La certificazione di sicurezza dei prodotti è un’esigenza sentita da tempo, ma solo negli ultimi anni ha registrato un interesse sempre maggiore a causa dell’aumento esponenziale degli attacchi cyber che hanno reso la cybersecurity un’emergenza all’attenzione di tutte le Istituzioni mondiali.
Cosa vuol dire certificare un prodotto ICT e la sua sicurezza
Una definizione consolidata del processo di certificazione, indipendentemente da quale sia l’oggetto in esame, è la seguente: “la certificazione è il risultato di una attività di valutazione eseguita da una terza parte indipendente (organismo di certificazione) sulla base di standards e metodologie riconosciute, e per le quali l’organismo di certificazione è stato preventivamente accreditato da un ente di accreditamento specifico”.
Come si evince dalla definizione, la certificazione è un processo articolato e complesso che richiede un contesto normativo ben definito (una norma di riferimento, uno schema di certificazione, un gestore dello schema e un garante dello schema) e coinvolge un certo numero di soggetti (un ente accreditatore, un certificatore, un valutatore, un cliente, un oggetto da certificare e i fruitori della certificazione).
Pertanto, la certificazione di sicurezza di un prodotto ICT si può definire come “attività che in maniera probabilistica consente di rispondere circa le capacità di un sistema (assurance) di rispettare le specifiche di sicurezza che sono state stabilite in relazione al suo utilizzo/funzionamento.”
Le caratteristiche della certificazione
Per poter raggiungere tali obiettivi, una certificazione deve avere delle caratteristiche essenziali quali:
- l’imparzialità: l’accreditatore, il certificatore e il valutatore devono essere una terza parte indipendente rispetto al fornitore/titolare del prodotto da certificare.
- L’oggettività: la valutazione deve essere condotta cercando di motivare (ove possibile) ogni affermazione con evidenze sperimentali.
- La ripetibilità: la valutazione deve essere condotta in modo da dimostrare che se effettuata una seconda volta sullo stesso oggetto, con gli stessi requisiti di sicurezza e dallo stesso valutatore, porterebbe ai medesimi risultati.
- La riproducibilità: la valutazione deve essere condotta in modo da dimostrare che se effettuata una seconda volta sullo stesso oggetto, con gli stessi requisiti di sicurezza ma da un valutatore diverso porterebbe ai medesimi risultati.
Come è nata l’esigenza della certificazione di sicurezza dei prodotti ICT e quale è lo stato attuale
La certificazione di sicurezza dei prodotti è nata nella seconda metà degli anni 80 con l’emissione, da parte del National Computer Security Center (NCSC) americano, dello standard Trusted Computer System Evaluation Criteria (TCSEC), conosciuto con il nome di “Orange Book”. Questo standard ha introdotti dei concetti innovativi (valutazione di terza parte, assurance e valutazione probabilistica) che saranno ripresi da quasi tutti i moderni standard.
All’Orange Book, sono seguiti vari standard che hanno ripreso questi concetti e, in particolare, lo standard denominato Information Technology Security Evaluation Criteria (ITSEC) che rappresenta la risposta europea al TCSEC
Ad oggi lo standard internazionale di riferimento per la valutazione di sicurezza dei prodotti ICT sono i Common Criteria.
Gli standard Common Criteria Gli standard Common Criteria (recepito nello Standard ISO 15408), hanno origine da un progetto internazionale iniziato nel 1993 e durato circa 5 anni che coinvolgeva NIST e NSA per gli USA e svariate organizzazioni per la sicurezza in Canada, Francia, Germania, Olanda e Regno Unito. Per lo sviluppo dei criteri fu istituito un gruppo di lavoro (anch’esso internazionale) denominato Common Criteria Editorial Board (CCEB).
L’obiettivo era quello di sviluppare una comune metodologia per la valutazione della sicurezza nel mondo dell’Informatica che fosse applicabile in campo internazionale e superasse i limiti degli standard al momento in vigore (TCSEC, ITSEC, …).
