L’idea sottesa alla creazione di uno schema di certificazione cyber security di un prodotto ICT è quella di controllare un insieme di requisiti basilari di sicurezza, una singola volta, e per tutti i clienti. È opportuno però specificare che gli schemi di certificazione non sostituiscono la necessità per i clienti di effettuare una propria attività di due-diligence al momento dell’acquisto, ma piuttosto la certificazione è un modo per semplificare tale processo.
Prendendo in esame i più importanti studi di settore, regolamenti nazionali ed europei è possibile analizzare lo stato di avanzamento delle normative inerenti agli schemi di certificazione cyber. Facciamo il punto.
Il Cybersecurity act e i sistemi di certificazione
Il Cybersecurity Act (Regolamento UE 2019/881) dell’Unione Europea del 2019 ha stabilito che, “al fine di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di cyber-security, cyber-resilience e fiducia all’interno dell’Unione, è istituito un quadro per l’introduzione di sistemi europei di certificazione della sicurezza informatica”.
Il quadro europeo di certificazione descritto da tale Regolamento prevede “un meccanismo volto a istituire sistemi europei di certificazione della sicurezza cibernetica e ad attestare che i prodotti, servizi e processi ICT valutati nel loro ambito sono conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita”.
Il Cybersecurity Act ha inoltre individuato le priorità strategiche per i futuri sistemi europei di certificazione della cyber security e ha stabilito che un “programma di lavoro progressivo dell’Unione” sarà pubblicato entro il 28 giugno 2020.
Il SOG-IS MRA (Senior Officials Group – Information Systems Securit. Mutual Recognition Agreement), basato sul reciproco riconoscimento dei certificati di sicurezza nazionali per prodotti e sistemi IT basati su Common Criteria e ITSEC, potrebbe essere lo schema di riferimento per il framework europeo.
Fin dal 1995 esiste in Italia una struttura per la certificazione della sicurezza di sistemi/prodotti ICT, ma tale struttura, denominata Schema Nazionale, è utilizzabile esclusivamente nell’ambito della sicurezza nazionale (sistemi/prodotti ICT che trattano informazioni classificate). Con il DPCM del 30 ottobre 2003 è stato istituito un secondo Schema Nazionale il quale, essendo stato previsto per un’applicazione al di fuori del contesto della sicurezza nazionale, è idoneo a fornire servizi di certificazione a tutti i settori della PA che non afferiscono a tale contesto.
Sia lo Schema del 1995, aggiornato con il DPCM dell’11 aprile 2002 (che ha esteso l’obbligatorietà della certificazione ai sistemi/prodotti ICT non militari e ha previsto la possibilità di utilizzare i Common Criteria in aggiunta ai criteri ITSEC), sia lo Schema del 2003 sono stati definiti secondo quanto previsto dalle normative internazionali nell’ambito della certificazione di sistema/prodotto ICT. In particolare, la struttura degli Schemi è fortemente condizionata da alcune caratteristiche degli standard Common Criteria ed ITSEC.
Il processo di certificazione nazionale
Il processo di certificazione nazionale è strutturato in due parti:
- il processo di valutazione, articolato in tre fasi distinte (preparazione, conduzione, e conclusione)
- la fase di certificazione.
Una volta che il processo di valutazione di un prodotto è terminato, è possibile esaminare il Rapporto Finale di Valutazione e utilizzare quest’ultimo come base per produrre un Rapporto di Certificazione e il relativo Certificato.
Il Rapporto di Certificazione, in particolare, è un documento che attesta che il Laboratorio per la Valutazione della Sicurezza (LVS) incaricato ha condotto la propria analisi conformemente ai criteri stabiliti, svolgendo tutte le attività di valutazione previste per un determinato livello di garanzia.
È importante tenere presente che le certificazioni emesse sono valide solo per la specifica versione del prodotto riportata nella certificazione, ed esclusivamente per la configurazione certificata.
Sempre a livello nazionale, nel novembre del 2019 è stato approvato anche il Perimetro di Sicurezza Nazionale Cibernetica, il quale ha confermato il ruolo di primo ordine del Centro di Valutazione e Certificazione Nazionale (CVCN) nell’assicurazione delle garanzie di sicurezza e dell’assenza di vulnerabilità di prodotti, sia hardware che software, destinati a essere impiegati sulle reti, sui sistemi informativi e sui servizi informatici dei soggetti interni al perimetro nazionale.
