Il 2023 si chiude con l’alba del nuovo mondo della certificazione di prodotto, con l’avvento della proposta di implementing act per lo schema di certificazione europea di cyber security di prodotto, schema denominato EUCC basato sullo standard Common Criteria (ISO/IEC 15408) e sulla sua Metodologia (CEM) (ISO/IEC 18045) e proposto da ENISA nel 2021.
Indice degli argomenti
Security by design: l’alba di un nuovo mondo per la sicurezza informatica
Dopo 18 mesi dalla proposta dello schema si arriva alla sua emanazione e applicazione. Siamo davvero all’alba di un nuovo mondo e inizia il lungo percorso verso una certificazione di prodotto massiva e pervasiva, votata alla security by design e alla verifica di conformità, quindi a procedure più speditive, ma anche più frequenti, di verifica e aggiornamento dei certificati.
L’obiettivo dello Schema di Certificazione dei prodotti ICT è sostituire quello in vigore gestito dal SOG-IS MRA (Senior Officials Group Information Systems Security Mutual Recognition Agreement), un’organizzazione composta da 17 Paesi europei che consente il mutuo riconoscimento delle certificazioni dei prodotti ICT fino al livello EAL4 dei CC e affiancata al CCRA (Common Criteria Recognition Arrangement) sottoscritto da circa 30 Paesi in tutto il mondo. È stata realizzata da ENISA una consultazione pubblica insieme con l’Autorità di Certificazione Europea (ECCG) istituita nel 2021 in applicazione al regolamento Cyber Security ACT (CSA).
L’arrivo dello schema europeo potrebbe determinare una accelerazione anche nella operatività del CVCN italiano che ha esattamente questi compiti e che deve realizzare anche l’adempimento alle prescrizioni di obbligatorietà di verifica dei prodotti ICT previste nel PSNC (Perimetro di Sicurezza Nazionale Cibernetica) e nella Golden Power.
Il panorama della cybersecurity nel 2023
Il 2023 si chiude con il consueto aumento degli attacchi, ma anche con un posizionamento diverso dell’area difensiva, sia governativa che privata, a livello italiano ed europeo.
Siamo sopravvissuti ad un anno difficile non solo per gli attacchi sventati, ma soprattutto per un mercato della sicurezza cibernetica ancora polarizzato dalle multinazionali consulenziali che sfruttano sovvenzionamenti dagli Head Quarter per assumere con qualifiche altissime qualunque figura con competenze cyber, di fatto ostacolando una fisiologica e naturale crescita delle competenze cyber nella PA centrale e locale e nelle PMI italiane, realtà che non possono assolutamente permettersi l’assunzione di alcuna figura ai livelli polarizzati dalle multinazionali e devono quindi continuare a optare per l’assenza di impiego di personale preparato oppure per l’outsourcing, che è di fatto estremamente costoso e privo di visione strategica.
Il nodo delle competenze cyber nelle PMI e nella PA
Le grandi aziende italiane e le infrastrutture critiche sono molto preparate e hanno di fatto costituito la massa critica della resistenza del Paese negli ultimi anni contro gli attacchi cyber.
Ora dobbiamo lavorare sulle PMI e sulla Pubblica Amministrazione, e per fare questo dobbiamo di fatto lavorare sulla diffusione delle competenze, sulla formazione di personale tecnico non solo manageriale e sulla creazione di competenze che possano consentire anche a queste aree, PMI e PA, di formulare una visione strategica e non solo patch tecnologiche a macchia di leopardo.
Con il rapido evolversi delle tecnologie digitali, nel 2023 sono emersi nuovi rischi e minacce cyber che hanno spinto le organizzazioni a rafforzare le proprie difese. Da attacchi ransomware sofisticati a violazioni della privacy sempre più insidiose, l’anno che sta per concludersi si è prospettato come un anno cruciale per la sicurezza digitale. Le organizzazioni hanno dovuto adottare approcci proattivi, sfruttando tecnologie all’avanguardia come l’intelligenza artificiale e l’apprendimento automatico per anticipare le minacce e mitigarne gli impatti.
Le sfide della cybersecurity nel 2024: l’AI generativa
Desta particolare preoccupazione per il 2024 l’impiego della AI generativa che se da un lato promette di essere un’innovazione digitale che contribuirà alla crescita dei settori pubblico e privato dall’altro rischia di offrire ai cyber criminali uno strumento per superare in velocità le misure di cyber sicurezza, giacché potenzierebbe le tecniche di elaborazione delle aggressioni in particolare di quelle che si basano sulle tecniche di social engineering come lo spear phishing.
