STRATEGIE

Cybersecurity Italia, a che punto è la “cittadella ideale”

Nis e Perimetro di sicurezza hanno gettato le basi di un ambiente future proof a tutela del Sistema Paese. Ma ora serve definire e rendere operative le strategie per la sua realizzazione. Un’analisi dei passi da compiere

19 Dic 2019
Giuseppe Del Giudice

Cyber Security, IT Strategy and Governance at Sia Partners


La cybersecurity italiana ha imboccato la strada giusta. Sulla scorta delle strategie lanciate dall’Europa sono stati definiti i piani ingegneristici per l’edificazione di un ecosistema di difesa in grado di rispondere alle sfide di un mondo fisiologicamente liquido. Ecco l’analisi delle misure messe in campo e gli step da affrontare.

Il legislatore europeo e poi quello domestico hanno colto la sfida proveniente dai domini del cyberspace predisponendo principi strategici, operativi ed organizzativi con l’obiettivo di definire e rendere operativo un sistema di difesa “multilivello” che miri al raggiungimento di un livello comune ed elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, come un rafforzamento della resilienza dello spazio cibernetico comunitario.

Sicurezza, lo start europeo

I legislatori dei singoli Stati Membri hanno risposto alla chiamata europea; tuttavia, poste le fondamenta, alcuni passi sono ancora da compiere per portare a maturità un modello di difesa che si inserisce a presidio di un mondo fisiologicamente liquido, che incarna in tutto e per tutto i caratteri dei sistemi complessi e che porta con sé diverse problematiche, prima tra tutte quella della “gestione” della complessità, che si traduce nel presidio non solo dei “settori” considerati strategici e degli attori che vi si collocano ma, soprattutto, delle interdipendenze.

Complessità e “difesa reticolare”

Se è vero, con Hawking, che “il ventesimo è stato il secolo della fisica” ed “il ventunesimo è il secolo della complessità”, la sfida più particolare, in un mondo sempre più liquido e interconnesso, è proprio quella della sua gestione.

Una complessità reticolare, dove i “centri” diventano “strategici” per la loro posizione all’interno del modello: multiple interdipendenze con altri centri portano ad un aumento esponenziale delle possibilità di propagazione degli effetti di un evento dannoso, con una conseguente espansione della superficie d’impatto. Ciò comporta un aumento direttamente proporzionale della complessità delle misure da prendere per gestirne i rischi e rafforzarne la resilienza.

Accanto al tema della predisposizione di singoli dispositivi di difesa, esiste il tema della “difesa reticolare”, cioè della costruzione di un presidio unico “multilivello che includa e valorizzi – coordinandoli ed evolvendoli – i dispositivi di sicurezza predisposti da ogni “centro” della rete, compreso il presidio delle interdipendenze, in quanto il fallimento di un “centro” stesso potenzialmente potrebbe propagare i suoi effetti su altri “centri”, portando al fallimento dell’intero sistema.

Sicurezza: più sinergie trasversali

Quando a multipli livelli di complessità si associa un aumento esponenziale della superficie d’attacco, per l’introduzione di nuove tecnologie o a causa di una sempre maggiore interdipendenza “multilivello” (transnazionale, nazionale ecc.) e tra gli attori che interagiscono in ogni livello ed in diversi settori economici, il tema dello sviluppo e potenziamento di sinergie trasversali e soprattutto la gestione e la condivisione dell’informazione intesa in senso stretto – come la cooperazione – diventano esigenze quasi ineliminabili.

L’Unione Europea ha interpretato tale direzione ponendo le basi legislative per strutturare e rendere operative le sinergie necessarie per supportare lo sviluppo di tale dispositivo di difesa “multilivello”, in particolare definendo le regole per:

  • la creazione di una capacità minima comune e disposizioni minime in materia di obblighi comuni di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali, intendendo così rafforzare i presidi di sicurezza e la resilienza nei settori strategici dell’energia, bancario, infrastrutture dei mercati finanziari, trasporti, sanitario, acqua potabile, infrastrutture digitali;
  • lo scambio di informazioni e la cooperazione transnazionale;
  • la gestione tecnica ed operativa degli incidenti cyber ad impatto transnazionale (c.d. rete di CSIRT) e nazionale;
  • favorire lo sviluppo di relazioni di cooperazione pubblico-privato in ogni Stato membro, come – tra l’altro – l’adozione e l’uso di prassi comuni o standardizzate nel trattamento e classificazione degli incidenti, dei rischi e delle informazioni;
  • stabilire un quadro complessivo di regole che disciplinino gli schemi europei di certificazione della sicurezza informatica, favorendo un approccio alla sicurezza “by design”.

