Il principio fondamentale della difesa informatica si basa sulla condivisione delle informazioni.
Proprio per questo, a partire dal consolidato database CVE (Common Vulnerabilities and Exposures) americano, punto di riferimento globale da venticinque anni, l’Europa sta avviando il nuovo registro europeo EUVDB promosso dalla direttiva NIS2, e sta costruendo strumenti sempre più efficaci per garantire trasparenza e resilienza nella gestione del rischio informatico.
Indice degli argomenti
La condivisione delle informazioni come pilastro della cyber sicurezza
La capacità di catalogare, analizzare e diffondere tempestivamente i dati relativi alle falle di sicurezza conosciute si è rivelata sempre più determinante per proteggere infrastrutture critiche e servizi essenziali.
Cavo Dragone: scambio dati per costruire sistemi resilienti
È recentissima una dichiarazione dell’Ammiraglio Giuseppe Cavo Dragone, presidente del comitato militare della Nato che ha colto l’occasione della fiera Seafuture de La Spezia (29 settembre – 2 ottobre 2025) per sottolineare l’importanza della questione: “Per non perdere il passo coi nostri competitor dobbiamo rafforzare lo scambio di dati”.
Nel suo intervento alla importante fiera delle tecnologie marine tenutasi alla Spezia, l’Ammiraglio Cavo Dragone ha inquadrato la necessità di ricorrere a nuovi schemi di difesa per mitigare efficacemente i rischi relativi ai cavi sottomarini.
L’Ammiraglio ha introdotto la necessità di disporre di “reti di maritime awareness condivise e scambio di dati”.
Il punto sembra essere proprio questo: la difesa migliore avviene quando si può disporre di dati affidabili su eventi già avvenuti, dati dei quali vengano rese note più caratteristiche possibili che consentano di essere utilizzati per una solida policy di protezione e prevenzione.
Questo tipo di condivisione di informazioni è uno degli strumenti più potenti per costruire sistemi davvero resilienti; in campo cyber è altrettanto indispensabile poter appartenere a circuiti nei quali preziose anticipazioni siano disponibili, accompagnate se possibile da una dovizia di particolari.
L’evoluzione della cooperazione cyber in Italia
Uno dei limiti, infatti, al decollo di costruzioni di sistemi di analisi e difesa cyber, è stato da sempre l’atteggiamento di chiusura ad ogni forma di diffusione delle notizie relative ad attacchi subiti, soprattutto se si trattava di episodi con impatto notevole su infrastrutture e servizi.
Il timore di danni in termini reputazionali era dominante, e comprensibile, ed ha rappresentato un ostacolo contro cui ogni forma di persuasione era perdente, tanto che la direttiva NIS, già nel 2016, è intervenuta con decisione ed ha previsto i primi obblighi di notifica di incidenti rilevanti.
I primi passi italiani verso la condivisione delle informazioni
Naturalmente era comprensibile il diritto reclamato a forme di privacy e di protezione di dati sensibili o almeno molto significativi per il comparto privato, sia per quello delle Pubbliche Amministrazioni.
Tuttavia l’impatto sui servizi è un tema che richiede enorme attenzione dal punto di vista della comunicazione, in quanto una divulgazione non precisa ed equilibrata, può generare forme di allarme che possono complicare poi le fasi di risoluzione di problemi non necessariamente complessi.
Altresì, una comunicazione insufficiente può avere conseguenze indesiderabili in quanto può non attivare la giusta attenzione per l’adozione di adeguate misure di protezione, anche al fine di evitare che altri soggetti cadano vittime dello stesso tipo di attacco.
Quando nel decennio scorso si sono attivati i primi Centri di raccolta di segnalazioni di attacchi informatici e sono stati formati i relativi team per iniziare a sostenerne la risoluzione, ove possibile, una delle prime azioni è stata quella di raggruppare gli indicatori di compromissione dei primi eventi analizzati e di condividerli, con urgenza, con la propria community di riferimento.
