Le recenti e purtroppo continue notizie di attacchi informatici in qualche misura riconducibili alla crisi russo-ucraina stanno portando in evidenza una situazione di forte scollamento tra l’impostazione teorica della “scienza” della cyber security e della cyber warfare, fatta di articolati quadri normativi e best practice che sulla carta appaiono ineccepibili, e la realtà fattuale della cronaca, che racconta di un mix di gruppi filo-governativi, attivisti, sedicenni in cerca di avventura e improvvisati difensori delle libertà che si scontrano su un terreno, quello del cyberspazio, impercettibile ai più fin tanto che i danni delle azioni non diventano tangibili (il blocco delle prenotazioni ferroviarie di questi giorni è solo un danno “minore” se paragonato a quelli che potrebbero verificarsi nel prossimo futuro).
Come già avvenuto per la pandemia da Covid-19, che tra i pochi effetti positivi ha avuto una forte crescita di consapevolezza dei rischi derivanti dall’uso improprio degli strumenti informatici lavorativi in ambiente domestico, anche l’attuale crisi politico-militare sta portando un’importante spinta verso un approccio concreto e operativo al tema della cyber security, soprattutto in relazione alle infrastrutture critiche.
Un decreto per la sovranità tecnologica anche nella cyber: le mosse di Italia ed Europa
Indice degli argomenti
Cyber security delle infrastrutture critiche: la situazione in Italia
L’Italia, come noto agli addetti ai lavori, paga le conseguenze dei ritardi accumulati per la definizione di un quadro normativo e organizzativo adeguato, che si sommano al gap tecnologico comune a tutto il nostro continente, dal quale deriva una oggettiva dipendenza dagli Stati Uniti e dai Paesi asiatici produttori hi-tech.
Tuttavia, questa partenza ritardata può trasformarsi nell’opportunità che consentirebbe – e di fatto sta già consentendo – di percorrere con maggiore efficienza la strada già tracciata dagli altri Paesi europei, evitando allo stesso tempo di commettere i loro stessi errori.
Da questo punto di vista, la costituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) e il suo rapido passaggio a una sostanziale – se non ancora del tutto piena – operatività rappresentano un segnale importantissimo del fatto che la direzione presa è quella giusta.
Tra i compiti affidati alla nuova Agenzia rientrano lo sviluppo di politiche di prevenzione, analisi e monitoraggio dei pericoli, la redazione del piano annuale di sicurezza cibernetica nazionale, la promozione di un quadro giuridico e normativo di riferimento, la partecipazione a esercitazioni nazionali e internazionali per testare l’adeguatezza delle misure di sicurezza, lo svolgimento di funzioni consultive, il coordinamento della cooperazione internazionale in funzione di sicurezza cibernetica, la collaborazione con il mondo accademico e della ricerca.
Il rischio che la creazione dell’ACN rappresentasse l’ennesima operazione di rimpasto organizzativo è stato nei fatti superato dalla necessità stringente di rendere la struttura subito funzionante e, oggettivamente, i primi risultati sono evidenti a tutti.
Perimetro cibernetico cardine della strategia cyber italiana
Uno dei cardini attorno a cui ruota l’azione dell’ACN è il Perimetro di Sicurezza Nazionale Cibernetica (PSNC). La sua definizione, prevista dal D.lgs. 105/2019 e attuata con il DPCM 131/2020, ha segnato una svolta fondamentale nel processo di implementazione della cyber security nel nostro Paese.
Ogni buona pratica di analisi e mitigazione dei rischi prevede, per prima cosa, la definizione degli “asset interessati” su cui agire in termini prioritari – in altre parole il “perimetro” – e subito dopo vengono fissate le “metriche” rispetto alle quali valutare (e successivamente innalzare) il livello di maturità e di conformità. L’iter del PSNC ha seguito questa stessa logica: sono stati individuati e inseriti gli asset strategici per garantire la “resilienza cibernetica” nazionale e sono state definite le misure di sicurezza che i soggetti a perimetro devono implementare e rispetto alle quali devono misurare, in forma continuativa, il proprio livello di rischio.
