La cybersecurity italiana ed europea sono entrate in una nuova fase con il recepimento della direttiva Ue Nis. Il “perimetro” punta ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle PA nonché degli enti e degli operatori nazionali, pubblici e privati. Vediamo le sue articolazioni e i ruoli degli enti deputati a questo obiettivo, Csirt e Cert.
Funzioni e obiettivi di Csirt e Cert
Con il DPCM dell’8 agosto 2011 pubblicato su G.U. n.262 del 8 novembre 2019 vengono fornite, in un unico decreto, le disposizioni sull’organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano.
L’organismo, istituito presso la Presidenza del Consiglio, recepisce la direttiva europea NIS (Network and Information Security – www.csirt-ita.it). Nel frattempo i due CERT (Computer Emergency Response Team) ovvero il CERT nazionale italiano (presso il MISE) e quello della Pubblica Amministrazione (CERT-PA presso AGID) rafforzeranno sempre di più la loro collaborazione, per svolgere congiuntamente il ruolo e le funzioni del CSIRT. A questo proposito, continuano a svolgere compiti di prevenzione e risposta ai cyber attacchi, inoltre gestiscono le notifiche e la condivisione (Information Sharing) di incidenti informatici.
Questo quadro normativo della NIS si integra con il recente decreto “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica” che punta ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso “l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure idonee a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi consentendo, al contempo, la più estesa fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione”.
Il Computer Security Incident Response Team (CSIRT) italiano svolgerà pertanto le seguenti attività:
- definizione delle procedure per la prevenzione e la gestione dei cyber incidents;
- ricezione delle segnalazioni di incidente, con la supervisione del DIS (Dipartimento pe la Sicurezza delle Informazioni), quale punto di contatto unico per le attività di prevenzione e preparazione a eventuali situazioni di crisi e di attivazione delle procedure di allertamento affidate al Nucleo per la Sicurezza Cibernetica;
- Invio al soggetto che ha effettuato la notifica delle informazioni che possono facilitare la gestione efficiente ed efficace dell’evento;
- informativa agli altri Stati membri dell’UE coinvolti dall’incidente, tutelando la sicurezza e gli interessi commerciali degli OSE (Operatori di Servizi Essenziali) o dei FSD (Fornitori di Servizi Digitali) nonché la riservatezza delle informazioni fornite;
- garantire la collaborazione nella rete di CSIRT, attraverso l’individuazione di forme di cooperazione operativa, lo scambio di informazioni e la condivisione di best practices.
Le funzioni del CSIRT italiano vedono una ripartizione di ruoli e responsabilità secondo le attuali suddivisioni: Pubblica Amministrazione per il CERT-PA, e settore privato per il CERT-N; e con l’introduzione di uno scambio informativo rafforzato e di specifiche procedure di gestione delle notifiche; il CERT-N garantisce la cooperazione a livello europeo, anche nell’ambito della rete di CSIRT, in stretto raccordo con il CERT-PA.
Tutti i paesi europei, chi più chi meno, hanno provveduto all’implementazione di CERT nazionali affiancati a CERT privati in linea appunto con la direttiva NIS. Nella figura un elenco di CERT europei pubblicato dal sito di ENISA l’European Union Agency for Cybersecurity unitamente all’inventario delle differenti tipologie di CERT nei differenti settori economici (PA e Difesa, Utilities, Energia, Finanza, Industria, Trasporti ecc.).
Il DIS inteso come punto di contatto unico NIS assicura, a livello nazionale, il coordinamento delle attività relative alla sicurezza delle reti e dei sistemi informativi e, a livello europeo, il raccordo necessario a garantire la cooperazione transfrontaliera delle Autorità competenti NIS italiane con quelle degli altri Stati membri, con il Gruppo di cooperazione istituito presso la Commissione europea – anche attraverso l’elaborazione di linee guida e lo scambio di informazioni e best practices – e la rete dei CSIRT UE.
Cybersecurity, l’allertamento preventivo
Un sistema di allarme rapido distribuito gerarchicamente si integra con i prodotti software di sicurezza e information events management (SIEM) e i domini di Security Operations Center (SOC). Il sistema prende informazioni dai sensori sulle reti degli utenti finali, anonimizza i dati e trasmette le informazioni a un “nodo di elaborazione” dove, utilizzando algoritmi come moduli probabilistici, grafici di minacce semantiche e analisi di sicurezza predittiva, arriva a determinare la probabilità di complessi attacchi in corso. In questo modo un gruppo di informazioni è derivato da una vasta base di informazioni fornite da PMI e grandi imprese e da altre organizzazioni pubbliche e del mondo finanziario (tipico modello italiano), come quelle del CERT/CSIRT, che possono essere analizzate contestualmente e contemporaneamente.
Attraverso questo clustering di informazioni rilevate verranno studiati modelli generali di minaccia che se trattati come singoli casi non sarebbero mai registrati come tali. Ciò consente agli esperti di cyber sicurezza di gestire efficacemente la propria rete in un modo che in genere non richiede necessariamente un team dedicato. In breve, la soluzione sarà:
- un sistema di allarme rapido distribuito gerarchicamente sui network elements periferici
- Protezione dello spazio dei dati condivisi come middleware per condividere le informazioni sugli attacchi informatici. Questo ambiente utilizzerà i concetti di privacy by design in cui i dati sono resi anonimi prima della condivisione.
- Migliore rilevamento e condivisione di attacchi noti e nuovi / sconosciuti
- Esplorazione e determinazione dei tipi e modelli di attacco
- Apprendimento automatico dai dati (etichettati) di nuovi modelli di attacco anche supervisionato da Reti Neurali ed Intelligenza Artificiale.
