TL;DR Una relazione speciale della Corte dei Conti Europea in merito alla cybersecurity delle istituzioni, organi e agenzie UE rivela uno spaccato preoccupante sulla inadeguata preparazione delle stesse agli attacchi cyber.
“Insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”
definizione di Cybersecurity
Se il Ministro Colao, nel giugno 2021, gettò un’ombra preoccupante sui server e infrastrutture della PA italiana, dichiarando che il 95% era insicuro, quasi un anno dopo è la Corte dei Conti Europea ad avvertire che le istituzioni, gli organi e le agenzie dell’UE (EUIBA) non hanno un livello complessivo di preparazione adeguato.
La relazione speciale del Maggio 2022, pubblicata sul sito web ufficiale della Corte, pubblica i preoccupanti risultati delle verifiche effettuate presso varie agenzie europee (l’elenco completo è in fondo alla pagina linkata), tra cui spiccano agenzie come l’Ufficio europeo di polizia (Europol), Agenzia europea per la sicurezza marittima (EMSA), Banca centrale europea (BCE), concludendo che, “la comunità degli EUIBA non ha raggiunto un livello di preparazione in materia di cybersicurezza commisurato alle minacce.“
Ovviamente non ci sono dettagli tecnici sui risultati delle indagini, gran parte concentrate sugli aspetti di compliance e governance, anche se i 98 paragrafi della Relazione delineano uno scenario di non sempre adeguata maturità delle misure di sicurezza cyber, arrivando a raccomandare di:
- alla Commissione, di migliorare la preparazione degli EUIBA proponendo l’introduzione di norme vincolanti comuni in materia di cybersicurezza per tutti gli EUIBA e un aumento delle risorse della CERT-UE;
- alla Commissione, nel contesto del Comitato interistituzionale per la trasformazione digitale (ICDT), di promuovere ulteriori sinergie tra gli EUIBA in settori specifici;
- alla CERT-UE e all’ENISA di concentrarsi maggiormente sugli EUIBA meno maturi in materia di cybersicurezza;
Molte criticità emerse non sorprenderanno chi è addetto ai lavori e conosce bene il contesto, riassumibili in:
- scarse risorse economiche e professionali;
- difficoltà di reperire personale con adeguate competenze;
- scarsa sensibilità delle dirigenze sul tema delle minacce cyber;
- formazione del personale non sempre adeguata;
ed è anche sul punto della formazione, a cui ovviamente si uniscono esercitazioni (ad esempio, su una campagna di phishing simulato), che la Corte dei Conti rileva che “La quasi totalità degli EUIBA interpellati (95 %) eroga a tutto il personale una qualche forma di formazione generica di sensibilizzazione in materia di cybersicurezza, ma tre di essi non lo fanno. Tuttavia, solo il 41 % degli EUIBA organizza formazioni o sessioni di sensibilizzazione specifiche per manager e solo il 29 % prevede una formazione obbligatoria sulla cybersicurezza per i dirigenti responsabili di sistemi informatici contenenti informazioni sensibili“.
Altro punto sensibile, gli audit effettuati da entità indipendenti. Come rilevato, “nonostante un ambiente digitale in rapida evoluzione, tra l’inizio del 2015 e il primo trimestre del 2021 il 34 % degli EUIBA non è stato oggetto di alcun audit interno o esterno sulla sicurezza informatica. Una scomposizione di quest’ultima percentuale per tipo di EUIBA rivela che dal 2015 non sono stati effettuati audit interni o esterni sulla sicurezza informatica sul 75 % degli organismi dell’UE, 66 % delle imprese comuni e 45 % delle missioni civili“.
Anche lo scambio di informazioni sensibili tra EUIBA risulterebbe essere un punto critico, tanto da rilevare che “oltre il 20 % degli EUIBA non dispone di un servizio di posta elettronica criptato. Quelli che ne dispongono spesso si trovano ad affrontare problemi di interoperabilità e i certificati non sono riconosciuti reciprocamente. L’ICTAC e l’ICDT discutono da anni le opzioni per una soluzione scalabile e interoperabile e nel 2018 è stato avviato un progetto pilota. Tuttavia, tale questione non è ancora stata risolta”, a cui si unisce un problema di “assenza di contrassegni comuni per le informazioni sensibili non classificate“.
Concludendo, anche la Corte dei Conti europea si unisce al coro di chi chiede maggiori investimenti e attenzione nell’ambito cyber, alla luce sia degli attacchi di cyber-warfare dovuti al conflitto Russo-Ucraino che nella preoccupante escalation di attacchi ransomware (n.d.a. l’Italia è al quarto posto nella triste classifica dei Paesi più colpiti).
Nota: le immagini sono prese dalla pagina della Relazione speciale 05/2022 “Cibersicurezza delle istituzioni, degli organi e delle agenzie dell’UE: Il livello complessivo di preparazione non è commisurato alle minacce” della Corte dei Conti Europea.