Compliance aziendale

Cybersecurity e certificazioni: come funzionano e cosa cambierà con gli European Common Criteria

I Common Criteria sono il modello per la certificazione europea sulla cybersecurity. L’ENISA sta lavorando ad una loro implementazione, gli European Common Criteria, ma ci vorranno almeno due anni per completare il processo. Cosa significa farsi certificare, come gestire la transizione

15 Lug 2022
Lorenzo Principali

direttore Area Digitale di I-Com

cyber security

La digitalizzazione, oltre ad una serie di tangibili vantaggi, ha determinato anche un allargamento della superficie di attacco su cui i cybercriminali possono operare, grazie al crescente spostamento, nel dominio immateriale, di una serie di attività (anche sensibili) che vengono svolte da persone o lavoratori non sempre attentissimi o adeguatamente formati per fronteggiare i relativi rischi.

In questo contesto, i vertici governativi hanno lanciato una serie di iniziative, recentemente confluite in una vera e propria strategia, pubblicata lo scorso 24 maggio, per innalzare il livello di protezione e certificare i prodotti nelle reti di telecomunicazione.

In questo ambito, forte interesse è maturato verso l’utilizzo di Common Criteria. 

Vediamo di cosa si tratta e come stanno evolvendo nel contesto europeo della cybersecurity.

Cybersecurity, perché è ormai una priorità per l’Italia: tre fattori che cambiano tutto

Questa prevede come primo e principale punto il rafforzamento del sistema di scrutinio tecnologico nazionale, finalizzato a garantire la sicurezza della supply chain degli asset rientranti nel Perimetro di sicurezza cibernetica e per favorire l’adozione di schemi di certificazione europea di cybersecurity.

Gli strumenti attualmente disponibili, in particolare i Common Criteria tradizionali, presentano dei limiti soprattutto in termini di tempi, costi e procedure. Le istituzioni europee si sono mosse già dal 2019, e l’agenzia europea per la cybersecurity (ENISA) sta lavorando ad uno schema di implementazione – gli European Common Criteria – capace di superare tali criticità. Un processo che, però, non verrà finalizzato prima dei prossimi due anni.

Appare quindi essenziale cercare una soluzione temporanea capace di offrire un corretto bilanciamento tra la necessità, da un lato, di garantire livelli di protezione adeguati e, dall’altro, il bisogno di attenuare l’impatto che regolamentazioni e controlli potrebbero determinare sullo sviluppo del mercato e sui suoi equilibri.

Cybersecurity: i dati Clusit sugli attacchi gravi 2017/21

La cybersicurezza sta diventando sempre più centrale per offrire garanzie tanto ai fornitori quanto agli utilizzatori di servizi digitali, all’interno di un perimetro che la digital transformation sta allargando e continuerà ad allargare sempre più nel prossimo futuro.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Sfortunatamente, i dati sugli attacchi classificati come gravi mostrano un costante incremento sia a livello nazionale che internazionale, con conseguenti danni economici e di immagine per gli attori che vengono colpiti. Secondo i dati Clusit, tra il 2017 e il 2021 gli attacchi gravi sono quasi raddoppiati, passando da 1.127 a 2.049 (+80%).

A livello nazionale, tra gennaio 2018 a giugno 2021 l’Italia ha subìto 143 attacchi gravi, seconda in Europa dopo la Gran Bretagna (233) ma vittima di una pressione maggiore rispetto a Francia (95), Germania (75) e Spagna (29).

Cybersecurity: quanto investe l’Italia rispetto all’Europa

Per tali ragioni, appare fondamentale investire negli strumenti di sicurezza informatica a disposizione di aziende e amministrazioni, in particolare se di rilevanza strategica. Giova ricordare che gli Operatori dei Servizi Essenziali (OSE) sono stati identificati in Italia nell’ambito dell’articolata procedura di istituzione del perimetro di sicurezza cibernetica all’interno di settori quali interno, difesa, aerospazio, energia, telecomunicazioni, finanza, trasporti, servizi digitali e tecnologie critiche.

In questo quadro, l’analisi effettuata da ENISA sugli stessi OSE e sui DSP (digital service provider), ovvero sugli operatori considerati “strategici” a vario titolo, mostra come l’Italia sia il secondo Paese in cui si investe di più in cybersecurity a livello europeo (dietro la Francia), con una media di 6,75 milioni per operatore, un valore triplo rispetto alla media europea di 2,1 milioni.

