Cosa aspettarsi dal 2023 rispetto al tema della cyber security? Sicuramente l’anno si aprirà con l’avvio dei primi LAP, Laboratori Accreditati di Prova per il supporto alle valutazioni e alle certificazioni del CVCN.
Il passaggio per il CVCN sarà obbligatorio per gli acquisti di reti, sistemi e servizi ICT da parte di operatori del 5G e del cloud e di tutti gli operatori appartenenti al PSNC, Perimetro di Sicurezza Nazionale Cibernetica, per i servizi interni al perimetro stesso. Le aziende attendono la pubblicazione dello schema o degli schemi di valutazione e certificazione che verranno prescelti dell’ACN in attesa dell’adozione da parte dell’Europa degli schemi di certificazione europei avviati dal Cyber Security Act e ad oggi in lavorazione.
Cyber Resilience Act, il nuovo volto della cybersicurezza europea
L’Europa ha già proposto per la discussione con gli Stati Membri uno schema generale di certificazione basato sui Common criteria, uno schema per il 5G e uno schema per il cloud, ma non ha reso nota la data di adozione prevista.
L’escalation delle minacce cyber e le contromisure normative
La decima edizione dell’ENISA Threat Landscape report, pubblicata lo scorso ottobre, sottolinea che, a partire dall’inizio del 2022, gli attacchi informatici sono in continuo aumento. Sulla base dell’analisi condotta, al primo posto tra le minacce che hanno interessato enti pubblici e privati, imprese e singoli cittadini nel corso del 2022 risulta essere il ransomware, seguito da malware, tecniche di social engineering (in particolare phishing) e data breach. Particolarmente diffusi risultano essere altresì gli attacchi DDoS: nel luglio del 2022, l’azienda Akamai ha rilevato e mitigato quello che è stato definito come il più grande attacco DDoS mai lanciato contro un cliente europeo sulla piattaforma Prolexic, con un traffico di attacco distribuito a livello globale che ha raggiunto un picco di 853,7 Gbps e 659,6 Mpps in 14 ore. Questa tipologia di attacco risulta essere sempre più complessa e tende a spostarsi verso le reti mobili e l’Internet of Things (IoT). Sempre secondo quanto emerso dal rapporto dell’ENISA, quasi il 50% delle minacce sarebbe rivolto verso pubblica amministrazione e governi (24%), fornitori di servizi digitali (13%) e cittadini in generale (12%). Il restante 50% sarebbe invece diretto ai diversi settori dell’economia in maniera generalizzata.
Al fine di contrastare le numerose minacce informatiche al sistema Paese, nel corso del 2022 si è cercato di rafforzare il quadro normativo, sia in ambito nazionale, che europeo.
Tra gli interventi più rilevanti vi è l’adozione della Strategia Nazionale di cybersicurezza 2022-26, con annesso Piano di implementazione, e l’inizio dell’operatività del Centro di Valutazione e Certificazione Nazionale (CVCN).
I settori sotto attacco
Lo sviluppo della normativa di settore, infatti, si pone l’obiettivo di rispondere all’intensificarsi della minaccia cyber anche nel panorama italiano; tra le vittime principali vi è il settore sanitario. Nei primi giorni del 2022, l’ASL Napoli 3 Sud ha subito un attacco hacker rivendicato successivamente dal gruppo noto con il nome di Sabbath. Durante la notte tra il 15 e il 16 gennaio il gruppo Lockbit 2.0 ha invece diffuso i dati sensibili esfiltrati dall’ULSS 6 Euganea di Padova. Altro importante attacco commesso a danno del comparto sanitario è quello che il gruppo hacker Vice Society ha lanciato lo scorso maggio contro i presidi ospedalieri del Fatebenefratelli Sacco di Milano. Si è trattato, in questo caso, di un attacco ransomware verso i sistemi informativi ospedalieri.
Altro settore particolarmente colpito risulta essere quello energetico. In particolare, si notano gli attacchi che hanno riguardato le aziende leader nel settore dell’erogazione di servizi energetici, GSE ed ENI, realizzati per mezzo di malware di ultima generazione, entrambi nel mese di agosto.
