La cronaca della sicurezza informatica ha ampiamente dimostrato la fattibilità di
cyber-attacchi su larga scala che abbiano anche
conseguenze nel mondo fisico, mettendo fuori gioco non solo
singole aziende ma interi settori di mercato e anche, nel peggiore dei casi, le infrastrutture critiche di una nazione. Da tempo gli esperti hanno sottolineato che il limite principale nella capacità delle nazioni di rispondere a tali attacchi
non è tecnologico ma organizzativo: ci sono troppe entità in gioco che
non sono coordinate tra loro.
L'Unione Europea ha deciso di prendere sul serio questa segnalazione e quindi di preparare il terreno per una
risposta organizzata ad un eventuale attacco informatico con impatti a livello internazionale. Lo ha fatto
definendo il protocollo EC3 LE ERP, sigla un po' criptica che indica due elementi importanti: il coinvolgimento diretto di Europol (EC3 è lo
European Cybercrime Centre, che fa capo appunto ad Europol) e la nascita di linee guida per la reazione ufficiale europea ad attacchi sovranazionali (LE ERP significa
Law Enforcement Emergency Response Protocol).
La novità principale portata dal protocollo EC3 LE ERP è che questo delinea come le autorità dei vari Paesi UE coinvolti in un attacco debbano
collaborare tra loro e scambiarsi informazioni in maniera veloce ed efficace. Questo
non è successo in passato, spiega Europol citando i casi degli attacchi basati sui ransomware WannaCry e NotPetya, con gravi conseguenze sulla capacità di limitare i danni di tali operazioni ostili.
Le varie fasi di reazione previste dal protocollo EC3 LE ERPCosì il Law Enforcement Emergency Response Protocol bada a definire soprattutto le
procedure da seguire al verificarsi di un
attacco criminale alla cyber security di una nazione. Indica tra l'altro i canali formali di comunicazione da usare, le autorità nazionali e internazionali da contattare, le informazioni critiche da condividere e - non a caso - i meccanismi con cui
evitare conflitti di competenze.
In questo scenario Europol e lo European Cybercrime Centre hanno anche il compito di coordinare le azioni previste dal nuovo protocollo con quelle che sono delineate da
altri meccanismi UE per la gestione di situazioni di crisi a livello internazionale. In tale ambito rientra anche la condivisione di informazioni con il
settore privato e con la community degli esperti di cyber security.
Europol
sottolinea che il protocollo EC3 LE ERP copre solo gli attacchi di natura criminale alla
sicurezza dei sistemi e delle infrastrutture. Non riguarda quindi gli incidenti legati ad altre cause come l'errore umano, i disastri naturali o i guasti ai sistemi. È una indicazione a chi interviene per primo nel contenere i danni di un attacco: in questa fase, anche se inevitabilmente concitata,
è necessario preservare le "prove elettroniche" che serviranno per le successive indagini.