I molti passi avanti compiuti negli ultimi cinque anni fanno comprendere che la cyber security è finalmente assurta a priorità nelle agende politiche internazionali e si è giunti a un adeguato livello di awareness globale. Una panoramica sugli interventi dell’Europa e i provvedimenti attuati nel nostro Paese.
L’ultimo quinquennio è stato caratterizzato da un generalizzato aumento del livello di attenzione intorno al tema della cyber security. Da questione riservata a consessi tecnici ristretti, ha guadagnato il suo spazio all’interno delle agende di governi e istituzioni in tutto il mondo, come del resto era inevitabile alla luce della sempre più incombente “minaccia cibernetica“.
L’Italia, dal canto suo, ha compiuto recentemente alcuni significativi passi nella giusta direzione, uniformandosi al nuovo “sentiment” in tema di sicurezza cibernetica e recependo le linee di azione tracciate a livello europeo con i regolamenti e le direttive precedentemente analizzate.
Vediamo allora di seguito gli interventi più significativi in materia di cyber security in ambito europeo e nel nostro Paese, con una panoramica sui principali provvedimenti che hanno caratterizzato il panorama normativo cyber italiano negli ultimi cinque anni e gli elementi comuni attorno ai quali si è consolidata la strategia italiana.
LA CYBER SECURITY IN AMBITO G7
Non è un caso, ad esempio, che a margine del G7 dei ministri degli esteri e del G7 industria, entrambi tenutisi nel 2017 in Italia (rispettivamente a Lucca e a Torino), siano stati prodotti due documenti specificamente dedicati alla cyber security: il primo, datato 11 aprile 2017 ed intitolato “G7 Declaration On Responsible States Behavior In Cyberspace”, contiene una sorta di impegno condiviso alla cooperazione internazionale per la realizzazione di uno spazio cibernetico aperto, accessibile, affidabile e sicuro[2]; il secondo, datato 26 settembre 2017 ed intitolato “G7 Actions For Enhancing Cybersecurity For Businesses”, si concentra invece sull’individuazione di una serie di procedure condivise di risk management per rafforzare la resilienza dello spazio cibernetico in cui operano le imprese private.
Sulla stessa lunghezza d’onda, autorevoli voci del mondo politico e imprenditoriale come quella di Warren Buffet si sono spinte persino a dire che i rischi in ambito cyber saranno il principale problema dell’umanità di qui agli anni a venire, rappresentando essi ad oggi un territorio di fatto inesplorato e dal potenziale critico catastrofico per le infrastrutture informative degli Stati moderni.
LA DISCIPLINA EUROPEA SULLA CYBERSECURITY
I primi impulsi di natura regolamentare sul tema della cybersecurity si devono all’Unione europea, che a partire dal 2013 ha emanato una serie di provvedimenti che vanno nella direzione del rafforzamento della resilienza del proprio spazio cibernetico e identificano alcuni principi strategici, operativi e organizzativi per la gestione comune della minaccia cyber e lo sviluppo di risorse tecnologiche in grado di garantire un adeguato livello di difesa delle infrastrutture informative.
Gli interventi più significativi in tal senso sono:
- l’emanazione, in data 21 maggio 2013, del Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio, relativo all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA);
- l’adozione, in data 6 luglio 2016, della direttiva sulla sicurezza delle reti e dei sistemi informativi (meglio nota come “direttiva NIS” 2016/1148 del Parlamento europeo e del Consiglio), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;
- l’emanazione, in data 12 marzo 2019, del Regolamento del Parlamento europeo e del Consiglio che abroga il regolamento (UE) n. 526/2013 sull’ENISA, relativo alla certificazione della sicurezza cibernetica per le tecnologie dell’informazione e della comunicazione (conosciuto come “Cybersecurity Act“).