A sottolineare quanto i tempi si siano accorciati interviene Rohit Aradhya, VP e Managing Director Engineering di Barracuda, secondo cui “il tempo medio per realizzare un singolo attacco è calato dai circa 60 giorni del 2019 ai quattro nel 2023”.
Tutti i rischi da non sottovalutare
Ad acuire i timori, l’elusione dei sistemi di autenticazione multifattoriale (MFA), le vulnerabilità zero-day e i rischi legati al cloud, causati da configurazioni sbagliate, controlli d’accesso inadeguati e vulnerabilità dell’infrastruttura cloud.
Kaspersky, nel Security Bulletin: Statistics of the Year Report conferma il trend chiarendo che i malware più impiegati continuano a essere i trojan, in particolare le backdoor, diffusi attraverso file PDF di phishing: ““Il panorama delle minacce informatiche continua ad evolversi, diventando ogni anno più pericoloso. I cybercriminali sviluppano nuovi malware, nuove tecniche e nuovi metodi per attaccare organizzazioni e individui, come emerge dalla nuova edizione del Kaspersky Security Bulletin. Anche il numero di punti deboli riportato cresce annualmente e i criminali informatici, tra cui i gruppi specializzati in ransomware, li sfruttano senza esitare. Inoltre, la facilità di accesso al crimine informatico sta aumentando grazie alla proliferazione dell’intelligenza artificiale, che gli aggressori utilizzano, ad esempio, per creare messaggi di phishing con testi più convincenti. In questo momento, è essenziale sia per le grandi organizzazioni che per ogni utente adottare soluzioni di sicurezza affidabili. Gli esperti di Kaspersky si dedicano ad affrontare queste minacce informatiche in continua evoluzione, garantendo ogni giorno agli utenti un’esperienza online sicura e fornendo una threat intelligence fondamentale delle minacce più importanti”.
Le misure normative europee in materia di Cybersecurity
Alla rapida evoluzione del panorama tecnologico è corrisposto l’aggiornamento del panorama normativo europeo in materia di cybersecurity, oggetto di significativi sviluppi nel corso del 2023, a riprova che la sicurezza informatica ha ormai guadagno un posto di rilievo.
Il Cyber Resilience Act (CRA)
Tra le nuove proposte e adozioni legislative, emerge il “Cyber Resilience Act” (CRA) che ha attirato l’attenzione negli ultimi mesi, poiché le istituzioni europee hanno concluso i negoziati nel dicembre 2023, aprendo la strada a una possibile approvazione entro il 2024. Il Regolamento propone una serie di norme volte a incrementare la sicurezza e la resistenza alle minacce informatiche di tutti i prodotti con componenti digitali, dagli smartphones ai giocattoli. Il testo introdurrà requisiti obbligatori di sicurezza informatica per progettare, sviluppare, produrre e distribuire prodotti hardware e software, in modo da garantire la standardizzazione delle norme tra i vari paesi membri. Il regolamento introduce la responsabilità dei produttori nel garantire adeguati supporti e strumenti per individuare e affrontare gli aspetti di vulnerabilità di volta in volta individuati.
Il Cyber Solidarity Act (CSA)
Parallelamente, nel contesto del pacchetto di resilienza cibernetica, emerge il “Cyber Solidarity Act” (CSA), proposto nell’aprile 2023 che si differenzia dalle altre normative poiché pone al centro della sua missione la creazione di un sistema di collaborazione europeo.
Infatti, i tre pilastri del CSA – l’European Cyber Shield, il Cyber Emergency Mechanism e il Cybersecurity Incident Review Mechanism – sono concepiti per garantire una risposta coordinata e tempestiva alle minacce informatiche, promuovendo la cooperazione tra gli Stati membri. Tuttavia, la recente valutazione della Corte Europea dei Conti (ECA) del 5 ottobre 2023 ha sollevato preoccupazioni sul CSA, sottolineando rischi di sostenibilità economica a lungo termine e complessità nella condivisione di informazioni nel panorama europeo della cybersecurity. Questo potrebbe portare a nuove discussioni e modifiche al regolamento nel 2024.