Tuttavia, un sistema complesso non mantiene un carattere statico ma si “evolve” nel tempo, cambia volto, ed il mutamento può essere “interpretato” ed in parte “anticipato” principalmente mediante due strumenti, se posti, però, in correlazione tra loro:

  • un modello basato sul rischio;
  • la conoscenza informativa.

Da qui l’importanza di un dispositivo di sicurezza che si adatti proattivamente ai nuovi scenari (composti da minacce, tecniche, tattiche, procedure, attori, nuove tecnologie, nuove o mutate interdipendenze, esigenze ecc.), soprattutto in un dominio dove il “mutamento” repentinamente può arrivare a divenire minaccia.

Dal NIS al perimetro di sicurezza

L’Italia ha colto la sfida nella risposta alla gestione dei rischi derivanti dal mondo cyber, definendo strategie, principi ed adottando le misure legislative necessarie per proseguire verso un modello collaborativo pubblico-privato, inserito nel contesto sovranazionale, a protezione del “Sistema Paese”.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Con l’impianto costituito dal D.lgs. 18 maggio 2018, n.65 che ha recepito la Direttiva NIS, dal DPCM 8 agosto 2019 che istituisce il CSIRT Italiano, e soprattutto con il recente varo del c.d. Perimetro di sicurezza cibernetica, il legislatore italiano ha definito l’architettura della “cittadella ideale”, organizzandola attorno a cinque principali pilastri:

  • Il raccordo transnazionale attraverso l’individuazione del Dipartimento delle Informazioni per la Sicurezza (DIS) quale punto di contatto unico con l’Europa, con le autorità NIS Nazionali ed i Membri del Nucleo per la Sicurezza Cibernetica;
  • Le definizione di obblighi per la predisposizione di opportune misure di sicurezza per gli Operatori di Servizi Essenziali (OSE) ed i fornitori di servizi digitali, per le amministrazioni pubbliche, Enti ed operatori pubblici e privati, rientranti nel c.d. perimetro di sicurezza cibernetica;
  • Le forme di cooperazione e le misure di raccordo pubblico-privato, secondo un modello accentrato presso il Dipartimento delle Informazioni per la Sicurezza (DIS), sia per quanto riguarda l’infosharing, che per il supporto alla gestione strategica, tattica, tecnica ed operativa di attacchi informatici e crisi cibernetiche;
  • Il presidio della Pubblica Amministrazione rientrante a tutti gli effetti nel perimetro di sicurezza cibernetica;
  • Il rafforzamento del presidio su tematiche afferenti all’approvvigionamento di prodotti, processi, servizi ICT e associate infrastrutture, rispetto a specifiche esigenze di sicurezza cyber.

Più guarentigie nella strategia italiana

In questo senso il legislatore non si è pedestremente limitato ad adottare il “modello” concepito in sede europea, ma ha provveduto nella sua attività di recepimento, ad un bilanciamento con le esigenze derivanti dalla sicurezza nazionale italiana, operando un’espansione delle guarentigie previste dalla Direttiva NIS e dal D.lgs. 65/2018 che la recepisce, consentendo così, da un lato, di plasmare tale modello rispetto alle specificità della realtà italiana, e dall’altro a renderlo pienamente operativo.

Questo aspetto dell’allargamento delle guarentigie emerge in maniera netta già ad una semplice disamina delle modifiche introdotte al testo originario del D.L. 105/2019 in sede di conversione, quando il legislatore definisce i principi per l’individuazione dei soggetti rientranti nel c.d. perimetro di sicurezza cibernetica, includendo:

  • le amministrazioni pubbliche;
  • enti ed operatori “pubblici e privati aventi sede nel territorio nazionale”, da cui “dipende l’esercizio, di una funzione essenziale dello Stato […] la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali ed economiche fondamentali per gli interessi dello Stato”.

Non soltanto Operatori di servizi essenziali (OSE) e fornitori di servizi digitali dunque (che potrebbero comunque essere inseriti tra i soggetti rientranti nel perimetro): da un lato si potrebbe assistere all’applicazione, ai soggetti individuati dall’impianto NIS, degli obblighi di comunicazione al DIS dell’elenco di reti, sistemi informativi e servizi informatici previsto dal D.L. 105/2019 e di quelli in tema di comunicazione dell’affidamento di forniture di beni, come di collaborazione con il CVCN per l’effettuazione delle attività di test; e dall’altro, agli operatori non coinvolti dalla NIS, ma rientranti nel perimetro, un’applicazione degli obblighi in tema di misure di sicurezza minime, comunicazione di incidenti al CSIRT Italia, oltre ai già citati obblighi di comunicazione al DIS ed al CVCN.