LA DIRETTIVA NIS
Con il Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n.132 del 9 giugno 2018, l’Italia ha dato attuazione alla Direttiva (UE) 2016/1148, cosiddetta Direttiva NIS (Network and Information Security). Il legislatore europeo nella redazione della direttiva non ha adottato un orientamento prescrittivo. Il testo infatti non pone delle misure obbligatorie minimali da seguire pedissequamente, ma indica gli obiettivi da raggiungere lasciando ai singoli soggetti un ampio margine di manovra nell’individuare e implementare mezzi e strumenti considerati idonei per il loro raggiungimento.
La Direttiva NIS affronta per la prima volta a livello europeo, il tema della cyber security e definisce le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi, Tale decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Gli FSD sono le persone giuridiche che forniscono servizi di e-commerce, cloud .Rientrano nella direttiva gli FSD con meno di 50 dipendenti e un fatturato o bilancio annuo inferiore a 50 milioni di euro.
Tanto gli OSE quanto gli FSD:
- devono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi;
- devono prevenire e minimizzare l’impatto degli incidenti di sicurezza delle reti e dei sistemi informativi;
- sono tenuti a notificare, senza giustificato ritardo, gli incidenti che hanno un impatto rilevante, sulla continuità e sulla fornitura del servizio informandone anche l’Autorità competente NIS.
Sono definite autorità competenti NIS i seguenti ministeri: Sviluppo economico, per i settori energia, infrastrutture digitali e per gli FSD; Infrastrutture e trasporti, per il settore dei trasporti; Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d‘Italia e Consob; Salute e infine Ambiente. Quale punto di contatto unico viene designato, in ragione del ruolo da esso svolto nell’architettura cyber italiana, il Dipartimento Informatico per la Sicurezza (DIS). Tale decisione è in linea con la disciplina precedente (legge n.124/2007 e 133/2012, e DPCM 17/02/2017) che ha da sempre visto tale ufficio svolgere un ruolo significativo nell’architettura cyber nazionale, cui compete assicurare: a livello nazionale, il coordinamento delle questioni relative alla sicurezza delle reti e dei sistemi informativi e, a livello europeo, il raccordo necessario a garantire la cooperazione trasnfrontaliera delle Autorità competenti NIS italiane con quelle degli Stati membri, con il Gruppo di cooperazione.
IL RUOLO DEI CSIRT
Ogni Stato dovrà designare uno o più CSIRT (Computer Security Incident Response Team) responsabili del monitoraggio degli incidenti a livello nazionale, fornendo allarmi tempestivi, avvisi ed annunci con lo scopo di diffondere informazioni utili su rischi e incidenti. Dovranno inoltre fornire analisi sui rischi e incidenti e aumentare il grado di consapevolezza. Fondamentale anche per il CSIRT è la cooperazione internazionale e l’information sharing. Al fine di garantire la cooperazione tra gli Stati membri, punto fondamentale della direttiva NIS, è stato istituito un gruppo di cooperazione (articolo 11 della Direttiva) composto dagli Stati membri, dalla Commissione e dall’ENISA (European Union for Network and Information Security Agency). Si tratta di una precisazione importante, volta a garantire un’applicazione armonizzata delle Direttive ed un trattamento uniforme di quei soggetti che operano in più Stati membri.
IL CYBERSECURITY ACT
Successivamente l’approvazione della Direttiva NIS nel 2016 – trasposta in Italia dal D.Lgs. 65/2018 – le istituzioni europee si apprestano ad adottare ulteriori misure volte a rafforzare la sicurezza cibernetica nell’Unione europea. La principale di queste misure consiste in un Regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICTe servizi digitali, e a rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act.
Tale regolamento sull’ENISA e sulla certificazione di Cybersecurity delle tecnologie dell’informazione e delle comunicazioni viene approvato il 12 marzo 2019 dal Parlamento europeo. Trattandosi di un Regolamento, una volta adottato ed entrato in vigore, sarà immediatamente applicabile in tutti gli Stati membri, senza ulteriori interventi attuativi da parte dei legislatori nazionali. In Italia ad oggi, l’OCSI (Organismo di Certificazione della Sicurezza Informatica), operante nell’ambito del ISCOM del Ministero dello Sviluppo Economico già certifica la sicurezza informatica di prodotti ICT secondo uno schema nazionale istituito dal DPCM del 30 ottobre 2003 ed è stato istituito il CVCN Centro di valutazione e certificazione nazionale a febbraio 2019 sempre presso il MISE.
