Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

sicurezza

Cert regionali e sicurezza del procurement, ecco il valore delle linee guida Agid

La minaccia cyber si pone come una delle sfide più cogenti nel panorama nazionale ed internazionale. Vediamo in che modo le linee guida Agid su sicurezza nel procurement ICT e implementazione di CERT regionali risponde all’esigenza di presidiare la filiera produttiva e la dimensione territoriale con un approccio sistemico

04 Giu 2019

Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant


La sicurezza del procurement ICT e lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali sono al centro delle due Linee guida pubblicate da AgID il 14 maggio 2019 e in consultazione pubblica per un mese (fino al 13 giugno 2019) come da art. 71 del Codice dell’Amministrazione Digitale.

Obiettivo è quello di rafforzare la cyber security e, più in generale, la sicurezza delle informazioni del sistema-Paese.

Da un esame dei contenuti dei due documenti, di cui daremo conto di seguito, emerge come in entrambi i casi le Linee guida si configurino come un valido e innovativo strumento per far fronte alle sfide della minaccia cyber attraverso la definizione di presidi di controllo lungo la filiera produttiva e nella dimensione territoriale, cogliendo aspetti centrali e locali.

Le Linee guida sicurezza nel procurement ICT

Il primo, Linee guida sicurezza nel procurement ICT, frutto di un tavolo di lavoro[1] promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri, ha tre finalità:

  • illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT;
  • mettere a sistema, formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l’impegno necessario a condurli.

Il tema del procurement, inteso come processo in cui è insita la probabilità che si verifichi un evento di sicurezza informatica, è stato affrontato sulla base di un criterio temporale: infatti, le linee guida offrono delle indicazioni, obbligatorie per le forniture critiche e come suggerimenti per le forniture non critiche, che si traducono in azioni da svolgere prima della fase di procurement (azioni generali) durante la fase di procurement (azioni procurement) e dopo la stipula del contratto (in esecuzione e/o a posteriori). È interessante notare come le indicazioni proposte affrontino il tema della cyber security secondo un approccio trasversale, necessario al contrasto della minaccia cyber. Non solo dunque la sicurezza informatica dal punto di vista IT[2]; tali azioni si pongono anche su altri piani, come quello organizzativo[3], sui processi e sulle procedure[4], sulla awareness[5] degli addetti ai lavori, ecc.

Le linee guida per i CERT regionali

Il secondo documento, invece, Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali, ha come obiettivo quello di strutturare un percorso virtuoso attraverso il quale è possibile implementare un CERT regionale che funga da anello di congiunzione tra le Pubbliche Amministrazioni Locali (PAL), le Pubbliche Amministrazioni Centrali (PAC) e il CERT-PA. A tale scopo la Linea guida fa il punto sull’organizzazione dei CERT e sulle principali attività secondo gli standard e le best practice riconosciute a livello europeo e internazionale. In secondo luogo, propone un modello funzionale di riferimento per un CERT regionale, comprensivo delle attività che deve svolgere, delle risorse necessarie e dei servizi che potrebbe – o dovrebbe – erogare. Infine, vengono forniti gli elementi utili per definire una roadmap di avviamento, ovvero quali sono gli strumenti per finanziare il progetto. Gli aspetti interessanti, tra i tanti, sono essenzialmente due: aver contribuito a definire le categorie, le mission, i modelli organizzativi e amministrativi dei CERT, nonché i vari servizi che possono offrire e la constituency di riferimento; aver ipotizzato una struttura di prossimità dei CERT attraverso cui, in virtù delle attribuzioni dei vari CERT regionali, sia possibile condividere in maniera più efficace e dettagliata le informazioni a disposizione, rispondere alla minaccia cyber in maniera coordinata, standardizzare le procedure e gli strumenti tecnici e tecnologici all’interno delle strutture di risposta di tutto il panorama nazionale.

