Alla scoperta della NIS 2: l’importanza dell’autenticità per la cyber sicurezza

L’evoluzione del panorama delle minacce informatiche, unita alla diffusione di tecniche di ingegneria sociale sempre più sofisticate, ha messo in luce i limiti della tradizionale triade della sicurezza delle informazioni che garantisce la riservatezza, l’integrità, la disponibilità dei dati.

Questi tre pilastri della cyber sicurezza si rivelano non più totalmente adeguati a fronteggiare le sfide imposte dagli attuali scenari di minaccia. Così, il Legislatore Unionale, nella Direttiva NIS 2, ha riconosciuto la necessità di ampliare il focus della sicurezza dei sistemi informatici e delle reti, includendo un quarto pilastro fondamentale: l’autenticità.

Infatti, il Considerando 79 e l’art. 6/1 ai nn. 2), 5) e 6) della Direttiva NIS 2, nel regolare e definire la gestione dei rischi, la sicurezza dei sistemi informatici e di rete nonché il concetto di “incidente” e di “quasi incidente”, fa sempre riferimento a “un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi”.

Peraltro, anche il Regolamento UE 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario (il c.d. DORA: Digital Operational Resilience Act) definisce le varie tipologie di incidente (connesso alle ICT, operativo o di sicurezza di pagamento) come evento che ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati.

Vediamo, allora, come questo pillardella sicurezza delle informazioni va integrato nella triade RID.

La definizione di autenticità dalla ISO/IEC 27000:2018

La ISO/IEC 27000:2018 “Information technology Security techniques Information security management systems Overview and vocabular” fornisce, tra le altre, la definizione “3.6 Authenticity property that an entity is what it claims to be”: quindi, l’autenticità è la “proprietà per cui un’entità è ciò che afferma di essere”.

Il termine è anche richiamato nella definizione del concetto di “3.28 Information security” indicato come “Preservation of confidentiality (3.10), integrity (3.36) and availability (3.7) of information Note 1 to entry: In addition, other properties, such as authenticity (3.6), accountability, non-repudiation (3.48), and reliability (3.55) can also be involved.”.

L’autenticità costituisce quindi una delle proprietà fondamentali di un’entità, equipollente a proprietà consolidate ed altamente riconosciute come la riservatezza, l’integrità e la disponibilità nonché a concetti essenziali ma meno celebrati quali l’accountability, il non ripudio e l’affidabilità.

Perché è necessario integrare la RID con l’autenticità

Riteniamo che la necessità di integrare la proprietà dell’autenticità come componente essenziale della strategia di sicurezza delle informazioni si basi sui seguenti dati di fatto:

1. l’ingegneria sociale e altre tecniche di attacco mirano spesso a eludere i controlli di sicurezza sfruttando la fiducia tra le persone;
2. l’espansione dell’Internet delle Cose (IoT) e l’adozione di ambienti cloud e di lavoro remoto hanno notevolmente ampliato il perimetro di sicurezza, rendendo indispensabile l’adozione di meccanismi di autenticazione affidabili e scalabili.

L’autenticità, secondo la citata definizione della ISO/IEC 27000:2018, si riferisce alla garanzia che un’entità sia esattamente ciò che dichiara di essere, e che un’informazione sia reale, verificabile e fidata.

In altri termini, l’autenticità assicura che le informazioniprovengano effettivamente dalla fonte che afferma di inviarle e che non siano state alterate lungo la catena di trasmissione, garantendo in tal modo la “catena di custodia”.

Nel contesto della sicurezza informatica, l’autenticità è fondamentale per prevenire attacchi di tipo man-in-the-middle, phishing e altre forme di frode informatica. Garantire l’autenticità dei dati significa proteggere anche l’integrità delle informazioni, aspetto fondamentale per la sicurezza delle informazioni e per la fiducia degli stakeholder.

Autenticità, pillar dell’approccio multirischio della NIS 2

Il tema dell’autenticità dei dati è richiamato in più punti della NIS 2.

Il Considerando 79 della Direttiva evidenzia come le minacce alla sicurezza dei sistemi e di rete possano avere origini diverse e come, di conseguenza, le misure di gestione dei relativi rischi debbano basarsi su un approccio multirischio che miri a proteggere i sistemi informatici e di rete e il loro ambiente fisico:

1. da eventi quali furti, incendi, inondazioni, problemi di telecomunicazione o interruzioni di corrente;
2. da qualsiasi accesso fisico non autorizzato;
3. dai danni alle informazioni detenute dai soggetti essenziali o importanti e agli impianti che possano compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o accessibili attraverso di essi.

In tale quadro, l’autenticità rileva come pillar dell’approccio multirischio.

