La strategia europea sulla cybersecurity

Transcript

1 La strategia europea sulla cybersecurity Corrado Giustozzi ENISA/PSG 1 Cos è ENISA? European Network and Infomation Security Agency Fondata nel 2004, attiva dal 1 settembre 2005 Sede a Heraklion (Creta), uffici ad Atene (dal 2013) Missione: Migliorare la sicurezza informatica e delle reti della UE Contribuire allo sviluppo della cultura della sicurezza delle informazioni a beneficio dei cittadini, dei consumatori, delle imprese e del settore pubblico Assistere la Commissione, gli Stati membri e la comunità economica e di business nel comprendere, indirizzare, reprimere e soprattutto prevenire incidenti di sicurezza Assistere la Commissione nel lavoro tecnico di preparazione delle norme comunitarie in ambito 2 Cosa fa ENISA? Da sempre: Non è un agenzia operativa È un centro di competenza della UE Ha una funzione soprattutto di impulso, indirizzo e coordinamento delle iniziative per il miglioramento della sicurezza nella UE Supporta lo sviluppo della Digital Agenda per l Europa Grande focus sulle infrastrutture critiche e sui CERT Da oggi inoltre: Rinnovo del mandato per 5 anni Liaison con le agenzie di law enforcement Supporto alla strategia europea per il cybercrime 3 Corrado Giustozzi 1

2 Security & trust, un prerequisito per l Europa Considerazioni di scenario 4 La strategia Europa 2020 Insieme di iniziative da completarsi nel 2020 sulle quali si basano la crescita economica e sociale, la sostenibilità e la competitività dell Europa Una dei componenti chiave della strategia è l Agenda Digitale, che si basa su: sette pilastri generali: Digital Single Market Interoperability & Standards Trust & Security Fast and ultra-fast Internet access Research and innovation Enhancing digital literacy, skill and inclusion ICT-enabled benefits for EU society 101 iniziative specifiche 5 Europa 2020: iniziative di sicurezza Digital agenda for Europe Pillar III: Trust & Security Action 28: Reinforced Network and Information Security Policy Action 29: Combat cyber-attacks against information systems Action 30: Establish a European cybercrime platform Action 31: Analyse the usefulness of creating a European cybercrime centre Action 32: Strengthen the fight against cybercrime and cyberattacks at international level Action 33: Support EU-wide cyber-security preparedness Action 38: Member States to establish pan-european Computer Emergency Response Teams Action 39: Member States to carry out cyber-attack simulations Action 41: Member States to set up national alert platforms 6 Corrado Giustozzi 2

3 L Europa e la sicurezza (1/2) Si stima che ogni giorno circolino 150K virus e 148K computer vengano compromessi Un sondaggio di Eurobarometer del 2012 mostra che il 38% degli utenti Internet della UE ha cambiato il proprio comportamento per preoccupazioni riguardanti la cybersecurity: il 18% è meno propenso ad acquistare on-line il 15% è meno propenso ad usare l home banking il 74% stima che il rischio di divenire vittime sia aumentato il 12% ha effettivamente subito frodi online 7 L Europa e la sicurezza (2/2) Secondo il World Economic Forum c è una probabilità del 10% che un importante IC fallisca nei prossimi 10 anni, con danni stimati di 250 G$ Nell ambito di una recente consultazione pubblica europea sulla sicurezza delle reti (NIS), il 56,8% dei rispondenti ha affermato di aver subito negli ultimi anni almeno un incidente di sicurezza con elevato impatto sulle proprie attività I dati Eurostat mostrano tuttavia che a gennaio 2012 solo il 26% delle aziende erano dotate di una policy formale sulla sicurezza ICT 8 L iniziativa europea sulla cybersecurity "An Open, Safe and Secure Cyberspace" 9 Corrado Giustozzi 3

4 Il documento di strategia Piano di sicurezza informatica dell UE per tutelare l internet aperta, la libertà e le opportunità nella rete Rappresenta la visione complessiva dell unione europea sul modo migliore di prevenire perturbazioni e attacchi informatici e di rispondervi Parte di un azione complessiva che comprende: l istituzione di un Centro europeo per la lotta alla criminalità informatica (EC3, 11 gennaio) la proposta di una normativa sugli attacchi ai sistemi d informazione l instaurazione di un alleanza mondiale contro l abuso sessuale di minori online Pubblicato assieme ad una proposta di direttiva sull adozione di misure comuni di sicurezza ICT 10 Background Cyber-security incidents are increasing in frequency and magnitude, becoming more complex and know no borders. These incidents can cause major damage to safety and the economy. Efforts to prevent, cooperate and be more transparent about cyber incidents must improve. Previous efforts by the European Commission and individual Member States have been too fragmented to deal with this growing challenge. 11 Aim The cybersecurity strategy "An Open, Safe and Secure Cyberspace" - represents the EU's comprehensive vision on how best to prevent and respond to cyber disruptions and attacks. This is to further European values of freedom and democracy and ensure the digital economy can safely grow. Specific actions are aimed at enhancing cyber resilience of information systems, reducing cybercrime and strengthening EU international cybersecurity policy and cyber defence. 12 Corrado Giustozzi 4

