Dall’inizio dell’anno, la strategia nazionale per la difesa del cyberspace ha ricevuto anche in Italia un forte impulso. Le organizzazioni pubbliche e private dispongono oggi di nuove indicazioni e strumenti per affrontare con più efficacia queste problematiche, e anche a livello nazionale si sta profilando un sistema di protezione che punta a raggiungere livelli più elevati di efficienza ed efficacia. Riportiamo in sintesi le principali novità.
- Con la pubblicazione in Gazzetta ufficiale n. 125 del 31 maggio 2017, è diventato operativo il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica, che ha sostituito la situazione precedente nata con il DPCM del 24 gennaio 2013 (c.d. Decreto Monti), dando il via a una nuova fase per rendere più efficiente il sistema di sicurezza nazionale. E’ stata semplificata l’architettura generale di responsabilità e processi, rendendola più snella ed efficace. Il nuovo Piano è conseguenza di alcune novità legislative, intervenute successivamente all’approvazione del Decreto Monti [2]: la prima, a livello nazionale, è stata l’approvazione del DL 30 ottobre 2015, n. 174, che attribuisce al CISR (Comitato Interministeriale per la Sicurezza della Repubblica), in caso di situazioni di crisi, compiti di consulenza, proposta e deliberazione. La seconda, di livello europeo, è l’approvazione della “Direttiva NIS”[3] del 6 luglio 2016, che ha imposto a tutti gli Stati membri di adottare, entro il maggio 2018, misure volte ad incrementare i livelli di sicurezza cyber. Il nuovo Piano (nato con il Decreto Gentiloni, DPCM 17 febbraio 2017 [1]), riafferma quindi il ruolo strategico del CISR nelle situazioni di crisi per la sicurezza nazionale legate al cyberspace, ponendo però questa volta al centro il Dipartimento delle Informazioni per la Sicurezza (DIS). Quest’ultimo, oltre a diventare braccio operativo sul piano strategico, sarà il collante tra il CISR, l’intera PA e il settore privato[4].
- Molto importante anche il fatto che il Nucleo Sicurezza Cibernetica sia oggi posizionato all’interno del DIS: il NSC avrà in mano tutti gli aspetti operativi legati alla cybersecurity nazionale, dal centro allertamento e risposta a situazioni di crisi cibernetica (attivo 24×7), a comunicazioni circa i casi di violazione o dei tentativi di violazione con altri enti (Forze di Polizia, CNAIPIC), alle relazioni con l’ONU, la NATO, l’UE, le altre organizzazioni internazionali e gli altri Stati. È inoltre previsto che al nucleo venga fornito un maggiore e paritetico supporto da parte del CERT Nazionale (istituito presso il MiSE) e del CERT della Pubblica Amministrazione (CERT-PA, istituito presso l’AgID) per quanto riguarda gli aspetti tecnici di risposta sul piano informatico e telematico nella gestione delle crisi, oltre che per l’acquisizione di informazioni su casi di violazioni o su minacce cibernetiche rilevanti.
- Lo scorso 6 aprile – a conferma dell’importanza che il tema della cybersecurity sta oggi acquisendo anche per le PA italiane – sono state pubblicate in GU le “Misure minime per la sicurezza ICT delle pubbliche amministrazioni”[5] predisposte da AGID. Si tratta di misure obbligatorie, pensate nello specifico per le esigenze delle PA italiane, che avranno tempo per adeguarsi fino al 31 dicembre 2017. Significativo però che AGID avesse deciso di anticiparle rispetto alla pubblicazione in Gazzetta: sono sul sito dell’Agenzia e del CERT-PA da settembre 2016[6]. Si tratta di misure che prendono le mosse dall’insieme dei 20 controlli noti come CCSC – SANS 20[7]. Di questi 20 controlli del SANS Institute, tipicamente ordinati per importanza, nelle Misure Minime fornite da AGID sono stati scelti i primi 5 e poi successivamente, quelli preventivi nei confronti del malware (8), le copie di sicurezza (10) e la data protection (13), come riporta la tabella successiva.
Titolo | Descrizione | ||
Inventario dei dispositivi autorizzati e non autorizzati | Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l’accesso | ||
Inventario dei software autorizzati e non autorizzati | Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l’installazione o l’esecuzione | ||
Proteggere le configurazioni di HW e SW su mobile, laptop, workstation e server | Istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni. | ||
Valutazione e correzione continua della vulnerabilità | Acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici. | ||
Uso appropriato dei privilegi di amministratore | Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi. | ||
Difese contro i malware | Controllare l’installazione, la diffusione e l’esecuzione di codice maligno in diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo dell’automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive. | ||
Copie di sicurezza | Procedure e strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità. | ||
Protezione dei dati | Processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione dei dati, mitigarne gli effetti e garantire la riservatezza e l’integrità delle informazioni rilevanti |
Tabella 1. MISURE MINIME DI SICUREZZA ICT PER LE PUBBLICHE AMMINISTRAZIONI (AGID, 2016)
Le misure prevedono 3 livelli di attuazione: quello minimo rappresenta la linea di base alla quale ogni PA, indipendentemente dalla sua natura e dimensione, deve necessariamente essere conforme; quello intermedio o standard rappresenta la situazione di riferimento per la maggior parte della amministrazioni; quello superiore rappresenta un optimum che dovrebbe essere adottato in caso di rischio elevato[8]. Le Misure Minime per la PA sono anche in parte coincidenti con quelle del Framework Nazionale per la Cybersecurity del 2016[9], realizzato dal CIS-Sapienza e dal Laboratorio Nazionale CINI di Cybersecurity.