Infine, di interesse per i criminali informatici risultano essere anche gli enti pubblici. Secondo il report “The State of Ransomware and Local Government 2022”, stilato da Sophos, circa il 75% di questi avrebbe subito nel 2022 attacchi informatici. Nel mese di febbraio, l’Agenzia Nazionale del Turismo (ENIT) è stata oggetto di un attacco hacker da parte del gruppo Lockbit 2.0 che, oltre ad aver interrotto il funzionamento dei server e bloccato il sito istituzionale, ha diffuso i dati e le informazioni raccolte.
Sono state colpite da diverse campagne hacker nel corso del 2022 anche la rete Ferrovie dello Stato, Poste Italiane e i siti Web di diversi Ministeri, tra cui quello della Transizione ecologica, della Difesa ed il sito del Senato. Questi ultimi due attacchi sarebbero stati effettuati per mezzo di un attacco DDoS lanciato dal collettivo filorusso Killnet.
Lo stesso gruppo, dopo aver tentato di sabotare la visione della serata finale dell’Eurovision, nel mese di maggio, ha rivendicato un altro attacco DDoS condotto nei confronti del sito Web della Polizia di Stato.
La Strategia nazionale di Cybersicurezza 2022-2026
A fronte di questo scenario di rischio, con decreto del Presidente del Consiglio dei ministri del 17 maggio 2022, è stata adottata la Strategia nazionale di Cybersicurezza 2022-2026 e il relativo Piano di implementazione (richiesto all’art. 2 comma 1 lett. b del DL 82/21, convertito in legge n.109, 4 agosto 2021). La strategia, definita dall’ACN, prevede il raggiungimento di 82 misure entro il 2026 con l’obiettivo di: proteggere asset strategici nazionali attraverso un approccio risk based e un quadro normativo efficiente per una transizione digitale resiliente del Paese; rispondere alle minacce e crisi cyber nazionali attraverso sistemi di monitoraggio, rilevamento, analisi e processi di sicurezza; sviluppare tecnologie digitali sicure attraverso strumenti e iniziative che supportino attività di ricerca, centri di eccellenza e imprese del settore.
Le sfide delineate dalla Strategia Nazionale sono: assicurare la transizione digitale della PA e del settore produttivo, prevedere e mitigare l’evoluzione della minaccia cyber, contrastare la disinformazione online e garantire l’esercizio delle libertà fondamentali, coordinare settore pubblico e privato in risposta a crisi cyber, garantire autonomia strategica nazionale ed europea nel settore digitale.
Strategia di sicurezza nazionale cibernetica: come sarà attuata
Il Perimetro di sicurezza nazionale cibernetico
Un ulteriore tassello che va a completare il quadro normativo del Perimetro di sicurezza nazionale cibernetico, precedentemente istituito con decreto-legge n.105 del 2019, è rappresentato dal DPCM n.92 del 18 maggio 2022, con cui è stato reso noto il regolamento che definisce procedure, requisiti e termini per la convalida dei laboratori accreditati di prova (LAP) a sostegno del Centro di Valutazione e Certificazione Nazionale (CVCN). Il 30 giugno è iniziata l’operatività del CVCN, per la valutazione di beni, sistemi e servizi ICT destinati a essere impiegati presso infrastrutture che supportano la fornitura di servizi o funzioni fondamentali per lo Stato. Il 30 luglio è entrato ufficialmente in vigore il Regolamento, dopo la pubblicazione nella Gazzetta Ufficiale n.164 del 15 luglio, mentre l’11 agosto sono state approvate le determinazioni tecniche previste in materia di accreditamento dei LAP.
Il 18 gennaio 2022, l’ACN e il Dipartimento per la trasformazione digitale hanno predisposto, con due determinazioni, la definizione del modello per la classificazione dei dati e dei servizi della PA e i requisiti per le infrastrutture digitali e per i servizi cloud destinati a trattare dati e servizi strategici, critici e ordinari. È stata così perseguita l’attuazione della Strategia Cloud Italia, il cui regolamento è stato pubblicato dall’Agenzia per l’Italia Digitale con Determinazione AgID 628/2021 il 15 dicembre 2021, che risponde a tre requisiti fondamentali per il Paese: assicurare l’autonomia tecnologica, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. A tal fine, dal 19 aprile, è stato reso noto a tutte le amministrazioni l’obbligo di completare il percorso di classificazione di dati e servizi attraverso la piattaforma PA digitale, atta a predisporre i piani di migrazione dei dati verso il Polo Strategico Nazionale e verso infrastrutture e servizi cloud qualificati.
