A seguito di un iter durato complessivamente più di un anno, lo scorso 4 aprile sono finalmente giunte in Gazzetta Ufficiale, come allegato alla Circolare AgID n. 1/2017 del 17 marzo 2017, le attese “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Con questo ultimo atto formale dunque le misure minime sono diventate di adozione obbligatoria da parte di tutte le Pubbliche Amministrazioni entro la fine del corrente anno, sotto la responsabilità del dirigente preposto ai sistemi informativi dell’organizzazione o alla sua digitalizzazione.
Le Misure Minime non giungono tuttavia inattese: in effetti il documento, che era stato finalizzato già nell’aprile del 2016 al termine di un processo di sviluppo che aveva compreso anche una estesa consultazione con alcune Pubbliche Amministrazioni di riferimento e con i componenti del Nucleo di Sicurezza Cibernetica, era stato anticipato sin dal settembre 2016 sui siti Web dell’Agenzia per l’Italia Digitale e del CERT-PA proprio per consentire alle Amministrazioni di iniziare a familiarizzare con le Misure Minime in largo anticipo rispetto alla loro pubblicazione in Gazzetta Ufficiale, e poter quindi pianificare con calma il relativo percorso di verifica ed adeguamento.
Ma cosa sono ed in cosa consistono le Misure Minime? Si tratta di un insieme ordinato e ragionato di “controlli”, ossia azioni puntuali di natura tecnica od organizzativa, che l’Agenzia per l’Italia Digitale ha predisposto al fine di fornire alle pubbliche amministrazioni un riferimento pratico per valutare e innalzare il proprio livello di sicurezza informatica, avvalendosi in ciò della sua facoltà di dettare “indirizzi, regole tecniche e linee guida in materia di sicurezza informatica” anche in ottemperanza alla direttiva del 1° agosto 2015 del Presidente del Consiglio dei ministri che impone l’adozione di standard minimi di prevenzione e reazione ad eventi cibernetici.
Come ben specifica la Premessa presente nel documento, l’insieme dei controlli che costituiscono le Misure Minime AgID, denominati AgID Basic Security Controls (ABSC) è stato composto partendo dalla base, già consolidata e assai apprezzata dalla comunità mondiale degli esperti di sicurezza, costituita dai cosiddetti “SANS 20” (oggi noti come Critical Security Controls) emessi dal SANS Institute. Tuttavia gli ABSC non sono una mera e letterale traduzione italiana dei controlli SANS/CSC, ma costituiscono un ragionato adattamento alla nostra realtà nazionale di alcuni controlli accuratamente selezionati come maggiormente significativi tra quelli presenti nelle ultime due versioni (la 5.1 e la 6.0) della lista. Ciò in considerazione delle peculiarità della nostra Pubblica Amministrazione, che non trova immediato riscontro nella più evoluta realtà statunitense.
Massima cura è stata inoltre posta nel modulare i controlli in modo da non costringere le Amministrazioni, soprattutto quelle più piccole, ad introdurre misure esagerate per la propria organizzazione, con evidente inutile dispendio di risorse. Per tale motivo i singoli controlli CSC sono stati trasposti nei controlli ABSC suddividendoli in famiglie di misure di dettaglio più fine, che possono essere adottate in modo indipendente proprio per consentire alle Amministrazioni di graduare il proprio sistema di sicurezza per meglio adattarlo alle effettive esigenze della specifica realtà locale.
Per facilitarne ulteriormente l’adozione, minimizzando gli impatti implementativi sull’organizzazione interessata, i controlli sono inoltre stati suddivisi in tre gruppi verticali, riferiti a livelli complessivi di sicurezza crescente. I controlli del primo gruppo (livello “Minimo”) sono quelli strettamente obbligatori ai quali ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve essere conforme in termini tecnologici, organizzativi e procedurali: essi dunque rappresentano complessivamente il livello sotto al quale nessuna Amministrazione può scendere. I controlli del secondo gruppo (livello “Standard”) rappresentano la base di riferimento per la maggior parte delle Amministrazioni, e costituiscono un ragionevole compromesso fra efficacia delle misure preventive ed onerosità della loro implementazione. I controlli del terzo gruppo (livello “Alto”) rappresentano infine il livello adeguato per le organizzazioni maggiormente esposte a rischi, ad esempio per la criticità delle informazioni trattate o dei servizi erogati, ma anche l’obiettivo ideale cui tutte le altre organizzazioni dovrebbero tendere. Naturalmente va considerato che il raggiungimento di elevati livelli di sicurezza, quando sono molto elevati sia la complessità della struttura che l’eterogeneità dei servizi da essa erogati, può essere eccessivamente oneroso se applicato in modo generalizzato: ogni Amministrazione dovrà pertanto avere cura di individuare al suo interno gli eventuali sottoinsiemi tecnici e/o organizzativi, caratterizzati da una sostanziale omogeneità di requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo omogeneo le misure adatte al raggiungimento degli obiettivi stessi.
Per quanto riguarda i contenuti, le Misure Minime prevedono, nella loro formulazione attuale, otto insiemi (o “classi”) di controlli. Vediamole brevemente.
I controlli delle prime due classi (ABSC 1 e 2) riguardano rispettivamente l’inventario dei dispositivi autorizzati e non autorizzati e quello dei software autorizzati e non autorizzati. In pratica essi impongono all’organizzazione di gestire attivamente i dispositivi hardware e i pacchetti software in uso, predisponendo e mantenendo aggiornati, a diversi livelli di dettaglio e con differenti modalità attuative a seconda del livello di sicurezza, i rispettivi inventari, e prevedendo inoltre meccanismi per individuare e/o impedire tutte le anomalie operative, ossia l’impiego di elementi non noti e/o esplicitamente autorizzati.
I controlli della terza classe (ABSC 3) riguardano la protezione delle configurazioni hardware e software sui sistemi in uso presso l’organizzazione.
I controlli della quarta classe (ABSC 4) sono finalizzati ad individuare tempestivamente, e correggere, le vulnerabilità dei sistemi in uso, minimizzando la finestra temporale nella quale le vulnerabilità presenti possono essere sfruttate per condurre attacchi contro l’organizzazione.
I controlli della quinta classe (ABSC 5) sono rivolti alla gestione degli utenti, in particolare gli amministratori, ed hanno lo scopo di assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi sui sistemi in uso.
I controlli della sesta classe (ABSC 8) hanno lo scopo di contrastare l’ingresso e la diffusione nell’organizzazione di codice malevolo di qualsiasi provenienza.
I controlli della settima classe (ABSC 10) sono relativi alla gestione delle copie di sicurezza delle informazioni critiche dell’organizzazione, che in ultima analisi sono l’unico strumento che garantisce il ripristino dopo un incidente.
L’ottava ed ultima classe (ABSC 13) riguarda infine la protezione contro l’esfiltrazione dei dati dell’organizzazione, in considerazione del fatto che l’obiettivo principale degli attacchi più gravi è la sottrazione di informazioni.
La norma attuativa prevede che ciascuna Amministrazione debba non solo implementare i controlli rilevanti, ma anche dare brevemente conto della modalità di implementazione compilando un apposito modulo il quale andrà poi firmato digitalmente e conservato dall’Amministrazione stessa, salvo inviarlo al CERT-PA in caso di incidenti. Da notare infine che le Misure Minime richiedono che le Pubbliche Amministrazioni accedano sistematicamente a servizi di early warning che consentano loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza: a tal proposito il CERT-PA fornisce servizi proattivi ed informativi a tutte le amministrazioni accreditate.
