L’Europa ha avviato un processo normativo sul tema delle infrastrutture critiche nel 2006 e ancora oggi si occupa a vari livelli del tema di proteggere i gangli organizzativi dei nostri sistemi sociali.
Oggi arriva la direttiva Nis, nata per proteggere le reti e le informazioni che si occupa di pensare un processo di “consapevolezza” obbligatorio per quei servizi critici a livello nazionale che usano le reti e le tecnologie dell’informazione.
L’impatto della direttiva Nis sulle infrastrutture critiche
Una direttiva che sancisce alcune novità: definisce i servizi essenziali che non sono necessariamente coincidenti con le infrastrutture critiche (ma possono esserlo e sono comunque definiti in modo simile), da un lato, e impone una serie di obblighi per i servizi essenziali in termini di cooperazione pubblico privato, dall’altro. Nel normare l’identificazione degli operatori “essenziali” per un Paese, la NIS segue esattamente il metodo sancito dalla direttiva del 2008: chi può generare impatti al di sopra di soglie predefinite è da considerarsi critico. Tuttavia questa direttiva rappresenta una svolta “di pensiero” perché passa dal concetto di infrastruttura critica al concetto di servizio essenziale, pur lasciando di fatto inalterati i metodi, i valori e i principi che sottendono alla individuazione di entrambe le categorie. Gli indicatori suggeriti per la valutazione dell’impatto sono sostanzialmente gli stessi nel 2008 e nel 2016, il che conferma la bontà del metodo individuato dieci anni fa.
La NIS concede agli Stati membri la possibilità di creare due “insiemi” giuridici separati e distinti, coincidenti o parzialmente coincidenti, dando ora il nome di servizi essenziali agli operatori che vuole interessare al proprio tema (i quali potrebbero essere a loro volta infrastrutture critiche nazionali, oppure no).
Direttiva Nis, che succede ora
La direttiva è costituita da due grandi “momenti” decisionali: l’identificazione dei servizi essenziali e la gestione delle comunicazioni obbligatorie che questi dovranno fare in caso di incidente rilevante sulle reti e sui dati. Due momenti distinti, ma ugualmente importanti.
La comunicazione di incidenti sarà un primo passo verso una “abitudine” alla condivisione delle informazioni: non sarà di per sé una vera e propria procedura di information sharing, ma sarà un primo passo di cooperazione e scambio, nel quale tutti dovranno trovare un lessico comune e comuni valori per rendere lo scambio utile e non dannoso alla competitività aziendale. Temi questi che sono alla base di tutte le tecniche e i tavoli mondialmente esistenti di condivisione delle informazioni.
Al fine di garantire un’efficace attività di monitoraggio e di comunicazione, gli Stati membri sono tenuti inoltre a individuare un’Autorità Nazionale ed uno o più CSIRT (Computer Security Incident Response Team) che cooperino con le entità omologhe a livello internazionale, fornendo analisi e comunicazioni tempestive su eventuali rischi e incidenti. A ciò si aggiunge la necessità di potenziare le partnership tra operatori pubblici e privati per realizzare un continuo e affidabile scambio di informazioni reciproco.
Lo scambio di informazioni e la notifica di avvenuto incidente animano il legislatore europeo negli ultimi anni. La NIS affronta il problema imponendo obblighi di notifica all’autorità nazionale da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali.
L’unicità dell’organismo di gestione dei rapporti con le infrastrutture critiche è un tema ormai consolidato nelle best practice mondiali: tutti i Governi, non solo europei, hanno demandato la gestione del tema infrastrutture critiche a dipartimenti/segretariati/agenzie rispondenti al primo ministro.
Notifiche data/network breach: i vantaggi
Le notifiche di data o network breach previste dalle varie norme europee emanate nell’ultimo decennio (dalla NIS alla 2009/140/CE riguardante gli operatori di servizi di comunicazione elettronica) porteranno un avanzamento de facto della maturità operativa dei Governi europei che riceveranno informazioni “sensibili” dai vari operatori di infrastrutture critiche e dovranno gestirle, per il bene del Paese e per il miglioramento della protezione delle infrastrutture stesse. Come dire che il lavoro “inizia”, e comunque di sicuro non termina, quando si ricevono le informazioni.
La centralizzazione delle autorità cui notificare gli incidenti porterebbe notevoli vantaggi noti da best practice: evita la duplicazione e la ricezione di informazioni non omogenee tra loro e quindi non significative a fini di intelligence e indagine (anche solo statistica), centralizza il punto di contatto con l’UE e il punto di contatto con le varie infrastrutture critiche, centralizza la gestione dei dati derivanti dalle notifiche. L’occasione è grande per creare anche in Italia un luogo unico, deputato a livello governativo alla sicurezza cibernetica e alla protezione delle infrastrutture critiche, come già fatto nella quasi totalità degli Stati occidentali e non.
Nel contesto della minaccia cibernetica una strategia di protezione necessita di una “situational awareness” che non può essere raggiunta da sistemi di protezione isolati. C’è bisogno di condividere informazioni per meglio proteggere le organizzazioni appartenenti a una comunità (nazione, settore di mercato, regione ecc.) che in quanto tali condividono le stesse minacce.
La condivisione delle informazioni serve per migliorare la probabilità di scoperta della minaccia, la velocità nella risposta ad essa e le capacità di protezione delle singole organizzazioni. Per questo in molti paesi occidentali fioriscono collaborazioni pubblico-privato al fine di creare tavoli di scambio e di analisi delle informazioni. Gli Information Sharing and Analysis Center, meglio noti come ISAC, giocano un ruolo fondamentale nella condivisione delle informazioni, specialmente negli Stati Uniti, dove questo concetto è nato (PDD-63, 1998) come contromisura preventiva con la quale il governo ha chiesto a ogni settore che gestisce infrastrutture critiche di stabilire organizzazioni per la condivisione delle informazioni riguardo minacce e vulnerabilità del proprio settore.
Gli ISAC americani ed i “nodes” in UK del CISP program sono esempi di tali tavoli. Questi devono coordinarsi con i Computer Emergency Response Team (CERT) Nazionali a cui forniscono servizi di intelligence appropriati per migliorare i processi di monitoraggio continuo dei sistemi IT al fine di rilevare tempestivamente vulnerabilità e attacchi.
Se è vero che il lavoro “inizia” con la ricezione delle notifiche di breach, è vero a maggior ragione che questo flusso informativo è la base di un ISAC: questa considerazione suggerisce comunque che il flusso debba essere bidirezionale, dalle infrastrutture critiche all’autorità per le notifiche e dall’autorità alle infrastrutture critiche per la condivisione di informazioni riguardanti minacce e contromisure.
Le regole di ingaggio degli ISAC prevedono una autorità garante (di parte terza o scelta tra pari) che gestisce i dati, assicura la regolarità dei flussi informativi, amministra le regole di need to know e anonimizza i dati (statistici e non solo) per la successiva diffusione. Le regole di anonimizzazione sono la base degli ingaggi all’interno degli organismi di condivisione, sia pubblici che privati che misti.
Senza anonimizzazione o con una gestione “sconsiderata” del dato condiviso si rischia infatti di minare le regole consolidate di competitività intra e inter settoriale. Al contrario, una chiara, ben definita e sostenibile policy di anonimizzazione potrebbe portare l’autorità a giocare un ruolo fondamentale nella protezione del sistema paese e nella crescita del livello di maturità di tutti i suoi stakeholder.