L’impatto del conflitto russo-ucraino
A seguito del conflitto russo-ucraino, è divenuto necessario proteggere ulteriormente i sistemi informatici delle amministrazioni pubbliche da potenziali rischi connessi alla crisi generatasi e testare la resilienza dello spazio cyber nazionale. L’art. 29, Rafforzamento della disciplina cyber, parte del decreto-legge n.21 (Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina) del 21 marzo 2022, convertito con modificazioni in Legge n.51 del 20 maggio 2022, è intervenuto al fine di rafforzare la sicurezza dello spazio cibernetico nazionale esposto a rischi a seguito dell’invasione russa dell’Ucraina. Il decreto, adesso legge, richiede alle amministrazioni pubbliche la diversificazione di prodotti e servizi tecnologici di sicurezza informatica. La richiesta è derivata dal potenziale rischio connesso alla fornitura da parte di aziende collegate alla Federazione Russa, di servizi e prodotti la cui assenza di aggiornamenti e manutenzioni potrebbe pregiudicare, in sintesi, la sicurezza di reti, sistemi informativi e servizi informatici pubblici.
Le categorie di prodotti e servizi interessate, indicate anche tramite circolare dell’ACN, sono quelle volte ad assicurare: funzioni di sicurezza dei dispositivi (endpoint security), compresi applicativi antivirus, antimalware ed endpoint detection and response (EDR); web application firewall (WAF). La circolare dell’ACN ha posto l’attenzione sulla cybersicurezza delle PA, l’importanza di un approccio risk based nella rilevazione di rischi e minacce, oltre che sulla definizione di un processo di adozione di nuove soluzioni tecnologiche che garantisca alle amministrazioni pubbliche di accrescere la sicurezza del proprio sistema digitale.
Con i due DPCM del 15 giugno (GU Serie Generale n.151 del 30 giugno) e 1° settembre 2022 (GU Serie Generale n.246 del 20 ottobre), sono state trasferite in capo all’ACN le funzioni in materia di cybersicurezza precedentemente in capo al Ministero dello sviluppo economico (MISE), all’Agenzia per l’Italia digitale (AgID) e al Dipartimento per la trasformazione digitale.
I fondi stanziati per la cybercurity
Per gli anni a seguire sono stati, inoltre, designati i fondi che andranno a finanziare gli interventi in materia di cybersecurity e resilienza dei sistemi informatici nazionali. In data 29 novembre, è stato trasmesso alle Camere per l’approvazione, il testo della Legge di Bilancio per l’esercizio delle funzioni pubbliche del 2023 che dovrebbe entrare in vigore il 1° gennaio. All’art. 154 Misure in materia di Strategia nazionale di cybersicurezza, comma 1, vengono delineati i due fondi, necessari alla realizzazione della Strategia nazionale di cybersicurezza (adottata con decreto del Presidente del Consiglio dei ministri il 17 maggio 2022) e al relativo Piano di implementazione. Il primo fondo istituito dal Ministero dell’Economia e delle Finanze (MEF) si riferisce agli investimenti che andranno a implementare il conseguimento dell’autonomia tecnologica in ambito digitale e l’innalzamento dei livelli di cybersicurezza dei sistemi informativi, per i quali sono previsti 70 milioni di euro per l’annualità 2023, 90 milioni di euro per il 2024, 110 milioni di euro per il 2025 e 150 milioni di euro annui per il periodo 2026-2037. Il secondo fondo è, invece, destinato a finanziare la gestione operativa dei progetti di cybersicurezza, con una dotazione finanziaria pari a 10 milioni di euro per l’annualità 2023, 50 milioni di euro per il 2024 e 70 milioni di euro a decorrere dal 2025. L’articolo in questione, al comma 2, incarica l’ACN per tutte le attività di indirizzo, coordinamento e monitoraggio del Piano di implementazione della Strategia nazionale di cybersicurezza.