Il riferimento è naturalmente agli anni 2013-2014, quando furono costituiti il CERT nazionale per le imprese e i cittadini e il CERT PA la cui funzione era quella di sostenere le Pubbliche Amministrazioni; le due strutture sarebbero state riunite qualche anno dopo nello CSIRT Italia.
Attorno al CERT nazionale per le imprese, nel 2014, fu costituito senza ritardo il primo tavolo tecnico permanente formato dai rappresentanti dei maggiori operatori di TLC, di altre grandi aziende nazionali e di Centri di ricerca; di lì a poco furono coinvolti nelle discussioni i rappresentanti delle maggiori compagnie di assicurazioni.
Il rischio cyber andava infatti prepotentemente ad inserirsi fra i maggiori rischi di impresa e, lato Istituzioni, si era percepita da subito la primaria necessità di non operare da soli e di conoscere e condividere le prime esperienze, i resoconti e i primi preziosi dati.
Anche a livello di Istituzioni statali fu fatta, con le informazioni a disposizione, la valutazione dei possibili impatti su infrastrutture e servizi e vennero ipotizzati i primi concreti interventi di protezione e mitigazione degli effetti nocivi.
Naturalmente, all’epoca, la carenza di fondi dedicati, l’insufficienza di forme di coordinamento fra gli attori principali e degli strumenti basilari per applicare misure efficaci, si aggiungevano a una consapevolezza in materia praticamente inesistente.
Dalla consapevolezza ai primi strumenti operativi
Alla luce dell’esperienza, per combattere efficacemente le vulnerabilità nei sistemi, furono avviati i primi processi, le prime relazioni, i primi comportamenti virtuosi che si proponevano di mantenersi continui e aggiornati.
Si è formata così nel tempo la convinzione che i possibili destinatari degli attacchi informatici devono poter contare su un sistema di informazione puntuale, altamente qualificato, tecnicamente aggiornato, disponibile in ogni momento.
Le vulnerabilità conosciute devono essere raccolte in database pubblici per essere consultabili senza ritardo in caso di aggressioni.
Il programma CVE: venticinque anni di standard globale
La lista CVE è uno d questi ed è stata creata negli Stati Uniti.
L’acronimo CVE si riferisce a Common Vulnerabilities and Exposures, e il database offre informazioni standardizzate di vulnerabilità e debolezze informatiche, che possono essere gestite da esperti addetti alle risoluzioni di problematiche di sicurezza informatica.
Dal sito web https://www.cve.org si rileva che l’iniziativa nacque con il lancio di un libro bianco dal titolo: “Towards a Common Enumeration of Vulnerabilities” presentato alla Purdue University a West Lafayette nello Stato americano dell’Indiana in occasione del secondo workshop sul tema “Research with Security Vulnerability Databases nel gennaio 1999.
Quest’anno si celebrano i 25 anni del Programma collegato all’iniziativa ed è stato emesso un Report, the CVE 25th Anniversary Report.
La prima lista fu ufficialmente lanciata nel settembre 1999 e negli anni successivi le vulnerabilità identificate crebbero notevolmente di numero e cominciarono a porsi come un riferimento importante ed affidabile per il personale tecnico ovunque operante.
Negli anni, in assenza di liste alternative, il Programma CVE ha creato uno standard di fatto a cui hanno fatto ricorso Enti e Soggetti di rilievo internazionale.
L’obiettivo del Programma CVE è quello di identificare, caratterizzare e catalogare le vulnerabilità già rese pubbliche nel campo della cybersecurity.
Per la migliore gestione delle debolezze nella sicurezza informatica, sono state create delle Numbering Authority, che attualmente raggiungono il numero di 400.
Le Numbering Authority sono enti o aziende, opportunamente verificati, con la facoltà di inserire nuove vulnerabilità, adeguatamente identificate, nel sistema CVE.
Ogni vulnerabilità deve avere un proprio identificativo (ID CVE) e deve essere corredata delle relative caratteristiche; entrando nel sistema di identificazione queste informazioni vengono rese accessibili e sono disponibili pubblicamente.
