Lo scorso mercoledì il Computer Security Incident Response Team (CSIRT) italiano ha rilevato le funzioni del CERT-PA e del CERT nazionale. L’inaugurazione di un organo unico e centrale per la gestione delle minacce cyber era prevista dal Decreto del Presidente del Consiglio dei ministri dell’8 agosto 2019. L’organo, creato in seno al Dipartimento di informazione per la sicurezza (DIS), si inserisce nel quadro europeo della direttiva NIS emanata dal Parlamento Europeo, che prevede la creazione di CSIRT nazionali in tutti gli stati membri.
Indice degli argomenti
Cos’è la direttiva NIS e cosa fa il CSIRT italiano
Il CSIRT Italiano è stato istituito con l’obiettivo di ottimizzare l’efficacia della prevenzione e della risposta del Paese a fronte di eventi di natura cibernetica a danno di soggetti pubblici e privati. Esso è composto da esperti di cyber security e lavora in collaborazione con il Nucleo per la Sicurezza Cibernetica (NSC) e con il punto di contatto unico NIS, istituiti presso il DIS. La creazione di un unico centro risponde alla necessità di assicurare la continuità operativa della propria infrastruttura e dei servizi al fine di ricevere notifiche, raccogliere segnalazioni e supportare i segnalanti nella gestione degli eventi di sicurezza. Il quadro normativo dell’organo è dato da due documenti, che ne definiscono dettagliatamente le funzioni. Il D.lgs. 65/2018, “Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, definisce un quadro specifico di funzionamento del CSIRT. Il decreto dà attuazione alla normativa NIS, dettando norme in materia di composizione, finanziamento, funzioni e cooperazione dell’organo creato. L’art. 8 del suddetto decreto attribuisce al CSIRT le funzioni di:
- monitoraggio degli incidenti a livello nazionale;
- emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;
- intervento in caso di incidente;
- analisi dinamica dei rischi e degli incidenti, nonché sensibilizzazione situazionale;
- informazione degli altri Stati membri dell’UE eventualmente coinvolti dall’incidente;
- garanzia di collaborazione nella rete di CSIRT, attraverso l’individuazione di forme di cooperazione operativa, lo scambio di informazioni e la condivisione di best practice.
Secondo quanto disposto dal decreto legislativo, il livello massimo di personale può essere di trenta unità, di cui quindici scelti tra dipendenti di altre amministrazioni pubbliche e quindici da assumere in aggiunta alle ordinarie facoltà assunzionali della Presidenza del Consiglio dei ministri. Il CSIRT italiano è stato istituito dal DPCM 8 agosto 2019, recante le “Disposizioni sull’organizzazione e il funzionamento del Computer security incident response team – CSIRT italiano”. Esso fa riferimento al D.lgs. 65/2018 per la definizione di compiti, modalità di funzionamento e composizione dell’organo. Infine, il documento RFC 2350 pubblicato sul sito del CSIRT italiano, specifica alcune funzioni e servizi offerti dall’organo. In particolare, il CSIRT fornisce assistenza e consulenza in merito ai seguenti aspetti della gestione degli incidenti:
- individuazione della causa iniziale;
- mantenimento dei contatti con le altre parti interessate;
- supporto nelle attività di risposta.
Il CSIRT italiano fornisce agli interessati servizi proattivi come diffusione delle informazioni relative alla sicurezza e gestione dei rischi per la sicurezza delle informazioni. Infine, Il CSIRT offre alcuni servizi reattivi come analisi degli incidenti e supporto per la risposta agli incidenti.
