Ancora una volta il Security Summit si conferma la manifestazione più utile e interessante sull'Information Security. Il primo dei tre giorni milanesi (ancora in programma 19 e 20 marzo presso l'hotel Ata Executive di viale Sturzo, di fronte la stazione Garibaldi) ha infatti mantenuto le promesse.
La sessione plenaria ha fatto il punto sulle strategie dell'Unione Europea per la Cyber Security, grazie agli interventi di Fabio Martinelli, Primo Ricercatore presso l’Istituto di Informatica e Telematica del CNR di Pisa e co-Chair del WG3 per la Ricerca e Innovazione nel Secure ICT della Piattaforma europea su Network e Information Security (NIS) e di Luigi Rebuffi, presidente di EOS (European Organization for Security) e co-Chair del suddetto WG3 con Martinelli.
L'esistenza stessa di una strategia europea per la sicurezza informatica è una notizia. In effetti, solo lo scorso anno, gli esperti del Clusit lamentavano la sordità delle istituzioni alle problematiche di sicurezza. Merito soprattutto di Edward Snowden, la "gola profonda" le cui rivelazioni sulle attività di spionaggio della NSA (National Security Agency) statunitense, hanno fortemente sensibilizzato i politici europei, come ammette Rebuffi, riportando stralci dell'intervento tenuto recentemente dal commissario Nellie Kroes per motivare la necessità di una politica e di una piattaforma europea sulla sicurezza informatica.
Nellie Kroes, vicepresidente della Commissione Europea
Martinelli ha descritto i principi fondanti della piattaforma NIS, evidenziandone i tre gruppi di lavoro: il Working Group 1 (WG1) sul risk management, il WG2 sullo scambio di informazioni e l'incident coordination e il WG3 sulla ricerca e innovazione.
I primi due sono quelli fondanti, perché la sensibilizzazione sulla sicurezza e la conoscenza passano entrambi da lì. In particolare, sulla condivisione e la collaborazione si basano le possibilità di fronteggiare il crimine informatico e lo spionaggio, anche e soprattutto industriale. È importante, a tal proposito, sottolineare, come ha fatto Martinelli, che le organizzazioni coinvolte in questo sforzo per il NIS sono sia pubbliche sia private.
Gli aspetti positivi sono tanti, compreso lo stanziamento di fondi per progetti di ricerca. Ma l'opera da compiere è immane, anche se l'approccio è per molti versi positivo: "orientato ai risultati" e guidato da deadline, specifica Martinelli.
Luigi Rebuffi
Insomma, non si tratterebbe dell'ennesima macchina burocratica fine a se stessa. D'altro canto, non mancano elementi di riflessione, sui quali pone l'accento Rebuffi, a cominciare dalla molteplicità di attori che nell'ambito della sola Commissione Europea si occupano di sicurezza per un verso o per un altro.
Questioni anche profonde riguardano invece le problematiche di "sovranità nazionale", che sono un ostacolo alla formazione di una Federazione degli Stati Europei sin dall'800: come riuscire a definire una piattaforma unitaria sull'Information Security? Sarebbe un successo "politico" prima ancora che "economico".
Il lancio di una strategia europea è certamente positivo, eppure, evidenzia Rebuffi: "Abbiamo comprato i mattoni per costruire una casa comune, ma non è ancora chiaro il progetto architettonico". Inoltre, precisa ancora il presidente dell'EOS ci sono principi ancora da definire, come quello sulla condivisione delle informazioni, che non può basarsi sul modello americano dello scambio volontario, ma dovrebbe essere invece imposto per legge. Invece, sono stati rimossi i vincoli che obbligavano i service provider a dichiarare gli incidenti.
Rebuffi comunque indica una strada, suggerendo di utilizzare il modello organizzativo dell'EIP (European Innovation Partnership), già consolidato a livello comunitario.
Una cosa è certa: occorre fare in fretta e accelerare i processi, per quanto sembri utopistico pensare di reagire alla velocità con cui evolve il cybercrime.