L’evoluzione verso un’architettura federata
Inizialmente, per garantire affidabilità alla lista, era stato scelto un modello con un controllo centralizzato; la velocità della crescita numerica delle minacce, e quindi delle vulnerabilità riscontrate nei prodotti informatici, ha reso insostenibile la scelta fatta.
Si è pertanto optato, in ambito CVE Program, per una architettura federata, con l’apertura ad un numero maggiore di strutture in grado di effettuare gli stessi compiti purché fossero mantenute le stesse garanzie.
Questa soluzione ha evitato che i tempi necessari ad un’unica Numbering Authority rendessero inutilizzabili i risultati del processo di identificazione e catalogazione delle vulnerabilità, offrendo una rete ampliata e ugualmente preziosa ma soprattutto tempestivamente aggiornata.
Il ruolo del MITRE e la tempestività nelle classificazioni
Attualmente, le funzioni amministrative e logistiche per il BOARD CVE sono assicurate dal MITRE Corporation, che sostiene anche l’infrastruttura del Programma CVE, come riporta il sito web https://www.cve.org/ProgramOrganization/Structure, nel quale è descritta l’intera struttura gerarchica e i singoli ruoli e funzioni dei vari partner.
Il MITRE, l’organizzazione americana no-profit che opera in diversi campi tecnologici, dichiaratamente a beneficio dell’interesse pubblico, persegue obiettivi di accrescimento della cultura dell’innovazione e intende porsi, da soggetto indipendente, quale punto di riferimento altamente qualificato da un punto di vista tecnico.
La speditezza ottenuta nel modello in vigore delle classificazioni delle vulnerabilità e delle esposizioni al rischio informatico, richiama uno dei principi fondamentali della cybersecurity; è infatti caposaldo di ogni azione tendente ad accrescere la sicurezza informatica, poter disporre di quanti più elementi utili nel minor tempo possibile.
La tempestività nella condivisione di informazioni relative a possibili falle, consente spesso di chiudere quelle “porte di accesso” per qualsiasi motivo rimaste aperte o troppo facilmente violabili.
Il valore strategico di database condivisi
La potenza di una lista tipo CVE risiede nella capacità di utilizzare schemi, linguaggi e informazioni univocamente codificate con i contributi di numerosi esperti ed operatori e pubblicamente disponibili, in modo da costituire praticamente uno standard di riferimento per ogni utilizzatore di una community sempre più ampia.
La conoscenza delle minacce e la gestione dei rischi connessi traggono notevoli benefici da uno strumento del tipo descritto.
Un’azienda che voglia investire in cybersecurity o che debba assolvere ad obblighi imposti da provvedimenti normativi, avendo a disposizione le vulnerabilità conosciute e raccolte in un database pubblico, sarà facilitata nella valutazione della propria esposizione al rischio connesso con una determinata minaccia.
L’investimento in sicurezza informatica non potrà prescindere, alla luce anche delle considerazioni precedenti, dal reperimento di risorse umane particolarmente competenti con adeguate posizioni di responsabilità affinché le indicazioni specialistiche di protezione e prevenzione siano puntualmente ed efficacemente applicate.
EUVDB: il registro europeo delle vulnerabilità
Alla luce della diffusione del programma CVE, il lancio europeo di un Database delle Vulnerabilità, EUVDB, induce ad alcune riflessioni, supportate dalle indicazioni che il sito specifico https://euvd.enisa.europa.eu prontamente riporta.
La prima riflessione riguarda la necessità di avere un’altra lista, oltre alla lista CVE, che riporti le vulnerabilità conosciute e le renda fruibili a chiunque possa essere interessato.
La spiegazione che proviene da Enisa fa riferimento ad un approccio diverso, che in Europa vorrebbe privilegiare molteplici aspetti, alcuni dei quali non solo squisitamente tecnici.
In effetti la fonte normativa principale che ha previsto questa iniziativa è la NIS 2.
