La prossima piena operatività del CVCN (Centro di Valutazione e Certificazione Nazionale) e il voto finale del parlamento europeo sul Cybersecurity Act, previsto per metà marzo, vanno ad ampliare il panorama della protezione del sistema Paese in tema di cyber security dal punto di vista normativo e organizzativo.
C’è un aspetto trasversale che dovranno affrontare tutti gli attori coinvolti: ovvero la necessità di ridefinire il proprio approccio al rischio, e quindi aggiornare le proprie misure tecniche, organizzative e procedurali, in un’ottica che non sia confinata alla sola tutela degli asset, ma che ponga al centro il rischio per i diritti degli interessati.
Sarà quindi importante che l’Italia partecipi attivamente ai lavori di ENISA e del Gruppo di certificazione che saranno istituiti dal Cyber Security Act per fare in modo che l’esperienza maturata dalle nostre due autorità attive nella certificazione di prodotti IT – ANS e OCSI contribuisca a un significativo posizionamento del nostro paese nel panorama della cyber security europea e mondiale.
CVCN, Cyber Security Act e direttiva Nis
E’ recente l’istituzione presso l’ISCTI (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico, del CVCN (Centro di Valutazione e Certificazione Nazionale) per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati, e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture strategiche, nonché di ogni altro operatore per cui sussiste un interesse nazionale. Con ciò il MISE attua una parte dell’architettura nazionale sulla sicurezza cibernetica, tracciata dal Dpcm del 24 del gennaio 2013.
L’operatività del CVCN verrà assicurata con un decreto applicativo emanato dal direttore dell’ISCTI, che ne definirà i dettagli tecnici.
Per metà marzo è previsto il voto finale del parlamento europeo sul Cyber Security Act, provvedimento volto ad innalzare ed armonizzare i livelli di sicurezza informatica dei Paesi dell’Unione attraverso una politica comune.
Questi provvedimenti vanno a incardinarsi nel framework disegnato dalla Nis, una direttiva nata per proteggere le reti e le informazioni che si occupa di pensare un processo di “consapevolezza” obbligatorio per quei servizi critici a livello nazionale che usano le reti e le tecnologie dell’informazione.
Gli operatori di servizi essenziali nazionali
A ITASEC Roberto Baldoni, Vicedirettore del DIS con delega alla cyber security, ha affermato “abbiamo un nuovo strumento legale che individua i servizi essenziali e i relativi operatori come perimetro in cui i livelli di cybersecurity devono esser adeguati alla tutela della sicurezza nazionale. Si tratta di proteggere meglio, anche con adempimenti cogenti, l’area critica dei servizi e delle infrastrutture”
Si crea quindi un layer di enti e aziende che potremo considerare ufficialmente “essenziali” per la sicurezza nazionale. Mentre il concetto di infrastruttura critica in Italia resta legato alla “situazione” e quindi una azienda può essere chiamata a operare in qualità di “critica” nella gestione di una emergenza dal dicastero o dai dicasteri competenti alla gestione della emergenza stessa senza con ciò divenire “ufficialmente critica”, l’operatore di servizio essenziale (OSE) ha caratteristiche di continuità ed è nominato dalle Autorità preposte in modo permanente.
Il decreto Telco di fine 2018 con cui un settore rimasto all’esterno del perimetro Nis, è stato allineato alla generalità dell’area applicativa della Direttiva NIS, ha consentito di estendere il perimetro degli OSE a tutto l’insieme dei settori tipicamente critici nella letteratura della disciplina di sicurezza.
Come gestire il nuovo layer di sicurezza
Ora questo layer di criticità “comprovata” come sarà gestito?
Si parla di un nuovo schema di certificazione della sicurezza di prodotti e sistemi, di nuovi standard del procurement pubblico, di un sistema consolidato di comunicazione degli attacchi da parte degli OSE che potremmo definire come “grandi vittime” (le quali a loro volta possono produrre ulteriori numerosissime vittime tra i singoli utenti), di information sharing.
Il tema del procurement pubblico va di pari passo con il tema della certificazione e valutazione di prodotti ICT. E il tema della certificazione è significativamente affrontato nel Cyber Security Act in approvazione al Parlamento Europeo.
Per quanto riguarda il Cyber Security Act, vi si afferma “I sistemi europei di certificazione della cyber sicurezza attestano che i prodotti e servizi ICT certificati nel loro ambito sono conformi a determinati requisiti per quanto riguarda la loro capacità di resistere, a un determinato livello di affidabilità, ad azioni volte a compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, processi, servizi e sistemi o accessibili tramite essi”. Si passa poi a delineare un nuovo schema certificativo che superi le difficoltà incontrate finora dagli schemi (tipo quello dei common criteria) mutuamente riconosciuti e adottati in numerosi Stati, europei e non.
Gli schemi certificativi per i prodotti ICT in Italia
Attualmente gli schemi certificativi per i prodotti ICT sono due in Italia:
- valutazione tecnica di prodotti e sistemi ICT che trattano dati classificati. E’ di competenza dell’organismo di certificazione facente capo all’Autorità Nazionale per la Sicurezza (ANS, schema del 1995, aggiornato con il DPCM dell’11 aprile 2002) e ai laboratori accreditati che eseguono le verifiche in accordo agli standard (CE.VA. Centri di Valutazione).