Lo Schema nazionale, in conformità ai criteri europei ITSEC e ai Common Criteria, raccoglie l’insieme delle procedure e delle regole necessarie per la valutazione e certificazione di sistemi o prodotti ICT. Le procedure relative allo Schema nazionale sono descritte in modo specifico nelle Linee Guida Provvisorie.
Il processo di certificazione è costituito dal processo di valutazione e dalla fase di certificazione.
Il processo di valutazione è articolato in tre fasi distinte, denominate di preparazione, conduzione e di conclusione. Lo schema suddetto non si applica per i sistemi e prodotti che trattano informazione classificate. Per questo ambito esiste uno Schema nazionale separato, istituito dal DPCM 11 aprile 2002 recante lo “Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell’informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato’’. Tale schema prevede quale Ente di Certificazione (EC) l’Ufficio Centrare per la Sicurezza (UCSe). La valutazione di sicurezza secondo questo schema è di carattere obbligatorio, a differenza di quello civile gestito dall’OCSI, ed è sancita dall’art.65 del DPCM n.5 del 6 novembre 2015.
In Italia la situazione attuale della certificazione di sicurezza di prodotti ICT prevede due schemi di valutazione, uno nell’ambito civile gestito dall’OCSI, l’altro nell’ambito dei dati classificati, gestito dall’UCSe: entrambi fanno riferimento agli standard di valutazione internazionali Common Criteria e ITSEC/ITSEM e prevedono il riconoscimento delle certificazioni di sicurezza nell’ambito della comunità internazionale dei Paesi aderenti all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA).
Il Cybersecurity act intende rafforzare il ruolo dell’ENISA garantendole un mandato permanente e consentendole di svolgere non solo compiti di consulenza tecnica, come è stato fino ad ora, ma anche attività di supporto.
Una novità di particolare rilievo risiede nell’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali al fine di agevolare lo scambio degli stessi all’interno dell’Unione europea. L’ENISA è incaricata di redigere lo schema.
GLI INTERVENTI ITALIANI IN MATERIA DI CYBERSECURITY
L’Italia, dal canto suo, ha compiuto recentemente alcuni significativi passi nella giusta direzione, con il recepimento delle linee di azione tracciate a livello europeo attraverso i regolamenti e le direttive precedentemente analizzate.
I principali provvedimenti che hanno caratterizzato il panorama normativo cyber italiano nell’ultimo quinquennio sono:
- Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico (QSN), delineato con decreto del Presidente del Consiglio dei ministri del 27 gennaio 2014 e recante gli indirizzi strategici attraverso cui “perseguire l’accrescimento delle capacità del Paese di prevenire e rispondere in maniera compartecipata alle sfide poste dallo spazio cibernetico”;
- Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 (meglio noto come “Decreto Gentiloni”), recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali e dedicato nello specifico alla definizione della “architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali”;
- Piano nazionale per la protezione cibernetica e la sicurezza informatica, emanato a marzo 2017 dalla Presidenza del Consiglio dei Ministri in attuazione delle previsioni del Decreto Gentiloni ed in continuità con l’omologo Piano Nazionale del biennio 2014-2015, recante gli undici indirizzi operativi individuati per dare seguito alle linee strategiche contenute nei sopra citati documenti;
- Decreto Legislativo 18 maggio 2018, n. 65, in attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 6 luglio 2016 (direttiva NIS), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;
- Piano triennale per l’informatica nella Pubblica Amministrazione 2019-2021, redatto da AgID e approvato in data 12 marzo 2019 dal Ministro per la Funzione Pubblica Giulia Bongiorno, recante, in continuità con l’omologo Piano relativo al triennio precedente, le linee guida per gestire in maniera sicura e inclusiva il processo di trasformazione digitale della PA.
