Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Il Perimetro di sicurezza cibernetica: la lunga strada per la protezione di reti e sistemi nazionali
Cosa significa la sua istituzione, come è stato individuato il Perimetro di sicurezza Cibernetica e quali conseguenze comporta.
Sebbene il Cyberspazio sia considerato “senza confini”, sono lontani gli anni in cui era percepito anche come luogo libero da bandiere e ostilità. Da quei primi anni della “internet libera”, agli attacchi informatici svolti per motivi di spavalderia e/o Cyber-attivismo si sono inizialmente aggiunti quelli perpetrati dalla criminalità organizzata per azioni di Cybercrime e infine quelli indirizzati alla cyberwarfare nello scontro fra attori Statali, senza dimenticare che gli attacchi informatici possono diventare in qualsiasi momento anche un mezzo di Cyber-terrorismo.
Proteggere quindi reti e sistemi connessi al World Wide Web (internet) è progressivamente diventato una priorità non più rimandabile; anzi, in relazione alle nuove tecnologie ed ai sistemi che le adottano, il tema della sicurezza informatica è da considerarsi un elemento intrinseco abilitante senza il quale saremmo di fronte ad un “gigante tecnologico con le ginocchia di argilla”. In Italia la definizione ed attuazione del Perimetro di Sicurezza Cibernetica è solo l’ultimo tassello in ordine temporale di un lungo percorso di organizzazione della Protezione Cyber e della sicurezza informatica per tutti gli operatori pubblici e privati e tutte le istituzioni del Bel Paese. Dunque, da spazio senza confini, l’ambito Cyber diventa una dimensione in cui si rende necessario definire un perimetro di sicurezza di carattere nazionale, per organizzarne protezione e difesa. Il concetto stesso di perimetro, come vedremo, ha una accezione diversa da singolo bordo geometrico di una sola entità Nazionale. Infatti, il Perimetro Nazionale consta della sommatoria dei perimetri infrastrutturali delle reti di tante singole organizzazioni chiamate ad essere parte attiva della protezione nel proprio ambito.
Un primo importante passo in ambito militare
Un primo e importante momento nella roadmap della legislazione dedicata alla protezione e sicurezza informatica è avvenuto in ambito militare. In parte anche per motivi di attribuzione ma soprattutto per poter attuare azioni di difesa militare nel Cyberspazio, il primo passaggio è stata la sua identificazione come quinto dominio della conflittualità nell’ambito degli accordi fra nazioni (Summit NATO Varsavia 2016) a cui sono seguiti progressivi investimenti fatti dell’agenzia NCIA per potenziare esperti e struttura organizzativa dedicata in modo da poter fronteggiare situazioni critiche. Ne sono un esempio il Cyber Security Collaboration Hub che a regime dovrebbe consentire lo scambio sicuro di informazioni fra tutti gli stati dell’alleanza e l’agenzia NCIA e il Cyber Operations Center concordato nel Summit di Bruxelles nel 2018. Esercitazioni periodiche annuali internazionali come il Locked Shields organizzato dal CcdCoe (Cooperative Cyber Defence Centre of Excellence) di Tallin sono invece eseguite per mantenere e accrescere la prontezza dei difensori nei singoli stati.
La regolamentazione Civile Europea
Di pari passo alla definizione del quinto dominio, sempre nel 2016, anche il comparto civile ed in particolare l’Unione Europea, si sono mossi per introdurre misure di protezione e prevenzione che potessero contribuire a fortificare anche le reti e i sistemi civili, interconnessi con Internet. Dopo una gestazione significativa è stata emanata la Direttiva NIS che insieme al successivo Cybersecurity Act traccia gli approcci e le modalità di gestione degli incidenti e della sicurezza informatica nel territorio dell’Unione. In egual misura al rafforzamento della sicurezza però, l’Europa ha voluto intervenire sulla privacy con il GDPR perché Sicurezza e Privacy possano essere due elementi paritetici. Ogni nazione Europea dunque ha dovuto procedere al recepimento della NIS e per la sua piena attuazione, avviare anche l’organizzare di una struttura nazionale Cyber.
Il perimetro di sicurezza nazionale
Senza addentrarci del dettaglio nella lunga serie di passi legislativi che hanno portato alla definizione del Perimetro di sicurezza cibernetica nazionale ricordiamo solo gli step principali della normativa italiana in tema di sicurezza informatica:
- DPCM del 24 gennaio 2013 che ha definito gli indirizzi per la protezione cibernetica e la sicurezza informatica, l’architettura istituzionale deputata alla sicurezza nazionale relativamente alle infrastrutture critiche informatizzate.
- Quadro strategico nazionale per la sicurezza dello spazio cibernetico ed il relativo Piano nazionale per la protezione cibernetica e la sicurezza informatica che hanno stabilito gli indirizzi strategici e quelli operativi per la messa in sicurezza delle attività̀ condotte nel cyber spazio.
- DPCM 17 febbraio 2017, Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali
- Decreto Legislativo 18 maggio 2018, n. 65, Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Per una rapida consultazione si consiglia di consultare la NIS in pillole.
- Decreto-Legge 21 settembre 2019, n. 105: disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica convertito, con modificazioni, nella legge 18 novembre 2019, n. 133.