Come funziona il CSIRT italiano
La creazione di un organo unico, sia per la pubblica amministrazione che per il settore privato, è volta a rendere più rapide e tempestive le comunicazioni di attacchi cyber e quindi le risposte. Il D.lgs. 65/2018 individua i soggetti competenti in materia di comunicazioni di incidenti: gli Operatori di Servizi Essenziali (OSE), ovvero le organizzazioni pubbliche e private che forniscono servizi essenziali; e i Fornitori di Servizi Digitali (FSD), quali e-commerce e motori di ricerca online. Gli allegati II e III del decreto individuano chiaramente tutti i tipi di soggetto che rientrano nelle categorie di OSE e FSD. Il decreto dispone norme per entrambe le tipologie di soggetti. L’art 12 regola nel dettaglio l’azione degli Operatori di Servizi Essenziali. Innanzitutto, essi devono agire nel campo della prevenzione, “adottando misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni”. Nel caso in cui queste misure non siano sufficienti a garantire quel perimetro di sicurezza, “essi notificano al CSIRT italiano e, per conoscenza, all’autorità competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti”. Il CSIRT italiano inoltra tempestivamente le notifiche all’organo istituito presso il Dipartimento informazioni per la sicurezza incaricato delle attività di prevenzione e preparazione ad eventuali situazioni di crisi e di attivazione delle procedure di allertamento, il Nucleo per la Sicurezza Cibernetica (NSC). In risposta alle segnalazioni, il CSIRT italiano fornisce all’operatore che effettua la notifica, i servizi essenziali e le informazioni che possono facilitare un trattamento efficace dell’incidente. L’art.14 del D.lgs. 65/2018, invece, definisce gli obblighi e gli adempimenti per i fornitori di servizi digitali (FSD). Essi ricalcano quelli previsti per gli operatori di servizi essenziali. L’obbligatorietà delle notifiche di incidenti è evidenziata dalle sanzioni previste in caso di mancato adempimento. L’art. 21 del decreto menziona una serie di sanzioni amministrative nei diversi casi di inadempimento, ad esempio, per la mancata notifica dell’incidente o per la mancata adozione di misure di sicurezza preventive. Inoltre, l’autorità competente NIS può agire in modo differente a seconda di chi sia il soggetto inadempiente. Nel caso degli OSE essa può emanare istruzioni vincolanti per porre rimedio alle carenze. Nel caso in cui l’inadempiente sia un fornitore di servizi digitali, l’autorità NIS può addirittura adottare misure di vigilanza ex post. Tuttavia, non è indicato il periodo di tempo entro cui il soggetto interessato debba comunicare al CSIRT l’avvenuto incidente, fatto che rende l’interpretazione dell’obbligo ambigua. Se per questi soggetti le segnalazioni di incidenti è obbligatoria, per le altre categorie è possibile dare comunicazione volontaria, attraverso una sezione dedicata sul sito del CSIRT, purché gli incidenti abbiano un impatto rilevante sulla continuità dei servizi da loro prestati. Rimane, tuttavia, la priorità data alle notifiche obbligatorie, in quanto ritenute di maggior rilevanza per la sicurezza nazionale. Come specificato sul sito del CSIRT, il servizio di segnalazione di incidenti può essere utilizzato per acquisire informazioni di dettaglio in merito agli eventi di sicurezza e non al fine di avviare procedimenti amministrativi di alcun tipo: “La notizia, quindi, non costituisce denuncia, querela o esposto, per la cui presentazione si rinvia agli organi di Polizia competenti o Autorità giudiziaria”.
Perché un CSIRT italiano?
La creazione del CSIRT costituisce una delle misure, adottate dall’Italia, volte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi nell’Unione così da migliorare il funzionamento del mercato interno. La direttiva NIS è, in questo senso, di primaria importanza, in quanto fa obbligo a tutti gli Stati membri di adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi e crea una rete di gruppi di intervento per la sicurezza informatica in caso di incidente («rete CSIRT»). Il CSIRT è parte integrante del processo di innovazione che l’Italia sta portando avanti nel settore della cyber security. In questo contesto si inserisce anche il Perimetro di sicurezza nazionale cibernetica, istituito dal Decreto-legge 105/2019 per “innalzare la resilienza di reti, sistemi informativi e servizi informatici degli attori nazionali, tanto pubblici quanto privati, che esercitano una funzione essenziale dello Stato”. Il decreto, tra le altre disposizioni, prevede che gli attori notifichino gli incidenti alle strutture deputate alla prevenzione, preparazione e gestione degli eventi cyber, in particolare al NSC e al CSIRT. La normativa che regola il funzionamento del CSIRT prevede un alto livello di cooperazione, sia a livello nazionale che europeo. Il team farà, infatti, affidamento sull’Agenzia per l’Italia digitale (AgID) e in particolare sul CERT-AgID che ha sostituito il CERT-PA, con il compito di definire raccomandazioni e strategie per sensibilizzare e informare le amministrazioni sui temi della sicurezza informatica. A livello europeo, il CSIRT, attraverso il punto di contatto (il DIS), collabora con i suoi omologhi presenti negli altri stati membri, con la Commissione Europea e con l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA). Questa collaborazione permette la creazione di una cornice di sicurezza europea e l’adozione di politiche comuni sulla sicurezza informatica. La creazione di un unico centro di gestione degli incidenti, attraverso una più ampia condivisione di informazioni, permette di acquisire una maggiore consapevolezza dei rischi e delle minacce a livello nazionale, tanto nel settore pubblico quanto in quello privato. La costituzione dello stesso in seno al DIS significa dare maggiore centralità al governo, a capo del dipartimento, e garantire una maggiore capacità di risposta, assicurata dalla sinergia di capacità di cui il dipartimento già dispone. Infine, la creazione del CSIRT vuole essere un incentivo per i soggetti interessati a comunicare gli incidenti avvenuti. Sebbene la segnalazione sia in molti casi un’ammissione di colpa, ovvero di mancata prevenzione, la sua tempestività potrebbe determinare una risposta efficace al fine di tutelare i cittadini e la sicurezza nazionale.