Nel 2020 la Commissione aveva proposto un aggiornamento significativo delle norme dell’UE sulla resilienza delle entità critiche e sulla sicurezza delle reti e dei sistemi informativi.
Il 2022 è stato invece l’anno della effettiva serie di interventi per un approccio di coordinamento a livello di Unione mirato a rafforzare la resilienza delle infrastrutture critiche in cui gli Stati membri sono invitati ad accelerare i lavori preparatori per il recepimento e l’applicazione delle NIS 2 e della direttiva sulla resilienza delle entità critiche (CER).
In questo contesto i professionisti della sicurezza informatica “non stanno a guardare” ma sono parte di un significativo e continuo intervento dinamico di predisposizione e approntamento operativo. Andrea Chittaro, Senior Vice President Global Security & Cyber Defence di Snam spa e Valerio Visconti Group CISO di Autostrade per l’Italia ci parlano del loro approccio alla resilienza.
Direttive NIS 2 e CER: così l’Europa metterà in sicurezza le sue infrastrutture critiche
Indice degli argomenti
L’approccio dei CISO ai requisiti normativi UE in materia di cyber security
Consapevolezza delle minacce informatiche e resilienza sono le parole chiave del nuovo cyber framework europeo, nell’ambito della strategia digitale europea.
Il framework è composto dalle seguenti normative pubblicate in data 27 Dicembre 2022 nella Gazzetta Ufficiale dell’Unione Europea: la Direttiva (UE) 2022/2555 (nota come “Direttiva NIS2), (che fa seguito ed aggiorna la Direttiva (UE) 2016/1148 ovvero la “Direttiva NIS1”), il nuovo Regolamento 2022/2554, Digital Operational Resilience Act, ovvero il “Regolamento DORA” e la Direttiva 2022/2556 per la resilienza operativa digitale del settore finanziario, e infine la Direttiva (UE) 2022/2557 (chiamata “Direttiva CER” che abroga la precedente direttiva 2008/114 ).
Il framework costituisce quindi, un corpus di norme per sistematizzare e migliorare la capacità di prevenzione, protezione, gestione e risposta agli incidenti informatici introducendo una più ampia e chiara serie di indicazioni e di linee guida per impostare la difesa nella propria organizzazione.
Per supportare le organizzazioni ad una migliore preparazione interna dei professionisti dedicati alla cyber security, l’Europa ha anche predisposto, tramite l’agenzia ENISA, l’European Cybersecurity Skills Framework (ECSF), uno strumento pratico per supportare l’identificazione e l’articolazione di compiti, competenze, abilità e conoscenze associate ai ruoli dei professionisti europei della sicurezza informatica allineato ovviamente con le capacità richieste nelle normative del Cyber Framework Europeo.
I CISO e i CSO delle maggiori organizzazioni di tipo infrastrutture critiche (aziende energetiche, acqua, trasporti, sanità come esempi) in qualità di professionisti della sicurezza informatica e chiamati a garantire standard di protezione digitale, seguono da tempo gli sviluppi normativi, non solo per motivi di compliance, ma soprattutto per ottimizzare i loro piani strategici e tattici in materia di cyber security, per adeguarla e allinearla agli obiettivi di business, in modo sempre più integrato e ovviamente, per delineare budget adeguati e investimenti mirati.
Ma l’importanza degli interventi europei in questi settori mira anche ad innalzare il livello di attenzione dei decisori e dei board di direzione, coloro cioè, che decidono la governance e le priorità degli investimenti in funzione dello scenario di mercato.
Ecco, quindi, che se lo scenario di business è fortemente influenzato da attacchi informatici e da fenomeni di cybercrime o di cyberwarfare di crescente intensità e frequenza, nessuna organizzazione può pensare di evitare impatti causati da azioni criminali di questo tipo e anzi si rende necessario non solo essere pronti ma rivalutare continuamente questa prontezza operativa (readiness n.d.r.) per essere in grado di restare operativi anche se sotto attacco e mantenere la capacità di business in ogni condizione.
Strategia cyber: ecco gli indicatori di misurazione per il potenziamento del perimetro nazionale
Si ricorda per completezza, che, nel territorio italiano la normativa sul Perimetro Nazionale di Sicurezza Cibernetica ed i suoi decreti attuativi e tutta la governance impostata e perseguita dall’Agenzia per la Cybersicurezza Nazionale (ACN), costituiscono già una base significativa di indicazioni e requisiti capacitivi, organizzativi, procedurali a cui proprio le aziende infrastrutture critiche sono chiamate ad adeguarsi non solo per compliance (aderenza al perimetro nazionale n.d.r.), ma anche per una pragmatica capacità di risposta a tutela loro e degli utenti dei servizi finali.
Abbiamo voluto approfondire con due grandi organizzazioni del settore delle infrastrutture critiche, SNAM e Autostrade per l’Italia, l’approccio di Sicurezza e le conseguenze scaturite dalle normative europee per evidenziare come il bilanciamento di tutte le componenti regolatorie e di scenario richieda una continua azione correttiva/adeguativa delle misure di security.
La cyber security roadmap e le sue priorità
Andrea Chittaro, Senior Vice President Global Security & Cyber Defence di Snam spa in tema di esigenza di introduzione di correttivi alla preesistente roadmap di sicurezza spiega: “Snam, come soggetto già destinatario delle previsioni della Direttiva NIS e, all’epoca, della Direttiva 114/2008, ha da tempo implementato un modello di compliance normativa ed una struttura organizzativa e di processo adeguata ora anche a rispondere alle nuove indicazioni provenienti da NIS2 e Direttiva CER.
