Society” (2006): attraverso cui si è continuato a perseguire l’obiettivo dello sviluppo della cultura in materia di cyber-security in Europa;

3. “Action Plan and a Communication on Critical Information Infrastructure protection (CIIP)” (2009): attraverso cui è stata focalizzata l’attenzione specificatamente sulla protezione delle infrastrutture critiche europee dalle minacce emergenti provenienti dal cyber-spazio.


#Unione Europea

Con la bozza di cyber-strategy appena presentata, tuttavia, l’Unione Europea si appresta a compiere un ulteriore ed importante passo in avanti, formalizzando una vera e propria strategia nel campo della sicurezza informatica.

Focus principale di questo documento strategico è costituito dal cyber-crime.

1. Poco o nulla, infatti, viene esplicitato riguardo al c.d. cyber-warfare. Perlomeno direttamente.

2. Le caratteristiche uniche del cyber-spazio rendano i medesimi principi esplicitati per il contrasto della criminalità informatica utili anche per far fronte efficacemente anche ad altri settori della minaccia, come ad esempio il cyber-espionage.


#Unione Europea

Scopo: contribuire a garantire – in collaborazione con gli altri attori nazionali e sovranazionali – un cyber-spazio “open, safe and secure”, nella certezza che le infrastrutture informative costituiscano oggigiorno la spina dorsale della crescita economica europea ed un importantissimo strumento per il benessere dei cittadini.

Il documento strategico può essere suddiviso in 3 parti:

1. la prima, che detta i principi fondanti e ispiratori per il settore della cyber-security;

2. la seconda, in cui vengono enunciate le priorità strategiche;

3. la terza, nella quale si affronta la questione dei ruoli e responsabilità sia a livello locale che europeo ed internazionale.


#Unione Europea

I principi fondanti e ispiratori sono:

1. Le leggi e le norme che si applicano giornalmente nella vita quotidiana si applicano anche nel cyber-spazio;

2. Priorità imprescindibile è quella di proteggere i diritti fondamentali, la libertà di espressione, la protezione dei dati personali e la privacy dei cittadini;

3. Ciascun cittadino deve poter accedere ed utilizzare liberamente la rete Internet;

4. La rete Internet non deve mai essere controllata da una singola entità, anzi deve necessariamente mantenere un approccio plurale;

5. La sicurezza del cyber-spazio deve essere una responsabilità primaria condivisa da parte di tutti gli attori rilevanti, siano essi pubblici, privati, statali o anche i singoli cittadini.


#Unione Europea Le 5 priorità strategiche sono:

1. Raggiungere un livello adeguato di cyber-resilienza (es., attuando le norme già da tempo delineate in tema di Network ed Information Security);

2. Ridurre drasticamente l’incidenza del cyber-crime, sia attraverso le norme, sia operando per accrescere le capacità operative di tutti i Paesi membri utili a far fronte al problema del crimine informatici, sia a livello nazionale che attraverso un miglior coordinamento e supporto delle specifiche strutture esistenti a livello europeo (come, ad esempio, il nuovo European Cybercrime Centre – EC3);

3. Sviluppare una Cyber-defence Policy;

4. Promuovere lo sviluppo delle risorse industriali e tecnologiche per la cyber-security all’interno dei Paesi membri;

5. Predisporre una International cyber-space Policy dell’Unione Europea (magari sulla falsa riga di quella americana).


#Unione Europea I ruoli e le responsabilità delineate:

1. Fondamentale rilievo viene dato al ruolo di ciascuno Stato membro nelle attività di contrasto alla minaccia sul proprio territorio nazionale, non solo per vicinanza territoriale alla protezione dell’interesse leso, quant’anche per un più rapido intervento di prevenzione, contrasto e coordinamento (anche con il settore privato, spesso detentore delle più importanti infrastrutture critiche tecnologiche di un Paese);

2. Di assoluto rilievo, inoltre, è l’imposizione che ciascuno Stato membro provveda alla scrittura di un proprio documento strategico nazionale in materia di cyber-security (traguardo a cui, pare, anche l’Italia sta finalmente giungendo);

3. Risulta di assoluto rilievo l’inclusione nella cyber-strategy della possibilità per ciascun Stato membro di poter far ricorso alla clausola di solidarietà prevista dall’art. 222 del Trattato sul funzionamento dell’Unione Europea anche nel caso in cui siano vittime di un rilevante cyber-incident ovvero di un attacco informatico.


#Italia


#Italia

Il DPCM 24 gennaio 2013 - “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica aziendale”.

Non è la nostra cyber-strategy.

Lo scopo è quello di “definire in un contesto unitario e integrato l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali”.

La Direttiva, quindi, tende più che altro ad organizzare e coordinare ruoli, strumenti e procedure già esistenti, puntando, anche al fine di razionalizzare e contenere i costi pubblici, sull’integrazione delle strutture e delle competenze già esistenti.


#Italia

Risulta evidente il ruolo eminente svolto dagli organismi di informazione per la sicurezza, in particolar modo dal DIS.

Rilevante, inoltre, è il ruolo di collante tra il piano strategico e il piano operativo svolto del neo costituito Nucleo per la sicurezza cibernetica, istituito in via permanente presso l’Ufficio del Consigliere militare e da questi presieduto.

In particolare, è compito del Nucleo sviluppare attività di prevenzione, allertamento e approntamento in caso di eventuali situazioni di crisi, anche attraverso una propria unità operativa attiva 24 ore su 24, nonché svolgere le opportune azioni di risposta e ripristino rispetto a queste situazioni.


#Riflessioni conclusive

A V V . S TE FA N O M E LE


.. grazie per l’attenzione..

http://www.stefanomele.it [email protected]

Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-security

News & Politics

Transcript of Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-security