L’adempienza delle PA a queste misure potrebbe però trovare alcuni ostacoli: alcune prescrizioni (come la realizzazione di inventari dettagliati per HW e SW) richiedono o la presenza di personale interno specializzato, oppure il ricorso a servizi esterni, con una spesa che sarà correlata alla dimensione del parco macchine e applicativo da controllare. Un costo che potrebbe non essere coperto dagli attuali budget di spesa di molte PA. E’ anche vero che le PA hanno oggi obiettivi di digitalizzazione che dovrebbero portare a efficienze e risparmi: è importante quindi che la sicurezza informatica sia strettamente correlata a questi progetti, che sia sinergica, un elemento abilitante alla base della Digital Transformation.
Un’ulteriore criticità da considerare è che gli enti pubblici, come anche le aziende private, subiranno fortemente nel prossimo anno l’impatto della compliance al nuovo regolamento Europeo per la privacy (GDPR) che ha numerosi requisiti in tema di Data Protection, e dovrà essere adottato entro maggio 2018. Il GDPR, che sarà obbligatorio per enti pubblici e privati, con possibili sanzioni molto rilevanti in caso di inadempienza, prima di qualsiasi misura minima raccomanda un Risk Assessment, in modo che il singolo ente o impresa possa stimare quali sono gli elementi più critici relativi al proprio contesto. Sarebbe quindi utile individuare linee di azione e misure comuni per la cybersecurity e la privacy, in modo da permettere di ridurre l’effort complessivo, non sovrapporre o complicare inutilmente i progetti.
Inoltre andrebbe anche considerato il lavoro di La Sapienza-CINI, che hanno pubblicato le misure minime di cybersecurity indirizzate alle PMI italiane, tratte dal Framework Nazionale ma molto semplificate in 15 controlli essenziali[10] (con una guida di implementazione e una stima indicativa dei costi considerando diverse tipologie di PMI), come riporta la Tabella successiva. Mettendo a confronto i controlli per le PMI con quelli emanati da AGID si osservano alcune differenze: ad esempio le maggiori indicazioni sul fronte della governance (nomi di referente, attività di formazione, ecc.) per quanto riguarda i primi, a fronte di maggiori indicazioni tecniche (Privileged Access management, gestione della configurazione di tutte le macchine e software) per quanto riguarda i secondi.
Inventario dispositivi e software | 1 – Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. |
2 – I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc. . . ) offerti da terze parti a cui si è registrati sono quelli strettamente necessari. | |
3 – Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti. | |
Governance | 4 – È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici. |
5 – Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda. | |
Protezione da malware | 6 – Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato. |
Gestione password e account | 7 – Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es.autenticazione a due fattori). |
8 – Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati. | |
9 – Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza. | |
Formazione e consapevolezza | 10 – Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, . . . ). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza. |
11 – La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite. | |
Protezione dei dati | 12 – Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente. |
Protezione delle reti | 13 – Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione). |
Prevenzione e mitigazione | 14 – In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto. |
15 – Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi. |
Tabella 2. I 15 CONTROLLI ESSENZIALI DI CYBERSECURITY PER LE PMI (LaSapienza, CINI, 2016)
Infine, per facilitare ulteriormente il lavoro a PA e PMI, che hanno spesso lo stesso problema di mancanza di competenze interne e risorse economiche da dedicare a questi aspetti, sarebbe utile disporre di strumenti semplificati di self assessment per analizzare in modo semplice e veloce lo status quo e le principali esigenze (per il singolo caso) di sicurezza cyber e data protection relativa alla privacy. Una best practice in questo senso è quanto è stato realizzato dall’ICO UK, con il “Data protection self assessment toolkit”[11], specificatamente rivolto alle PMI inglesi e per molti versi consigliabile (anche se oramai relativo a una norma superata, il Data Protection Act inglese del 1998).
A cura di:
Elena Vaciago, Associate Research Manager, The Innovation Group
[1] Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017
[2] Giustozzi, dcosì cambierà la cybersecurity nazionale: catena di comando più semplice ed efficace” , di Corrado Giustozzi, esperto di sicurezza cibernetica presso il CERT-PA
[3] Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione
[4] Le tre novità che cambieranno la cyber security nazionale, con il nuovo decreto. di Stefano Mele, avvocato e responsabile della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano
[5] CIRCOLARE 17 marzo 2017, n. 1/2017 Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)
[6] Cybersecurity, Giustozzi (Agid): “Così blindiamo i servizi della PA, di Antonello Salerno
[7] Pubblicati dal Center for Internet Security come CCSC – CIS Critical Security Controls for Effective Cyber Defense nella versione 6.0 di ottobre 2015 (oggi in realtà sarebbe già disponibile una nuova versione, la 6.1 di agosto 2016, ma AGID ha ritenuto che una versione precedente sia preferibile dato lo stato attuale della cybersecurity nella PA italiana)
[8] Nuove norme cybersecurity, tutto ciò che bisogna sapere, di Corrado Giustozzi, esperto di sicurezza cibernetica presso il CERT-PA Agid
[9] Framework Nazionale per la Cybersecurity, CIS-Sapienza e dal Laboratorio Nazionale CINI di Cybersecurity
[10] Controlli Essenziali di Cybersecurity, realizzato dal CIS-Sapienza e dal Laboratorio Nazionale CINI di Cybersecurity.
[11] Data protection self assessment toolkit, https://ico.org.uk/for-organisations/improve-your-practices/data-protection-self-assessment-toolkit/