La certificazione dei prodotti e dei servizi cyber security apparirà con evidenza indubbia quest’anno, anche in Italia, come un elemento chiave per lo sviluppo delle strategie nazionali di sicurezza informatica e del mercato interno europeo dei dispositivi interconnessi dell’Internet of things, e delle infrastrutture critiche.
Inquadrato nel cybersecurity act, il processo di certificazione non può essere però di per sé garanzia di sicurezza: per un salto di qualità decisivo è essenziale la collaborazione tra la rafforzata agenzia europea per la sicurezza delle reti e dell’informazione (Enisa), gli Stati membri e gli stakeholder coinvolti.
Non è un caso che questi temi siano stati al centro del panel del 15 febbraio Certifications & CVCN ad ITASEC19 e abbiano suscitato un forte interesse degli operatori, aziende e ricercatori.
Nella strategia nazionale per la sicurezza cyber, la certificazione di prodotti e servizi, è stata definita da Roberto Baldoni come “l’asticella che può aiutare a compiere un decisivo salto di qualità al mercato dei prodotti e servizi di cyber security, insieme al rafforzamento del perimetro normativo che impone elevati standard di sicurezza per servizi essenziali e a miglioramento del procurement della PA in questo ambito”.
Su questa lunghezza d’onda hanno portato il loro contributo i tre relatori, che operano con diverse posizioni di responsabilità iustituzionale: Domenico Ferrara, Policy Officer, Cybersecurity Technology & Capacity Building unit, European Commission, Rita Forsi, Dirigente Generale ISCOM, MISE, Steve Purser Head of Core Operations Department di ENISA. Il P
Cybersecurity act, un quadro Ue per i certificati di sicurezza informatica
Con la decisione europea sulla cyber security (Cybersecurity Act del dicembre 2018) viene introdotto lo schema europeo sulla certificazione per la cyber security, che investe le reti di servizi e i prodotti di consumo. Il potenziamento dell’agenzia ENISA sulle reti, l’informazione e la sicurezza, intende rendere l’Agenzia stessa protagonista di un ruolo più operativo di supporto alla Commissione e agli Stati nelle crisi e nell’avvio della certificazione.
Il modello previsto per la Certificazione europea è basato sul principio del mutuo riconoscimento, ha ricordato Rita Forsi, ossia sul fatto che gli Stati aderenti sono tenuti a riconoscere le certificazioni erogate dai partner che partecipano al sistema. Uno schema che ha una consolidata tradizione in ambito europeo, tra cui merita di essere ricordato l’ARG SOG-IS, che comprende 12 Stati membri più la Norvegia e che ha sviluppato alcuni profili di protezione sui prodotti digitali (firma digitale, tachigrafo digitale e smart card) per la certificazione rivolta al consumo o alla produzione.
Il Cybersecurity Act, ha sottolineato Ferrara, crea quindi un quadro per i certificati europei di sicurezza informatica per prodotti, processi e servizi che saranno validi in tutta l’UE. L’aspetto innovativo riguarda il fatto che per la prima volta il miglioramento della sicurezza di tutti i prodotti interconnessi, dei dispositivi Internet of things e delle infrastrutture critiche è legato allo sviluppo del mercato interno attraverso il meccanismo della certificazione.
Secondo Purser, non bisogna cadere nell’illusione che il processo di certificazione, che ha lo sopo di migliorare la competitività e la qualità del mercato interno, sia di per sé una garanzia di sicurezza: questa è risultato di un processo, non dell’acquisizione di un singolo prodotto o servizio certificato.
Nuove funzioni di Enisa e ruolo di Stati e stakeholder
Inoltre occorrerà che le nuove funzioni, assai rilevanti, attribuite ad ENISA, trovino un terreno di collaborazione con gli Stati e con gli stakeholder.
Gli Stati, infatti, in tema di sicurezza hanno una intrinseca e comprensibile reticenza alla delega e quindi manterranno sicuramente una forte attenzione sull’implementazione dell’enforcement a livello nazionale. Se ciò avviene in un quadro di collaborazione il risultato è un win-win, dove le conoscenze e le strategie di difesa nascono in un contesto fertile, non chiuso nei limiti del singolo Stato. Limiti che, di fronte alla dimensione globale degli attacchi sono del tutto insufficienti.
Per quanto riguarda gli stakeholder (ricerca, aziende, operatori) il loro ruolo è essenziale nella costruzione del sistema di certificazione: l’innovazione viene da loro, la pressione competitiva li spinge ad introdurre nuove soluzioni. La scelta delle nuove aree di intervento della certificazione deve essere quindi elaborata in un gioco collaborativo tra autorità e stakeholder.
Alla ricerca del compromesso tra norma e consultazione
Ciò significa che esiste un trade-off tra rigidità necessaria della norma e flessibilità altrettanto necessaria della consultazione degli interessi, evitando il consolidarsi di lobby statiche che finirebbero per bloccare il processo di accreditamento dell’innovazione di qualità.
Questo tema, del trade off tra norma e consultazione, è stato esemplificato da Domenico Laforenza, Direttore dell’Istituto di Informatica e Telematica del CNR. La certificazione riguarderà anche i prodotti esistenti o solo quelli che accedono al nuovo sistema, come qualcuno ha suggerito, e se così fosse come si pone la questione di apparecchiature o servizi che sono visti come potenzialmente rischiosi per la privacy per la tutela dei diritti di proprietà intellettuale o addirittura per la sicurezza nazionale?
Il confine dell’autorizzazione o esclusione per motivi di carattere generale, come dimostrano le polemiche e lo scontro tra Stati Uniti e Cina, è allora una questione che rimane aperta, poiché difficilmente può trovare una soluzione condivisa all’interno di un processo prevalentemente tecnico, come quello della certificazione di qualità cyber.
Usa vs Huawei, la “sovranità tecnologica” è tema politico: finalmente
