Agenzia nazionale di cybersicurezza

Cybersecurity, come eliminare le aziende russe dalle PA italiane: le indicazioni dell’Agenzia cyber

Dalla circolare emanata il 21 aprile dall’Agenzia per la cybersicurezza nazionale parte ufficialmente il divieto di servirsi da tutte le aziende russe per la cybersecurity. Le categorie di prodotti e servizi tecnologici di sicurezza informatica oggetto di diversificazioni per le PA e le raccomandazioni procedurali

Pubblicato il 28 Apr 2022

Marco Santarelli

Chairman of the Research Committee IC2 Lab - Intelligence and Complexity Adjunct Professor Security by Design Expert in Network Analysis and Intelligence Chair Critical Infrastructures Conference

privacy data protection

L’Italia chiude ufficialmente alle aziende russe di cybersecurity con una circolare emanata dall’Agenzia nazionale di cybersicurezza il 21 aprile scorso. Vediamo i punti principali.

Kaspersky, sostituite la tecnologia russa: gli inevitabili consigli dell’Agenzia cyber

Misure già in essere

Già nel decreto “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina” approvato lo scorso 18 marzo dal Consiglio dei ministri, decreto-legge 21 marzo 2022, n. 21, dopo il caso Kaspersky, erano stati dedicati due articoli alla cybersecurity.

L’articolo 27 richiedeva alle aziende di presentare un piano annuale alla Presidenza del Consiglio dei Ministri con componenti, relative specifiche funzionali e fornitori possibili nel momento in cui volevano progettare e realizzare sistemi critici come architetture cloud o reti 5G. Da qui, poi, un controllo approfondito da parte del Centro Nazionale di Valutazione e Certificazione per verificare che venisse garantita la confidenzialità e l’integrità delle informazioni elaborate, con sanzioni fino al 3% del fatturato dell’azienda non adempiente.

Il secondo articolo, il 28, seguiva le indicazioni dell’Agenzia per la cybersicurezza nazionale per ridurre il rischio dovuto all’invasione dell’Ucraina, vietando l’utilizzo di strumenti per la protezione di endpoint e web firewall forniti da aziende della Federazione Russa. L’Agenzia per la cybersecurity aveva pubblicato un avviso specificando che, a causa delle sanzioni, i produttori avrebbero potuto non essere in grado di aggiornare come richiesto gli strumenti.

La circolare dell’Acn

Dalla circolare emanata il 21 aprile scorso dall’Agenzia per la cybersicurezza nazionale è partito ufficialmente il divieto di servirsi da tutte le aziende russe per la cybersecurity. La circolare n. 4336, “Attuazione dell’articolo 29, comma 3, del decreto-legge 21 marzo 2022, n. 21. Diversificazione di prodotti e servizi tecnologici di sicurezza informatica. (22A02611) (GU n.96 del 26-4-2022)”, vigente al 26 aprile 2022, in premessa, cita, appunto, il decreto-legge 21 marzo 2022, n. 21, che, come già anticipato, aveva sottolineato l’importanza di “assicurare il rafforzamento dei presidi per la sicurezza, la difesa nazionale, le reti di comunicazione elettronica e degli approvvigionamenti di materie prime”. Le funzioni di sicurezza da assicurare sono: la sicurezza dei dispositivi (endpoint security), compresi gli applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) e “web application firewall” (WAF).

Con questa circolare, l’Agenzia per la cybersicurezza nazionale indica le categorie di prodotti e servizi tecnologici di sicurezza informatica oggetto di diversificazioni per le pubbliche amministrazioni: “1) prodotti e servizi di cui all’art. 29, comma 3, lettera a), del decreto-legge n. 21 del 2022, della società «Kaspersky Lab» e della società «Group-IB», anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità «on-premise» o «da remoto»; 2) prodotti e servizi di cui all’art. 29, comma 3, lettera b), del decreto-legge n. 21 del 2022, della società «Positive Technologies», anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità «on-premise» o «da remoto»”.

Le raccomandazioni procedurali

Nella stessa circolare vengono riportate anche “raccomandazioni procedurali”, che indicano alle amministrazioni tutte le misure e le buone prassi di gestione dei servizi informatici e del rischio cyber, seguendo “il Framework nazionale per la cybersecurity e la data protection, edizione 2019, realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l’informatica (CINI), con il supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza”.

Tra le raccomandazioni, censire dettagliatamente servizi e prodotti, con specifica, tra le altre cose, dei tempi di manutenzione necessari, validare la compatibilità dei nuovi prodotti e servizi con i propri asset e la complessità di gestione operativa delle strutture di supporto, condividere i piani di migrazione con tutti i soggetti interessati, che siano organizzazioni interne alle amministrazioni o soggetti terzi, e validarne le modalità di esecuzione su asset di test significativi. Inoltre, si raccomanda ai soggetti coinvolti di analizzare e validare funzionalità e integrazioni dei nuovi servizi e prodotti, seguendo regole e configurazioni di sicurezza che siano adatti ai vari scenari di rischio (alcuni esempi sono autenticazione multi-fattore per tutti gli accessi privilegiati, attivazione dei soli servizi e funzioni strettamente necessari, adozione di principi di «zero-trust»).

Ultima raccomandazione, ma non meno importante, l’”adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevedendo adeguato supporto per l’aggiornamento e la

revisione delle configurazioni in linea” e “Nella predisposizione, migrazione e gestione dei nuovi prodotti e servizi, si raccomanda l’adozione di principi trasversali di indirizzo, quali a titolo esemplificativo quello della «gestione del rischio», in termini di identificazione, valutazione e mitigazione dei rischi di diversa fattispecie che concorrono nell’attuazione della diversificazione dei servizi”.

Questo dovrà servire a sviluppare delle capacità di alfabetizzazione, di resilienza e di conoscenza dei processi che portano ad una valutazione più approfondita di beni, sistemi e servizi ICT. Tracciata questa strada potrà essere previsto un nuovo assetto di gestione e risposta agli incidenti che si avvicina al livello europeo in modo da favorire una collaborazione e scambio informativo per il coordinamento delle autorità dei vari stati membri, al fine di supportare le infrastrutture critiche e le forniture di servizi essenziali.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati