La certificazione di sicurezza dei prodotti è un’esigenza che parte da lontano: nasce infatti nella seconda metà degli anni 80 con l’emissione, da parte del National Computer Security Center (NCSC) americano, dello standard Trusted Computer System Evaluation Criteria (TCSEC), conosciuto con il nome di “Orange Book”.
Questo standard ha introdotto dei concetti innovativi (valutazione di terza parte, assurance e valutazione probabilistica) che saranno ripresi da quasi tutti i moderni standard.
All’Orange Book, sono seguiti vari standard che hanno ripreso questi concetti e, in particolare, lo standard denominato Information Technology Security Evaluation Criteria (ITSEC) che rappresenta la risposta europea al TCSEC
Ad oggi lo standard internazionale di riferimento per la valutazione di sicurezza dei prodotti ICT sono i Common Criteria, recepiti dall’ ISO nelle norme ISO 15408.
Questi rappresentano una evoluzione ed integrazione dei precedenti standard e sono nati da una collaborazione internazionale che era finalizzata a definire dei criteri comuni per le valutazioni di sicurezza dei prodotti ICT.
In seguito, è nata l’iniziativa Common Criteria Recognition Arrangement (CCRA) per il mutuo riconoscimento dei certificati emessi ai sensi dei CC alla quale partecipano, ad oggi, più di 30 Paesi. Il CCRA, insieme al Senior Official Group Information System Security (SOG-IS) sottoscritto ad oggi da circa 17 Paesi Europei, rendono i Common Criteria lo standard con la maggior base di mutuo riconoscimento internazionale per le valutazioni di sicurezza dei prodotti ICT effettuate dai diversi Schemi Nazionali di Certificazione della Sicurezza.
La certificazione ai sensi dei CC è volontaria, ma diventa obbligatoria in settori considerati critici (es. in USA per tutti i prodotti forniti al Dipartimento della Difesa (DoD) e in Europa per smartcards, HSM per la finanza e devices per il Firma Digitale).
Il Gruppo atsec information security
In tale ambito, il Gruppo atsec information security, fondato 20 anni fa in Germania, ha rivestito e riveste un ruolo di primo piano nella definizione dello standard CC, ma anche della sua applicazione con importanti valutazioni di sicurezza di prodotti software, alcuni di questi molto complessi (sistemi operativi, data base, Mobile OS,…), di key vendors mondiali del mercato ICT.
Il Gruppo atsec ha sedi dislocate in tutto il mondo (Usa, Germania, Svezia, Italia e Cina) e i suoi laboratori sono accreditati sotto ben 5 schemi di certificazioni nazionali (Italia OCSI, Germania BSI, USA NIAP, Svezia CSEC e Singapore CSA).
Cyber security, nuova emergenza mondiale
Negli ultimi tempi, l’incremento esponenziale degli attacchi cyber, unito al sempre più diffuso utilizzo di soluzioni cloud e Internet delle Cose (IoT), ha reso la cyber security una emergenza mondiale all’attenzione delle Autorità di tutti i Paesi e della Comunità europea.
Le valutazioni e certificazioni della sicurezza di prodotti ICT possono giocare un ruolo importante in tale settore perché assicurano agli utilizzatori di tali prodotti che questi hanno implementato le necessarie misure di sicurezza e che sono stati testati per determinare l’utilizzo di tali misure contro vulnerabilità note.
Il Cyber Security Act della Ue
Non sorprende quindi che la Comunità europea, con il Cyber Security Act, stia cercando di realizzare uno schema di certificazione europeo della sicurezza dei processi, servizi e prodotti ICT il quale, pur mantenendo una metodologia rigorosa, sia in grado ridurre i rischi Cyber aumentando la resilienza delle infrastrutture tecniche e la “fiducia” degli utilizzatori dei servizi digitali.
Il Cyber Security Act definisce i principali attori operanti in tale, stabilendo le regole di funzionamento che devono essere seguite. Lo Scherma di Certificazione introdotto dal Cyber Security Act prevede tre livelli di affidabilità (base, sostanziale ed elevato) e sarà volontario a meno di processi, servizi e prodotti ICT operanti in ambiti considerati critici (vedi ad esempio le infrastrutture critiche e gli apparati che gestiscono dati personali) per i quali potrà essere richiesta l’obbligatorietà.
Il Cyber Security Act richiede che gli schemi nazionali e commerciali debbano basare le certificazioni di sicurezza sui migliori standard/pratiche di mercato esistenti, dando di fatto allo standard CC un ruolo guida nella definizione e utilizzo per le valutazioni e certificazione europea dei prodotti ICT.
Non è un quindi un caso che la strategia del Gruppo atsec preveda il rafforzamento della sua presenza in Europa (nel 2018 è stata fondata la sede italiana che ha già ottenuto a luglio 2019 l’accreditamento del proprio laboratorio da parte dell’Organismo di Certificazione della Sicurezza Italiano) e l’espansione verso nuovi mercati emergenti (vedi ad esempio l’accreditamento appena completato del laboratorio tedesco allo Schema di Certificazione di Singapore). Questo consentirà al Gruppo di sfruttare le potenzialità di sviluppo di tale mercato indotte dalla introduzione del Cyber Security Act e di avere un ruolo sempre più internazionale.
La strategia del Gruppo atsec è in continuità con i principi fondanti che ne hanno decretato il successo il questi anni. Ulteriori investimenti verranno effettuati nell’acquisizione di ulteriori certificazioni dei propri laboratori e nella continua selezione e formazione del proprio personale al fine di assicurare una competenza sempre più elevata, in linea con il principio che “atsec è e rimane un Gruppo di società indipendenti senza partecipazione e/o affiliazioni con produttori di software, hardware”.
L’articolo è parte di un progetto di comunicazione editoriale che Agendadigitale.eu sta sviluppando con il Gruppo Atsec