Partirà il 3 luglio Blue Olex 2019, il primo esercizio di crisi cibernetica, unica nel suo genere, che per la prima volta vedrà riuniti, all’insegna della cybersecurity, l’Agenzia dell’Ue per la sicurezza informatica, la Commissione europea e 23 Stati membri. Per l’Italia parteciperà il Dis, Dipartimento informazioni per la sicurezza. Si tratta di un esercizio di alto livello che si terrà a Parigi e si concentrerà sul livello operativo del quadro di risposta della crisi informatica (incident response) europea, noto anche come Blueprint, originariamente proposto dalla Commissione europea nel 2017 e preordinato a fronteggiare la necessità di dotarsi di un sistema europeo coordinato per il caso di crisi, invero precedentemente avvertita in occasione della pianificazione della strategia europea di sicurezza cibernetica del 2013.
Si ricorda che la comunicazione sul “Rafforzamento del sistema europeo di resilienza cibernetico e la promozione di un’industria di sicurezza cibernetica innovativa e competitiva”, evidenziava nel 2016 che la gestione di un incidente cibernetico su larga scala avrebbe potuto determinare impatti significativi nel nostro paese.
Il blueprint nel 2017 introduceva tre livelli di gestione di una crisi:
- tattico, finalizzato alla risoluzione dell’incidente e alla sua analisi che, nella configurazione del 2017, vedeva coinvolti i CERT nazionali coordinati dall’Enisa, la Commissione europea, l’Europol, il CERT-Ue e, potenzialmente, il Servizio europeo per l’azione esterna (Seae)
- operativo, per il coordinamento della risposta e la valutazione dell’impatto della crisi, che vede coinvolti i medesimi attori del piano tattico con un più alto livello gerarchico ed un primo coinvolgimento del Consiglio dell’UE.
- strategico per il coinvolgimento dei maggiori decisori politici a livello nazionale ed europeo sull’opportunità di attivare ulteriori misure per la risoluzione della crisi ed il coordinamento con altre organizzazioni internazionali come la Nato, l’Onu e l’Osce.
Il blueprint si è caratterizzato altresì per avere annoverato la gestione degli incidenti cibernetici su larga scala tra le fattispecie attivabili anche da ciascun Stato membro per effetto della clausola di solidarietà prevista dall’art. 222 del trattato sul funzionamento dell’Unione europea, e all’interno dei dispositivi integrati dell’Ue per la risposta politica alle crisi.
La strategia europea declinata nel provvedimento della Commissione del 2017 richiedeva agli Stati membri di adottare un framework per la gestione delle crisi cibernetiche.
In tale contesto è bene ricordare che, a pochi giorni dall’intesa politica sul nuovo Regolamento europeo sulla Cyber sicurezza (Cybersecurity Act), poi entrato in vigore lo scorso 27 giugno, l’Unione Europea ha messo in campo un protocollo per fronteggiare e gestire le emergenze cibernetiche conseguenti a cyber attacchi su larga scala. Si tratta del Law Enforcement Emergency Response Protocol che, in modo concreto, risponde all’esigenza, sempre più avvertita a livello europeo, di standardizzare le procedure per una mitigazione del rischio cibernetico nonché per una efficace resilienza operativa nel caso di vasti attacchi cibernetici, soprattutto i danno di operatori di servizi essenziali e fornitori di servizi digitali. Il protocollo rappresenta l’ulteriore strumento di cooperazione tra Stati membri sulla protezione del cosiddetto dominio cibernetico nell’ambito di condivise sinergie tra gli esperti del settore e con l’adozione di canali comunicativi e piattaforme per lo scambio sicuro di informazioni classificate.
In tale nuovo scenario, all’interno di Europol viene assegnato al Centro europeo per la criminalità informatica (EC3) il coordinamento delle attività di preliminare valutazione cyberattacco, onde accertarne la natura dolosa (anche solo sospetta) con approccio “digital forensics” in relazione alla catena di custodia delle prove, al fine di condividere ogni utile informazione con salvaguardia del livello di classificazione per l’immediata risposta all’emergenza e le conseguenziali indagini sull’origine dell’attacco. Il protocollo istituisce, infatti, un processo multi-stakeholder che comporta in totale sette possibili fasi principali, dalla rilevazione anticipata e dalla classificazione delle minacce fino alla chiusura del protocollo di risposta alle emergenze.
Ed eccoci, ai giorni nostri, in cui le conclusioni di questo esercizio Blue Olex 2019 di Parigi, guideranno le iniziative attuali e future per una collaborazione sempre più stretta, coordinata ed efficiente tra gli Stati membri e le istituzioni dell’Ue nella cornice della strategia Blueprint.