Cybersecurity: come si è arrivati ai Common Criteria attuali

Poiché il cyberspazio è un mondo sempre più caratterizzato da confini evanescenti e dinamici, uno sforzo volto a regolamentarne e uniformarne gli usi e le caratteristiche richiede inevitabilmente sinergie tra tutti gli Stati. Questi sono chiamati a dettarne le regole attraverso l’esercizio della propria sovranità e, allo stesso tempo, la messa in campo di azioni congiunte a livello internazionale, in particolare tramite le certificazioni di prodotti e sistemi ICT.

La sensibilità su tali argomentazioni trova la sua origine negli Stati Uniti negli anni ’80, con la nascita del Trusted Computer System Evaluation Criteria (TCSEC), cui è seguita la risposta europea con il meno fortunato ITSEC, sulla base del quale, nel ’96, sono stati poi generati i Common Criteria, divenuti standard internazionale ISO/IEC 15408 nel 1999.

L’ottenimento di certificazioni per i propri apparati ICT è un processo che in genere gli operatori effettuano volontariamente, per mostrare a clienti business e utenti finali il proprio livello di affidabilità.

In alcuni casi, tuttavia, le Autorità Nazionali possono definire eventuali obbligatorietà. Per quanto concerne l’Italia, l’inserimento dello “scrutinio degli asset rientranti nel Perimetro” e “l’adozione di schemi di certificazione europea di cybersecurity” al primo punto della Strategia, insieme alla ricerca di profili specializzati nell’utilizzo di Common Criteria da parte della nascente Agenzia per la Cybersicurezza e alle molteplici innovazioni normative – che rafforzano i poteri di Governo e Agenzia in materia – mostrano sia il forte l’interesse per questo tipo di certificazioni, al fine di autorizzare l’utilizzo di prodotti e sistemi ICT nelle reti di telecomunicazioni italiane, sia la preferenza verso meccanismi di obbligatorietà delle procedure di verifica.

Cybersecurity e certificazioni: come funzionano gli attuali Common Criteria

I Common Criteria sono strutturati in modo da rispettare criteri qualitativi tali da garantire alla documentazione prodotta un elevato livello di fiducia, efficacia e correttezza.

In particolare, l’ente che esegue le verifiche non deve avere interessi economici legati al risultato della valutazione (imparzialità), la ripetizione della procedura deve restituire lo stesso risultato (ripetibilità), lo stesso risultato deve poter essere raggiunto da un terzo ente valutante (riproducibilità) e non deve comprendere stime di carattere soggettivo (obiettività).

La documentazione prodotta in ottemperanza di questi criteri evidenzia gli elementi fondamentali dell’oggetto della valutazione, ovvero del Target of Evaluation (TOE).

Per ottenere la certificazione è necessario identificare gli obiettivi di sicurezza (ovvero si intende specificare “sicuro per cosa”), l’ambiente di sicurezza (“sicuro in quale contesto”) e i requisiti funzionali (“sicuro a fronte di quali verifiche”).

Sulla base della struttura indicata dai Common Criteria, attualmente in Italia vige uno Schema Nazionale per la certificazione della sicurezza di prodotti e sistemi ICT nell’ambito dei dati classificati risalente al 1995, affiancato nel 2003 da un Secondo Schema Nazionale per la fornitura di servizi di certificazioni nel contesto della PA e negli ambiti non ricompresi nella Sicurezza Nazionale.

Organismi essenziali sono i laboratori preposti alla valutazione, che conducono le analisi ed elaborano la documentazione necessaria ai fini della valutazione, e gli enti di certificazione, che emettono la certificazione di sicurezza e accreditano i laboratori. Nel contesto italiano, tali strutture assumono una declinazione particolare e suddivisa in base alla tipologia di dati trattati (dati certificati, funzioni strategiche o commerciali).

Cybersecurity: cosa comporta farsi certificare

L’ottenimento di certificazioni di sicurezza migliora in generale la competitività dei prodotti sul mercato, può garantire l’accesso a mercati geografici con requisiti minimi e offre ai governi nazionali uno strumento per garantire che i sistemi IT utilizzati nel Paese siano sicuri, consentendo di contrastare rischi sistemici.

Allo stesso tempo, è opportuno considerare che la documentazione richiesta dai sistemi nazionali aumenta considerevolmente i costi della valutazione, che sono a carico del fornitore, che i tempi di esecuzione sono piuttosto lunghi (fino a 12-18 mesi) e che è necessario utilizzare risorse specializzate per le verifiche (le cui competenze possono richiedere fino a 24 mesi per essere formate).

Altro importante elemento riguarda il tempo addizionale che potrebbe essere impiegato dal CVCN e dai laboratori indipendenti per rendere effettive le procedure di valutazione.