L’Agenzia Enisa è stata caricata di supportare il progetto ed assistere gli Stati Membri nelle operazioni necessarie a far crescere la banca dati europea delle vulnerabilità conosciute.
Un’analisi attenta della Direttiva NIS 2 ci presenta numerosi richiami alla necessità di introdurre uno strumento che renda possibile la condivisione di informazioni relative a vulnerabilità conosciute che affliggono prodotti informatici di varia natura e che possono compromettere pesantemente i servizi che gli stessi prodotti dovrebbero garantire.
La direttiva NIS2 e la gestione del rischio informatico
Già in premessa della Direttiva si delinea il percorso che l’Europa ha individuato per dotarsi di questo strumento.
Infatti, nel “considerando 45” del testo, si sottolinea che gli CSIRT dovrebbero partecipare a reti internazionali, oltre alla rete di strutture della stessa natura, per contribuire fattivamente alla cooperazione internazionale.
Per raggiungere l’obiettivo è necessario che vi sia uno scambio importante di informazioni “con i team nazionali di risposta agli incidenti per la sicurezza informatica o autorità competenti di paesi terzi”, pur nel rispetto delle normative vigenti in Europa in materia.
La direttiva NIS 2, come noto, ha adottato come principio ispiratore la gestione del rischio informatico e ha previsto numerosi comportamenti volti a migliorare le prestazioni su questo aspetto sia in ambito di strutture pubbliche che nel comparto privato.
Il cambiamento culturale che la norma dovrebbe favorire, finalmente impone di parlare di standard internazionali da rispettare e di allineamenti non più rinviabili.
Per procedere in questa direzione occorre, per esempio, tenere nella massima considerazione proprio le procedure che nel comparto industriale sappiamo che sono già operative per la gestione dei rischi, con uno sguardo particolare rivolto alla divulgazione delle vulnerabilità.
I relativi passi in tal senso sono sostenuti dalla Commissione, da Enisa e dagli Stati Membri (considerando 59).
E gli Stati Membri, in collaborazione con ENISA, sono invitati ad adottare politiche nazionali idonee che facilitino “la divulgazione coordinata” delle vulnerabilità.
Come mai accaduto prima, la questione delle vulnerabilità conosciute desta notevole attenzione quale strumento indispensabile di studio, ricerca e utilizzo per misure di prevenzione.
Nella NIS2 viene spesso citata e di fatto non è più relegata fra le conoscenze di pertinenza di tecnici specializzati ma elemento chiave per una efficace difesa cyber.
Trasparenza e resilienza nel modello europeo
Il punto focale delle raccomandazioni nella NIS 2 si rinviene nel “considerando 62” che testualmente riporta: “Le fonti di informazioni pubblicamente disponibili sulle vulnerabilità sono uno strumento importante per i soggetti e gli utenti dei loro servizi, ma anche per le autorità competenti e i CSIRT. Per tale motivo l’ENISA dovrebbe istituire una banca dati europea delle vulnerabilità in cui i soggetti, indipendentemente dal fatto che rientrino o meno nell’ambito di applicazione della presente direttiva, e i loro fornitori di sistemi informatici e di rete, così come le autorità competenti e i CSIRT, possano, su base volontaria, divulgare le vulnerabilità e fornire informazioni su di esse che consentano agli utenti di adottare adeguate misure di attenuazione. Lo scopo di tale banca dati è far fronte alle sfide uniche poste dai rischi per i soggetti unionali.”
Secondo la NIS2, ENISA è anche invitata ad istituire una procedura adeguata in ordine alla pubblicazione delle vulnerabilità.
La tempistica delle pubblicazioni, come sempre sottolineato, deve essere rapida per consentire ai fruitori di poter adottare le misure più avanzate di gestione dei rischi, di poter disporre di “dati leggibili meccanicamente” e delle “corrispondenti interfacce.
La NIS 2, inoltre, pone l’attenzione sulle modalità di riempimento della possibile lista di vulnerabilità; servirà infatti un coordinamento particolarmente ben organizzato tra i soggetti che effettuano le segnalazioni e i produttori e fornitori di prodotti o servizi ICT.
