La digitalizzazione, oltre ad una serie di tangibili vantaggi, ha determinato anche un allargamento della superficie di attacco su cui i cybercriminali possono operare, grazie al crescente spostamento, nel dominio immateriale, di una serie di attività (anche sensibili) che vengono svolte da persone o lavoratori non sempre attentissimi o adeguatamente formati per fronteggiare i relativi rischi.
In questo contesto, i vertici governativi hanno lanciato una serie di iniziative, recentemente confluite in una vera e propria strategia, pubblicata lo scorso 24 maggio, per innalzare il livello di protezione e certificare i prodotti nelle reti di telecomunicazione.
In questo ambito, forte interesse è maturato verso l’utilizzo di Common Criteria.
Vediamo di cosa si tratta e come stanno evolvendo nel contesto europeo della cybersecurity.
Cybersecurity, perché è ormai una priorità per l’Italia: tre fattori che cambiano tutto
Questa prevede come primo e principale punto il rafforzamento del sistema di scrutinio tecnologico nazionale, finalizzato a garantire la sicurezza della supply chain degli asset rientranti nel Perimetro di sicurezza cibernetica e per favorire l’adozione di schemi di certificazione europea di cybersecurity.
Gli strumenti attualmente disponibili, in particolare i Common Criteria tradizionali, presentano dei limiti soprattutto in termini di tempi, costi e procedure. Le istituzioni europee si sono mosse già dal 2019, e l’agenzia europea per la cybersecurity (ENISA) sta lavorando ad uno schema di implementazione – gli European Common Criteria – capace di superare tali criticità. Un processo che, però, non verrà finalizzato prima dei prossimi due anni.
Appare quindi essenziale cercare una soluzione temporanea capace di offrire un corretto bilanciamento tra la necessità, da un lato, di garantire livelli di protezione adeguati e, dall’altro, il bisogno di attenuare l’impatto che regolamentazioni e controlli potrebbero determinare sullo sviluppo del mercato e sui suoi equilibri.
Cybersecurity: i dati Clusit sugli attacchi gravi 2017/21
La cybersicurezza sta diventando sempre più centrale per offrire garanzie tanto ai fornitori quanto agli utilizzatori di servizi digitali, all’interno di un perimetro che la digital transformation sta allargando e continuerà ad allargare sempre più nel prossimo futuro.
Sfortunatamente, i dati sugli attacchi classificati come gravi mostrano un costante incremento sia a livello nazionale che internazionale, con conseguenti danni economici e di immagine per gli attori che vengono colpiti. Secondo i dati Clusit, tra il 2017 e il 2021 gli attacchi gravi sono quasi raddoppiati, passando da 1.127 a 2.049 (+80%).
A livello nazionale, tra gennaio 2018 a giugno 2021 l’Italia ha subìto 143 attacchi gravi, seconda in Europa dopo la Gran Bretagna (233) ma vittima di una pressione maggiore rispetto a Francia (95), Germania (75) e Spagna (29).
Cybersecurity: quanto investe l’Italia rispetto all’Europa
Per tali ragioni, appare fondamentale investire negli strumenti di sicurezza informatica a disposizione di aziende e amministrazioni, in particolare se di rilevanza strategica. Giova ricordare che gli Operatori dei Servizi Essenziali (OSE) sono stati identificati in Italia nell’ambito dell’articolata procedura di istituzione del perimetro di sicurezza cibernetica all’interno di settori quali interno, difesa, aerospazio, energia, telecomunicazioni, finanza, trasporti, servizi digitali e tecnologie critiche.
In questo quadro, l’analisi effettuata da ENISA sugli stessi OSE e sui DSP (digital service provider), ovvero sugli operatori considerati “strategici” a vario titolo, mostra come l’Italia sia il secondo Paese in cui si investe di più in cybersecurity a livello europeo (dietro la Francia), con una media di 6,75 milioni per operatore, un valore triplo rispetto alla media europea di 2,1 milioni.
Cybersecurity: come si è arrivati ai Common Criteria attuali
Poiché il cyberspazio è un mondo sempre più caratterizzato da confini evanescenti e dinamici, uno sforzo volto a regolamentarne e uniformarne gli usi e le caratteristiche richiede inevitabilmente sinergie tra tutti gli Stati. Questi sono chiamati a dettarne le regole attraverso l’esercizio della propria sovranità e, allo stesso tempo, la messa in campo di azioni congiunte a livello internazionale, in particolare tramite le certificazioni di prodotti e sistemi ICT.
