Il settore della cyber security ha chiuso il 2021 con notevoli traguardi raggiunti in Italia e in Europa.
Sono infatti stati pubblicati in gazzetta Ufficiale altri tre dpcm (dpcm 222 9/12/2021, dpcm 223 9712/2021 e dpcm 224 9/12/2021) che declinano l’operatività e il funzionamento della Agenzia per la Sicurezza Nazionale Cibernetica, uno sul sistema contabile, uno sulla organizzazione e uno sul personale. A settembre era stato pubblicato il dpcm per il trasferimento dei beni che aveva avviato il nuovo ente e in soli tre mesi sono già arrivati tutti i provvedimenti necessari alla completa operatività dello stesso.
Agenzia per la Cybersicurezza Nazionale (ACN): luci e ombre del testo di conversione
Manca solo un decreto sugli appalti per gli acquisti dell’ACN e il quarto dpcm attuazione del perimetro di sicurezza nazionale cibernetica con i metodi di accreditamento dei LAP (i laboratori di prova in supporto al CVCN) e gli schemi di valutazione per i prodotti ICT che ricadranno nel perimetro.
Il decreto, appena pubblicato, sulla organizzazione, riguarda le figure salienti dell’ACN e il suo organigramma, strutturato su sette servizi, due trasversali e cinque core. Uno di questi è dedicato ai programmi industriali, tecnologici e ricerca e formazione, cosa che ribadisce l’attenzione dei vertici dell’Agenzia come del Governo verso la creazione di figure professionali esperte della materia in quantità sempre maggiore. Stabilisce inoltre, i compiti delle figure di vertice e dei comitati di supporto.
Il decreto sul personale declina quattro livelli manageriali e due livelli operativi per il personale, definisce i metodi per il reclutamento e per i concorsi interni e il decreto sulla contabilità definisce i meccanismi economico-finanziari per il funzionamento dell’ente pubblico ACN.
In meno di un anno dalla dichiarazione dell’autorità Delegata in merito al progetto dell’Agenzia, quest’ultima è operativa e funzionante. Un traguardo di eccellenza per la nostra Nazione.
Cosa aspettarsi dal 2022
Guardando al futuro, cosa ci aspettiamo? Il 2022 entrerà sotto il segno delle certificazioni e delle valutazioni di prodotto. Il primo provvedimento essenziale che attendiamo entro giugno è proprio il regolamento del CVCN, con metodi processi e misure per la validazione della sicurezza di beni servizi e sistemi ICT interni al perimetro nazionale. Tale provvedimento sarà un tassello del grande panorama di innovazione e promozione della certificazione di prodotto, avviato dall’Europa con il Cyber Security Act e concretizzato nel 2021 con le prime due proposte di schemi di certificazione europea.
I traguardi europei
E veniamo ai traguardi europei. Nel 2020 abbiamo visto i primi due schemi candidati per la certificazione di prodotto europea in ambito cyber security (EUCC, a candidate cybersecurity certification scheme to serve as a successor to the existing SOG-IS V1.0, 01/07/2020) e per il cloud (EUCS, a candidate cybersecurity certification scheme for cloud services december 2020) e il 2021 è stato dedicato a discuterne operatività e applicabilità.
Il primo è basato sui common criteria, dei quali l’Italia ha già ben due autorità certificative e aggiorna con aggiunte sia procedurali che tecniche, il SOG-IS MRA (Senior Officials Group – Information Systems Securit. Mutual Recognition Agreement), basato sul reciproco riconoscimento dei certificati di sicurezza nazionali per prodotti e sistemi IT basati su Common Criteria e ITSEC.
Dal 1995 esiste in Italia una struttura per la certificazione della sicurezza di sistemi/prodotti ICT, afferente allo Schema Nazionale per sistemi e prodotti ICT che trattano informazioni classificate. Con il DPCM del 30 ottobre 2003 è stato istituito un secondo Schema Nazionale per prodotti che trattano dati “commerciali”, ossia non classificati.
L’applicazione dei common criteria prevede anche nello schema candidato EU la redazione di protection profile specifici, ossia di contestualizzazioni atte a definire scopo e uso del prodotto in itinere di certificato per poter effettuare tutte e sole le verifiche necessarie al predetto scopo e uso. In pratica, si individua un profilo “to be” di sicurezza e continuità dove si identificano per priorità gli aspetti di robustezza e resilienza rispettivamente dei propri asset e dei propri processi e si attuano poi misure di protezione e prevenzione atte a raggiungere il profilo desiderato. Le certificazioni emesse saranno valide solo per la specifica versione del prodotto riportata nel certificato ed esclusivamente per la configurazione verificata.