5 Principles The EU's core values apply as much in the digital as in the physical world the same laws and norms that apply in other areas of our day-to-day lives apply also in the cyber domain Protecting fundamental rights, freedom of expression, personal data and privacy Access for all Democratic and efficient multi-stakeholder governance A shared responsibility to ensure security 13 Strategic priorities and actions Achieving cyber resilience Drastically reducing cybercrime Developing cyber defence policy and capabilities related to the Common Security and Defence Policy (CSDP) Developing the industrial and technological resources for cyber-security Establishing a coherent international cyberspace policy for the European Union and promoting core EU values 14 Achieving cyber resilience Progetto pilota per la lotta alle botnet Studio di fattibilità sugli ICS-CSIRT Regolari esercitazioni pan-europee Adozione della direttiva On a common high level of Network and Information Security (NIS) Iniziative di awareness raising: mese della cybersecurity cybersecurity championship in 2014 insegnamento della NIS nelle scuole e nelle PA 15 Corrado Giustozzi 5

6 Drastically reducing cybercrime Legislazione efficace: sviluppo e adozione di direttive specifiche raccomandazione a tutti gli Stati Membri affinché ratifichino la Convenzione di Budapest Miglioramento delle capacità di contrasto: European Cybercrime Centre (EC3) con Europol/Eurojust Miglior coordinamento a livello UE: maggiore accountability dei domini iniziative a tutela dei minori azioni specifiche a carico di CEPOL, Europol, Eurojust 16 Developing cyber defence policy Azioni specifiche in ambito CSDP Maggiore dialogo e coordinamento fra istituzioni civili e militari Maggiore dialogo con partner esterni e la NATO 17 Develop industrial/tech resources Sviluppo di un Mercato Unico per i prodotti di cybersecurity Sviluppo di linee guida, best practices e standard tecnici per la cybersecurity (ENISA + ISO, ITU, ) Iniziative a supporto di R&D e innovazione Sviluppo di tool di supporto (ENISA + Europol) Sviluppo di metriche 18 Corrado Giustozzi 6

7 Establish international policy The EU does not call for the creation of new international legal instruments for cyber issues Iniziative a supporto della cooperazione internazionale 19 Coordinamento tra autorità 20 Official comments (1/3) "The more people rely on the internet the more people rely on it to be secure. A secure internet protects our freedoms and rights and our ability to do business. It's time to take coordinated action - the cost of not acting is much higher than the cost of acting. Neelie Kroes, European Commission Vice-President for the Digital Agenda 21 Corrado Giustozzi 7

8 Official comments (2/3) "For cyberspace to remain open and free, the same norms, principles and values that the EU upholds offline, should also apply online. Fundamental rights, democracy and the rule of law need to be protected in cyberspace. The EU works with its international partners as well as civil society and the private sector to promote these rights globally. Catherine Ashton, High Representative of the Union for Foreign Affairs and Security Policy/Vice-President of the Commission 22 Official comments (3/3) "The Strategy highlights our concrete actions to drastically reduce cybercrime. Many EU countries are lacking the necessary tools to track down and fight online organised crime. All Member States should set up effective national cybercrime units that can benefit from the expertise and the support of the European Cybercrime Centre EC3." Cecilia Malmström, EU Commissioner for Home Affairs 23 Conclusioni Commenti finali 24 Corrado Giustozzi 8

9 La cybersecurity per l Economist 25 Considerazioni finali L Europa è arrivata tra le ultime nel definire una strategia per la cybersecurity Le difficoltà oggettive dell Europa sono molteplici: necessità di armonizzare, difficile imporre molte situazioni già consolidate grande disparità tra gli Stati Membri La strategia è molto operativa e realistica: nessun volo pindarico, molte iniziative concrete grande appello alla collaborazione pubblico-privato tentativo di ricucire iniziative prese anche in modo un po scoordinato Necessità di strutture gerarchiche di controllo 26 La strategia europea sulla cybersecurity Grazie per l attenzione c.giustozzi@acm.org 27 Corrado Giustozzi 9