- Valutazione tecnica di prodotti e sistemi ICT commerciali, di competenza dell’organismo di certificazione facente capo al MISE (denominato OCSI e istituito presso l’ISCTI con DPCM del 30 ottobre 2003 pubblicato sulla G.U. n. 98 del 27 aprile 2004) e ai laboratori accreditati che eseguono le verifiche in accordo agli standard (LVS, Laboratori per la Valutazione della Sicurezza).
Sono entrambe basate su uno schema Nazionale conforme ai criteri europei ITSEC (Information Technology Security Evaluation Criteria) e agli standard internazionali CC (Common Criteria).
L’utilità primaria della valutazione/certificazione della Sicurezza di un sistema/prodotto/PP (Profilo di Protezione) secondo le regole dello Schema è quella di fornire una stima del livello di sicurezza secondo standard condivisi da tutti i soggetti coinvolti e di garantire che tale stima venga eseguita da una terza parte indipendente rispetto ai soggetti stessi.
Lo Schema riconosce gli accordi internazionali sull’interpretazione delle norme dei suddetti standard.
Di sicuro il nuovo schema che proporrà l’Europa dovrà rispondere a un primo problema e cioè dovrà evitare il frazionamento del mercato unico in innumerevoli mercati nazionali. Questo problema è ben evidenziato nelle descrizioni di contesto del Cyber Security Act.
Occorrerà quindi uno schema “europeo” che poi sia anche riconoscibile al di fuori dell’Europa.
La certificazione di prodotto o di sistema
Secondo tema è quello della certificazione di prodotto o di sistema e qui sarà ENISA a darci risposte nell’atto di decisione sullo schema europeo. E’ noto che le certificazioni di prodotto risultano, purtroppo, facilmente “superabili” nel momento in cui il prodotto ancorché certificato viene inserito in un sistema che non assicuri le medesime caratteristiche. Difficile la soluzione del problema che assomiglia a una scala di Escher ricorsiva: dove si perimetra il sistema?
Gli schemi esistenti basati su ITSEC e Common Criteria avevano per questo identificato la possibilità di ricorrere al concetto di Profilo di Protezione (PP).
Il Profilo di Protezione
Il Profilo di Protezione (PP) è un documento che descrive per una certa categoria di prodotto/sistema ed in modo indipendente dalla realizzazione, gli obiettivi di sicurezza, le minacce, l’ambiente ed i requisiti funzionali e di fiducia, definiti secondo i Common Criteria.
Un PP ha la finalità di definire un insieme di requisiti che si è dimostrato efficace per raggiungere gli obiettivi individuati, sia per quanto riguarda le funzioni di sicurezza, sia per quanto riguarda la garanzia. Un PP fornisce agli utenti uno strumento per fare riferimento ad uno specifico insieme di esigenze di sicurezza, e facilita lo svolgimento di future valutazioni di Prodotti o Sistemi che soddisfino tali esigenze.
Un PP può essere utilizzato per definire un insieme standard di requisiti di sicurezza ai quali uno o più prodotti possono dichiarare la conformità, o che devono essere soddisfatti dai sistemi usati per uno scopo particolare all’interno di un’organizzazione. Un PP può applicarsi ad un tipo particolare di sistema/prodotto (ad esempio sistema operativo, sistema di gestione di database, smartcard, firewall, ecc.) oppure ad un insieme di prodotti raggruppati in un sistema/prodotto complesso.
Cosa fare con i prodotti già operativi
Infine un tema interessante sarà se applicare la certificazione solo a prodotti nuovi o anche a prodotti già in servizio. Tutte le certificazioni esistenti sono molto onerose in termini economici e di tempo. Il Cyber Security Act parla di certificazioni volontarie, ma starà alle Autorità nazionali definire eventuali obbligatorietà.
Qui si apre un interessante tema di security by design e by default che si applica a nuove tecnologie e prodotti. Ma resta il tema di cosa fare con i prodotti già operativi soprattutto presso il layer dei servizi essenziali. Le disposizioni in tema di certificazione potranno cambiare completamente il panorama delle tecnologie e quindi il mercato. È immaginabile che ci vorrà qualche anno prima di arrivare a un “regime” e l’Italia dovrà giocare un ruolo significativo anche a livello europeo se vuole affermare la propria capacità di attrarre business come “stato cyber sicuro”.
In ogni caso è fondamentale che l’Italia partecipi attivamente ai lavori di ENISA e del Gruppo di certificazione che istituisce il Cyber Security act. Abbiamo due autorità operanti nella certificazione di prodotti IT da decenni, con esperienza e riconoscimenti dall’estero e dalle Autorità omologhe dei Paesi di mutuo riconoscimento degli schemi. L’ANS e l’OCSI operano da anni con successo in questo settore, dobbiamo fare di tutto perché queste esperienze e queste capacità possano dare un contributo effettivo ed efficace al dibattito che ci aspetta a partire da quest’anno e perché possano fare da volano per un posizionamento italiano significativo nel panorama della cyber security europea e mondiale.
La certificazione cyber: obiettivi nazionali e quadro europeo
