L’approvazione del quarto DPCM attuativo del perimetro di sicurezza nazionale cibernetica completa il quadro normativo dello “scudo cibernetico” italiano, avvicinando il traguardo di arrivo al raggiungimento degli obiettivi della Strategia cyber nazionale che consistono nel potenziare la sicurezza della supply chain delle infrastrutture impiegate nei servizi essenziali dello Stato.
Un passo importante, già anticipato proprio nella prefazione della Strategia cyber in cui si legge che “[…] l’Italia ha costruito un ecosistema di cybersicurezza fondato sulla collaborazione tra i settori pubblico e privato. Al contributo delle istituzioni, si affianca quello attivo degli operatori economici – in particolare dei gestori delle infrastrutture da cui dipende l’erogazione dei servizi essenziali dello Stato – del mondo dell’università e della ricerca e della società civile. Tutti devono farsi parte attiva nel proteggere i propri assetti informatici, nel rispetto delle norme riconosciute a livello internazionale”.
Perimetro cybersecurity, complete le norme: ecco l’ultimo decreto
Indice degli argomenti
Le nuove tendenze nello scenario cyber
Il quadro che si sta delineando fa paio con le tendenze individuate da Stormshield e che impatteranno sullo scenario di cyber sicurezza.
Se nel 2021 c’è stata un’esplosione dell’industrializzazione dei criminali informatici, vale a dire vere e proprie organizzazioni con al loro interno varie figure, dagli sviluppatori ai rivenditori di dati, con una diffusione sempre maggiore del Ransomware as a Service (RaaS), la prima nuova tendenza in risposta a questo fenomeno sarà la carenza di professionalità qualificate.
Infatti, se già gli hacker competenti sono rari, la concorrenza potrebbe portare a reclutamenti più stringenti da parte dei criminali informatici.
La seconda tendenza potrebbe derivare dall’aumento degli attacchi ransomware (+ 62%) e alla catena di approvvigionamento. Basti ricordare il caso dello spyware Pegasus del gruppo israeliano NSO Group o anche alla vulnerabilità zero-day Log4Shell associata alla libreria open-source Log4j.
Proprio il potenziale di quest’ultima minaccia potrebbe indurre diversi gruppi criminali a sfruttare questo tipo di vulnerabilità per attaccare le librerie open source di infrastrutture, reti o dati sensibili.
Terza tendenza quella che prende in considerazione il metaverso come terreno fertile per attacchi informatici.
Già nel febbraio 2021, per fare un esempio, la CD Projekt, società produttrice di videogiochi, ha subito un attacco da ransomware poco prima dell’uscita di un videogioco ambientato nell’universo cyberpunk. Gli sviluppatori di videogiochi sono un bersaglio favorito dal cybercrime e dato che il metaverso non porta con sé solo popolarità e attenzione ai media, ma anche grandi quantità di denaro, considerando che al suo interno sono possibili anche acquisti immobiliari per oltre un milione di dollari, anche qui potrebbero verificarsi il riscatto posto su artefatti digitali acquistati per somme di denaro elevate al furto di NFT, Non-Fungible Token.
Questo fenomeno renderebbe necessaria la creazione di forze dell’ordine virtuali, con strumenti investigativi propri, per scovare i cybercriminali nel mondo virtuale.
L’iter approvativo del DPCM 4 sul perimetro cyber
Il Comitato Interministeriale per la Cybersicurezza, presieduto dall’ormai ex Presidente del Consiglio Mario Draghi, si era riunito lo scorso maggio e aveva finalmente deliberato la Strategia nazionale di cybersicurezza 2022-2026.
Due i documenti approvati con gli 85 obiettivi, tra cui è bene ricordare il potenziamento della resilienza nella transizione digitale del sistema Paese, il raggiungimento dell’autonomia strategica sul piano cibernetico, l’anticipazione dell’evoluzione della minaccia cyber, la gestione delle crisi cibernetiche e la lotta alla diffusione delle fake news.
Nella stessa riunione, in merito al Perimetro di sicurezza nazionale cibernetica, era stato approvato lo schema di DPCM ex art. 1 c.7, lett. B) D.L. 105/2019, che indicava i criteri che i laboratori devono rispettare per accreditarsi come laboratori di prova per il Centro di valutazione e certificazione nazionale (CVCN) per verificare sicurezza, assenza di vulnerabilità note, contenuti, comunicazione tra il CVCN e i laboratori stessi e tra il CVCN e i Centri di Valutazione del Ministero dell’interno e del Ministero della difesa.
Le ultime misure realizzate
Le misure della Strategia che grazie a questo DPCM vengono realizzate sono le n. 1, 2, 5, 8 e 53.
La misura n. 1 riguarda il potenziamento del sistema di “scrutinio tecnologico nazionale” a supporto della sicurezza della supply chain degli asset del Perimetro e l’adozione di un sistema di certificazione europea di cybersecurity, anche attraverso l’accreditamento di laboratori di valutazione. Sarà il Centro di Valutazione e Certificazione Nazionale ad accreditare i LAP, i laboratori Accreditati di Prova esterni, che siano pubblici o privati, che faranno parte della rete a supporto del Centro Nazionale e dei Centri di Valutazione del Ministero della Difesa e del Ministero dell’Interno nelle attività di certificazione di specifiche categorie di asset ICT impiegati nel perimetro.
La misura n. 2 si riferisce allo sviluppo di questi ultimi centri di valutazione, quelli legati al Ministero dell’Interno e al Ministero della Difesa accreditati dall’Agenzia per la Cybersicurezza Nazionale.
La misura n. 5 ha lo scopo di favorire lo sviluppo degli schemi di certificazione di cybersicurezza e la loro adozione da parte di fornitori di servizi e imprese nazionali, per contribuire alla specializzazione dell’imprenditoria italiana e la sua competitività sul mercato.
Per quanto concerne la misura 8, intende introdurre norme giuridiche per la tutela degli approvvigionamenti delle infrastrutture ICT mirate alla sicurezza nazionale.
Infine, con la misura 53 si vuole supportare il rafforzamento dell’autonomia industriale e tecnologica italiana in ambito strategico e lo sviluppo di algoritmi di proprietà, così come lo sviluppo di nuove capacità crittografiche nazionali.