Rafforzare il modello di difesa

In questo senso si otterrebbe di fatto un’estensione dell’intero modello di difesa, modulato secondo specifiche necessità di sicurezza nazionale. Sarà proprio questa l’attività cardine che andrà a definire i reali assetti della nuova “cittadella ideale”, alla luce dei criteri di essenzialità di funzioni e servizi, dipendenza da reti, sistemi informativi e sistemi informatici, gradualità direttamente proporzionata al pregiudizio per la sicurezza nazionale, specificità dei diversi settori di attività.

Aspetto importante, se si pensa come il rispetto di specifici obblighi previsti dal D.L. 105/2019 da parte degli operatori interessati, sia prodromico a rendere pienamente operative le attività svolte, ad esempio, dal Nucleo di Sicurezza Cibernetica in tema di “prevenzione, preparazione e gestione di crisi cibernetiche”, (in questo esempio, consentendo al DIS di avere una visione chiara ed aggiornata “dell’elenco delle reti, dei sistemi informativi e dei servizi informatici […]” e “della relativa architettura e componentistica”, per tutto il perimetro).

Per portare un altro esempio, l’obbligo di notifica di cui all’Art. 1, co 3, lett. a), degli incidenti al CSIRT Italia, equivale ad un trigger che consente di avviare l’intero dispositivo di difesa italiano a più livelli: da quello politico, strategico a quello strettamente operativo, proprio alla luce del sistema di notifica ed attivazione dei vari livelli istituzionali introdotto proprio con il D.L. 105/2019.

Va da sé che la non inclusione di operatori fondamentali per gli interessi dello Stato, e da cui possa derivare un pregiudizio per la sicurezza nazionale nel dispositivo di sicurezza (qualora lo si pensi costituito solo dalla Direttiva NIS), sarebbe equivalso ad escludere completamente segmenti strategici dalle capacità di prevenzione, gestione e risposta in caso di attacco (sistemico o non) o di vera e propria crisi cibernetica.

Un modello proattivo di difesa

Sul piano del funzionamento operativo del modello, esisterebbero due aspetti che seppur collegati potrebbero essere analizzati separatamente:

1) la gestione tecnica ed operativa di incidenti “transfrontalieri” e “che hanno un impatto sulla sicurezza nazionale”;
2) la messa in opera di un modello di difesa proattiva che coinvolga gli attori che vanno a comporre il “Sistema Paese” e supporti l’evoluzione delle loro “capacità cyber”.

Se il primo punto è supportato da un’architettura nazionale composta dal CSIRT Italiano in sinergia con altre funzioni assicurate dal DIS (prime tra tutte il Nucleo per la Sicurezza Cibernetica), è il secondo punto che abbisognerà di una direzione ben definita e concreta (operativamente concreta) che al momento si può solo tratteggiare.

Perché è vero che d’Intelligence se ne deve “parlare”: un mondo “liquido”, per sua natura repentinamente cangiante, con un elevato rate di propagazione di strumenti, informazioni, evoluzione delle tecniche, tattiche e procedure; un mondo che acquista le fattezze di un vero e proprio ecosistema che si autoalimenta nel surface e nel dark web – quasi come una metadimensione che ha vita e regole proprie – richiede la costruzione e la messa in operatività dello stesso sistema a livello nazionale, seppur con fini diametralmente opposti: cioè un ecosistema della sicurezza che correli la sua evoluzione alla minaccia osservata “in the wild”.

“Correlazione” parola chiave

Da qui l’importanza della condivisione d’intelligence direttamente utilizzabili, con un elevato rate e un altrettanto elevato livello di adeguamento della risposta cyber (in termini di adeguamento del dispositivo di difesa) all’evoluzione della minaccia.