A testimonianza della crescente consapevolezza dell’importanza della cybersicurezza nell’era digitale, l’Unione Europea già nel 2022, ha affrontato anche la necessità di adattare le normative esistenti alle emergenti sfide, come dimostra l’aggiornamento della direttiva NIS2 e dal regolamento sulla cyber sicurezza nelle istituzioni dell’Unione. La regolamentazione dell’intelligenza artificiale (AI ACT) e il Digital Operational Resilience Act (DORA) – il quale diventerà vincolante a partire dal 17 gennaio 2025 – evidenziano ulteriormente l’impegno dell’UE a garantire un equilibrio tra l’innovazione tecnologica e la protezione dei diritti fondamentali degli individui.
Cyber sicurezza elemento base per un ambiente digitale sicuro
In questo contesto dinamico, l’Europa sta affrontando con determinazione la sfida di costruire un ambiente digitale sicuro, promuovendo la collaborazione, l’armonizzazione delle normative e l’innovazione responsabile. Il rafforzamento della cybersicurezza si configura, quindi, come un obiettivo cruciale per garantire la sicurezza, la fiducia e la resilienza nell’era digitale in costante evoluzione.
Il 13 dicembre 2023 le istituzioni europee hanno adottato il Regolamento 2023/2841 che stabilisce misure volte a conseguire un livello comune elevato di cyber security nei soggetti dell’Unione con riferimento alla definizione da parte di ciascuno Stato membro di un quadro interno di gestione, governance e controllo dei rischi cibernetici; alla gestione e segnalazione dei rischi e alla condivisione delle informazioni; all’organizzazione, al funzionamento e all’operatività interistituzionale per la cybersicurezza e al controllo dell’attuazione di tale regolamento.
Sicurezza informatica e intelligenza artificiale: cosa aspettarsi nel 2024
Le contromisure europee sembrano muovere i loro passi in previsione della futura – e anche attuale – connessione della sicurezza informatica al progresso dell’intelligenza artificiale. Quest’ultima, infatti, sta entrando sempre più prepotentemente nel mondo e nel mercato della cybersecurity, così da spingere le grandi aziende ad aumentare gli investimenti nel settore al punto che il mercato dell’AI nella sicurezza informatica sembra destinato a crescere dai 15,9 miliardi di dollari del 2022 ai 20 miliardi di dollari del 2023 (+25,5%). Ciò è quanto emerge dalle stime del recente studio “AI In Cybersecurity Global Market Report 2023”.
Nel 2024 l’intelligenza artificiale assumerà una posizione rilevante rispetto a quella attuale nella guerra informatica poiché con la crescita di disponibilità e strumenti sofisticati, gli attacchi saranno suscettibili a essere adatti a target specifici e sfruttare vulnerabilità che ancora non sono note al pubblico. Gli aggressori al giorno d’oggi usano l’IA per automatizzare i loro attacchi, rendendoli da una parte più efficaci e dall’altra difficili da rilevare.
Di conseguenza, i malware alimentati da IA potranno essere usati per generare software malevoli su misura per un target specifico, un’infrastruttura, un sistema ma anche individui all’interno di una organizzazione al fine di avere accesso a dati sensibili. Allo stesso tempo, l’IA è stata impiegata anche per sviluppare dei nuovi metodi di difesa contro gli attacchi alla cyberwarfare, con sistemi di rilevamento all’avanguardia idonei a identificare e bloccare le attività malevoli ancor prima di causare danni.
Investimenti nella Cybersecurity in Italia
L’aumento dei crimini informatici spinge le aziende a investire nella sicurezza, Italia compresa, in cui il Sottosegretario dalla Presidenza del Consiglio dei Ministri, Alfredo Mantovano, ha annunciato per il 2024 uno stanziamento di 220 milioni di euro, un intervento più che mai necessario dopo il secondo trimestre del 2023 all’insegna dei crimini cibernetici. Tra aprile e giugno, infatti, in Italia si sono registrati 672 cybercrime, quasi il doppio rispetto ai 308 del trimestre precedente. In particolare, hanno destato preoccupazione i 569 cyber-attacchi registrati, che hanno segnalato un aumento del +196% rispetto ai 192 dei mesi gennaio-marzo. Un numero record mai registrato da quando, da gennaio 2020, l’Osservatorio Cybersecurity di Exprivia ha iniziato a tenere il monitoraggio dei dati.
