La relazione annuale dell’Agenzia per la Cyber Security Nazionale, appena presentata alle Camere come stabilito dalla legge di istituzione, fornisce un quadro completo delle attività, dei dati e dei progetti dell’ACN durante il periodo compreso tra il 1° gennaio e il 31 dicembre 2022.
Relazione ACN: per la cyber resilienza dell’Italia servono autonomia strategica e consapevolezza
Indice degli argomenti
Un anno di cyber security nazionale
Tale anno di attività è stato caratterizzato da una complessa evoluzione dell’Agenzia, istituita tramite decreto nella seconda metà del 2021, e la necessità di lavorare tempestivamente sulla sicurezza cyber del Paese ha richiesto un’azione operativa anche durante il processo di strutturazione interna.
La strategia
Il primo anno ha visto la formulazione della Strategia nazionale di cybersicurezza 2022-2026 e del Piano di implementazione correlato. Tali documenti, ricordiamo, sono composti da 82 misure, mirate a potenziare la sicurezza cibernetica del sistema nazionale al fine di affrontare le sfide del mondo digitale, perseguendo tre obiettivi essenziali: protezione, risposta e sviluppo digitale del Paese e sono stati poi seguiti da un ulteriore documento sui KPI.
Obiettivi della strategia nazionale di cybersicurezza (fonte: Relazione Annuale 2022 dell’Agenzia per la Cybersicurezza Nazionale).
All’interno della ACN sono stati attivati 5 dei 7 Servizi previsti dal Regolamento di organizzazione e funzionamento: Gabinetto, Certificazione e vigilanza, Operazioni, Programmi industriali, tecnologici, di ricerca e formazione, Risorse umane e strumentali e successivamente il servizio Autorità e Sanzioni.
Il conto degli attacchi
Tra le parti più rilevanti della relazione si evidenzia il capitolo dedicato alla “Prevenzione e Gestione di Incidenti e Attacchi Cibernetici”. Secondo quanto riportato dalla relazione annuale dell’ACN al parlamento, in riferimento all’anno 2022, l’Agenzia ha osservato, a livello globale, un deciso aumento di attività informatiche malevoli ai danni di settori governativi e infrastrutture critiche.
Tale fenomeno, acuito dai riflessi della crisi in atto in Ucraina, si è registrato anche in Italia la quale risulta tra i Paesi Europei maggiormente interessati dalla diffusione generalizzata di malware e da attacchi cibernetici mirati, specie a danno del comparto sanitario e di quello energetico.
In tale contesto la componente operativa dell’Agenzia, ovvero il CSIRT Italia, ha trattato 1.094 eventi cyber, per una media di circa 90 eventi al mese, con un picco di 118 a febbraio 2022. Di questi, 126 hanno avuto un impatto confermato dalla vittima, per una media di 10,5 incidenti al mese.
Sul fronte delle comunicazioni ricevute dal CSIRT Italia, sono state registrate 81 segnalazioni derivanti da obblighi di legge, quali la normativa sul Perimetro di sicurezza nazionale cibernetica (D.L. n. 105/2019), la normativa di attuazione della Direttiva NIS (D. Lgs. n. 65/2018) e il cd. Decreto Telco (Decreto del Ministro dello Sviluppo Economico 12 ottobre 2018).
Gli attacchi per tipologia
Dall’analisi degli incidenti registrati, il CSIRT è riuscito a identificare le tipologie di eventi cyber maggiormente ricorrenti nel periodo di riferimento. La diffusione di malware tramite e-mail risulta essere l’evento maggiormente presente ed ha riguardo 517 casi su 1094. A seguire si evidenziano casi di Brand Abuse (204 casi), Phishing (203 casi) e Ransomware (130 casi).
Relativamente agli eventi Ransomware, il 18% di tali episodi ha coinvolto le Pubbliche Amministrazioni, mentre il restante 82% ha riguardato operatori privati. Nel settore privato, il 31% degli eventi ransomware ha interessato grandi imprese, il 28% ha visto coinvolte medie imprese, mentre il restante 41% ha riguardato le piccole imprese.
Classificando le vittime in base ai settori di attività economica, l’Agenzia ha osservato come il settore manifatturiero sia stato il più colpito, seguito da quello tecnologico, dal retail e dal settore sanitario. In generale, il ransomware si è confermato tra le minacce più impattanti.
Distribuzione temporale di eventi cyber con impatto sul territorio nazionale nel 2022 (fonte: Relazione Annuale 2022 dell’Agenzia per la Cybersicurezza Nazionale).
Distribuzione temporale degli incidenti con impatto confermato dalla vittima (fonte: Relazione Annuale 2022 dell’Agenzia per la Cybersicurezza Nazionale).
Obiettivo cyber resilienza
In tale ambito, nel 2022 l’Agenzia ha avviato l’analisi e la progettazione dei servizi cyber nazionali ai fini del potenziamento della cyber-resilienza del Paese. Tale attività, oltre ad essere in linea con gli obiettivi dell’Investimento 1.5 Cybersecurity della Missione 1 Componente 1 del PNRR, darà attuazione ad alcune misure previste dal Piano di implementazione della Strategia nazionale di cybersicurezza.