Entrambe le Linee guida introducono elementi innovativi utili ad innalzare i profili di sicurezza cyber del sistema Paese. Tra questi, da un lato la valutazione ed analisi dei beni e servizi IT erogati dai fornitori come dispositivo di riduzione del rischio cyber, dall’altro l’approccio di prossimità nella sicurezza cibernetica che un CERT regionale può garantire.

Il procurement per la gestione del rischio cyber

Se la gestione della sicurezza di una organizzazione va approcciata in maniera Enterprise, il procurement costituisce necessariamente uno degli anelli della catena da integrare nella mission. Il che non significa soltanto “fare squadra” perché è opportuno che da questa integrazione nascano dei vantaggi per tutta l’organizzazione, considerando il ruolo trasversale che il procurement riveste nell’acquisizione di beni e servizi funzionali al business.

In riferimento alla PA, tra gli altri, ci sono due elementi che dotano il quadro di maggiore complessità: il fattore tempo e la sub-fornitura. Nel primo caso è opportuno sottolineare che le attività di approvvigionamento derivano generalmente da una gara, da appalti specifici di accordi quadro, e comprendono una o più iniziative progettuali (consequenziali o in parallelo). Quindi si sviluppano su un arco temporale esteso, anche pluriennale. Pertanto diventa decisivo impostare un percorso di accertamento e verifica del fornitore (componenti hardware e software, qualità del servizio IT, security by design e by default) e della sicurezza, latu sensu, lungo tutto il processo di fornitura. Nel secondo caso, in alcune tipologie di accordi quadro/bandi/gare è previsto il tema della sub-fornitura, come nei Raggruppamenti Temporanei di Imprese (RTI). In questa eventualità il procurement e la relativa analisi di requisiti di cyber security deve estendersi a tutta la catena di fornitura di un determinato prodotto o servizio, coinvolgendo non solo il fornitore diretto, ma anche il sub-fornitore, implicando un approccio strutturato nel processo di verifica.

Appare dunque chiaro che definire il processo di procurement secondo i requisiti delineati dalla Linea guida di AgID rappresenta un dispositivo di gestione del rischio cyber essenziale in quanto rispondente ad un tema estremamente critico: quello della cyber security della supply chain. Non è un caso che le normative e le best practice di settore internazionali e nazionali abbiano dedicato sempre maggiore attenzione a questo aspetto. Si pensi, a titolo di esempio, al Regolamento europeo per la protezione dei dati personali (Gdpr)e al ruolo del Responsabile del trattamento (art. 28). La figura, “esterna” nel nuovo panorama normativo, deve presentare – nei confronti del Titolare e del trattamento che questo gli affida – misure tecniche, organizzative e di sicurezza adeguate. Sul concetto di adeguatezza potrebbero essere spese numerose riflessioni; tuttavia, l’elemento centrale è rappresentato della scelta di tali misure, che devono essere proporzionate al rischio, frutto di un processo di analisi e valutazione dello stesso.

Inoltre, all’interno del panorama normativo europeo, è di recente approvazione il Cyber Security Act il cui scopo principale è quello di armonizzare e rafforzare i livelli di sicurezza cibernetica degli Stati membri creando un mercato unico di cyber security anche in relazione a prodotti, servizi e misure tecniche. Per raggiungere questo obiettivo, in particolare, la normativa si concentra sulle certificazioni di sicurezza affidando ad ENISA un ruolo di primo ordine nel relativo processo di gestione.

