Il tema della sicurezza è diventato sempre più centrale per offrire garanzie tanto ai fornitori quanto agli utilizzatori di servizi digitali, sia per l’aumento della quantità e del valore dei dati trasmessi attraverso reti di telecomunicazione, sia per il conseguente incremento degli attacchi cibernetici registrati.
L’importanza delle certificazioni cyber
In questo contesto, le reti di telecomunicazione stanno passando da una condizione in cui le certificazioni relative alla sicurezza informatica erano volontarie a una nuova fase, in cui le richieste aumentano o diventano obbligatorie. Gli strumenti disponibili, per quanto efficaci, non risultano però scevri da limiti, soprattutto in termini di tempi, costi e procedure. Appare quindi essenziale trovare un bilanciamento tra i necessari standard di sicurezza e gli effetti che regolamentazioni e controlli provocano sugli equilibri di mercato.
Cyber security, certificazioni e sanzioni: come prosegue l’adeguamento alle norme Ue
Certificazioni cyber condivise a livello europeo potrebbero favorire l’uniformità e consentire una maggiore efficienza e costi minori anche per il raggiungimento dei requisiti di sicurezza richiesti. In questa direzione, inoltre, trova riscontro l’attività dell’Unione europea e delle agenzie comunitarie.
Anche l’Italia si è dimostrata consapevole non solo dell’importanza di collaborare a livello internazionale ma anche della necessità, ormai impellente, di garantire la sicurezza, sebbene appaia necessaria un’azione maggiormente decisa in termini di bilanciamento e semplificazione. Questi argomenti sono stati approfonditi nel paper pubblicato dall’Istituto per la Competitività (I-Com) dal titolo “Ict a prova di cybersicurezza. Evoluzione dei requisiti e impatto sulle aziende”, frutto delle attività dell’Osservatorio sulla sicurezza del 5G condotte nel corso del 2021, cui hanno partecipato numerosi rappresentanti delle istituzioni e delle imprese.
La cybersecurity nelle telecomunicazioni
Sin dagli anni ’80, sia per l’importanza strategica dell’architettura cibernetica, sia per la sua rilevanza come elemento abilitante fondamentale per lo sviluppo economico, le autorità nazionali e sovranazionali si sono adoperate per elaborare un sistema di valutazione della sicurezza per prodotti e sistemi Ict che fosse affidabile e condiviso. Tra i primi tentativi di strutturazione di uno standard di valutazione di sicurezza si evidenzia la creazione del Trusted Computer System Evaluation Criteria – TCSEC, sviluppato nel 1983 da parte del Dipartimento di Difesa degli Stati Uniti. La risposta europea all’iniziativa americana si è concretizzata nella redazione nel 1990 dell’Information Technology Security Evaluation Criteria – ITSEC – uno standard che però non è riuscito a diffondersi a livello mondiale. Successivamente, sulla base dell’ITSEC, sono stati sviluppati i Common Criteria (1996), divenuti nel 1999 standard ISO/IEC 15408, un punto di riferimento globale per la valutazione della sicurezza informatica.
I common criteria
A livello tecnico, per ottenere la certificazione dello standard ISO/IEC 15408 (Common Criteria), è necessario identificare tre elementi fondamentali in relazione all’oggetto della valutazione (Target of Evaluation): gli obiettivi di sicurezza, che definiscono l’intenzione per cui si intende operare la valutazione (contrastare una minaccia, assicurare il rispetto delle leggi, ovvero “sicuro per cosa”), l’ambiente di sicurezza, che definisce il contesto in cui l’oggetto della valutazione deve espletare le sue funzioni, l’ambiente di utilizzo e le minacce da contrastare (“sicuro in quale contesto”), e i requisiti funzionali, che identificano le verifiche di sicurezza e il corrispondente livello di assurance garantito (“sicuro a fronte di quali verifiche”).
I Common Criteria sono strutturati per rispettare standard qualitativi tali da garantire alla documentazione prodotta un elevato livello di fiducia, efficacia e correttezza. L’ente che esegue le verifiche non deve avere interessi economici legati al risultato della valutazione (imparzialità), la ripetizione della procedura deve restituire lo stesso risultato (ripetibilità), lo stesso risultato deve poter essere raggiunto da un terzo ente valutante (riproducibilità) e non deve comprendere stime di carattere soggettivo (obiettività).