La sensibilità su tali argomentazioni trova la sua origine negli Stati Uniti negli anni ’80, con la nascita del Trusted Computer System Evaluation Criteria (TCSEC), cui è seguita la risposta europea con il meno fortunato ITSEC, sulla base del quale, nel ’96, sono stati poi generati i Common Criteria, divenuti standard internazionale ISO/IEC 15408 nel 1999.
L’ottenimento di certificazioni per i propri apparati ICT è un processo che in genere gli operatori effettuano volontariamente, per mostrare a clienti business e utenti finali il proprio livello di affidabilità.
In alcuni casi, tuttavia, le Autorità Nazionali possono definire eventuali obbligatorietà. Per quanto concerne l’Italia, l’inserimento dello “scrutinio degli asset rientranti nel Perimetro” e “l’adozione di schemi di certificazione europea di cybersecurity” al primo punto della Strategia, insieme alla ricerca di profili specializzati nell’utilizzo di Common Criteria da parte della nascente Agenzia per la Cybersicurezza e alle molteplici innovazioni normative – che rafforzano i poteri di Governo e Agenzia in materia – mostrano sia il forte l’interesse per questo tipo di certificazioni, al fine di autorizzare l’utilizzo di prodotti e sistemi ICT nelle reti di telecomunicazioni italiane, sia la preferenza verso meccanismi di obbligatorietà delle procedure di verifica.
Cybersecurity e certificazioni: come funzionano gli attuali Common Criteria
I Common Criteria sono strutturati in modo da rispettare criteri qualitativi tali da garantire alla documentazione prodotta un elevato livello di fiducia, efficacia e correttezza.
In particolare, l’ente che esegue le verifiche non deve avere interessi economici legati al risultato della valutazione (imparzialità), la ripetizione della procedura deve restituire lo stesso risultato (ripetibilità), lo stesso risultato deve poter essere raggiunto da un terzo ente valutante (riproducibilità) e non deve comprendere stime di carattere soggettivo (obiettività).
La documentazione prodotta in ottemperanza di questi criteri evidenzia gli elementi fondamentali dell’oggetto della valutazione, ovvero del Target of Evaluation (TOE).
Per ottenere la certificazione è necessario identificare gli obiettivi di sicurezza (ovvero si intende specificare “sicuro per cosa”), l’ambiente di sicurezza (“sicuro in quale contesto”) e i requisiti funzionali (“sicuro a fronte di quali verifiche”).
Sulla base della struttura indicata dai Common Criteria, attualmente in Italia vige uno Schema Nazionale per la certificazione della sicurezza di prodotti e sistemi ICT nell’ambito dei dati classificati risalente al 1995, affiancato nel 2003 da un Secondo Schema Nazionale per la fornitura di servizi di certificazioni nel contesto della PA e negli ambiti non ricompresi nella Sicurezza Nazionale.
Organismi essenziali sono i laboratori preposti alla valutazione, che conducono le analisi ed elaborano la documentazione necessaria ai fini della valutazione, e gli enti di certificazione, che emettono la certificazione di sicurezza e accreditano i laboratori. Nel contesto italiano, tali strutture assumono una declinazione particolare e suddivisa in base alla tipologia di dati trattati (dati certificati, funzioni strategiche o commerciali).
Cybersecurity: cosa comporta farsi certificare
L’ottenimento di certificazioni di sicurezza migliora in generale la competitività dei prodotti sul mercato, può garantire l’accesso a mercati geografici con requisiti minimi e offre ai governi nazionali uno strumento per garantire che i sistemi IT utilizzati nel Paese siano sicuri, consentendo di contrastare rischi sistemici.
Allo stesso tempo, è opportuno considerare che la documentazione richiesta dai sistemi nazionali aumenta considerevolmente i costi della valutazione, che sono a carico del fornitore, che i tempi di esecuzione sono piuttosto lunghi (fino a 12-18 mesi) e che è necessario utilizzare risorse specializzate per le verifiche (le cui competenze possono richiedere fino a 24 mesi per essere formate).
Altro importante elemento riguarda il tempo addizionale che potrebbe essere impiegato dal CVCN e dai laboratori indipendenti per rendere effettive le procedure di valutazione.