Un’evoluzione decisiva è stata introdotta dall’art.37 del D.L. n.115 del 9 agosto 2022 (Decreto Aiuti bis, convertito in Legge n.142 del 21 settembre). L’articolo in questione, Disposizioni in materia di intelligence in ambito cibernetico, permetterà al Presidente del Consiglio dei ministri di attuare una difesa attiva in risposta ad attacchi cyber finalizzati a ledere gli interessi nazionali coinvolti, “secondo criteri di necessità e proporzionalità”. L’istituto della difesa cyber sarà attuato dall’Agenzia informazioni e sicurezza esterna (AISE) e dall’Agenzia informazioni e sicurezza interna (AISI) e sotto il coordinamento del DIS, Dipartimento delle informazioni per la sicurezza.
Il panorama europeo
Per quanto concerne il panorama europeo, il 10 novembre 2022 è stata approvata, dal Parlamento Europeo, la nuova normativa relativa al Network and Information Security, la cosiddetta Nis 2, in sostituzione della precedente Nis (Direttiva europea 2016/1148). La nuova direttiva stabilisce misure di gestione dei rischi cyber e obblighi di comunicazione in tutti i settori critici, come quello dell’energia, della sanità e delle infrastrutture digitali. La NIS 2 rivede i requisiti e le misure di sicurezza informatica, stabilendo regole minime e meccanismi atti a facilitare la cooperazione tra le autorità competenti degli Stati europei. La direttiva, inoltre, ha aggiornato l’elenco dei settori e delle attività soggette a tali obblighi di cyber sicurezza, introducendo una regola dimensionale utile a identificare i soggetti interessati. Tutte le entità di medie e grandi dimensioni operanti nei settori designati dalla Nis 2 o che offrono servizi correlati, saranno soggetti compresi nel suo campo d’applicazione. Il testo chiarisce che la direttiva non si applicherà agli enti che svolgono attività nei settori della difesa o della sicurezza nazionale, della pubblica sicurezza e delle forze dell’ordine, così come sono esclusi il potere giudiziario, legislativo e le banche centrali. Infine, con la nuova direttiva si darà formalmente il via all’operatività della rete europea di organizzazioni di collegamento per le crisi informatiche, EU-CyCLONe, che supporterà la gestione coordinata di incidenti e crisi di sicurezza informatica su larga scala.
Il 15 settembre 2022, la Commissione europea ha presentato la proposta per il Cyber Resilience Act, la prima normativa di questo genere a livello europeo che introdurrebbe requisiti obbligatori di cybersecurity per tutti i prodotti che presentano elementi digitali, a vantaggio di tutti i consumatori dell’Unione. La proposta mira a garantire il corretto funzionamento del mercato interno dell’UE tramite: creazione di condizioni necessarie allo sviluppo di prodotti (hardware e software) sicuri sia al momento dell’immissione nel mercato, che durante tutto il ciclo di vita del prodotto in questione; creazione di condizioni che permettano agli utilizzatori di considerare l’aspetto di sicurezza informatica al momento della selezione e dell’uso del prodotto digitale.
Inoltre, costituiscono obiettivi specifici proposti dall’atto:
- garanzia da parte dei produttori sulla sicurezza dei propri prodotti digitali, sia nella fase di progettazione e sviluppo che in quella di aggiornamento lungo tutto il ciclo della vita;
- garanzia di un framework di cybersicurezza coerente che permetta ai produttori di conformare i loro prodotti alle nuove esigenze;
- maggiore trasparenza in merito le caratteristiche di sicurezza informatica dei prodotti;
- abilitazione di imprese e consumatori all’utilizzo di prodotti digitali in maniera sicura.
In data 10 novembre 2022, il Parlamento europeo ha approvato l’accordo provvisorio con il Consiglio dell’UE sulla bozza del Digital Operational Resilience Act (DORA), proposta dalla Commissione europea il 24 settembre 2020. Il DORA ha come principale obiettivo quello di garantire al settore finanziario europeo la necessaria resilienza a seguito di una grave interruzione operativa dei sistemi, quindi, prevenire e mitigare le minacce informatiche alla struttura critica. La normativa stabilirà requisiti per la sicurezza della rete e dei sistemi informativi di aziende e organizzazioni attive nel settore finanziario, ma anche di imprese terze che forniscono servizi ICT, quali piattaforme cloud o servizi di analisi dei dati. Con l’approvazione della normativa, viene fornito un framework legale per cui tutte le aziende dovranno assicurare capacità di resistenza, risposta e recupero da ogni tipo di minaccia e interruzione legate alle ICT.