Peraltro, nel nostro paese esistono normative specifiche, come il Perimetro di Sicurezza Nazionale Cibernetica che hanno svolto un po’ il ruolo di “precursore” rispetto alle nuove norme europee. Tale modello si basa su una gestione integrata dei rischi degli spazi fisico e cyber indirizzato da un’analisi coerente ad un business dove la dimensione industriale rimane prevalente anche se continuamente alimentata da nuove tecnologie ed innovazione”.
Una simile impostazione alle esigenze di cyber security, si riscontra anche dalle parole di Valerio Visconti Group CISO di Autostrade per l’Italia, che chiarisce come “Autostrade per l’Italia abbia già da tempo adottato un modello Risk-based nella gestione della sicurezza informatica e, in tale contesto, abbia approcciato un processo di vulnerability management strutturato che tiene traccia del trade-off tra esigenze di business e resilienza agli attacchi cyber”.
E aggiunge: “la Direttiva NIS2 fornisce maggiori dettagli sulla responsabilità dei fornitori di servizi digitali, nonché sulle misure di sicurezza da implementare per prevenire, rilevare e rispondere ai rischi di sicurezza informatica; inoltre, introduce anche un framework per lo scambio informativo relativo agli incidenti.
La nostra organizzazione, indipendentemente dallo status di infrastruttura critica, ha scelto di seguire le best practice suggerite dai principali framework di sicurezza in modo da avere un livello di compliance accettabile, anche in caso di modifiche delle norme vigenti, attraverso un continuo aggiornamento dei propri processi. In particolare, in collaborazione con la funzione di Risk & Compliance, stiamo modificando i nostri processi di valutazione delle terze parti in modo da essere pronti all’entrata in vigore della NIS2”.
Correttivi alla luce degli attacchi ransomware
I recenti e sempre più frequenti attacchi ransomware (si veda l’attacco ad Acea quelli relativi alla vulnerabilità su VMWare ESXI n.d.r.) possono richiedere l’introduzione di azioni/implementazioni preventive specifiche.
Su questo punto Andrea Chittaro chiarisce che “si potrebbe discutere a lungo sulle misure ed è evidente che, anche qui, non si possono e non si debbono immaginare strategie “reattive” ma piuttosto modelli di resilienza basati su una prevenzione capace di individuare tempestivamente vulnerabilità da sanare.
Nel caso citato, peraltro, tale vulnerabilità era piuttosto risalente ed è evidente che un mancato intervento di mitigazione deve considerarsi legato a inefficienze di processo. Per quanto riguarda la “response”, anche questa non si può improvvisare ma è necessario sviluppare sempre di più esercizi di simulazione e reazione ad aventi come quelli di cui stiamo parlano”.
Valerio Visconti aggiunge che “i ransomware di nuova generazione hanno alcune caratteristiche che li rendono più difficili da rilevare e contrastare, sono progettati per eludere i sistemi di sicurezza esistenti (come gli Endpoint Detection & Response- EDR) e sfruttano il machine learning per customizzare l’attacco sulle vulnerabilità che trovano durante la fase di ricognizione dei target adattandosi ad esse e ad i presidi di difesa implementati; inoltre, utilizzano tecniche di crittografia avanzate per aumentare la velocità di cifratura e, contestualmente, distribuirsi più rapidamente.
Tale scenario non permette di abbassare la guardia, indipendentemente dagli eventi più o meno eclatanti che possono avvenire all’esterno della propria organizzazione, non esiste una formula segreta per essere invincibili. La difesa deve essere organizzata in maniera tale che una eventuale compromissione generi danni accettabili che non vadano ad inficiare pesantemente sulla continuità del servizio.
Questo obiettivo può essere raggiunto attraverso l’implementazione di architetture IT ben segregate che adottino un approccio Zero Trust reale per l’accesso alle proprie risorse informative e, parallelamente, dalla formazione continua del personale a tutti i livelli per limitare la superficie di attacco basata sulla debolezza dell’utente finale”.
La sicurezza delle infrastrutture critiche, tra normativa e buone prassi
Compliance normativa ed efficacia implementativa
Se l’adeguamento alle norme garantisce un appropriato livello di compliance normativa, per attuare davvero la resilienza allo scenario attuale della minaccia, si rende necessario un ulteriore sforzo.
Andrea Chittaro sottolinea come le normative, per loro natura costituiscano dei “riferimenti”, delle basi, su cui elaborare e costruire i modelli di protezione. Di per sé sono elementi “statici” legati all’epoca della loro emanazione con tempi di emendamento successivo, non certo coerente con la velocità che connota l’evoluzione del quadro di rischio. Ecco perché sono i processi di risk assessment delle organizzazioni che devono assumere caratteristiche dinamiche e spingere le azioni conseguenti in un’ottica di “continuous improvement”.
Valerio visconti osserva come “nonostante le norme NIS2 e CER siano ben strutturate e coprano tutti gli aspetti della cyber security per le entità critiche europee, è sicuramente un criterio valido l’adozione di un criterio multi-compliance che cerchi di ottemperare a tutte le carenze possibili, che possono essere approcciate con enfasi differente nelle varie norme regolatorie. Questo approccio consente sia di essere pronti ad eventuali cambiamenti normativi sia di implementare una strategia di difesa realmente efficace ed efficiente.
Autostrade per l’Italia è alla continua ricerca di spunti di miglioramento per traguardare un macro-processo di cybersecurity che includa la pianificazione, l’identificazione delle minacce, l’implementazione di soluzioni, la preparazione e la reazione rapida. Tale processo, basato sulla resilienza, richiede un’attenta valutazione dei rischi e una strategia di gestione che consenta alla nostra organizzazione di resistere e reagire alle minacce informatiche”.