Infatti, lo stesso Considerando 79 stabilisce che i soggetti essenziali e importanti (cioè il players destinatari degli obblighi posti dalla NIS 2), nell’ambito delle loro misure di gestione dei rischi di cibersicurezza dovrebbero, tra l’altro:

1. proteggersi da azioni malevole;
2. affrontare la questione della sicurezza delle risorse umane;
3. disporre di strategie adeguate di controllo dell’accesso.

Si tratta proprio di misure specificamente volte a garantire l’autenticità di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi.

Ancora, sempre in tema di misure funzionali a garantire l’autenticità di dati e di entità, in particolare, l’art. 21 della stessa NIS2, rubricato “Misure di gestione dei rischi di cibersicurezza”, stabilisce che le misure indicate nello stesso articolo sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti. Tra queste misure quelle che maggiormente contribuiscono ad assicurare l’autenticità sono:

1. le pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
2. le politiche e le procedure relative all’uso della crittografia e, se del caso, della cifratura;
3. la sicurezza delle risorse umane e le strategie di controllo dell’accesso;
4. l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Strumenti ed esempi per dimostrare l’autenticità di un’informazione

Esaminiamo, ora, i metodi, le tecniche e gli strumenti per dimostrare l’autenticità di un’informazione.

L’autenticità di un dato può essere dimostrata attraverso metodi e tecniche che sono differenti a seconda:

1. del contesto in cui viene utilizzato il dato stesso;
2. delle esigenze di sicurezza e di affidabilità che un’organizzazione deve rispettare sulla base dei requisiti legali, contrattuali o in esito all’analisi dei rischi.

Strumenti

Tra gli strumenti disponibili per dimostrare l’autenticità di un dato possono essere:

1. Firme digitali o firme elettroniche. Le firme digitali sono un metodo di autenticazione che utilizza algoritmi crittografici per fornire una firma univoca associata a un documento o a un dato. Questa firma può essere verificata per garantire che il documento non sia stato alterato e che provenga da una fonte attendibile.
2. Timestamps. L’aggiunta di timestamp ai dati può dimostrare quando gli stessi sono stati creati o modificati. Questi timestamp possono essere verificati attraverso servizi di timestamping affidabili per garantire l’integrità dei dati.
3. Blockchain. La tecnologia blockchain può essere utilizzata per creare registri distribuiti e immutabili di transazioni o dati. Poiché i dati registrati su una blockchain sono molto difficili da modificare una volta confermati, possono essere utilizzati per dimostrare l’autenticità e l’integrità dei dati.
4. Crittografia. La crittografia può essere utilizzata per proteggere i dati e garantire che non siano stati alterati. Algoritmi crittografici come l’hashing possono essere utilizzati per generare “digest” univoci dei dati, che possono essere confrontati per verificare l’integrità dei dati.
5. Certificati digitali. I certificati digitali sono documenti elettronici che attestano l’autenticità di una determinata entità (ad esempio, un individuo o un’organizzazione), garantendo così l’identità dei soggetti che utilizzano la firma digitale. Questi certificati sono emessi da entità pubbliche o private note come prestatori di servizi fiduciari qualificati. Questi, dopo aver superato un processo di valutazione e ottenuto l’approvazione da parte di AgID, sono inclusi nella Trusted List dell’Unione Europea. Questo status qualificato garantisce che i certificati digitali emessi siano conformi agli standard del Regolamento eIDAS^[1], che regola i servizi fiduciari per le transazioni elettroniche nell’ambito dell’Unione Europea.

Questi certificati possono essere utilizzati per verificare l’autenticità dei dati firmati digitalmente.

1. Catena di custodia. La catena di custodia permette di documentare ogni passaggio nel trattamento di dati e la loro conservazione. Questo può essere fatto attraverso procedure documentate e strumenti software dedicati.
2. Metadati. I metadati associati ai dati possono fornire informazioni sulla loro origine, creazione, modifica e conservazioni. La verifica dei metadati può essere utilizzata per determinare l’autenticità dei dati.

Inoltre, nel corso di audit mirati devono essere verificate le misure poste in atto e l’efficacia delle stesse.

Esempi

Alcuni esempi possono aiutare a comprendere il contesto in cui appare necessario, o potrebbe essere richiesto contrattualmente, ricorrere agli strumenti funzionali a garantire l’autenticità di un’informazione.