In particolare, tali servizi cyber nazionali includono: un HyperSOC, volto ad assicurare servizi di monitoraggio della constituency e delle minacce cyber d’interesse; una rete di CERT nazionali integrati, federati con il CSIRT Italia, al fine di condividere procedure, processi, strumenti e supporto nella risposta alle minacce emergenti e agli incidenti; un Information Sharing and Analysis Center-ISAC centrale presso l’ACN, integrabile con una rete di ISAC settoriali, finalizzato al potenziamento dello scambio di informazioni.
ASL 1 Abruzzo, le vite di mille pazienti violate su internet
Il valore delle certificazioni
È stato reso operativo il Centro di Valutazione e Certificazione Nazionale (già istituito nel 2019 presso l’allora MiSE e trasferito all’ACN ai sensi del D.L. n. 82/2021), componente fondamentale dell’architettura nazionale di cyber security.
Il CVCN, ai sensi dell’articolo 1, comma 6, lettera a), del D.L. 21 settembre 2019, n. 105, svolge una valutazione preventiva sui livelli di sicurezza degli asset ICT conferiti al Perimetro di sicurezza nazionale cibernetica e, dunque, “impiegati da soggetti che svolgono una funzione essenziale dello Stato ovvero assicurano un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”.
Sono state acquisite dall’ACN le dotazioni strumentali per i laboratori per eseguire test su software e apparati di rete e un primo laboratorio di elettronica per i test su dispositivi hardware.
Il CVCN è attivo dal 30 giugno 2022, data di avvio dell’obbligo, a carico dei soggetti interni al Perimetro, di comunicare l’intenzione di acquisire tramite procedure di affidamento specifici beni ICT destinati agli asset Perimetro. Sta accreditando, inoltre, 34 laboratori esterni (Laboratori Accreditati di Prova), ai quali può demandare l’esecuzione di test di sicurezza.
Nel 2022 il CVCN ha gestito 63 procedimenti scaturiti da comunicazioni di affidamento da parte dei soggetti inclusi nel Perimetro: 38 procedimenti sono stati chiusi autorizzando il soggetto a proseguire con le procedure d’acquisizione di assetti ICT, fornendo raccomandazioni di sicurezza di carattere tecnico e per 16 procedimenti il CVCN ha imposto l’esecuzione di test di sicurezza.
Statistiche sullo stato dei procedimenti del CVCN al 31 dicembre 2022 (fonte: Relazione Annuale 2022 dell’Agenzia per la Cybersicurezza Nazionale).
Sempre nel corso del 2022 ACN ha fornito supporto tecnico nella fase istruttoria di 64 notifiche Golden Power, di cui 16 relative a tecnologia 5G.
Con riferimento alla tecnologia 5G, l’oggetto delle notifiche riguarda ora piani annuali di sviluppo, piuttosto che singole acquisizioni di componenti specifici, con la conseguenza che, ad un ridotto numero di notifiche, corrisponde una maggiore complessità delle stesse.
Con riferimento ai casi trattati dall’ACN, in 7 occasioni il Governo ha esercitato i poteri speciali nella forma di prescrizioni redatte da ACN per gli aspetti di propria competenza, mentre in un caso è stato esercitato il potere di veto.
Le norme sulla valutazione stanno iniziando ad essere applicate e le aziende potranno sicuramente beneficiare dello sblocco relativo alle procedure di acquisizione di beni ICT, decisamente auspicato negli ultimi mesi.
Infrastrutture mission critical: best practice di protezione e misure preventive
La strategia cloud per l’Italia
La relazione riporta infine, come l’ACN abbia anche assunto la responsabilità della qualificazione dei servizi cloud per la Pubblica Amministrazione, in linea con la Strategia Cloud Italia per garantire la sovranità e l’autonomia tecnologica del Paese e dell’Unione europea nella gestione dei dati.
Ciò è stato reso possibile attraverso un decreto che ha trasferito le funzioni e le risorse dall’Agenzia per l’Italia digitale e dal Dipartimento per la trasformazione digitale all’ACN. Questa transizione consente di seguire il processo di qualificazione dei servizi cloud definito dal Regolamento “Cloud per la PA”.
Ciò che ha assunto particolare rilevanza è il programma di azioni sinergiche tra ricerca, startup e imprenditoria di alto livello, finalizzato a sostenere l’innovazione e il potenziamento tecnologico e industriale del Paese. Questo ha comportato la redazione di un’Agenda di ricerca e innovazione e altre iniziative di collaborazione a livello nazionale ed europeo nel campo della ricerca sulla cybersicurezza.
Infine, la relazione evidenzia come la collaborazione internazionale in tema di cyber security sia fondamentale per il rafforzamento della postura nazionale. Nel corso del 2022, l’Agenzia ha condotto alcune missioni internazionali e ha avuto numerosi incontri bilaterali con rappresentanti di autorità di cyber security straniere.
Inoltre, ha tenuto 27 riunioni del Nucleo per la cybersicurezza (NCS), che rappresenta il principale punto di coordinamento interministeriale a livello tecnico-operativo per la cybersicurezza e la resilienza nazionale nel dominio cibernetico.