Per quanto si tratti di interventi destinati a target diversi e di conseguenza caratterizzati da approcci operativi differenti (in particolare, il Piano triennale per l’informatica nella PA di AgID è genericamente dedicato alla digitalizzazione nella PA e riserva uno spazio limitato alla sicurezza informatica), è possibile identificare alcuni elementi e principi comuni a tutti i predetti provvedimenti, intorno ai quali le istituzioni italiane sembrano aver coerentemente fondato la propria strategia di gestione e difesa dello spazio cibernetico.
Potenziamento e razionalizzazione dell’architettura nazionale cyber:
Quadro Strategico, Decreto Gentiloni e Piano Nazionale sono incentrati sulla individuazione di una serie di standard operativi ed organizzativi che consentano una gestione coordinata, efficiente ed integrata del processo di protezione dello spazio cibernetico nazionale. La attuale configurazione della architettura nazionale cyber, cui si è giunti dopo una serie di interventi tesi a razionalizzarne la struttura inizialmente delineata nel 2013, presenta una semplificazione delle procedure ordinarie e straordinarie di gestione delle attività, una rimodulazione degli Organi che fanno parte del sistema di protezione e una complessiva contrazione della “catena di comando” deputata alla gestione delle crisi.
Fra le novità introdotte dal Piano Nazionale del 2017, particolare interesse riveste l’ampliamento dei poteri del Nucleo per la Sicurezza Cibernetica (NSC), cui viene riservata una collocazione centrale nella catena di governance della architettura nazionale. Il Nucleo, composto da rappresentanti dei ministeri principali, delle agenzie di intelligence, del Dipartimento della protezione civile e dell’Agenzia per l’Italia digitale, viene ricondotto all’interno del DIS e gli viene attribuita la funzione di coordinamento fra i vari attori che lo compongono sia nello svolgimento dell’attività ordinaria sia in occasione della risposta agli eventi cibernetici significativi per la sicurezza nazionale.
Incentivazione della cooperazione tra istituzioni ed imprese nazionali e promozione dell’interazione fra soggetti pubblici e privati:
Il modello di partnership pubblico – privato rappresenta uno dei punti cardine di ogni approccio normativo italiano ed europeo in materia cibernetica: a partire dalla direttiva NIS, che dedica ai soggetti privati la specifica classificazione in FSD (fornitori di servizi digitali) e OSE (operatori di servizi essenziali), è presente nel legislatore la consapevolezza che la minaccia cyber va affrontata in maniera organica attraverso la cooperazione fra istituzioni e imprese nazionali.
La validità di questo principio è definitivamente sancita all’interno dell’ultimo provvedimento in ordine di tempo fra quelli precedentemente menzionati, ossia il Piano triennale per l’informatica nella PA 2019-2021, che pur non essendo specificamente dedicato alla sicurezza trova modo di ribadire l’assoluta apertura al mercato per lo sviluppo di soluzioni tecnologiche innovative (cosiddetto paradigma della open innovation): coinvolgere nella maniera più ampia possibile il mondo imprenditoriale nel processo di rafforzamento e miglioramento delle strutture significa, da parte dei soggetti pubblici, riconoscere un proprio limite tecnico ed operativo e cercare supporto laddove le risorse e le competenze più avanzate sono concentrate. Quanto appena detto assume rilevanza ancor maggiore in un ambiente altamente complesso, sofisticato ed in continua evoluzione come quello cyber, per la cui gestione è di fatto impossibile e non conveniente immaginare una soluzione esclusivamente interna (ossia che non faccia ricorso alle expertise presenti sul mercato).
