La cronaca della sicurezza informatica ha ampiamente dimostrato la fattibilità di cyber-attacchi su larga scala che abbiano anche conseguenze nel mondo fisico, mettendo fuori gioco non solo singole aziende ma interi settori di mercato e anche, nel peggiore dei casi, le infrastrutture critiche di una nazione. Da tempo gli esperti hanno sottolineato che il limite principale nella capacità delle nazioni di rispondere a tali attacchi non è tecnologico ma organizzativo: ci sono troppe entità in gioco che non sono coordinate tra loro.

L'Unione Europea ha deciso di prendere sul serio questa segnalazione e quindi di preparare il terreno per una risposta organizzata ad un eventuale attacco informatico con impatti a livello internazionale. Lo ha fatto definendo il protocollo EC3 LE ERP, sigla un po' criptica che indica due elementi importanti: il coinvolgimento diretto di Europol (EC3 è lo European Cybercrime Centre, che fa capo appunto ad Europol) e la nascita di linee guida per la reazione ufficiale europea ad attacchi sovranazionali (LE ERP significa Law Enforcement Emergency Response Protocol).

La novità principale portata dal protocollo EC3 LE ERP è che questo delinea come le autorità dei vari Paesi UE coinvolti in un attacco debbano collaborare tra loro e scambiarsi informazioni in maniera veloce ed efficace. Questo non è successo in passato, spiega Europol citando i casi degli attacchi basati sui ransomware WannaCry e NotPetya, con gravi conseguenze sulla capacità di limitare i danni di tali operazioni ostili.

Le varie fasi di reazione previste dal protocollo EC3 LE ERP
Così il Law Enforcement Emergency Response Protocol bada a definire soprattutto le procedure da seguire al verificarsi di un attacco criminale alla cyber security di una nazione. Indica tra l'altro i canali formali di comunicazione da usare, le autorità nazionali e internazionali da contattare, le informazioni critiche da condividere e - non a caso - i meccanismi con cui evitare conflitti di competenze.

In questo scenario Europol e lo European Cybercrime Centre hanno anche il compito di coordinare le azioni previste dal nuovo protocollo con quelle che sono delineate da altri meccanismi UE per la gestione di situazioni di crisi a livello internazionale. In tale ambito rientra anche la condivisione di informazioni con il settore privato e con la community degli esperti di cyber security.

Europol sottolinea che il protocollo EC3 LE ERP copre solo gli attacchi di natura criminale alla sicurezza dei sistemi e delle infrastrutture. Non riguarda quindi gli incidenti legati ad altre cause come l'errore umano, i disastri naturali o i guasti ai sistemi. È una indicazione a chi interviene per primo nel contenere i danni di un attacco: in questa fase, anche se inevitabilmente concitata, è necessario preservare le "prove elettroniche" che serviranno per le successive indagini.