La European Union Agency for Cybersecurity (Enisa) presenta un panorama parzialmente rassicurante, anche se differenziato, per la resilienza digitale dell’Unione Europea nel rapporto NIS360 pubblicato il giovedì scorso. L’applicazione a livello europeo della direttiva NIS2, mirata a rafforzare la sicurezza di rete e informazioni, si traduce in nuovi investimenti in aree strategiche come le infrastrutture critiche, dette anche Kritis.
Nonostante questo progresso, persiste una significativa lacuna tra il livello reale di minaccia e la preparazione ad essa da parte di diversi settori economici, in particolare quelli considerati strategici per la società.
Valutazione del grado di maturità
Per valutare il cosiddetto grado di maturità (reifegrad), l’Enisa ha analizzato l’intero ecosistema delle diverse aree industriali. La valutazione include la qualità delle leggi, la preparazione aziendale e l’efficacia delle autorità di controllo. Questi fattori vengono poi confrontati con il cosiddetto tasso di criticità sociale, che dipende dal livello di digitalizzazione e dal rischio che un guasto possa causare cascata di problemi per i cittadini.
La “Zona di rischio” si espande
Da questo bilanciamento nasce una cosiddetta “Zona di rischio”, che l’Enisa utilizza per individuare settori in cui il livello di protezione rimane al di sotto della media europea. Il rapporto sottolinea come la crescita complessiva del livello di sicurezza abbia portato a un ingrandimento della “Zona di rischio”, trascinando dentro l’intera rete ferroviaria, insieme all’approvvigionamento idrico (acqua potabile e smaltimento acque reflue).
Un risultato positivo è invece stato registrato nel settore del gas, che ha potuto uscire dalla Zona di rischio grazie a migliorati meccanismi di scambio informativo.
Settori di preoccupazione crescente
L’Enisa avverte però una crescente preoccupazione per il settore aeroospaziale, caratterizzato da una forte variabilità di qualità nella gestione della sicurezza. Con il progressivo aumento della dipendenza sociale dai dati satellitari – per navigazione, borsa e studi climatici – l’area diventa una meta prioritaria per gli hacker geopolitici. Il rapporto cita ad esempio il fenomeno di intercessione GPS (GPS jamming), che ha causato problemi nell’area Baltica.
Tuttavia, un aspetto problematico resta la mancanza di copertura uniforme della catena di fornitura: mentre i produttori aerei sono ben protetti, i piccoli fornitori presentano vulnerabilità significative.
Situazione nella logistica e nei servizi sanitari
Nel settore del trasporto, la componente ferroviaria si trova sempre più sotto attacco. I sistemi obsoleti, come gli apparati tecnici e i sistemi di segnaletica, costituiscono bersagli vulnerabili. Questi permettono agli hacker di poter effettuare operazioni come il blocco a distanza dei treni.
Nel settore marittimo, invece, le infrastrutture portuali digitalizzate offrono nuove opportunità di attacco globale, con il rischio di disturbare catene di approvvigionamento internazionali. Spesso mancano risorse tecniche locali per proteggersi adeguatamente da cyberattacchi.
Il settore sanitario e i fornitori IT invece lottano con barriere strutturali: i centri ospedalieri lamentano mancanze di personale e di budget, che li rendono bersagli ideali per gli hacker che sfruttano la ransomware. I fornitori IT, da parte loro, rappresentano invece un punto d’accesso strategico per hacker che possono colpire centinaia di sistemi da un’unica posizione di controllo.
Il quadro nella pubblica amministrazione
Le amministrazioni pubbliche presentano ritardi significativi in termini di competenze in cybersecurity. L’assenza di figure tecnico-gestionali nella leadership implica ritardi nei aggiornamenti di sicurezza e una maggiore esposizione a intrusioni informative, phishing e attacchi che sfruttano l’overload dei sistemi di comunicazione.
Persone e tecnologie a rischio futuro
I settori tradizionalmente forti in termini di normativa, come banche, telecomunicazioni ed energia, si evidenziano come buone prassi da seguire. Nuovi entranti in questa leadership sono il cosiddetto mercato finanziario e i cosiddetti servizi di fiducia (trust services), in cui l’utilizzo coerente della governance ha permesso di integrare la sicurezza come rischio aziendale.
Trend futuri
Per il futuro si delineano tre grandi tendenze che potrebbero destabilizzare l’assetto attuale:
- Lo sviluppo accelerato dell’intelligenza artificiale, che può fornire nuovi strumenti aggressivi agli hacker (es. Deepfake)
- Le catene di fornitura software ad alta complessità che sono spesso difficili da monitorare e proteggere
- I fenomeni geopolitici** che aumentano il rischio di conflitto su piattaforme digitali
Per affrontare questi mutamenti, le infrastrutture critiche dovranno evolversi da una visione formale di conformità ad una cultura attiva di resilienza, come sottolinea il rapporto Enisa.