Rafforzamento della cultura della sicurezza cibernetica ad ogni livello (organizzazioni pubbliche e private):
Pur correndo il rischio di sconfinare nel campo della retorica, non si può non sottolineare che la cyber security è materia con significative implicazioni di tipo culturale e comportamentale, come si prova a dimostrare anche in una recente pubblicazione di ENISA. Allo stesso modo, l’imprescindibilità di un innalzamento capillare del livello delle competenze e delle conoscenze di base in materia cyber all’interno di una strategia di protezione e gestione dello spazio cibernetico che voglia essere efficace è un elemento incontrovertibile: fin dal “Italian Cyber Security Report 2014”, AgID individuava nella mancata consapevolezza della minaccia cyber (quest’ultima particolarmente carente soprattutto nell’ambito della PA) uno dei maggiori aspetti inibitori della capacità difensiva del nostro Paese.
La medesima centralità viene riservata a questo aspetto dal Piano nazionale per la protezione cibernetica e la sicurezza informatica, all’interno del quale l’indirizzo operativo 3 viene intitolato “Promozione e diffusione della cultura della sicurezza informatica. Formazione ed addestramento”. Un paragrafo tratto dallo stesso documento chiarisce ancora meglio il concetto: “La formazione e l’addestramento nel settore della sicurezza informatica sono stati, fino ad oggi, orientati prevalentemente al personale specialistico che opera o che è destinato ad operare nel settore. Si pone, pertanto, l’esigenza di un’attività di promozione della cultura della sicurezza informatica diretta ad un ampio pubblico, che includa privati cittadini e personale, sia delle imprese che della Pubblica Amministrazione”.
Per comprendere l’importanza dell’elemento culturale, basta pensare ad uno dei tanti trend tecnologici in atto in ambito digitale, ossia quello della migrazione verso il cloud di massicce moli di dati precedentemente conservate nei data center aziendali, con conseguente allargamento del perimetro di esposizione alle minacce: tale processo determina la distribuzione dei compiti e delle responsabilità di protezione fra i fornitori di servizi cloud e un elevato numero di utilizzatori dei servizi, alcuni dei quali non in possesso delle conoscenze per operare in maniera conforme con gli standard minimi di sicurezza. Virtualmente ogni addetto aziendale, tramite il proprio endpoint, ha accesso a documenti ed informazioni conservate in cloud che rivestono un’importanza vitale per l’impresa. E’ pertanto evidente come solo attraverso la promozione e la diffusione della cultura e della consapevolezza dei rischi e delle minacce informatiche fra la miriade di end-user si possa garantire un adeguato livello di difesa dei nuovi sistemi cibernetici altamente interconnessi.
CONCLUSIONI
Il progresso tecnologico porta tipicamente con sé un aumento della complessità. Questo vale anche per lo spazio cyber, dove la rapida evoluzione delle superfici e delle modalità di attacco renderà l’attività di protezione delle infrastrutture informative sempre più gravosa negli anni a venire. L’unica risposta possibile a questa generalizzata crescita delle capacità e delle risorse di singoli e gruppi di malintenzionati è di natura proattiva e collaborativa: nessuno può sentirsi infatti al riparo dalla minaccia cibernetica, perché maggiore connettività significa inevitabilmente maggiore interdipendenza fra gli attori. L’innovazione tecnologica, così come offre nuove opportunità e strumenti agli offendenti, può anche essere messa al servizio degli apparati di difesa. Ma ciò va fatto attraverso uno sforzo condiviso e coordinato a livello internazionale.
Ad una minaccia globale non si può che rispondere in maniera globale: governi, istituzioni, grandi imprese e organizzazioni internazionali devono impegnare il meglio delle loro competenze contro il nemico comune, cercando di imporre i principi della cyber security alla base (by default e by design) di ogni nuovo progetto di sviluppo tecnologico, semplificando il più possibile la vita degli utilizzatori finali delle tecnologie stesse. A giudicare dalle numerose iniziative intraprese in tal senso, sembra si possa affermare che questo processo virtuoso si sia messo in moto e che la cosiddetta awareness in tema di sicurezza informatica stia velocemente raggiungendo il livello auspicabile.