Ancora una volta è importante sottolineare il taglio pratico e operativo che l’ACN ha stabilito: ogni soggetto inserito nel PSNC dovrà necessariamente ottemperare, con tempi e modalità certi, ad una serie di attività volte al miglioramento della propria capacità di difesa e resilienza agli attacchi cyber.
Un framework per la cyber security delle infrastrutture critiche
Sebbene la lista dei soggetti appartenenti al PNSC sia secretata e solo i diretti interessati siano consapevoli di farne parte, è chiaro ed evidente che i criteri di “selezione” siano quelli della direttiva (UE) 2016/1148 del 6 luglio 2016 (c.d. direttiva NIS – “Network and Information Security”). Ne fanno quindi parte i soggetti pubblici o privati che forniscano un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”.
Sono state, al contrario, rese note attraverso la pubblicazione in Gazzetta Ufficiale N.138 dell’11 Giugno 2021, le indicazioni fornite per la valutazione e le misure di sicurezza da adottare per l’abbattimento dei rischi. La GU riporta anche la tassonomia degli incidenti per i quali corre l’obbligo di comunicazione allo CSIRT Italiano (Computer Security Incident Response Team), istituito presso l’ACN.
Analizzando la lista delle misure di sicurezza emanate in GU, non sfugge la chiara derivazione da uno degli standard di riferimento più noti e consolidati: il “Framework for Improving Critical Infrastructure Cybersecurity” del NIST (National Institute of Standards and Technology degli Stati Uniti) meglio noto NIST Cybersecurity Framework (CSF).
In tale standard, le “activities”, ovvero le “azioni finalizzate all’ottenimento di specifici obiettivi di cybersecurity” sono organizzate in una gerarchia di “Funzioni”, “Categorie” e “Sottocategorie”. In particolare le cinque “Funzioni”, che sono “Identificazione”, “Protezione”, “Rilevamento”, “Risposta” e “Recupero”, vanno a mappare, come gli stessi nomi rendono esplicito, le varie fasi di analisi, gestione e risoluzione delle problematiche di sicurezza dei sistemi informatici.
Monitorare le filiere tecnologiche
Tra i vari aspetti, tutti egualmente rilevanti, che l’azione dell’ACN dovrà sempre più sistematizzare, uno in particolare, se implementato rapidamente, porterebbe l’Italia ad essere una volta tanto guida e modello per i partner europei. Si tratta del tema delle filiere tecnologiche che le infrastrutture critiche e gli operatori essenziali del PNSC (e non solo) dovranno necessariamente monitorare e valutare, al fine di evitare che siano veicolo – più o meno volontario – di vulnerabilità di tutta la catena. Stiamo quindi parlando del rischio connesso alla “supply chain” per le infrastrutture critiche.
In tale ambito, la risposta pragmatica dell’ACN si baserà (il rilascio delle procedure attuative è atteso a breve) sul lavoro del CVCN (Centro di Valutazione e di Certificazione Nazionale).
Conclusioni
Il quadro che si va delineando prevede che i Laboratori di Valutazione della Sicurezza (LVS) assumano il ruolo di attori protagonisti nel processo di verifica di ogni sistema informatico.
Infatti il DPR 54/2021 ha stabilito che i soggetti del PNSC saranno tenuti a comunicare al CVCN l’intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset “strategici” e appartenenti a determinate categorie individuate sulla base di specifici criteri tecnici (descritti nel DPCM 15 giugno 2021). Il CVCN dovrà poi assegnare ad un Centro di Valutazione (i CV sono previsti solo per i Ministeri della Difesa e dell’Interno) o più frequentemente ad un LVS accreditato lo svolgimento dei test di sicurezza sugli oggetti in questione.
Si comprende bene come tale processo, se non progettato e implementato con la massima attenzione alle esigenze operative delle infrastrutture critiche, rischia di diventare un pesante freno alle iniziative di digitalizzazione che al contrario, soprattutto per la Pubblica Amministrazione, rappresentano un fattore determinante per lo sviluppo e la crescita del nostro Paese.
Per questo i fornitori di servizi LVS accreditati, con una storia ed un’esperienza consolidata alle spalle, stanno già oliando al meglio i propri meccanismi di funzionamento per garantire, rispetto al loro importante ruolo nel processo, il massimo livello di efficienza e rapidità nello svolgimento dei propri compiti.