ENISA (Agenzia Europea per la sicurezza delle Reti e dell’Informazione) ha appena svolto la riunione annuale sulla cyber security e le certificazioni di prodotto durante la quale è stato annunciato che lo schema generale per la certificazione europea di cyber sicurezza uscirà entro dicembre 2023.
I concetti più ribaditi sono stati legati alla condivisione e armonizzazione degli standard e degli schemi per consentire in modo univoco di ricondurre qualsiasi certificazione a qualsiasi altra. Allo stesso tempo, alcuni oratori hanno citato il tema della “presunzione di conformità” come un aspetto sul quale lavorare giuridicamente perché mancano elementi di certezza.
Indice degli argomenti
Prodotti ICT: requisiti di sicurezza del Cyber Resilience Act
La conformità è trattata nel Regolamento Cyber Resilience Act, ancora solo proposto e in discussione. Alla sua entrata in vigore, tutti prodotti che andranno sul mercato in suolo europeo e che contengono ICT in senso generale, cioè elementi digitali, dovranno rispettare requisiti obbligatori di sicurezza informatica, durante tutto il loro ciclo di vita.
Il Cyber Resilience Act obbligherà a fornire supporto sulle funzionalità di sicurezza e aggiornamenti software per risolvere le vulnerabilità note per cinque anni dalla immissione sul mercato.
Scatterà dopo un anno l’obbligo per i produttori di segnalare le vulnerabilità e gli incidenti sfruttati attivamente sui loro prodotti.
In particolare, se un dispositivo non soddisfa i nuovi standard, le autorità di regolamentazione nazionali (o la Commissione Europea in certi casi) potranno ritirarlo dal mercato nell’UE.
Nuovi controlli di sicurezza per il 5G dettati da Enisa
Nel frattempo, ENISA ha pubblicato una matrice dei controlli per il 5G che potrebbe rappresentare una base di controlli per il conseguimento della certificazione di cyber security 5G. L’obiettivo è supportare le Autorità degli Stati Membri nei controlli sulle reti 5G e sulla loro sicurezza e creare un repository dei controlli sulla sicurezza della tecnologia 5G.
La Matrice contiene 144 misure di alto livello con 171 richieste di evidenza sempre di alto livello e 399 controlli di security dettagliati con descrizioni operative per 110 tipi di asset su due architetture 5G (5G e 4G core) modelli di sviluppo del cloud e una mappatura degli standard.
La matrice è basata sui seguenti documenti ENISA:
- ENISA 5G Threat Landscape pubblicato la prima volta nel 2019 e rivisto nel 2020;
- ENISA Guideline on Security Measures;
- 5G Supplement;
- Security Controls in 5G Specifications.
Nell’ambito del percorso avviato per la valutazione e la certificazione dei prodotti, percorso che, in Italia, trova nel CVCN il proprio elemento cardine, è necessario promuovere la tempestività della definizione degli schemi di certificazione sia a livello nazionale che a livello europeo.
Una sicurezza “minima” misurabile e comprovabile
Il terzo decennio di questo millennio sarà sicuramente dedicato, in tema di cyber security, alla standardizzazione e alla individuazione di tecniche di valutazione e certificazione che rendano la sicurezza “minima” misurabile e comprovabile.
L’Europa ha intrapreso un cammino ambizioso in questo senso, prevedendo di identificare un metodo di certificazione per ogni tecnologia (non solo uno schema generale, ma schemi specifici per il 5G, la crittografia, il cloud, l’IoT ecc.) e per ogni settore specifico (dall’automotive al sanitario).
Lo stato dell’arte vede attualmente la discussione dello schema generale, dello schema sul 5G e dello schema sul cloud. In Italia il cloud è oggi passibile di valutazione con i criteri emanati, mentre aspettiamo i criteri di valutazione per le tecnologie che ricadono nella applicazione della golden Power e per le tecnologie che ricadono nella applicazione del Perimetro di Sicurezza Nazionale Cyber.
L’approccio “risk based” adottato dall’Europa
Entrambi i processi sono legati alla valutazione dei prodotti e non necessariamente alla loro certificazione, cosa che sarà eventualmente resa obbligatoria dall’Europea a seguito della emanazione degli schemi europei sopra citati.
La valutazione è sempre una procedura “risk based”, ossia basata sulla analisi del rischio e quindi sulla contestualizzazione della tecnologia oggetto della valutazione stessa rispetto all’uso, all’ambiente e ai fini che la vedranno impiegata.
I tool per l’analisi del rischio dei prodotti ICT
Da questo punto di vista, esistono oggi alcuni tool che supportano l’analisi del rischio con la preventiva contestualizzazione in modo da renderla efficace, efficiente e soprattutto completa e accurata (aggettivi in assenza dei quali l’analisi del rischio diventa più controproducente dell’assenza di consapevolezza).
Alcuni di questi tool sono gratuiti e si possono integrare con le piattaforme di project management relative ai controlli di sicurezza che supportano il soddisfacimento dei controlli della 27001, del GDPR e di altre normative o di altri standard di cyber security.