Lo schema di funzionamento dei common criteria
Nel processo di valutazione della sicurezza dei prodotti, appositi laboratori sono incaricati di valutare i relativi codici sorgente ed eseguire il Vulnerability Assessment, per poi produrre la documentazione che l’ente di certificazione dovrà valutare.
In particolare, il Security Target che ne deriva descrive nel dettaglio il prodotto/sistema oggetto dei test, ne specifica le caratteristiche, identifica le possibili minacce a cui è sottoposto ed elenca i requisiti di garanzia rispettati. Per misurare numericamente il grado di affidabilità del Target of Evaluation (TOE), si ricorre agli Evaluation Assurance Level (EAL), che consistono in 7 livelli di sicurezza, ciascuno dei quali corrisponde ad un pacchetto di requisiti (Security Functional Requirements e Security Assurance Requirements).
I limiti dei common criteria
Fatta eccezione per i livelli EAL1 e EAL2 che possono richiedere anche “solo” poche settimane, quelli dal terzo in poi possono coprire un orizzonte temporale di vari mesi, il che espone il prodotto/sistema al rischio di essere divenuto obsoleto nel momento del rilascio della certificazione. In questo senso, una maggiore agilità e rapidità sembrerebbe poter essere garantita dal Nesas, lo standard sviluppato da 3GPP e GSMA che semplifica notevolmente i Common Criteria con procedure di accreditamento e tempi di valutazione brevi, a basso costo, e capaci di soddisfare le esigenze di sviluppo delle nuove tecnologie digitali. A livello di tempistiche, mentre le verifiche condotte con i Common Criteria per assicurare un livello superiore all’EAL4 comportano passaggi complessi che potrebbero richiedere circa 12-18 mesi, l’utilizzo del Nesas implica procedure semplificate che consentirebbero un time-to-market dei prodotti da testare di circa 3-6 mesi.
Per i Common Criteria, inoltre, la quantità di documentazione richiesta aumenta progressivamente con il livello di valutazione, aumentandone anche i costi. Inoltre, una debolezza dello schema è la sua rigidità per il mantenimento della certificazione. Il sistema, che prevede la perdita dell’attestazione non appena ci si discosta dalla configurazione verificata, non contempla la possibilità di installare nuove patch senza una nuova certificazione. Solo in taluni casi, ovvero quando si sia verificato che l’aggiornamento software non può compromettere il funzionamento delle parti critiche del sistema, può bastare un’integrazione della documentazione di valutazione.
Attualmente le certificazioni sono volontarie (i costi sono a carico del fornitore) ma le autorità nazionali potranno definire eventuali obbligatorietà. Sotto quest’ultimo profilo, la questione è particolarmente sensibile se si considerano i prodotti già operativi: se infatti per i prodotti ancora da realizzare è possibile progettare il design in modo da rispettare gli standard, la richiesta della certificazione per prodotti e sistemi già attivi potrebbe comportare oneri estremamente elevati per alcuni fornitori e quindi andare ad incidere sugli equilibri di mercato.
I benefici della standardizzazione
Come sottolineato dall’ENISA, i vantaggi della standardizzazione nella sicurezza informatica sono chiari e ben noti. Tra questi si annoverano l’interoperabilità, la riusabilità, la coerenza tra diversi produttori, fornitori e utenti, una migliore valutazione di sicurezza e l’integrità della supply chain.
Per la valutazione della sicurezza informatica, la standardizzazione è ritenuta necessaria anche per tre aspetti fondamentali: in primo luogo, la valutazione del rischio, dei criteri e dei metodi di valutazione. In secondo luogo, per la valutazione dei profili di protezione e, infine, per il mantenimento dei certificati di sicurezza informatica lungo il ciclo di vita del prodotto.
L’obiettivo del processo di standardizzazione è duplice: da un lato, garantire la massima sicurezza possibile con procedure coerenti in tutta Europa mentre dall’altro, assicurare che qualsiasi valutazione della sicurezza effettuata in uno Stato dell’Ue sia efficace e accettata in tutti gli altri Paesi membri, senza la necessità di valutazione multiple e sovrapposte.
