Il governo italiano, tramite l’Agenzia per la Cybersicurezza Nazionale, ha operato un grande sforzo per recuperare il tempo perduto dall’Italia, in passato, e contribuire a un quadro legislativo chiaro e di dettaglio nel settore della cyber security.
In particolare, negli ultimi mesi abbiamo assistito in Italia allo sviluppo del mercato cyber grazie al consolidarsi di laboratori italiani attrezzati con strumentazione e metodologie di test a standard, pronti per collaborare con l’Agenzia in accordo al quadro legislativo nazionale vigente, la cui definizione è in fase di completamento mediante la pubblicazione del quarto decreto di accredito dei laboratori.
Indice degli argomenti
Approccio Common Criteria alle certificazioni cyber security
Da un lato, è importante che tali laboratori siano italiani, come indicato dal governo, per garantire sovranità del settore, ma anche che le metodologie di test utilizzate siano standardizzate, rispettino il Time-To-Market e, al tempo stesso, siano coordinate con le discussioni sui tavoli europei per un approcio “European Common Criteria” alle certificazioni di cyber security.
Infatti, solo una metodologia di test standardizzata e riconosciuta riuscirà a consentire, nell’ambito della cyber security, sicurezza e qualità agli utenti finali, come lo è stato nel settore delle telecomunicazioni la standardizzazione a livello internazionale delle tecnologie GSM, UMTS, LTE e 5G che ha permesso da oltre 20 anni lo sviluppo dei sistemi cellulari e l’utilizzo capillare degli smartphone da parte di tutti gli utenti.
Ora il nuovo passo da compiere è rendere più sicure le comunicazioni e le reti. La standardizzazione rimane quindi centrale nell’ambito di tale processo, a garanzia finale dell’industria e del consumatore.
In quest’ottica, nel panorama europeo, è utile che i test sugli stessi prodotti non vengano ripetuti e che i certificati emessi in Italia possano essere usati in Europa e viceversa. Auspichiamo quindi una cyber security che sviluppi il mercato italiano e al tempo stesso conservi un approccio neutrale e imparziale nel rispetto degli standard e dell’interoperabilità delle reti di telecomunicazioni e ICT, in un contesto italiano ma anche europeo e globale.
Cosa prevede l’approccio Common Criteria
L’approccio standard, già consolidato a livello europeo e internazionale, è quello dei Common Criteria che prevede diversi livelli di certificazione cui corrisponde una complessità diversa, adattativa per il contesto in cui l’apparato si trova.
Più in dettaglio, si va a definire per ogni contesto un cosiddetto ‘security target’ cui corrispondono profili di sicurezza. Immaginiamo che un approccio Time-To-Market, che quindi debba poter certificare dei prodotti in una release software di base, possa corrispondere a un sottoinsieme di test di una certificazione completa Common Criteria.
Occorre considerare altresì la forte variabilità sul mercato delle release software, che spesso si avvicendano con diversa cadenza durante un anno e non devono richiedere necessariamente una ricertificazione del prodotto, ma anche prevedere un’adattatività del prodotto a più di una realease sofware.
Un raccordo con il Centro di certificazione e valutazione nazionale
L’attuale discussione in sede europea in diversi tavoli di lavoro, anche con il contributo di nostri partner e clienti e in alcuni casi con il nostro, sta portando al consolidarsi dei cosiddetti European Common Criteria, che rappresentano una metodologia di test riconosciuta a livello europeo. Probabilmente non sarà possibile completare i lavori in tempi brevi ma auspichiamo che, non appena conclusa l’attività, le metodologie di certificazione del centro italiano di certificazione e valutazione nazionale (CVCN) presso l’Agenzia per la Cybersicurezza Nazionale possa raccordarsi con tale schema europeo.
A questo proposito, nei vari Paesi europei e nello specifico anche in Italia, sono in discussione sui tavoli di lavoro degli stakeholder di Cyber Security, istituzionali e non, possibili approcci semplificati di Common Criteria ridotti che consentirebbero, soprattutto per le piccole aziende, tempi e costi di certificazione altrettanto ridotti. Questo approccio andrebbe a vantaggio del Time-To-Market ma potrebbe al contempo portare il rischio di una localizzazione della metodologia di test potenzialmente in conflitto con la standardizzazione dei test e il riutilizzo delle certificazioni in più Paesi europei.
Il ruolo dell’Italia nelle certificazioni cyber security
La metodologia Common Criteria già prevede approcci semplificati in termini di livelli e di security target. Si potrebbero quindi utilizzare, anziché schemi semplificati e localizzati, livelli di Common Criteria più bassi e adeguati al tipo di semplificazione richiesta. Ad esempio, si potrebbero definire in ottica European Common Criteria livelli diversi corrispondenti a diverse tecnologie ICT.
L’Italia potrebbe quindi essere propositiva e trainante nel proporre una metodologia di impronta Commom Criteria semplificata ma efficace, che risponda ai requisiti industriali di velocità e resilienza ma che si coordini al momento opportuno con i risultati dei tavoli europei ENISA nella costruzione degli European Common Criteria.
L’esigenza di un’analisi preliminare dei certificati Common Criteria, già in portafoglio dei prodotti delle aziende ICT, potrebbe evitare non utili ripetizioni di test e verifiche, gia’ effettuate su stesse versioni Software e/o similari, intervendo magari “ad hoc” sulle sole differenze. Potrebbe infine essere utile una composizione di una “White List”puntuale dei prodotti certificati CC e/o EU CC in futuro e strutturare verifiche puntuali solo nell’ecosistema di rete “live” del progetto in cui il prodotto viene inserito.
Contributo editoriale sviluppato in collaborazione con Huawei Italia