In relazione al tema delle certificazioni di sicurezza, è opportuno specificare che si possono identificare due distinte tipologie principali: le certificazioni di processo e quelle di prodotto. Le prime includono aspetti relativi alla gestione della sicurezza di tipo logico, fisico ed organizzativo, individuano quindi sia elementi tecnici che procedurali. Rispetto a quelle di prodotto, queste tipologie di certificazione risultano attualmente le più utilizzate, in virtù di due motivazioni principali. Da un lato, i grandi player di mercato hanno iniziato a richiedere tali certificazioni alla propria catena di fornitura (su tutte, si pensi alla ISO 27001) rendendo la certificazione un elemento in grado di generare competitività anche in ottica di business. In tal senso è opportuno sottolineare che l’aderenza a tali standard presenta un rapporto costo-beneficio gestibile anche per organizzazioni medio-piccole. Dall’altro lato, le certificazioni di processo possono fornire supporto nell’accountability di un’organizzazione per dimostrare la propria compliance ad una determinata normativa. Ad esempio ENISA al fine di supportare le PMI nell’adozione delle misure di sicurezza richieste dal GDPR (ex art. 32) ha definito un set di controlli per garantire la protezione dei dati personali mappati sui requisiti dell’Annex A della ISO 27001[6].

Le certificazioni di prodotto risultano meno utilizzate se non per quanto riguarda i sistemi ICT deputati al trattamento di dati classificati, dove sono obbligatorie. I prodotti commerciali infatti difficilmente affrontano il percorso di certificazione, anche in virtù del costo che comporta. In realtà, come ben evidenziato nella Linea guida di AgID la valutazione dei prodotti ICT rappresenta un aspetto decisivo nella gestione del rischio cyber.

In riferimento alle certificazioni di prodotto nel nostro Paese, è stato istituito presso l’ISCTI (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico il CVCN (Centro di Valutazione e Certificazione Nazionale) al fine di verificare le condizioni di sicurezza e l’assenza di vulnerabilità di prodotti, apparati, e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture strategiche, nonché di ogni altro operatore per cui sussiste un interesse nazionale[7].

La Linea guida AgID si colloca in maniera coerente con gli sforzi nazionali e internazionali tesi a mitigare il rischio cyber con un approccio multidimensionale e onnicomprensivo, includendo non solo una auto-valutazione ma anche il tema della verifica dei requisiti di sicurezza dei fornitori.

L’approccio di prossimità come risposta integrata alla minaccia cyber

Attualmente la minaccia cyber si pone come una delle sfide più cogenti nel panorama nazionale ed internazionale. Tale dinamica, manifesta ormai da anni e puntualmente segnalata in report e relazioni dedicate[8], si va delineando per la concomitanza di specifici elementi quali, a titolo non esaustivo: trasversalità dei target, sofisticazione (non esclusivamente tecnologica) e persistenza dei vettori di minaccia, eterogeneità delle finalità degli attaccanti (es.: cybercrime, hactivism, cyberwarfare).

In riferimento al contesto nazionale, l’evoluzione della minaccia ha contribuito a manifestare la necessità di definire e sviluppare strategie di sicurezza cyber sempre più complesse in grado di fornire risposte efficaci su molteplici piani di gestione della cyber security. In particolare, la direzione intrapresa è stata volta alla strutturazione di un approccio sistemico per governare in modo integrato la sicurezza cyber. Hanno supportato questo sforzo contributi strategici e normativi come ad esempio il Quadro strategico nazionale per la sicurezza dello spazio cibernetico, il DPCM del 17/02/2017, il Piano nazionale per la protezione cibernetica e la sicurezza informatica, il Regolamento europeo per la protezione dei dati personali (GDPR), la Direttiva sulla Sicurezza delle Reti e delle Informazioni (NIS). Sull’impulso di tali provvedimenti si è quindi progressivamente strutturata e definita l’architettura cyber nazionale con particolare attenzione e riferimento alle dinamiche europee.

Il documento di AgID sulle Linee guida per lo sviluppo dei CERT regionali si colloca come ulteriore tassello nel mosaico della cyber security nazionale, ponendo al centro della propria proposta un elemento sino ad oggi poco indagato: la rilevanza della prossimità come valore aggiunto per la sicurezza cibernetica. Tale prossimità si declina in aspetti che sono sia fisici che virtuali, come ad esempio la possibilità di intervenire manualmente su una macchina, gestendo un guasto, un disservizio o un attacco.

Di fatto, l’idea di affrontare dinamiche globali anche attraverso un approccio locale è stata proposta come soluzione a problemi di natura estremamente diversa, in alcuni casi risultando particolarmente vincente[9]. A tal proposito, si pensi al modello della protezione civile strutturato come un vero e proprio “sistema”: il composito ambiente include diversi attori che operano in tutte le fasi dell’emergenza (previsione, prevenzione, gestione e superamento), scambiano informazioni in “tempo di pace” e in “tempo di guerra”, definiscono e organizzano le idonee modalità comunicative e, in particolare, determinano le più efficaci misure di mitigazione dei rischi e degli impatti.

Anche in ambito cyber, dimensione che a una prima analisi potrebbe ritenersi slegata da concetti di vicinanza fisica, la prossimità può rivestire un ruolo decisivo. La creazione di un CERT regionale, tra i vari benefici, potrebbe garantire la gestione della cyber security secondo il principio di sussidiarietà, ovvero identificare gli attori con responsabilità e seguire uno schema di attivazione che parte dal più prossimo fino a giungere al livello centrale. Tale principio si basa sull’assunto che l’attore più vicino sia quello con più conoscenza del contesto e quindi maggiormente in grado di identificare una minaccia, eventualmente gestirla o effettuare escalation verso il livello successivo di competenza.

La catena di prossimità e di sussidiarietà è ben identificata dalla Linea guida di AgID: l’attore più prossimo è il Referente della Sicurezza Informatica della PAL, il livello successivo è rappresentato dal CERT regionale, e quello seguente dal CERT-PA. Il processo di accreditamento delle PAL presso il CERT regionale permette di dotare quest’ultimo di un’approfondita conoscenza del patrimonio informativo e tecnologico in cui opera, garantendo l’efficacia del proprio supporto. In tal senso, prossimità e sussidiarietà presuppongono che vi sia una stretta collaborazione tra gli enti interessati, maturando awareness e capacità di info-sharing, innalzando così la capacità di risposta agli incidenti.

Inoltre, la prossimità del CERT regionale, come anello di congiunzione tra realtà locale e centrale, consente alcuni benefici:

  • attivazione di un processo virtuoso di responsabilizzazione della PAL nella gestione degli eventi di piccola intensità;
  • formalizzazione delle procedure di escalation nei casi di maggiore entità (come ben dettagliato nelle linee guida);
  • riduzione del carico di lavoro del CERT-PA, operando come un “filtro” rispetto alle segnalazioni meno rilevanti ed eventuali falsi positivi e dunque razionalizzando le risorse impiegate.

Infine, una struttura di prossimità nella cyber security, come il CERT regionale, potrebbe garantire una ulteriore funzione di raccordo fondamentale tra governo centrale e realtà territoriale, specie nell’ottica di un raggiungimento di standard elevati di sicurezza cibernetica nazionale. Tale struttura si configura infatti come punto di riferimento non solo per l’adozione operativa di adeguate prassi nella gestione degli incidenti, ma anche per la diffusione della cultura della sicurezza. La cyber security diviene così una questione di partecipazione tra vari livelli, in grado di superare l’intrinseca eterogeneità delle diverse realtà territoriali presenti nel panorama nazionale, tra eccellenze ed inadeguatezze, definendo – recuperando il parallelismo con la protezione civile – un vero e proprio “sistema” di allertamento e gestione delle emergenze.

La sicurezza tra complessità, conformità e proporzionalità

Il mondo della sicurezza si configura come una realtà composita e multiforme alla quale concorrono numerosi elementi di complessità: si pensi al piano tecnico, tecnologico, quello organizzativo e normativo. In particolare, dal quadro descritto in precedenza, appare chiaro che sono numerosi i riferimenti a regolamenti, direttive, standard, linee guida e best practice che una organizzazione deve prendere in considerazione. Tale dinamica determina la progressiva assonanza del tema della sicurezza con il concetto di conformità. Le organizzazioni dunque devono dotarsi di strumenti in grado non solo di ridurre la complessità ma anche di individuare gli obiettivi verso cui tendere.

La capacità di orientamento nel panorama delineato coinvolge due elementi fondamentali, non necessariamente da considerare a sé stanti: gli obblighi di compliance e l’approccio basato sul rischio. Nel primo caso le organizzazioni si trovano nella posizione di dover rispondere a determinati requisiti espressi in normative e regolamenti nazionali e internazionali, come ad esempio il GDPR, la NIS e le Misure Minime di sicurezza ICT per la PA; nel secondo caso, l’organizzazione identifica uno standard o una linea di riferimento al fine di determinare la propria postura di sicurezza e implementare i controlli volti a mitigare il rischio cyber (come ad esempio Framework Nazionale di Cyber Security, ISO 27001).

Entrambi gli elementi, compliance e approccio basato sul rischio, sono connessi – specie nel mondo della sicurezza – da un file rouge: l’accountability. In altre parole, se è vero che per necessità di rispondenza a requisiti normativi o di mitigazione dei rischi è opportuno dotarsi di misure minime tecniche e organizzative, è altrettanto vero che la scelta dei livelli di sicurezza verso cui tendere attraversa un processo di responsabilizzazione in capo alla singola organizzazione. Tale processo prevede un approccio critico che, a partire dagli effettivi rischi considerati e valutati, delinei la strada da seguire i relativi obiettivi da raggiungere (profilo target).

Questa riflessione, opportunamente validata e soggetta a periodici aggiornamenti, coinvolge necessariamente una valutazione specifica di proporzionalità. Il profilo a cui tendere rappresenta dunque un obiettivo coerente rispetto alle effettive minacce e a conseguente livello di rischio.

Il raggiungimento del profilo target rappresenta la sintesi di un percorso complesso che può essere declinato sia a livello di processo che a livello di prodotto. Nel primo caso il percorso parte con la selezione da parte dell’operatore della linea guida o del framework di riferimento che intende utilizzare. In seguito deve adottare la contestualizzazione[10] per il proprio settore di riferimento, ovvero selezionare i controlli di sicurezza che sono a presidio del core business del suo settore. Successivamente deve operare un ulteriore raffinamento della contestualizzazione definendo specifici livelli di maturità e priorità dei controlli, nonché identificando eventuali contromisure, sulla base della propria specifica realtà. Tale attività definisce il profilo operatore, cioè il profilo target di un operatore di un determinato settore, con il quale vengono colte le peculiarità, sulla base delle scelte strategiche dell’operatore stesso e dei costi di attuazione.

Per il raggiungimento di un profilo target nella sicurezza dei prodotti deve essere effettuata una valutazione in base a criteri oggettivi e ripetibili come stabilito ad esempio dallo standard ISO 15408 che recepisce i cosiddetti Common Criteria.

Il profilo target è quindi rappresentato da quello che i Common Criteria definiscono security target: la base di accordo tra lo sviluppatore ed il valutatore circa le proprietà di sicurezza dell’oggetto di valutazione (ODV) ed il suo ambiente di sicurezza[11]. È opportuno sottolineare che il security target riguarda le caratteristiche di sicurezza di un prodotto in generale, ma anche la garanzia di mantenimento di tali caratteristiche nel suo utilizzo in settori differenti. Il raggiungimento del profilo target, che sia un profilo operatore di un’organizzazione o un security target di un prodotto, si configura quindi come un percorso di sintesi e riduzione della complessità, che parte da controlli di sicurezza di alto livello per diventare sempre più specifico, cucendosi sulla realtà di riferimento, garantendo la maggiore efficacia possibile delle contromisure identificate.

Conclusioni

Le nuove Linee guida di AgID si pongono in continuità con i concetti di complessità, conformità e proporzionalità sopra esposti. Infatti, nel caso del procurement, è necessario che la PA svolga una accurata analisi circa i propri processi critici, determini gli eventuali profili di interazione con la catena di fornitura, valuti i requisiti di sicurezza – anche attraverso checklist opportunamente definite – e l’aderenza del fornitore agli stessi.

Nell’altro caso, il CERT regionale opera su una doppia dimensione, interna ed esterna. Sul piano “interno”, deve essere in grado di rispettare elevati standard di sicurezza al fine di trattare e gestire informazioni in modo sicuro. La Linea guida, ad esempio, elenca nel dettaglio sia standard tecnici per la classificazione e la condivisione delle informazioni, sia protocolli per l’interpretazione e la gestione delle stesse. Sul piano “esterno”, tra le altre attività, deve fornire supporto alla PAL, incentivando, come riporta la Linea guida, “l’applicazione dei processi di gestione della sicurezza, delle metodologie e delle metriche valutative per il governo della sicurezza cibernetica definite a livello nazionale”.

_________________________________________________________________

  1. Al tavolo hanno preso parte le seguenti amministrazioni pubbliche: Dipartimento della Informazioni per la Sicurezza, Dipartimento della Protezione Civile, Ministero degli Affari Esteri, Ministero dell’Interno, Ministero della Giustizia, Ministero della Difesa, Ministero dell’Economia e delle Finanze, Ministero dello Sviluppo Economico, Agenzia per l’Italia Digitale. Inoltre, in veste di centrale delle pubbliche amministrazioni, ha partecipato Consip.
  2. Tra le altre azioni, si ricordano le seguenti a titolo meramente esemplificativo: AP3 – Scegliere i requisiti di sicurezza da inserire nel capitolato; A1 – Gestire le utenze dei fornitori; A2 – Gestire l’utilizzo di dispositivi di proprietà del fornitore; A3 – Gestire l’accesso alla rete dell’amministrazione.
  3. Tra le altre azioni, si ricordano le seguenti a titolo meramente esemplificativo: AG3 – Stabilire ruoli e responsabilità; AP4 – Garantire competenze di sicurezza nella commissione di valutazione.
  4. Tra le altre azioni, si ricordano le seguenti a titolo meramente esemplificativo: AG6 – Definire una metodologia di audit e valutazione del fornitore in materia di sicurezza; A6 – Verificare il rispetto delle prescrizioni di sicurezza nello sviluppo applicativo.
  5. Tra le altre azioni, si ricordano le seguenti a titolo meramente esemplificativo: AG1 – Promuovere competenza e consapevolezza; AG2 – Raccogliere buone prassi ed esperienze.
  6. 2. ENISA (2016), Guideline for SMEs on the security of personal data processing
  7. https://www.agendadigitale.eu/sicurezza/cyber-security-nazionale-il-nuovo-panorama-cosi-litalia-si-gioca-il-proprio-ruolo-paese
  8. Cfr. Sistema di Informazione per la Sicurezza della Repubblica, Relazione sulla politica dell’informazione per la Sicurezza 2018, 2019; Clusit, Rapporto sulla sicurezza ICT in Italia, 2019.
  9. Si pensi alla rilevanza della prossimità nella letteratura socio-criminologica, come testimoniato dal concetto di “sicurezza partecipata”.
  10. Il concetto di contestualizzazione è stato utilizzato in particolare nel Framework Nazionale di Cyber Security definendolo come la selezione da parte di un’organizzazione delle Subcategory e dei relativi livelli di maturità e priorità ad esse associate. Cfr. “Un Framework Nazionale per la Cyber Security” (Cyber Security Report 2015).
  11. http://www.ocsi.isticom.it/index.php/faq/domande-sui-criteri-di-valutazione#d8

@RIPRODUZIONE RISERVATA

Articolo 1 di 4