La certificazione cloud sarà invece basata sui controlli della famiglia ISO27000 e sui controlli della IAS (International Auditing Standards), il cloud essendo più connotato da processi che da tecnologie e prodotti, i quali comunque ricadono nello schema precedente. Faranno seguito schemi di certificazione di prodotto specifici per alcuni segmenti verticali, come la crittografia, l’automotive, l’OT e l’IoT e l’immancabile 5G.
La revisione della NIS
Dunque, oltre al consolidamento del tema della certificazione di prodotto ICT in cyber security, cosa aspettiamo dall’Europa per il 2022? Sicuramente la discussione, forse anche la definizione, delle due direttive recentemente proposte, la NIS 2 e la CER sui temi della protezione delle Infrastrutture Critiche e della Cyber Security. La prima sarà la revisione della NIS, Network and Information Security.
La NIS 2 individua due tipi di “potenziali vittime” che definisce entità, essenziali e importanti e propone di applicarsi a tutte le grandi e medie imprese appartenenti ai settori identificati, nonché alle piccole imprese di tali settori che rappresentino colli di bottiglia nella catena del valore oppure siano operatori attinenti alle reti o ai servizi digitali. Entra fra gli essenziali il settore della Pubblica Amministrazione, già compreso nel Perimetro di Sicurezza Nazionale Cibernetica per quanto riguarda il nostro Paese, mentre fra gli importanti fanno il loro ingresso i servizi postali e di logistica, lo smaltimento rifiuti, la catena alimentare e la manifattura.
La direttiva CER
La novità è l’ingresso di questi nuovi settori ritenuti “importanti”, quindi con requisiti minimi più laschi di quelli essenziali. Questa direttiva procederà insieme con la seconda Direttiva proposta, che revisiona la 114/08 sulle Infrastrutture Critiche Europee. Il combinato disposto delle due fornisce il quadro completo del progetto della Commissione. La Direttiva CER è dedicata al tema della resilienza delle entità critiche. In particolare, si occuperà delle entità critiche (come definite nella NIS2) e della loro sicurezza rispetto a minacce fisiche, o, come si usa dire oggi, cinetiche. Essa darà il compito alle autorità competenti di condividere informazioni con le entità critiche e intraprendere misure complementari alla NIS 2, riguardanti la resilienza cinetica.
Finalmente un panorama completo sulle Infrastrutture critiche, che riconosce a queste e ai loro operatori una necessità di protezione e sicurezza a tutto tondo e non solo cyber.
Conclusioni
Per chiudere, guardiamo al futuro attraverso la lente della consapevolezza.
Il primo decennio di questo nuovo millennio è stato dedicato al tema della identificazione delle infrastrutture critiche. Il secondo decennio è stato dedicato alla cyber security e alle istanze “di base”, come la continuità operativa che è diventata uno standard de facto grazie alla richiesta di mercato. Il terzo decennio è caratterizzato da una organizzazione strutturata della disciplina della sicurezza, basata su standard evoluti e più incisivi, non solo di processo, ma finalmente anche di prodotto e di tecnologia.
D’altra parte, anche gli attaccanti si stanno muovendo verso una organizzazione del cyber crime sempre più fantasiosa e consolidata. Sulla scia dei numerosi attacchi ransomware registrati nell’ultimo anno anche a causa delle conseguenze pandemiche, sta comparendo una forma estorsiva che potremmo definire “cyber-pizzo” in cui gli attaccanti si offrono di proteggere le vittime dagli attacchi di altri attori malevoli dietro pagamento. Nonostante non siano ancora disponibili dati ufficiali in relazione a tale fenomeno, accade che singoli attori o gruppi hacker offrono alle aziende “servizi” di protezione, dopo averne evidenziato le vulnerabilità in seguito ad un attacco. Si tratta dei cosiddetti “cappelli grigi“, hacker che violano sistemi e reti aziendali e comunicano l’esito delle proprie azioni alla “vittima”, offrendosi di porre rimedio alle vulnerabilità rilevate in cambio di compensi economici.
