L’Agenzia per la Cybersicurezza Nazionale (ACN) ha emanato in questi giorni delle “Linee Guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”.
Il tema è quello discusso di recente in relazione ai recenti fatti di cronaca relativi ad accessi abusivi e dossieraggi, che hanno portato alla luce una serie di criticità relative all’accesso a banche dati particolarmente delicate.
Indice degli argomenti
Linee guida ACN: focus sugli accessi impropri a sistemi e dati
Queste linee guida si focalizzano proprio sugli accessi impropri da parte di personale che abbia accesso legittimo ai sistemi e ai dati, ma che poi utilizzi in modo improprio tali permessi. In effetti, il documento inizia proprio facendo riferimento a quei fatti di cronaca, analizzando il delicato aspetto di come utilizzi impropri abbiano consentito o facilitato le attività illecite, e identificando alcune criticità relative alla gestione della sicurezza di quelle banche dati.
Criticità e punti di attenzione
L’attenzione è naturalmente soprattutto sui permessi ampi e poco controllati concessi al personale autorizzato, mentre si sottolinea come l’utilizzo di tecniche di compromissione “dall’esterno” dei sistemi sia stata meno rilevante. Ulteriori punti di attenzione sono poi la gestione del ciclo di vita dei sistemi (che si può leggere come presenza di sistemi obsoleti e/o vulnerabili), quella della supply chain, e la disponibilità di personale formato. Tutto questo non fa che confermare le ipotesi fatte da più parti sulla relativa facilità con cui i diversi soggetti che hanno agito illecitamente sui sistemi abbiano acceduto e poi abbiano mantenuto l’accesso ai sistemi di cui si discute.
Riflessioni sulle normative esistenti
Una successiva sezione ripercorre le principali norme relative a temi di cybersecurity applicabili ai contesti in discussione, fra cui naturalmente quelle relative al Perimetro di Sicurezza Nazionale Cibernetica (PSNC), sottolineando come questa ultima normativa preveda misure di sicurezza particolarmente stringenti.
Proprio questo aspetto merita una prima riflessione. Almeno alcune delle banche dati violate devono certamente rientrare nel PSNC. Seppure le Linee Guida appena emanate indichino, nel seguito del documento, “un’ulteriore declinazione” delle misure di sicurezza previste per il PSNC dal DPCM 81/2021, viene da chiedersi, prima di tutto, se per la protezione di quelle banche dati fosse già stato implementato almeno quanto previsto più in generale dal DPCM 81/2021 stesso. A titolo esemplificativo, se nelle linee guida si suggerisce di prevedere l’autenticazione multifattore per l’accesso ai sistemi e alle banche dati, è anche vero che il DPCM prevedeva già, in riferimento al PR.AC-7, che le modalità di autenticazione fossero commisurate al rischio.
Ora, è difficile immaginare che per le banche dati oggetto di discussione, il rischio della transazione non fosse tale da richiedere un’autenticazione multifattore. Eppure, da quanto deducibile dalla cronaca e da questa “ulteriore declinazione” delle linee guida, la modalità di autenticazione per l’accesso ai dati non era (sempre) così. Nella sostanza, un utente di una di queste banche dati critiche poteva trovarsi ad avere un’autenticazione migliore per l’accesso alla propria casella di posta elettronica personale su un sito pubblico, che per l’accesso a dati altamente riservati.
Il problema dell’enforcement delle norme nei confronti della PA
Per quanto apprezzabili siano queste linee guida, (e in sé lo sono, come vedremo nel seguito), c’è quindi da chiedersi se il problema non sia da un’altra parte. Che è sempre la stessa, ovvero la capacità, e forse la volontà, di enforcement delle norme nei confronti delle pubbliche amministrazioni.
