Sicurezza e Cert regionali, le linee guida Agid: ecco gli sviluppi

Introdurre un modello nazionale per la realizzazione dei Computer Emergency Response Team (Cert) regionali, cioè di un tipo specifico di Cert di prossimità: questo è l’obiettivo di Agid (Agenzia dell’Italia Digitale) con le “Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i Cert regionali”,  pubblicato pochi giorni fa sul sito docs.italia.it

Il documento, in consultazione fino al 13 giugno, è stato concepito in modo tale da essere più “didattico” e comprensibile possibile e si auspica che possa essere recepito dalle Regioni in tempi brevi.

Vediamo di seguito cosa sono i Cert di prossimità, lo scopo e la missione dei Cert Regionali, una panoramica sui contenuti del documento e sulla gestione degli incidenti.

I Certi di prossimità

Con “Cert di prossimità” termine si intende un Cert la cui constituency – cioè quella categoria di utenti a cui andranno principalmente indirizzati i servizi forniti – viene selezionata o per appartenenza geografica (e quindi prossimità in senso territoriale), qual è il caso dei Cert regionali, o per appartenenza settoriale, nel senso che viene dato supporto a specifiche comunità su base funzionale (es. Sanità, Trasporti, ecc.), qual è il caso dei Cert settoriali.

Il concetto di Cert di prossimità nasce con l’intento di rispondere in modo sempre più capillare, efficiente ed efficace al numero crescente di incidenti informatici. In particolare, i Cert regionali sono lo snodo tra il Cert-PA e le amministrazioni locali (vedi anche il Piano Triennale per l’IT nella PA 2019-2021).

Infatti, rispetto al 2015 la constituency originaria del Cert-PA si è allargata da circa 70 amministrazioni (PAC, Regioni, Città metropolitane) alle quasi 22000 di oggi (PAL e tutte le Amministrazioni sul dominio .gov.it) senza che a questo abbia corrisposto un’analogo aumento di risorse assegnate, considerato anche l’accresciuto impegno per il recepimento della NIS. Peraltro, il previsto accorpamento (come da D.lgs. 65/2018), tra Cert-PA e Cert-N nello CSIRT-ITA non si è ancora realizzato ed è comunque un’operazione che, una volta avviata, non si concluderà nel giro di breve tempo, viste le numerose problematiche che andranno risolte prima.

Scopo e missione dei Cert regionali

I Cert Regionali dovranno essere costituiti dunque con l’obiettivo di facilitare le attività di prevenzione e monitoraggio del Cert-PA, agendo come unità locali in grado di esercitare un controllo più diretto sul territorio, e di gestire tutti quegli incidenti di cyber security per i quali il Cert-PA non deve essere necessariamente coinvolto in maniera diretta, in quanto:

• sono limitati ad un singolo ente locale o ad un numero limitato di PAL;
• producono limitate implicazioni di sicurezza in termini di impatto su asset ed informazioni e sono pertanto gestibili nell’ambito delle normali attività operative della PAL stessa e/o di organismi periferici, quali i Cert Regionali;
• sono relativi a PAL che non hanno aderito al processo di accreditamento al Cert-PA.

Il funzionamento dei Cert si basa sulla gestione integrata dei flussi informativi provenienti dalla propria constituency e dal mondo esterno, in qualità di unica interfaccia operativa per le attività di Information Sharing. I Cert capaci di raccogliere, oltre alle segnalazioni di incidenti informatici, le vulnerabilità e le potenziali minacce, analizzano gli impatti che si potrebbero verificare sulle infrastrutture informatiche della propria constituency (o sull’organizzazione stessa) così da identificare i rischi e dunque le più adeguate contromisure.

Nel contesto attuale lo scopo e la missione dei Cert sono stati estesi, e più che parlare di “Response” (risposta) si pone l’accento sulla nozione di “Readiness” (prontezza / preparazione).

Le linee guida Agid sui Cert regionali

Il documento è organizzato in tre sezioni e un’appendice:

• Sezione 1 – Cosa è un Cert: presentazione degli aspetti fondamentali alla base dell’organizzazione di un Cert e del contesto in cui lo stesso è chiamato ad operare (Cap. 4-7);
• Sezione 2 – Cosa fa un Cert regionale: descrizione del modello funzionale di riferimento per un Cert regionale, con presentazione degli elementi costitutivi dello stesso in termini di servizi, processi e risorse necessarie; vengono inoltre illustrati alcuni modelli per l’analisi delle performance (metriche e indicatori) (Cap. 8-12);
• Sezione 3 – Come avviare un Cert regionale: vengono inoltre forniti una panoramica sui fondi disponibili per finanziare la costituzione e l’esercizio di un Cert regionale e un possibile piano di attuazione (Cap. 13-14);
• Appendici: Glossario dei termini.