Armonizzazione e bilanciamento a livello italiano ed europeo
Le istituzioni europee e le agenzie comunitarie, come l’Enisa, sono consapevoli dell’importanza di promuovere iniziative comuni per sviluppare un ecosistema sicuro, uniforme ed efficiente. Costituiscono manifestazione di tale intenzione il Cybersecurity Act, le Raccomandazioni di Enisa sulla standardizzazione e il Cybersecurity Certification Market Study della stessa Agenzia. Tutte queste iniziative mirano a definire un quadro che, all’interno di una cornice in grado di assicurare elevati standard di sicurezza, non limiti le opportunità di crescita e di sviluppo del settore. Per quanto concerne in particolare l’adozione di un quadro unico di certificazione, nell’ambito del Cybersecurity Act (CSA) è stato introdotto uno strumento per stabilire livelli condivisi di sicurezza nei prodotti, nei servizi e nei processi derivanti da tecnologie Ict, allo scopo di fornire criteri armonizzati per effettuare valutazioni di conformità e stabilire il loro grado di aderenza rispetto a requisiti specifici, predefiniti e condivisi tra gli Stati. Rispetto alla necessità di trovare un equilibrio tra una certificazione in grado di mitigare le possibili minacce, e che tenga conto allo stesso tempo di esigenze relative a costi, tempi e prestazioni da raggiungere, si osserva l’opportunità, sottolineata dalla stessa Enisa, di tenere in considerazione fattori relativi alle dinamiche di mercato e anche agli aspetti socioeconomici. A tal proposito, i fattori determinanti per le certificazioni vanno oltre i requisiti di cybersecurity e impattano anche in termini di concorrenza e di fiducia di fornitori e utilizzatori.
Conclusioni
In questo contesto, l’Italia si sta dimostrando consapevole dell’importanza di collaborare a livello internazionale e della necessità, ormai impellente, di garantire la sicurezza attraverso un sistema di regole e di governance improntato ai criteri di certezza ed efficacia. L’estensione dell’ambito di applicazione della disciplina sul golden power, la pubblicazione della legge sul perimetro di sicurezza nazionale cibernetica e dei relativi decreti attuativi (tutt’ora in corso), così come la legge per l’istituzione dell’Agenzia per la cybersicurezza nazionale, sono indicativi in tal senso. Si tratta di un’articolata attività legislativa che, sebbene assolutamente pregevole nelle finalità perseguite, sembra tuttavia richiedere un’azione maggiormente decisa in termini di semplificazione e bilanciamento dei vari interessi in gioco per un settore la cui importanza, sia in termini strategici che economici, sta assumendo un valore sempre maggiore che necessita di adeguata considerazione.
Sempre più attacchi
L’incremento degli attacchi va di pari passo con l’aumento dei danni economici a essi collegati, dovuti sia alla perdita o al furto dei dati, sia alla riduzione di fiducia da parte di aziende e utilizzatori finali.
Fortunatamente, l’Italia è tra i Paesi danneggiati in misura minore dalle azioni ostili dei cybercriminali. Se analizziamo i dati diffusi da IBM, emerge come il costo medio dei data breach per le aziende italiane si sia attestato nel 2021 a quota 3,61 milioni di dollari. Un dato che, sebbene in crescita del 13,6% rispetto al 2020, risulta inferiore sia alla media globale che a quello registrato nelle altre principali economie europee e mondiali. Per alcune tipologie specifiche, però, il nostro Paese è tra i più colpiti. Se prendiamo in considerazione i soli ransomware, secondo Trend Micro (ottobre 2021), l’Italia si è posizionata al terzo posto a livello globale di questa speciale classifica con oltre 64.000 azioni ostili, dietro solo a USA e Francia.
Occorre quindi potenziare gli strumenti di sicurezza informatica a disposizione di aziende e amministrazioni per ridurre tali effetti negativi, ad esempio dotandole di sistemi all’avanguardia che riducono sia la possibilità che una rete venga penetrata sia, in caso avverso, il tempo che i criminali informatici hanno a disposizione prima di essere scoperti ed estromessi.