In altre parole, che senso ha introdurre ulteriori o più stringenti requisiti, se già quelli esistenti non vengono rispettati? Eppure, se per piccole pubbliche amministrazioni si possono portare temi di budget, qui si sta parlando per lo più di grandi PA centrali, per le quali sui temi in discussione difficilmente le motivazioni economiche reggono. Non dimentichiamo che, sempre da quanto deducibile dalla cronaca, non è ancora chiaro se la fuoriuscita di informazioni da queste banche dati non possa aver compromesso attività, ad esempio di indagine, che sono il motivo stesso dell’esistenza di alcune strutture. Se il problema è un problema di enforcement, allora difficilmente nuove linee guida avranno una vera efficacia.
Le sfide in vista dell’applicazione della NIS 2
Al più ci sarà un picco temporaneo di attenzione, attività ed investimenti, per poi tornare ad un livello inadeguato molto rapidamente, come sempre succede quando l’inazione non porta conseguenze su chi la pratica. Tutto questo va visto naturalmente anche nella prospettiva della Direttiva NIS2 e della sua applicazione alle stesse pubbliche amministrazioni. Il rischio, anche qui, è di investimenti anche importanti nei prossimi due anni da parte delle organizzazioni più attente, per la realizzazione di interventi che poi non manterrebbero la loro efficacia nel tempo, mentre altre potrebbero non fare nemmeno quello.
Misure tecniche e di governance
Tolte queste considerazioni più generali, le Linee guida danno una serie di indicazioni senz’altro coerenti con i temi che si vogliono affrontare. Particolarmente significative da questo punto di vista le misure relative ai temi di monitoraggio ed auditing, anche se qui forse il tema della generazione di alert in caso di attività anomale (per le quali vengono comunque indicate delle casistiche di attività che possono suggerire un utilizzo improprio) avrebbe potuto essere declinato in modo più esplicito in termini ad esempio di intervalli massimi fra le attività di audit periodico: per come sono declinate nel documento, suggeriscono più l’audit “annuale” che la verifica al più mensile, se non addirittura più frequente, necessaria per contenere efficacemente gli utilizzi impropri.
Se vogliamo, un limite delle linee guida è di essere molto focalizzate sui temi tecnici, e meno su alcuni aspetti di governo che, oggettivamente, sarebbe stato più difficile indirizzare. Su questo, l’ambito più emblematico è quello delle misure relative alla gestione dei rischi di sicurezza della catena di approvvigionamento. Se è vero che alcune delle attività illecite erano legate ad azioni effettuate intenzionalmente da parte di personale di alcuni fornitori critici, allora l’inizio stesso della sezione, che parla di fornitori “poco maturi dal punto di vista della cybersicurezza”, non coglie uno dei problemi fondamentali.
Linee guida ACN: un nuovo tassello per la sicurezza delle organizzazioni italiane
Almeno una delle indicazioni, comunque, ovvero quello della diversificazione dei fornitori, darebbe spazio ad azioni utili anche in relazione a questa criticità. Molti casi di comportamenti impropri da parte dei fornitori, quando non illeciti, sono infatti emersi in organizzazioni delle più varie proprio in occasione di un subentro o di un’attività in qualche modo sovrapposta fra fornitori diversi. Probabilmente uno dei casi recenti più emblematici è quello di Wirecard, dove un ammanco da quasi due miliardi di euro è stato scoperto nell’ambito di un subentro della società di revisione[1]. Insomma, le linee guida sono in sé valide, e rappresentano un ulteriore tassello, fra i tanti che l’ACN ha iniziato a produrre e soprattutto dovrà produrre nei prossimi mesi, per rafforzare la sicurezza delle organizzazioni italiane.
L’utilità sarà però determinata ancor più dalla capacità di ACN di essere efficace nelle attività di enforcement, pur mantenendo nello stesso tempo l’impostazione di supporto al miglioramento che ha avuto finora nei confronti dei diversi soggetti con i quali sta interagendo. Non un compito facile.
Note
[1] https://www.agi.it/economia/news/2020-06-22/scandalo-wirecard-germania-8964588/