In aggiunta, attraverso l’utilizzo di poteri speciali, il Governo italiano può imporre specifiche prescrizioni o condizioni in relazione “alla stipula di contratti o accordi aventi ad oggetto l’acquisizione, a qualsiasi titolo, di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi” di comunicazione elettronica a banda larga basati sulla tecnologia 5G. Tra queste specifiche prescrizioni e condizioni il Governo può richiedere un determinato livello di certificazione o attuare il potere di veto.
Proprio relativamente alla tecnologia 5G, il provvedimento più recente in ambito europeo è l’EU Toolbox, datato gennaio 2020, con il quale la Commissione Europea è intenzionata a far fronte al rischio di interferenza da parte di un paese terzo o di soggetti sostenuti da governi di paesi terzi attraverso la catena di approvvigionamento del 5G. La Commissione ha invitato tutti i membri a porre condizioni specifiche in tal senso, compresi schemi di certificazione nazionali ed europei. Dal testo dell’EU Toolbox si evince l’intenzione di sviluppare schemi di certificazione comunitari che però attualmente non sono ancora stati posti in essere.
In particolare, il Network Equipment Security Assurance Scheme (NESAS), definito congiuntamente da 3GPP e GSMA, fornisce un quadro di garanzia per facilitare il miglioramento dei livelli di sicurezza in tutto il settore della telefonia mobile. È probabile che NESAS sia destinato ad essere utilizzato insieme ad altri meccanismi per garantire la sicurezza di una rete, in particolare in appoggio ad una serie appropriata di politiche di sicurezza che coprono l’intero ciclo di vita della rete stessa.
Le certificazioni cloud
Oltre alle tecnologie 5G, un altro settore che merita di essere analizzato è quelle delle Certificazioni Cloud.
I servizi di cloud computing, infatti, sono complessi e costruiti a partire da molti componenti ICT diversi (cavi, grandi data center, software, ecc.), e risulta quindi difficile per i singoli clienti controllare tutti i dettagli tecnici. Oltretutto, i cloud hanno alla base l’idea di riuscire ad ottenere molti clienti, ma per questi ultimi sarebbe molto difficile controllarne singolarmente i requisiti di sicurezza.
A tale riguardo, nel 2012 la Commissione Europea ha pubblicato una comunicazione intitolata “Strategia europea per il cloud computing – liberare il potenziale del cloud computing in Europa”. Una delle azioni delineate nella strategia è quella di assistere lo sviluppo di sistemi di certificazione volontari a livello europeo per la creazione di un elenco di tali sistemi. Nella strategia si chiede all’ENISA, l’Agenzia europea per la sicurezza delle reti e dell’informazione, di sostenere questo studio.
ENISA ha realizzato la Cloud Certification Schemes List (CCSL), attraverso la quale è in grado di offrire una panoramica dei diversi schemi di certificazione esistenti che potrebbero essere rilevanti per i clienti del cloud computing. Il CCSL mostra anche quali sono le caratteristiche principali di ogni schema di certificazione.
Sempre sotto il dominio di ENISA è presente anche il Cloud Certification Schemes Metaframework (CCSM), un tool online che rappresenta un’estensione del CCSL. L’obiettivo di tale meta-framework è quello di fornire una mappatura neutrale di alto livello che prenda contemporaneamente in esame i requisiti di sicurezza della rete e dell’informazione desiderati dal cliente e gli obiettivi di sicurezza degli schemi di certificazione cloud esistenti, in modo tale da facilitare la scelta degli schemi di certificazione più adatti alle necessità del cliente durante la fase di procurement. Infatti, una volta che un cliente ha specificato i propri obiettivi di sicurezza, tale meta-framework permette di individuare quali schemi di certificazione sono in grado di garantirli.
Infine, per completare lo stato dell’arte riguardo alle certificazioni, è opportuno menzionare lo studio IACS Cybersecurity Certification Framework, un rapporto che ha avuto come scopo quello di presentare gli esperimenti del componente IACS (Industrial Automation and Control Systems) Cybersecurity Certification Framework (ICCF) eseguiti nel 2017 dalle squadre nazionali di esercitazione (NET) di diversi Stati membri, in particolare Francia, Polonia e Spagna. Basato su casi reali di utilizzo e simulazioni di attività ICCF, tale rapporto documenta le attuali pratiche di certificazione dei paesi menzionati in precedenza e le opinioni dei membri delle squadre NET in relazione alla certificazione della sicurezza informatica dei prodotti IACS.