All’interno del documento sono illustrati gli aspetti significativi da considerare per poter avviare ed operare un Cert e che potranno essere presi a riferimento per la costituzione di Cert regionali. Tali aspetti, organizzati in capitoli appositi, riguardano:

• modello funzionale di riferimento;
• struttura amministrativa ed organizzativa;
• catalogo dei servizi da erogare;
• carta dei processi e matrice delle responsabilità;
• risorse necessarie, in termini di personale, informazioni (modello dati), modelli tecnologici e applicativi e facilities;
• requisiti di sicurezza fisica e logica da implementare;
• modalità di analisi e valutazione dei risultati raggiunti;
• opportunità di finanziamento per iniziative nel nostro Paese;
• piano di attuazione.

Il primo passo nella realizzazione di un Cert, nel nostro caso regionale, è quello di determinare la sua constituency cioè quella categoria di utenti a cui andranno principalmente indirizzati i servizi forniti. In base alla constituency, in generale, avremo i vari tipi di Cert mostrati in tabella:

La constituency dei Cert regionali è rappresentata dalla comunità delle PAL che possono accedere e beneficiare dei servizi da questi erogati. Una lista, non esaustiva, delle categorie di PAL che possono essere serviti in linea di principio dai Cert regionali è fornita a seguire:

• Province
• Comuni
• Comunità montane e isolane
• Forme associative tra enti locali, ovvero enti territoriali che sperimentano la gestione associata dei servizi e delle funzioni, tra cui: le Unioni di Comuni, Centri Servizi Territoriali, consorzi intercomunali, ecc.
• Enti economici locali, quali aziende municipalizzate, le società in-house e le società miste.
• Aziende sanitarie e ospedaliere locali, inclusi gli istituti di ricovero e cura pubblici a carattere scientifico, ed altri enti di supporto al Sistema Sanitario Nazionale
• Camere di commercio
• Università ed Istituti di istruzione universitaria
• Altri enti locali, quali Agenzie regionali, Consorzi di bonifica, Fondazioni, Istituti regionali, Musei, ecc.

Dalle province al più piccolo degli enti locali, le PAL rappresentano i principali terminali dei servizi pubblici a cittadini ed imprese, nell’ambito di territori che presentano numerose specificità e differenze. Tali servizi coprono una pluralità di fabbisogni per la cittadinanza quali, a titolo puramente esemplificativo e non esaustivo:

• Servizi informativi (Ufficio Relazioni con il Pubblico, siti internet, ecc.)
• Servizi socio-assistenziali e sanitari
• Rilascio di Certificati e documenti
• Servizi alle persone ed alle imprese per l’impiego
• Rilascio di autorizzazioni per l’avvio di attività commerciali e produttive sul territorio
• Accertamento e riscossione di tributi locali
• Servizi per l’infanzia e per l’istruzione
• Pubblica Sicurezza sul territorio

Tali servizi a carico delle Pubbliche Amministrazioni determinano la raccolta e il trattamento di un enorme volume di dati di tipo riservato (personali, sensibili, ecc.) e di altre informazioni di tipo cogente, rendendole di fatto un bersaglio estremamente appetibile nello spazio cibernetico, con potenziali rischi legati alla sottrazione, alterazione e distruzione di informazioni, al blocco ed all’alterazione di servizi, ecc. Tale situazione è ulteriormente accentuata considerando che gran parte dei servizi precedentemente elencati sono oggi offerti sul territorio tramite il web o l’utilizzo di dispositivi mobili.

La gestione degli incidenti

Ovviamente, la parte principale del documento è quella relativa alla gestione degli incidenti e a come questa preveda, dopo la segnalazione di incidente da parte della PAL verso il Cert regionale, il triage e l’analisi dello stesso per determinarne la portata ed effettuare eventualmente un’ulteriore escalation verso il Cert-PA qualora l’incidente si qualifichi come sistemico. Con quest’ultimo termine si intende sia un impatto significativo, a livello di valore di potenziali perdite che una diffusione territoriale consistente.

Le informazioni da condividere devono essere classificate in base al loro livello di sensibilità e, qualunque sia il metodo, dovrebbe poter essere utilizzato da entrambi i settori pubblico e privato senza la necessità di rimandi ai loro schemi di classificazione delle informazioni. Per essere univoci ed avere una base comune nel processo di condivisione delle informazioni spesso si utilizza un codice-colore abbinato alle informazioni di incidente, chiamato Traffic Light Protocol (TLP) , che prevede un insieme di requisiti per far sì che ogni informazione condivisa sia distribuita solo ai destinatari corretti.

Il protocollo TLP viene utilizzato in molti processi di condivisione delle informazioni. L’informazione viene classificata secondo quattro livelli (tag) – White, Green, Amber o Red (in ordine di crescente gravità) – che indicano le prescrizioni di confidenzialità e condivisibilità dell’informazione relativa all’incidente che i riceventi dovranno adottare nel gestirla.

Questo metodo di classificazione delle informazioni è ampiamente utilizzato poiché è molto semplice da comprendere e implementare, e può essere facilmente adottato anche in altri settori o al di fuori del territorio nazionale. Nella maggior parte dei casi, il mittente delle informazioni da condividere determinerà il suo colore di classificazione, ma talvolta i Cert possono decidere di modificarlo se ritengono che il livello definito non sia appropriato.