Questa “correlazione” può essere resa operativa sviluppando alla base la c.d. “conoscenza della minaccia”, e dunque mediante un elevato tasso di propagazione di intelligence, qualitativamente elevata, precisa ed “actionable”. Ecco che un modello “accentrato” con attore principale il DIS e un CSIRT unico che propaghi le intelligence verso il settore pubblico-privato e con la possibilità per gli stessi operatori di far risalire a loro volta intelligence, come anche analisi e “sample” osservati nel contesto aziendale (in una logica top-down e bottom-up integrate e supportate da adeguata tecnologia), andrebbe a definire un ciclo virtuoso che potrebbe portare solo giovamento al Sistema Paese.

In particolare, proprio in questa direzione, il CERT-PA ha promosso, con l’approvazione e supervisione del Nucleo per la sicurezza cibernetica, un’iniziativa volta a favorire l’infosharing tra le pubbliche amministrazioni, utilizzando standard tecnici (STIX/TAXII), linguaggio comune (Indicators of Compromise – IoC) e soluzioni open source (MISP e Minemeld). L’approccio seguito è quello collaborativo, volto proprio a favorire lo scambio informativo incentivando gli stessi fruitori del servizio a contribuire a loro volta – tramite l’immissione “validata” di eventi cibernetici o di campioni di malware osservati nel contesto aziendale – alla circolazione delle informazioni di Cyber Threat Intelligence.

Con il varo del DPCM 8 agosto 2019, la costituzione del CSIRT italiano, ed il trasferimento presso quest’ultimo delle funzioni in atto svolte dal CERT-PA e CERT-Nazionale, si spera che il progetto in questione (prima del varo del provvedimento ancora in “fase pilota”), non venga abbandonato, ma anzi esteso e potenziato per servire non solo il dominio della PA adattandolo al nuovo contesto.

La “cittadella ideale”: i prossimi step

Insomma la predisposizione del modello della “cittadella ideale” è stato avviato, sono stati definiti i piani ingegneristici per la sua edificazione, tuttavia ci sarà da definire e rendere operative le misure necessarie per la sua realizzazione:

  • Attuazione per gli OSE (Operatori di Servizi Essenziali) delle linee guida su gestione del rischio e notifica degli incidenti;
  • Fusione dei CERT-PA e CERT Nazionale nel CSIRT Italia e conseguenze operative anche nel raccordo con la PA e il settore privato;
  • Individuazione degli attori inclusi nel perimetro di sicurezza cibernetica e tenuti al rispetto delle misure e obblighi derivanti dalla L. 133/2019 (entro 4 mesi dalla sua entrata in vigore);
  • Definizione, da parte dell’organismo tecnico di supporto al CISRT, dei criteri con i quali i soggetti rientranti nel perimetro di sicurezza cibernetica dovranno predisporre, aggiornare almeno annualmente e comunicare, l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo dell’architettura e componentistica;
  • Definizione con Decreto del Presidente del Consiglio dei Ministri (su proposta del CSIRT), dei termini, modalità attuative e delle procedure di notifica di incidenti con impatto su reti, sistemi informativi e servizi informatici da parte dei soggetti pubblici e privati rientranti nel perimetro di sicurezza cibernetica. Sono ugualmente definite dall’intervento del legislatore il sistema di condivisione a livello istituzionale e degli organi del settore informativo delle notifiche di incidenti secondo le rispettive aree di competenza;
  • L’elaborazione da parte del DIS e dei Ministeri preposti, secondo i rispettivi ambiti di competenza, delle misure volte a garantire elevati livelli di sicurezza di reti, sistemi informativi e servizi informatici dei soggetti rientranti nel perimetro di sicurezza cibernetica;
  • La definizione con Regolamento entro dodici mesi dall’entrata in vigore della L. 133/2019 delle procedure, modalità e termini con cui i soggetti pubblici e privati rientranti nel perimetro di sicurezza cibernetica ovvero le centrali di committenza (ex art. 1, co. 512, L. 28 Dicembre 2015, n. 208), dovranno comunicare al Centro di valutazione e certificazione nazionale (CVCN), l’affidamento di forniture a terzi di beni, sistemi e servizi ICT destinati ad essere impiegati su reti, sistemi informativi e per l’espletamento dei servizi informatici, compresa la valutazione del rischio collegato all’oggetto della fornitura (saranno anche individuate e definite con decreto del DPCM specifiche categorie basate su criteri di natura tecnica).

La direzione intrapresa dal legislatore italiano appare ben definita nei suoi presupposti di base ed allineata a quanto stabilito in sede europea, tuttavia, è sul terreno della parametrizzazione del dispositivo di sicurezza che si giocherà la tenuta ed il reale funzionamento della “cittadella ideale” italiana: questo dipenderà soprattutto dalla mappatura delle interdipendenze tra i sistemi informativi, servizi informatici e funzioni essenziali per lo Stato; come delle dipendenze con attività civili, sociali o economiche considerate fondamentali per gli interessi italiani (proprio in termini di impatti causati da malfunzionamenti, interruzioni o utilizzi impropri).