Considerando l’ampio numero di aziende comprese nel perimetro e il conseguente numero di apparati da certificare, potrebbe delinearsi una netta discrepanza tra l’effettiva capacità di assorbimento dei test da parte dei laboratori e il numero di prodotti da sottoporre alle procedure di test.
Inoltre, le rigidità alla base dei Common Criteria non permettono di mantenere la certificazione per prodotti/sistemi su cui vengono installate nuove patch per aggiornamenti, per cui se si effettua una modifica o un aggiornamento in linea teorica è necessario effettuare nuovamente tutto il percorso di certificazione.
Cybersecurity e certificazioni: cosa prevedono gli European Common Criteria
Sebbene i Common Criteria si siano rivelati uno strumento particolarmente valido negli ultimi vent’anni, contribuendo sostanzialmente ad innalzare il livello di sicurezza di servizi e prodotti digitali, le recenti evoluzioni tecnologiche ed economiche hanno posto nuovamente l’attenzione sulla necessità di sviluppare e promuovere sistemi in grado di far combaciare più agilmente la rinnovata attenzione sulla cybersecurity con i ritmi sempre più dinamici e flessibili dei mercati digitali.
L’Unione Europea aveva iniziato a porre l’attenzione politica e normativa su tali considerazioni già dal 2019, con la pubblicazione del Cyber Security Act, che sosteneva la creazione di un nuovo sistema di certificazioni uniforme per tutta l’UE. Fondamentale è stato anche il sempre maggiore coinvolgimento di ENISA, che ha istituito un gruppo di lavoro specifico per promuovere la stesura dei Common Criteria Europei, detti EUCC (Common Criteria based European candidate cybersecurity certification scheme), sulla base dei Common Criteria esistenti.
Gli elementi di discontinuità degli EUCC rispetto ai Common Criteria applicati nei sistemi nazionali risiedono proprio nella volontà di ottimizzare il rapporto tra certificazioni e dinamiche di mercato, in particolare riguardo a costi e tempi.
Tra i principali obiettivi figura, infatti, l’adozione di procedure per la gestione della criticità non previste al momento del rilascio e una procedura di valutazione rapida per le correzioni e le modifiche successive dei prodotti.
In questa direzione si muovono il c.d. Patch Management che consente al produttore di introdurre preventivamente un meccanismo di gestione delle patch, così da avere un prodotto costantemente aggiornato e “patchato” pur mantenendo lo stato di certificazione (e quindi senza dover ricominciare la procedura da capo in caso di modifiche) e il “testing once principle”, per evitare che prodotti già certificati debbano ripetere la procedura.
Dopo la pubblicazione della prima bozza dell’EUCC (la Versione 1.0), che mira a sostituire gradualmente gli attuali schemi di certificazione nazionali, basati anch’essi sui Common Criteria, nel maggio 2020 l’ENISA ha anche avviato un processo di consultazione di tutti gli stakeholder interessati, i risultati del quale sono stati pubblicati nel maggio 2021. Dalle consultazioni svolte dall’ENISA con gli stakeholder del mercato digitale è emerso un consenso piuttosto ampio da parte degli attori interessati.
Cybersecurity e certificazioni: cosa accadrà nei prossimi due anni
Sulla base di queste consultazioni, con il sostegno dell’AHWG, l’ENISA ha sviluppato la Versione 1.1 dell’EUCC. Tale versione dovrebbe essere usata dalla Commissione Europea per la stesura dell’Implementing Act, atto esecutivo con cui lo schema potrebbe diventare ufficialmente parte della legislazione europea.
Tuttavia, si prevede che questo processo impiegherà ancora diverso tempo per essere concluso, con una piena attuazione degli EUCC che probabilmente richiederà nuove discussioni in sede comunitaria e la stesura di linee guida per facilitare la fase di transizione.
Quest’ultima, in particolare dovrebbe durare almeno due anni, periodo in cui le certificazioni nazionali assorbite dagli EUCC dovrebbero cessare di operare. Resta aperto il nodo di come gestire questa fase di transizione.
A tal proposito, si attende la pubblicazione dell’ultimo decreto attuativo sul perimetro – che dovrebbe chiarire le modalità di accreditamento dei laboratori e le metodologie di test che verranno utilizzate in Italia – per trovare l’auspicato bilanciamento tra garanzia della sicurezza e tutela della dinamicità del mercato, nell’ottica di favorire la massima diffusione, anche presso tutte le aziende strategiche ricomprese nel perimetro, di apparecchiature ICT sicure e certificate.
