L’Italia chiude ufficialmente alle aziende russe di cybersecurity con una circolare emanata dall’Agenzia nazionale di cybersicurezza il 21 aprile scorso. Vediamo i punti principali.
Kaspersky, sostituite la tecnologia russa: gli inevitabili consigli dell’Agenzia cyber
Misure già in essere
Già nel decreto “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina” approvato lo scorso 18 marzo dal Consiglio dei ministri, decreto-legge 21 marzo 2022, n. 21, dopo il caso Kaspersky, erano stati dedicati due articoli alla cybersecurity.
L’articolo 27 richiedeva alle aziende di presentare un piano annuale alla Presidenza del Consiglio dei Ministri con componenti, relative specifiche funzionali e fornitori possibili nel momento in cui volevano progettare e realizzare sistemi critici come architetture cloud o reti 5G. Da qui, poi, un controllo approfondito da parte del Centro Nazionale di Valutazione e Certificazione per verificare che venisse garantita la confidenzialità e l’integrità delle informazioni elaborate, con sanzioni fino al 3% del fatturato dell’azienda non adempiente.
Il secondo articolo, il 28, seguiva le indicazioni dell’Agenzia per la cybersicurezza nazionale per ridurre il rischio dovuto all’invasione dell’Ucraina, vietando l’utilizzo di strumenti per la protezione di endpoint e web firewall forniti da aziende della Federazione Russa. L’Agenzia per la cybersecurity aveva pubblicato un avviso specificando che, a causa delle sanzioni, i produttori avrebbero potuto non essere in grado di aggiornare come richiesto gli strumenti.
La circolare dell’Acn
Dalla circolare emanata il 21 aprile scorso dall’Agenzia per la cybersicurezza nazionale è partito ufficialmente il divieto di servirsi da tutte le aziende russe per la cybersecurity. La circolare n. 4336, “Attuazione dell’articolo 29, comma 3, del decreto-legge 21 marzo 2022, n. 21. Diversificazione di prodotti e servizi tecnologici di sicurezza informatica. (22A02611) (GU n.96 del 26-4-2022)”, vigente al 26 aprile 2022, in premessa, cita, appunto, il decreto-legge 21 marzo 2022, n. 21, che, come già anticipato, aveva sottolineato l’importanza di “assicurare il rafforzamento dei presidi per la sicurezza, la difesa nazionale, le reti di comunicazione elettronica e degli approvvigionamenti di materie prime”. Le funzioni di sicurezza da assicurare sono: la sicurezza dei dispositivi (endpoint security), compresi gli applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) e “web application firewall” (WAF).
Con questa circolare, l’Agenzia per la cybersicurezza nazionale indica le categorie di prodotti e servizi tecnologici di sicurezza informatica oggetto di diversificazioni per le pubbliche amministrazioni: “1) prodotti e servizi di cui all’art. 29, comma 3, lettera a), del decreto-legge n. 21 del 2022, della società «Kaspersky Lab» e della società «Group-IB», anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità «on-premise» o «da remoto»; 2) prodotti e servizi di cui all’art. 29, comma 3, lettera b), del decreto-legge n. 21 del 2022, della società «Positive Technologies», anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità «on-premise» o «da remoto»”.
Le raccomandazioni procedurali
Nella stessa circolare vengono riportate anche “raccomandazioni procedurali”, che indicano alle amministrazioni tutte le misure e le buone prassi di gestione dei servizi informatici e del rischio cyber, seguendo “il Framework nazionale per la cybersecurity e la data protection, edizione 2019, realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l’informatica (CINI), con il supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza”.
Tra le raccomandazioni, censire dettagliatamente servizi e prodotti, con specifica, tra le altre cose, dei tempi di manutenzione necessari, validare la compatibilità dei nuovi prodotti e servizi con i propri asset e la complessità di gestione operativa delle strutture di supporto, condividere i piani di migrazione con tutti i soggetti interessati, che siano organizzazioni interne alle amministrazioni o soggetti terzi, e validarne le modalità di esecuzione su asset di test significativi. Inoltre, si raccomanda ai soggetti coinvolti di analizzare e validare funzionalità e integrazioni dei nuovi servizi e prodotti, seguendo regole e configurazioni di sicurezza che siano adatti ai vari scenari di rischio (alcuni esempi sono autenticazione multi-fattore per tutti gli accessi privilegiati, attivazione dei soli servizi e funzioni strettamente necessari, adozione di principi di «zero-trust»).
Ultima raccomandazione, ma non meno importante, l’”adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevedendo adeguato supporto per l’aggiornamento e la
revisione delle configurazioni in linea” e “Nella predisposizione, migrazione e gestione dei nuovi prodotti e servizi, si raccomanda l’adozione di principi trasversali di indirizzo, quali a titolo esemplificativo quello della «gestione del rischio», in termini di identificazione, valutazione e mitigazione dei rischi di diversa fattispecie che concorrono nell’attuazione della diversificazione dei servizi”.
Questo dovrà servire a sviluppare delle capacità di alfabetizzazione, di resilienza e di conoscenza dei processi che portano ad una valutazione più approfondita di beni, sistemi e servizi ICT. Tracciata questa strada potrà essere previsto un nuovo assetto di gestione e risposta agli incidenti che si avvicina al livello europeo in modo da favorire una collaborazione e scambio informativo per il coordinamento delle autorità dei vari stati membri, al fine di supportare le infrastrutture critiche e le forniture di servizi essenziali.