- Fornitura di report di vulnerabilità e minacce in un formato gestibile e facilmente utilizzabile per gli utenti finali e negli stadards richiesti dalle normative (NIS, Framework Nazionale, NIST, ISO 27000, GDPR)
Il metodo di protezione dinamico orchestrato consente di disporre delle giuste contromisure necessarie, assicurando che il problema si risolva in modo efficace e riduca in modo significativo i costi. Ad esempio, nella figura seguente la protezione dei dati può essere effettuata con sistemi di crittografia dei dati dinamici e di mascheramento dei dati dopo che il sistema Distributed Hieralchical Early Warning ha commutato il descrittore semantico al nodo che gli appartiene. Tutto il layer di informazioni semantiche condivise può a sua volta essere gestito con meccanismi di crittografia di gestione della sicurezza dei dati.
La Kill Chain governativa
Nel corso di precedenti articoli abbiamo inoltre ribadito l’esigenza di implementare un KILL CHAIN governativa. L’eliminazione delle minacce cyber in un tipico modello KILL CHAIN è un processo sistemico aziendale che include attività di :
- valutazione della vulnerabilità
- valutazione del rischio a livello di rete
- valutazione del rischio a livello di organizzazione
- test di valutazione
- auditing e attività di penetrazione
- attivazione contromisure
La valutazione risulta pertanto relegata ad analisi tecnica approfondita del sistema informativo con specifico riferimento al settore finanziario. In buona sostanza per eseguire la valutazione, gli specialisti della sicurezza cyber devono conoscere e capire vulnerabilità esistenti per differenti tipologie di sistemi in contesti spazio-temporali dinamici e quindi necessitano dotarsi di strumenti e servizi idonei per testare queste vulnerabilità come ambienti simulati Cyber Range, ambienti Blue Team e Red Team e Cyber Challenge affinché i sistemi di allertamento preventivo siano in grado di attivare contromisure dinamiche che blocchino la minaccia cyber sul nascere.
Risulta tuttavia fondamentale che le strutture territoriali (NIS compliant) afferiscano a CERT/CSIRT secondo schemi di maturità in grado di superarsi in una specifica agilità proattiva e predittiva nella gestione della minaccia stessa e nell’eventuale attivazione di sistemi offensivi o di autodifesa nazionali in linea con gli accordi NATO e con specifiche regole di ingaggio.
Livelli di Maturità dei CERT/CSIRT
 | L’Agenzia Europea per la Cybersecurity ENISA ha provveduto a distribuire non solo le linee guida per la corretta definizione delle funzioni di implementazione di un CERT/CSIRT ma anche le norme per la valutazione dei livelli di maturità con le specifiche SIM3 SECURITY INCIDENT MANAGEMENT per diffondere un modello di tracciabilità dei livelli di maturità nella gestione dei Cyber Incident secondo quattro direzioni specifiche : ORGANIZZAZIONE, TOOLS, PROCESSI e RISORSE, fornendo componenti di BEST FITNESS sui dati trattati e garantendo allo stesso tempo l’integrità stessa del modello e dei dati raccolti tramite interviste. |
Fondazione GCSEC di Poste Italiane è stata la prima in Italia a muoversi nell’ottica di implementare un maturity model per CERT/CSIRT e ha di recente sviluppato una applicazione Web Based ad uso gratuito per chiunque voglia utilizzarla che estende il concetto di maturità del CERT/CSIRT ai singoli servizi e funzioni aziendali in contesti Cyber che nella fattispecie possono essere cosi riepilogati:
| SERVIZIO | FUNZIONE DI RIFERIMENTO |
| EARLY WARNING | INTELLIGENCE |
| INFORMATION SHARING | INTELLIGENCE |
| BRAND PROTECTION | INTELLGENCE |
| CYBER THREAT INTELLIGENCE | INTELLIGENCE |
| VULNERABILITY ASSESMENT & PENETRATION TEST | INFORMATION & PROTECTION MANAGEMENT |
| RESEARCH AND DEVELOPMENT PROJECTS | RESILIENCE |
| AWARNESS | RESILIENCE |
| CYBER QUALITY PROCEDURES | RESILIENCE |
| INCIDENT MANAGEMENT | RESILIANCE |
| DATA TRACKING | INFORMATION & PROTECTION MANAGEMENT |
L’applicazione Web Based di riferimento prende il nome di CERTrating Maturity Evaluation Tool e sarà disponibile gratuitamente all’indirizzo https:certrating.it.
Rispondendo a semplici domande a risposta multipla CERTrating valuta il livello di maturità del CERT ispirandosi appunto al Maturity Model sviluppato dall’ENISA che offre la postura di un CERT rispetto a quattro livelli di maturità: NOT BASIC, BASIC, MEDIUM, ADVANCED.
In particolare la piattaforma valuta il livello di maturità non solo del CERT/CSIRT ma anche di ognuno dei suoi servizi attribuendo ad ognuno il livello di importanza. In particolare la piattaforma calcola il livello di maturità di ogni singolo servizio. I servizi sono categorizzati secondo le 14 tipologie definite da ENISA. La piattaforma suggerisce per ognuno degli ambiti Organizzazione, Risorse, Tool e Processi le azioni minime da mettere in campo per raggiungere il livello di maturità successivo a livello CERT
CERTrating offre inoltre una vista grafica semplice ed una reportistica completa della maturità del CERT e del suoi Servizi e del posizionamento rispetto ad altri CERT italiani misurati, l’andamento della maturità nel tempo rispetto ad obiettivi da raggiungere e le distanze, nonchè lo storico di tutte le valutazioni effettuate per il CERT/CSIRT e per i suoi servizi.