Considerando l’ampio numero di aziende comprese nel perimetro e il conseguente numero di apparati da certificare, potrebbe delinearsi una netta discrepanza tra l’effettiva capacità di assorbimento dei test da parte dei laboratori e il numero di prodotti da sottoporre alle procedure di test.

Inoltre, le rigidità alla base dei Common Criteria non permettono di mantenere la certificazione per prodotti/sistemi su cui vengono installate nuove patch per aggiornamenti, per cui se si effettua una modifica o un aggiornamento in linea teorica è necessario effettuare nuovamente tutto il percorso di certificazione.

Cybersecurity e certificazioni: cosa prevedono gli European Common Criteria

Sebbene i Common Criteria si siano rivelati uno strumento particolarmente valido negli ultimi vent’anni, contribuendo sostanzialmente ad innalzare il livello di sicurezza di servizi e prodotti digitali, le recenti evoluzioni tecnologiche ed economiche hanno posto nuovamente l’attenzione sulla necessità di sviluppare e promuovere sistemi in grado di far combaciare più agilmente la rinnovata attenzione sulla cybersecurity con i ritmi sempre più dinamici e flessibili dei mercati digitali.

L’Unione Europea aveva iniziato a porre l’attenzione politica e normativa su tali considerazioni già dal 2019, con la pubblicazione del Cyber Security Act, che sosteneva la creazione di un nuovo sistema di certificazioni uniforme per tutta l’UE. Fondamentale è stato anche il sempre maggiore coinvolgimento di ENISA, che ha istituito un gruppo di lavoro specifico per promuovere la stesura dei Common Criteria Europei, detti EUCC (Common Criteria based European candidate cybersecurity certification scheme), sulla base dei Common Criteria esistenti.

Gli elementi di discontinuità degli EUCC rispetto ai Common Criteria applicati nei sistemi nazionali risiedono proprio nella volontà di ottimizzare il rapporto tra certificazioni e dinamiche di mercato, in particolare riguardo a costi e tempi.

Tra i principali obiettivi figura, infatti, l’adozione di procedure per la gestione della criticità non previste al momento del rilascio e una procedura di valutazione rapida per le correzioni e le modifiche successive dei prodotti.

In questa direzione si muovono il c.d. Patch Management che consente al produttore di introdurre preventivamente un meccanismo di gestione delle patch, così da avere un prodotto costantemente aggiornato e “patchato” pur mantenendo lo stato di certificazione (e quindi senza dover ricominciare la procedura da capo in caso di modifiche) e il “testing once principle”, per evitare che prodotti già certificati debbano ripetere la procedura.

Dopo la pubblicazione della prima bozza dell’EUCC (la Versione 1.0), che mira a sostituire gradualmente gli attuali schemi di certificazione nazionali, basati anch’essi sui Common Criteria, nel maggio 2020 l’ENISA ha anche avviato un processo di consultazione di tutti gli stakeholder interessati, i risultati del quale sono stati pubblicati nel maggio 2021. Dalle consultazioni svolte dall’ENISA con gli stakeholder del mercato digitale è emerso un consenso piuttosto ampio da parte degli attori interessati.

Cybersecurity e certificazioni: cosa accadrà nei prossimi due anni

Sulla base di queste consultazioni, con il sostegno dell’AHWG, l’ENISA ha sviluppato la Versione 1.1 dell’EUCC. Tale versione dovrebbe essere usata dalla Commissione Europea per la stesura dell’Implementing Act, atto esecutivo con cui lo schema potrebbe diventare ufficialmente parte della legislazione europea.

Tuttavia, si prevede che questo processo impiegherà ancora diverso tempo per essere concluso, con una piena attuazione degli EUCC che probabilmente richiederà nuove discussioni in sede comunitaria e la stesura di linee guida per facilitare la fase di transizione.

Quest’ultima, in particolare dovrebbe durare almeno due anni, periodo in cui le certificazioni nazionali assorbite dagli EUCC dovrebbero cessare di operare. Resta aperto il nodo di come gestire questa fase di transizione.

A tal proposito, si attende la pubblicazione dell’ultimo decreto attuativo sul perimetro – che dovrebbe chiarire le modalità di accreditamento dei laboratori e le metodologie di test che verranno utilizzate in Italia – per trovare l’auspicato bilanciamento tra garanzia della sicurezza e tutela della dinamicità del mercato, nell’ottica di favorire la massima diffusione, anche presso tutte le aziende strategiche ricomprese nel perimetro, di apparecchiature ICT sicure e certificate.

WHITEPAPER
CyberWar Russia-Ucraina: scenario e impatto sulle aziende italiane ed europee
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4