L’ultimo decreto-legge/legge è quello che sancisce la creazione del Perimetro di Sicurezza Nazionale come insieme di reti e sistemi afferenti a tutti quegli operatori pubblici, privati e istituzionali che erogano servizi essenziali, il cui pregiudizio per incidente informatico possa comportare un problema di sicurezza nazionale (gli ambiti sono gli stessi della direttiva NIS). Su questa impostazione di sicurezza, fatta da un insieme di singoli che collettivamente contribuiscono alla protezione nazionale, il Ministro Lamorgese al recente Meeting Ambrosetti (6 settembre) ha dichiarato: “In questa nuova arena digitale, non ci possiamo permettere nessun anello debole: è sufficiente una singola vulnerabilità perché tutto il sistema diventi permeabile alla minaccia, mentre la condivisione di competenze, risorse, informazioni e best practices rafforza, in progressione esponenziale, la capacità di tutelare le nostre collettività”.
Con tale decreto viene richiesto di nominare i soggetti che rientrano nel Perimetro di Sicurezza Nazionale. Attenzione a non confondere tale lista con quella dei soggetti identificati come Operatori di servizi Essenziali (OSE) dalle Autorità competenti NIS. Tale elenco è secretato per ovvi motivi di sicurezza perché potrebbero essere considerati dei TARGET. La differenza è che questi soggetti non sono ancora formalmente nominati nel Perimetro di Sicurezza Nazionale.
Nel decreto sono trattati anche ruolo e organizzazione del Centro di Valutazione e Certificazione Nazionale (CVCN) a cui è richiesto di elaborare e adottare schemi di certificazione cibernetica, valutare il rischio e verificare le condizioni di sicurezza nonché l’assenza di vulnerabilità e di contribuire all’elaborazione delle misure di sicurezza. Per completare l’organico necessario al CVCN il DL prevede anche lo stanziamento di fondi per assunzione di nuovo personale specifico, il cui bando di selezione dei 70 esperti è stato pubblicato in Gazzetta Ufficiale ai primi di Agosto. I sistemi e apparati soggetti alle valutazioni del CVCN sono specificati con criteri tecnici e categorie di appartenenza. Ultimo ma non meno importante il ruolo del 5G trattato mediante adozione di poteri speciali (Golden Power) esercitabili dal Governo in settori ad alta intensità tecnologica (energia, trasporti e comunicazioni).
L’approccio introdotto dal DL 105 richiede ad ogni componente del Perimetro di Sicurezza Nazionale di attenersi alle indicazioni di protezione mediante analisi di rischio e di impatto sulla sicurezza dei propri sistemi e reti. Quindi ogni organizzazione è tenuta a identificare e mantenere una corretta postura di sicurezza e l’adozione di standard Ue e internazionali. Per ogni soggetto del Perimetro sono anche previsti obblighi di notifica degli incidenti e sanzioni in caso di inadempienze per tutte le prescrizioni previste. Sono inoltre individuati i soggetti preposti al controllo.
Le misure di sicurezza sono individuate nel Comma 3 lettera b e sono attinenti a:
- “Politiche di sicurezza, alla struttura organizzativa e alla gestione del rischio;
- mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza;
- protezione fisica e logica e dei dati;
- integrità delle reti e dei sistemi informativi;
- gestione operativa, ivi compresa la continuità del servizio;
- monitoraggio, test e controllo;
- formazione e consapevolezza;
- affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale.”
L’attuazione della disciplina del Perimetro di Sicurezza Cibernetica è stata articolata in due fasi: un primo passo per definire i criteri per l’identificazione dei servizi e l’elenco degli operatori, individuando anche i criteri per stabilire, predisporre e aggiornare l’elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica. Un secondo passo sarà invece dedicato alle specifiche per l’interazione con lo CSIRT Italia in occasione della notifica degli incidenti.
Lo Schema di D.P.C.M. in materia di Perimetro di Sicurezza Nazionale Cibernetica, che riguarda la fase uno è contenuta nell’Atto del Governo n.177 ed è tuttora soggetto all’esame della Commissione preposta e quindi passibile di eventuali variazioni. E’ stato anche predisposto un nuovo decreto che ha la forma di DPR centrato sulle procedura di valutazione del CVCN e dei CV, sulle categorie di tipologie di beni, sistemi e servizi ICT e sulle Ispezioni e verifiche dei controlli (Fonte StartMag).
Nel frattempo l’ultimo decreto semplificazioni legge 11 settembre 2020, n. 120 si dedica a temi correlati al Perimetro di Sicurezza Nazionale ed in particolare, all’articolo 31 tratta gli obblighi di comunicazione in caso di affidamento di forniture ricadenti nel Perimetro di Sicurezza Nazionale Cibernetica e all’articolo 32 introduce il Codice di condotta tecnologica che “disciplina le modalità di progettazione, sviluppo e implementazione dei progetti, sistemi e servizi digitali delle amministrazioni pubbliche, nel rispetto del principio di non discriminazione, dei diritti e delle libertà fondamentali delle persone e della disciplina in materia di Perimetro Nazionale di Sicurezza Cibernetica.” (capo 2). Per approfondimenti si veda anche il Dossier 275 della Camera.
Condividi l'articolo
MosaicRegressor: adesso il trojan si nasconde dentro UEFI
Gaming online: il vero “battle royale” è contro il cybercrime
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
