Lo schema di disegno di legge sul perimetro di sicurezza nazionale cibernetica è una vera pietra miliare nell’architettura nazionale di sicurezza cyber. Dalla forza che sapremo imprimere alla realizzazione di quanto riportato nella legge dipenderà il “balzo in avanti” della industria nazionale del settore delle tecnologie per la sicurezza cyber, ma anche il “balzo in avanti” delle infrastrutture nella consapevolezza e nell’attenzione alla sicurezza e nel completamento di posture di security by design.
Un nuovo assetto di cyber security
Innanzi tutto, la legge individua operatori pubblici e privati da cui dipende l’esercizio di una funzione essenziale per lo Stato ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione anche parziali o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale: sono operatori di infrastrutture critiche a tutti gli effetti, seppur definiti con termini differenti, ma con evidente citazione delle normative esistenti sul tema, sia nazionali che europee. Definisce inoltre che l’esercizio di tale funzione o la prestazione di tale servizio dipenda da reti sistemi informativi e servizi informatici, perimetrando alle infrastrutture informatizzate il bacino di analisi.
L’articolo 1 comma 3.b definisce l’insieme delle misure che saranno adottate per richiedere elevati livelli di sicurezza delle reti dei sistemi informativi e dei sistemi informatici.
Il CVCN, centro di valutazione e certificazione nazionale, istituito presso il MISE contribuisce alla redazione di tali misure e viene chiamato a valutare, nel caso di acquisti di tecnologie estere per beni e servizi ICT, l’opportunità di effettuare test su software o hardware. Il CVCN inoltre può elaborare e adottare schemi di certificazione cibernetica.
In linea con l’architettura nazionale cyber, individuata a partire da vari riferimenti normativi nazionali (tra cui la L. 124/2007, il DPCM 17 febbraio 2017, il Piano Nazionale per la Protezione Cibernetica e la Sicurezza Cibernetica, D. Lgs. 65/2018) ed europei (in particolare la Direttiva NIS e il Cyber Security Act), nello Schema di disegno di legge, tra le tante cose, vengono dettagliati alcuni aspetti che si propongono come fondamento di un nuovo assetto di cyber security. Tra questi, vi sono i seguenti:
- Emanazione di un DPCM, adottato su proposta del CISR, che individui le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati che svolgono un servizio essenziale che dipende da reti, sistemi informativi e servizi informatici;
- Emanazione di un DPCM in merito a) alla definizione delle procedure per la segnalazione e la notifica al CSIRT degli incidenti aventi un impatto su reti, sistemi informativi e servizi informatici; b) all’individuazione delle misure volte a garantire elevati livelli di sicurezza relativa a tutta la gestione del processo della sicurezza delle informazioni;
- Definizione dei ruoli e dei compiti di alcune strutture e organizzazioni centrali nel nuovo panorama di sicurezza, come ad esempio il CVCN, soprattutto per il test di apparati e sistemi considerabili come “critici”.
Tutto lo schema rientra in un progetto di innalzamento della sicurezza cyber in Italia e di valorizzazione dell’industria nazionale. E’ complementare alla norma sulla Golden Power che pure sta vedendo la proposta di una serie di emendamenti interessanti, e con essa completa il quadro di postura nazionale per la sicurezza.
Il tema delle certificazioni di prodotto
Il ruolo del CVCN è particolarmente apprezzabile: è perfettamente in linea a quanto espresso dal Cyber Security Act europeo, costituisce l’elemento di “balzo in avanti” e rafforza il tema delle certificazioni di prodotto fino ad oggi poco recepito sia in Italia che all’estero.
Fin dal 1995 esiste in Italia una struttura per la certificazione della sicurezza di sistemi/prodotti ICT, ma tale struttura, denominata Schema Nazionale, è utilizzabile esclusivamente nell’ambito della sicurezza nazionale (sistemi/prodotti ICT che trattano informazioni classificate). Con il DPCM del 30 ottobre 2003 è stato istituito un secondo Schema Nazionale il quale, essendo stato previsto per un’applicazione al di fuori del contesto della sicurezza nazionale, è idoneo a fornire servizi di certificazione a tutti i settori pubblici e privati che non afferiscono a tale contesto. Sia lo Schema del 1995, aggiornato con il DPCM dell’11 aprile 2002 (che ha esteso l’obbligatorietà della certificazione ai sistemi/prodotti ICT non militari e ha previsto la possibilità di utilizzare i Common Criteria in aggiunta ai criteri ITSEC), sia lo Schema del 2003 sono stati definiti secondo quanto previsto dalle normative internazionali nell’ambito della certificazione di sistema/prodotto ICT. In particolare la struttura degli Schemi è fortemente condizionata da alcune caratteristiche degli standard di riferimento (Common Criteria ed ITSEC).
L’utilità primaria della valutazione/certificazione della Sicurezza di un sistema/prodotto secondo le regole dello Schema è quella di fornire una stima del livello di sicurezza secondo standard condivisi da tutti i soggetti coinvolti e di garantire che tale stima venga eseguita da una terza parte indipendente rispetto ai soggetti stessi. Lo Schema riconosce gli accordi internazionali sull’interpretazione delle norme dei suddetti standard.
L’importanza della certificazione si basa sulla opinione largamente diffusa che le garanzie concernenti l’adeguatezza, la qualità e l’efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, quali quelli operanti all’interno di uno Schema Nazionale.
Il garantire un elevato livello di sicurezza ICT alle infrastrutture sia pubbliche, sia appartenenti al settore privato, è considerato un fattore abilitante per lo sviluppo economico e sociale di un Paese economicamente e socialmente avanzato. Per tale motivo, assume una rilevanza notevole l’individuazione e la realizzazione di una strategia di diffusione della fiducia negli strumenti ICT utilizzati per la realizzazione dei suddetti servizi e, quindi, nello sviluppo e nella diffusione della certificazione di sicurezza effettuata in modo indipendente e imparziale.
Le conseguenze dell’approvazione del decreto
L’approvazione del decreto potrebbe rappresentare, come più volte ricordato, il primo vero momento di diffusione delle buone pratiche di security by design e by default.
Le conseguenze della approvazione di questa legge saranno numerose. Alla PA si chiederà un nuovo sforzo di cambio di mentalità e un forte impegno nello studio di soluzioni sostenibili e intelligenti per promuovere il progresso, la tecnologia, lo sviluppo, la sicurezza.
Le nostre infrastrutture critiche sono già attive da decenni sul tema della sicurezza: è auspicabile che questo provvedimento dia loro una ulteriore mano nella direzione intrapresa e consenta l’allineamento alle best practice anche delle aziende non critiche o medio piccole.
E’ anche evidente che ci saranno degli impatti nelle tempistiche e nei costi degli approvvigionamenti. La certificazione è stata fino ad oggi interpretata come un vantaggio indubbio, ma costoso e lungo da realizzare. Inoltre essa ha una valenza, soprattutto nel caso dei prodotti e sistemi, limitata alle minacce note e alle configurazioni di test.
Reso evidente che non ci possiamo aspettare miracoli nel superamento di tali intrinseci aspetti, dovremo tutti, a livello europeo, studiare approfonditamente le soluzioni più brillanti, efficaci ed efficienti per raggiungere il risultato di controllare i prodotti e i sistemi, come facciamo per i processi, affidandoci a organismi di parte terza riconosciuti. Il tema non è banale, ma l’Italia ha una forte esperienza in tal senso e il MISE ha già all’attivo numerose certificazioni sugli schemi esistenti, nonostante siano affetti dai limiti illustrati.