Lo standard è fondamentalmente una metodologia per specificare e valutare la sicurezza informatica e permettere una convalida formale (ad esempio matematica) della sicurezza.
Si applica sia a prodotti software che hardware e non specifica di cosa ha bisogno un cliente o quali funzionalità di sicurezza deve fornire un prodotto. I Common Criteria funzionano per diverse esigenze e diverse tipologie di prodotti ed è una valutazione basata sulle evidenze.
Come gli standard TCSEC e ITSEC, i Common Criteria stabiliscono 7 livelli incrementali di assurance della sicurezza dei prodotti ICT per soddisfare tutte le esigenze degli utilizzatori.
In seguito all’emissione dello standard, è nata l’iniziativa Common Criteria Recognition Arrangement (CCRA) per il mutuo riconoscimento fino al livello 2 dei certificati emessi ai sensi dei CC alla quale partecipano, ad oggi, più di 30 Paesi. Il CCRA, insieme al Senior Official Group Information System Security (SOG-IS) sottoscritto ad oggi da circa 17 Paesi Europei e che riconoscono certificazioni fino al livello 4, rendono i Common Criteria lo standard con la maggior base di mutuo riconoscimento internazionale per le valutazioni di sicurezza dei prodotti ICT effettuate dai diversi Schemi Nazionali di Certificazione della Sicurezza.
In Italia lo schema di certificazione nazionale è gestito dall’OCSI (Organismo di Certificazione della Sicurezza Informatica) che da luglio 2022 è confluito nell’Agenzia per la Cybersicurezza Nazionale (ACN) creata nel luglio 2021 a seguito della istituzione del Perimetro Cibernetico Nazionale.
La certificazione ai sensi dei CC è volontaria, ma può essere resa obbligatoria dai vari Stati nazionali. Ad esempio, negli Stati Uniti USA la certificazione Common Criteria è obbligatoria per tutti i prodotti forniti al Dipartimento della Difesa (DoD) e in Europa per le smartcards, HSM per la finanza e devices per il Firma Digitale.
Vantaggi, e svantaggi della certificazione di sicurezza di un prodotto ICT
È indubbio che una certificazione di sicurezza offre svariati vantaggi:
- ha un valore aggiunto riconosciuto a livello internazionale grazie agli accordi di mutuo riconoscimento ad oggi esistenti;
- è una valutazione eseguita da una terza parte accreditata che quindi garantisce imparzialità e indipendenza;
- è utile per prevenire degli incidenti di sicurezza ICT in quanto garantisce la robustezza delle misure di sicurezza adottate sul prodotto in accordo al livello di assurance richiesto;
- permette di esprimere, in forma standardizzata, le funzionalità di sicurezza e i requisiti di assurance;
- offre la possibilità di utilizzare i Profili di Protezione messi a disposizione dallo standard che hanno una valenza generale per tutti i prodotti appartenenti ad una stessa tipologia
Esistono però anche degli svantaggi connessi al processo attuale di certificazione dei prodotti ICT:
- i tempi del processo di valutazione/certificazione sono lunghi e, per i livelli di assurance elevati, possono essere anche di qualche anno;
- la quantità di documentazione richiesta è rilevante e richiede un notevole sforzo da parte del vendor che produce il prodotto;
- il processo di mantenimento della certificazione è complesso e non sempre chiaramente definito. Modifiche sostanziali al prodotto e/o la comparsa di nuove vulnerabilità rilevanti possono portare ad una ri-certificazione del prodotto.
- Infine, anche alla luce di quanto detto, i costi di valutazione/certificazione di un prodotto ICT ad oggi sono elevati e quindi non affrontabili da vendor di medie e piccole dimensioni.
Tutti questi fattori hanno di fatto limitato lo sviluppo di massa delle certificazioni di sicurezza dei prodotti limitandole ad un mercato di nicchia composto prevalentemente dai grandi vendor mondiali.