1. Firma digitale, il contesto: un atto di compravendita tra le parti. L’uso delle firme digitali potrebbe essere estremamente utile per garantire l’autenticità di vari documenti durante il processo di vendita. Dopo aver negoziato i dettagli della transazione, si predispone il contratto di vendita che specifica i termini e le condizioni dell’acquisto della proprietà. Inoltre, può essere prevista eventuale documentazione aggiuntiva (es. disegni della proprietà, certificati di conformità, autorizzazioni). I documenti approvati elettronicamente vengono successivamente conservati e registrati presso le autorità competenti.
2. Blockchain, il contesto: un’azienda produce e commercializza prodotti cosmetici di altissima fascia, tra cui anche una linea certificata Halal^[2]. In questo caso tracciabilità ed autenticità sono condizioni indispensabili a tutela del cliente. Per tale finalità, quindi, si decide di utilizzare la blockchain per gestire la documentazione relativa a tali processi. Quando viene prodotto un lotto di cosmetici Halal, la documentazione generata contiene informazioni dettagliate sul processo di produzione (es. provenienza materie prime, pulizia della linea di produzione senza il ricorso a sanificanti a base alcolica ecc.). I documenti sono registrati sulla blockchain all’interno di un “blocco” di informazioni. Ogni blocco contiene un hash crittografico che funge da impronta digitale unica per quel documento. Prima di consegnare il prodotto alla catena di distribuzione, il documento registrato sulla blockchain viene convalidato da soggetti interni o da enti certificatori esterni che confermano l’autenticità e la correttezza delle informazioni. Viene quindi aggiunta un’ulteriore transazione alla blockchain che conferma la validità del documento attraverso i controlli effettuati. Analogamente, ogni passaggio, in fase di distribuzione, viene registrato sulla blockchain, inclusi i trasferimenti di proprietà, le transazioni finanziarie e le eventuali analisi di laboratorio effettuate successivamente. Tutti coloro che sono coinvolti nella catena di distribuzione, inclusi i fornitori, i distributori e i consumatori finali, possono accedere alla blockchain per verificare l’autenticità e la provenienza dei cosmetici. Utilizzando l’hash crittografico, è possibile verificare che il documento non sia stato alterato e che le informazioni siano rimaste intatte, fornendo una tracciabilità completa lungo l’intera catena di distribuzione.
3. Metadati, il contesto: un’agenzia fornisce informazioni mirate riguardanti il settore oil & gas a fondi di investimento per supportare le scelte finanziarie. Al fine di garantire l’autenticità delle comunicazioni fornite utilizza i metadati. L’operatore dell’agenzia, dopo aver raccolto una notizia la documenta utilizzando un software di elaborazione testi che automaticamente incorpora metadati al documento prodotto (data e l’ora di creazione e modifica, nome del redattore, fonte dell’informazioni ed altre eventuali informazioni). Un supervisor dell’agenzia riceve la notizia e la revisiona prima di procedere all’approvazione. Anche in questo caso, vengono registrati i metadati relativi all’intervento. Successivamente la notizia viene distribuita ai clienti abbonati attraverso vari canali (che a loro volta possono essere criptati). Anche in questo caso sono aggiunti ulteriori metadati (es. destinatario ed altri dati relativi alla consegna). I destinatari possono accedere ai metadati per verificare l’autenticità e l’affidabilità, così come la fonte ed altre informazioni di loro interesse. Anche in questo caso si garantisce l’autenticità dell’informazione e, contestualmente, aumenta l’affidabilità e la reputazione dell’agenzia nei confronti del pubblico di riferimento.

Conclusioni

Con il presente articolo si è cercato di evidenziare quanto sia fondamentale integrare il paradigma RID della sicurezza informatica con l’autenticità, al fine di rafforzare la difesa contro le minacce informatiche in continua evoluzione.

La Direttiva NIS 2 – ma anche, come abbiamo accennato, il DORA – sottolinea l’importanza dell’autenticità, richiedendo ai soggetti essenziali ed importanti di adottare misure appropriate per garantirla. Attraverso l’uso di strumenti avanzati e la conformità agli standard di sicurezza, detti soggetti possono così proteggere efficacemente le informazioni critiche e rafforzare la fiducia dei loro clienti e partner.

La Direttiva NIS 2 riconosce che la sicurezza informatica non comporta solo la protezione dei dati ma anche la capacità di garantire che gli stessi dati siano autentici e affidabili. Questo è particolarmente importante in un’epoca in cui le informazioni possono essere facilmente manipolate o falsificate.

In sintesi, garantire l’autenticità significa confermare che un documento, un messaggio o una transazione sono effettivamente originati dalla fonte dichiarata, senza alterazioni o interventi esterni.

Rimane comunque impregiudicata la possibilità che un’entità coinvolta in una transazione possa negare in seguito la propria partecipazione o le azioni compiute. In questi casi rileva un’altra importante proprietà della sicurezza delle informazioni: il non ripudio, principio che impedisce a una entità di negare la propria partecipazione o l’autenticità di un’azione digitale. Ma questo argomento merita un’autonoma riflessione.

^[1] Il Regolamento eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE n° 910/2014 sull’identità digitale – ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri.

^[2] La certificazione Halal è volta ad assicurare la conformità accurata dei prodotti, servizi e processi ai requisiti Halal definiti dagli standard internazionali di riferimento nel rispetto dei principi morali, dei valori e degli insegnamenti dell’Islam.