Dunque non diverranno più centrali o strategici gli “operatori in sé”, ma le reti, i sistemi informativi ed i servizi informatici stessi, con tutte le loro interdipendenze. Allora procediamo alla sua “messa a terra”, perché – citando Calvino – come spesso accade, “la menzogna non è nel discorso, è nelle cose”.

  • D. L. 21 Settembre 2019, n. 105 come convertito e modificato dalla L. 18 Novembre 2019, n. 133.
  • MiSE, MIT, MEF, Salute, MATTM.
  • Consigliere Militare, AISE, AISI, MAECI, Interno (CNAIPIC), Difesa (CIOC), Giustizia, MiSE (CVCN), MEF, AgID, Protezione Civile.
  • Si pensi, ad esempio, ai termini, modalità ed organismi pubblici deputati all’individuazione di misure di sicurezza; la gestione delle notifiche interne degli incidenti di cui sarà attenzionato il CSIRT; il tema dell’affidamento delle forniture di beni di cui all’Art. 1 co. 6 D.L. 21 Settembre 2019, n. 105 ecc.
  • Cfr. Art. 1, co.2, lett. b, D. L. 21 Settembre 2019, n. 105 come convertito in Legge e modificato dalla L. 18 Novembre 2019, n. 133.
  • Cfr. Art. 1, co.6, D. L. 21 Settembre 2019, n. 105 come convertito in Legge e modificato dalla L. 18 Novembre 2019, n. 133.
  • Questo in quanto i soggetti rientranti nel perimetro saranno individuati applicando i criteri di cui all’Art. 1, co. 2, lett. a), del D. L. 21 Settembre 2019, n. 105, e “[…]tenendo conto dell’entità del pregiudizio per la sicurezza nazionale[…]” (Cfr. Art. 1, co 2, lett. b), punto 2-bis).
  • Cfr. Art. 1, co.2, lett. b, D. L. 21 Settembre 2019, n. 105 come convertito in Legge e modificato dalla L. 18 Novembre 2019, n. 133.
  • È previsto dall’art. 1, co 3, lett. a, D. L. 21 Settembre 2019, n. 105 come convertito in Legge e modificato dalla L. 18 Novembre 2019, n. 133, che il CSIRT Italia “inoltra tali notifiche tempestivamente, al DIS anche per le attività demandate al Nucleo di sicurezza cibernetica; il DIS assicura la trasmissione delle notifiche […] all’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione […] nonché alla Presidenza del Consiglio dei Ministri, se provenienti da un soggetto pubblico o da un soggetto di cui all’art. 29 del D.Lgs 7 marzo 2005, n. 82, ovvero al MiSE se effettuate da soggetto privato”.
  • il DPCM 8 agosto 2019, recante disposizioni sull’organizzazione e il funzionamento del CSIRT italiano, ha disposto l’unificazione del CERT-PA e del CERT-Nazionale nel nascente CSIRT Italiano istituito presso il DIS, il quale si occuperà di adottare tutte le “iniziative necessarie al fine di promuovere la conformità del CSIRT italiano ai requisiti […] del decreto legislativo NIS” ed a sottoscrivere gli opportuni accordi per il trasferimento delle funzioni dei due CERT al CSIRT italiano.
  • STIX, è un linguaggio strutturato, processabile da strumenti automatici, espressamente sviluppato per descrivere e scambiare informazioni su un evento cibernetico, anche complesso, corredandole con informazioni peculiari per la CTI.
  • TAXII, è un protocollo applicativo di comunicazione e trasporto di dati che, tramite i concetti di “collezioni” e “canali”, permette di orchestrare, in modalità diverse, la consegna degli stessi nel contesto di riferimento.
  • MISP, è una soluzione open source molto diffusa per collezionare, storicizzare, distribuire e condividere indicatori di compromissione (IoC) e minacce in riferimento ad incidenti di natura cibernetica.
  • MineMeld, è un framework open source di Palo Alto Networks, capace di semplificare l’aggregazione, l’applicazione e la condivisione delle informazioni in ambito CTI.
WEBINAR
Sicurezza e Smart Working; elementi strategici per il business
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articoli correlati