E’ interessante notare, inoltre, come si suggeriscano procedure rigorose secondo le quali eventuali debolezze riscontrate vengano preliminarmente segnalate a produttori e fornitori, per eventuali loro rapidininterventi correttivi, prima che le relative informazioni vengano rese pubbliche.
L’interrogativo posto in precedenza sulla effettiva necessità di creare una banca dati ulteriore a livello europeo, quando ne esistono altre peraltro considerate affidabili, viene così chiarito e superato dalla stessa direttiva NIS 2.
L’Europa ha scelto la strada di un ulteriore registro delle vulnerabilità, stabilito nell’Unione Europea, per aggiungere “trasparenza” alla procedura di riempimento (segnalazioni, verifiche, divulgazione diventano quindi i passaggi più controllati prima della pubblicazione) e “resilienza” all’intero sistema.
Il superamento delle possibili duplicazioni è comunque un obiettivo da perseguire anche per chi ha voluto il registro europeo; ENISA è invitata a realizzare accordi di collaborazione con altri registri.
Cooperazione strategica e prospettive future
In particolare, ENISA dovrebbe attivare forme di stretta cooperazione con i gestori del Programma CVE (considerando 63 della NIS 2).
Questo primo goal in effetti è già stato raggiunto e ENISA è già una Numbering Authority CVE.
Un ulteriore profilo di interesse per l’operatività dell’EUVDB è rappresentato dal ruolo del Gruppo di Cooperazione fortemente voluto dalla direttiva NIS e riconfermato dalla NIS 2; il Gruppo è attivo a livello europeo per coordinare le iniziative cyber tra gli Stati Membri e condividere studi, ricerche e buone pratiche.
Il Gruppo di Cooperazione, relativamente al registro delle vulnerabilità, può aggiungere un contributo significativo per accrescere la cooperazione strategica e lo scambio di informazioni tra gli Stati Membri.
Più specificatamente, circa le vulnerabilità, dovrebbe effettuare una “valutazione periodica dello stato di avanzamento delle minacce o degli incidenti informatici, come il ransomware”.
Ma la previsione normativa che può qualificare in maniera più efficace l’azione del Gruppo di Cooperazione su questo obiettivo riguarda la possibilità di coinvolgere Istituzioni ed Enti dell’Unione che si occupino di cybersecurity.
Fra essi il Parlamento europeo, Europol, il Comitato europeo per la protezione dei dati, l’Agenzia europea per la sicurezza aerea e l’Agenzia per il programma spaziale.
La circolazione di informazioni sulle minacce tra Soggetti di tale livello e la conseguente valutazione delle vulnerabilità, che possono essere poi rese pubbliche e disponibili a tutti, dovrebbero costituire la migliore iniziativa possibile per arricchire il registro europeo EUVDB e innalzare la difesa cyber in Europa.
Prospettive e sfide per la banca dati europea delle vulnerabilità
Ad oggi il sistema CVE è fortemente utilizzato e il registro EUVDB non è ancora diventato un riferimento di pari livello.
L’agenzia Enisa tiene molto a questa iniziativa, simbolo di una tensione che vorrebbe gestire in Europa molte informazioni sensibili con grande attenzione e impegno, senza peraltro chiudersi ai rapporti di collaborazione e dialogo che non possono avere ovviamente confini o barriere.
La roadmap di sviluppo di EUVBD è tracciata e con i contributi di molti può diventare una realtà davvero significativa.
E’ quindi auspicabile che, mentre gli attacchi informatici si fanno sempre più sofisticati ed aggressivi, ogni strumento che fornisce elementi di difesa consapevole e competente si sviluppi adeguatamente.
Le banche dati delle vulnerabilità note, arricchite continuativamente e pubblicamente distribuite, possono dare un valido contributo alla diffusione di cultura specialistica e della indispensabile consapevolezza in materia cyber.