Il futuro delle certificazioni di sicurezza dei prodotti ICT
Vista l’importanza che la certificazione della sicurezza dei prodotti ICT ha assunto nell’ambito della gestione della Cybersecurity, quasi tutte le Istituzioni, sia europee che nazionali, hanno avviato delle iniziative che hanno proprio la finalità di rendere tali certificazioni più semplici, più brevi e meno costose per renderle accessibili a tutti i vendor di prodotti ICT, pur mantenendone le caratteristiche attuali di imparzialità, oggettività. Ripetibilità e riproducibilità.
È altresì evidente che il fine ultimo delle suddette Istituzioni è quello di renderle obbligatorie vista la loro rilevanza nell’ambito di una strategia europea e nazionale sulla cybersecurity.
Tra le principali iniziative attualmente in corso in Europa e in Italia si evidenziano:
- il Cyber Security Act (CSA) che di fatto instaura un quadro europeo di certificazione della cybersicurezza che impatta sui prodotti, processi e servizi ICT. È stato già prodotto un primo schema di certificazione dei prodotti ICT basato sui Common Criteria (denominato EUCC) che, una volta entrato in vigore, soppianterà gli schemi nazionali e l’accordo SOG-IS. Il CSA cerca di risolvere gli attuali limiti delle certificazioni attuali introducendo tre livelli di assurance (base, sostanziale e evoluto) che possono essere svolti con diverse modalità (dal self assessment all’utilizzo di una terza parte indipendente), dl’introduzione di certification Body (detti CAB) provati, schemi verticali sulle principali tecnologie di prodotti ICT (es. reti 5G, IoT, ICS,..) e una procedura di manutenzione delle certificazioni che consentirà un mantenimento agevole della certificazione senza la necessità di ri-certificare il prodotto.
- Il Cyber Resilience Act (CRA) che introduce degli standard comuni di sicurezza informatica per i prodotti digitali connessi in rete (cd. “IoT”) e per i relativi servizi. La finalità è di garantire che i vendor migliorino la sicurezza informatica dei prodotti, sin dalla fase di progettazione e durante l’intero ciclo di vita, aumentare la trasparenza delle pratiche di sicurezza informatica e delle proprietà tecniche dei prodotti e fornire ai consumatori e alle aziende prodotti sicuri pronti all’utilizzo (introduzione del Bollino CE sulla sicurezza del prodotto). Il CRA suddivide i prodotti tra “prodotti non critici” e “prodotti critici” e per quest’ultimi, richiede che la valutazione sia eseguita da una terza parte indipendente agganciandosi di fatto allo schema di certificazione del CSA.
- Il Centro Valutazione e Certificazione Nazionale (CVCN), istituito all’interno della nuova Agenzia della Cybersicurezza, che di fatto rende obbligatoria, per le aziende appartenenti al perimetro, la certificazione di sicurezza dei prodotti ICT considerati critici che queste vorranno acquistare. Al momento non c’è alcuna relazione diretta tra le certificazioni Common Criteria effettuate dagli schemi di certificazione europei e nazionali, ma è presumibile che le metodologie che il CVCN utilizzerà saranno in linea, anche se semplificate, con i principali standard di mercato quali i Common Criteria.
Conclusioni
Negli ultimi anni il mondo delle certificazioni di sicurezza dei prodotti è in grande fermento in quanto si è compresa la loro importanza all’interno di una strategia per la gestione della cybersecurity.
Quando si parla di “certificazione della sicurezza” di un prodotto ICT si tende erroneamente a pensare che il prodotto sia esente da rischi e che esso non possa essere in alcun modo violato. Niente di più errato! Le certificazioni di sicurezza dei prodotti sono dei processi “attack based” e non “risk based”, ovvero certificano che le funzionalità di sicurezza dichiarate siano stato correttamente implementate e che il prodotto non sia soggetto a vulnerabilità note.
Per tale ragione, la certificazione di un prodotto ICT non deve essere considerata la panacea di tutti i mali perché da sola non garantisce la mitigazione di tutti i rischi cyber se non sono accompagnate da un utilizzo consapevole del prodotto e da un livello di assurance dello stesso coerente con i rischi cui l’azienda utilizzatrice è esposta.
