E' uscita di recente la nuova "direttiva recante indicazioni per la protezione cibernetica e la sicurezza informatica nazionali".
Occorreva una nuova norma?
Direi di si.
Vediamo di capire cosa c'è di nuovo e di fare alcune considerazioni personali di carattere generale.
La
"Direttiva recante indirizzi per la protezione cibernetica e la
sicurezza informatica nazionali" è ora Decreto della Presidenza del
Consiglio dei Ministri, emanato il 17 febbraio 2017 e pubblicato in
Gazzetta Ufficiale, serie generale nel numero 87 del 13 aprile 2017.
Quale è il suo scopo?
In primo luogo aggiornare la normativa preesistente risalente a quattro
anni fa (DPCM 24 gennaio 2013), quindi "ricondurre a sistema e
unitarietà le diverse competenze coinvolte nella gestione della
situazione di crisi..." nel campo cyber, la cui mancanza (di unitarietà!) è evidentemente origine della difficoltà nel
dare risposte ad un eventuale attacco informatico verso una o più
infrastrutture critiche nazionali.
L'articolo
1 ci introduce all'argomento indicando l'oggetto della Direttiva
(architettura istituzionale deputata alla tutela della sicurezza
nazionale relativamente alle infrastrutture critiche materiali e
immateriali...) e i principali soggetti interessati (principalmente Ministero
dello Sviluppo Economico, Agenzia per l'Italia Digitale, Ministero della
Difesa e Ministero dell'Interno).
E'
interessante l'articolo 2 in cui si raccolgono le definizioni più
importanti per il campo cyber. Necessarie, senza ombra di dubbio, anche
se non tutte personalmente condivisibili. Parlo in particolare della definizione di
"spazio cibernetico" e delle conseguenze che questa può avere nella
analisi del rischio cyber.
Iniziamo con la definizione del DPCM.
Iniziamo con la definizione del DPCM.
"Spazio
cibernetico: l'insieme delle infrastrutture informatiche interconnesse,
comprensivo di hardware, software, dati e utenti, nonché delle
relazioni logiche, comunque stabilite, tra di essi".
Ora prendiamo alcune delle definizioni di Cyberspace adottate dalle nazioni più avanzate nel settore: USA e RUSSIA.
- USA: The notional environment in which communication over computer networks occurs;
- RUSSIA: A sphere of activity within the information space, formed by a set of communication channels of the internet and other telecommunications networks, the technological infrastructure to ensure their functioning, and any form human activity on them (individual, organizational, state);
Queste
definizioni sono tratte dal sito del NATO Cooperative Cyber Defence
Centre of Excellence che si trova a Tallin, in Estonia
(https://ccdcoe.org/cyber-definitions.html).
Ora,
consideriamo la definizione della Russia: è facile notare che, oltre a
parlare di rete internet e di canali di comunicazione, fa
riferimento alle "infrastrutture tecnologiche che permettono il
funzionamento delle reti di comunicazioni", infrastrutture non comprese
né nella definizione USA né in quella italiana.
A mio parere la mancanza di questo riferimento potrebbe indurre in errore chi è interessato a sviluppare l'analisi del rischio cyber di una infrastruttura critica, per esempio inducendolo a non considerare la centrale elettrica che alimenta un data center critico.
Certamente questo è solo un banale esempio, ma a volte le banalità possono fare la differenza!
A mio parere la mancanza di questo riferimento potrebbe indurre in errore chi è interessato a sviluppare l'analisi del rischio cyber di una infrastruttura critica, per esempio inducendolo a non considerare la centrale elettrica che alimenta un data center critico.
Certamente questo è solo un banale esempio, ma a volte le banalità possono fare la differenza!
Altra
definizione a mio parere incompleta è quella che parla di "evento
cibernetico".
Secondo la direttiva un evento cibernetico è un "avvenimento significativo, di natura volontaria o accidentale, consistente nell'acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi".
Secondo la direttiva un evento cibernetico è un "avvenimento significativo, di natura volontaria o accidentale, consistente nell'acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi".
Anche
in questo caso, a mio parere, manca qualcosa: come potremmo infatti
inquadrare un evento come quello conosciuto col nome di "Stuxnet", con
cui Stati Uniti e Israele (per quanto si sa) hanno sabotato la centrale
nucleare iraniana di Natanz?
Il virus in questo caso ha danneggiato le centrifughe, ha cioè agito contro un elemento che non fa parte di alcuna rete informatica, eppure non si può non considerare tale evento come "attacco cyber".
Il virus in questo caso ha danneggiato le centrifughe, ha cioè agito contro un elemento che non fa parte di alcuna rete informatica, eppure non si può non considerare tale evento come "attacco cyber".
Ecco
due esempi che fanno capire l'importanza dell'adozione di idonea
normativa e di corrette definizioni.E' chiaro che si tratta di punti di
vista e che metterli in evidenza serve esclusivamente a creare
consapevolezza e diffondere la conoscenza.
Per cui, benvenuto al DPCM che comunque fa chiarezza!
Per cui, benvenuto al DPCM che comunque fa chiarezza!
Ma andiamo oltre.
L'articolo
3 illustra i compiti attribuiti al Presidente del Consiglio dei
Ministri, "responsabile della politica generale del Governo e vertice
del Sistema di informazione per la sicurezza della Repubblica, ai fini
della tutela della sicurezza nazionale anche nello spazio cibernetico".
Il
Presidente del Consiglio si avvale del Comitato interministeriale per
la sicurezza della Repubblica (CISR) per la definizione del quadro
strategico nazionale per la sicurezza dello spazio cibernetico.
E'
interessante, in questo contesto, il richiamo al quadro strategico
nazionale che contiene le "tendenze evolutive delle minacce e delle
vulnerabilità dei sistemi e delle reti di interesse nazionale, la
definizione dei ruoli e dei compiti dei diversi soggetti, pubblici e
privati, e di quelli nazionali operanti al di fuori del territorio del
Paese, [..] strumenti e delle procedure con cui perseguire
l'accrescimento della capacità del Paese di prevenzione e risposta
rispetto ad eventi nello spazio cibernetico, anche in un'ottica di
diffusione della cultura della sicurezza".
E'
sempre il PCM (su delibera del CISR) che adotta il "Piano nazionale per
la protezione cibernetica e la sicurezza informatica" contenente
obiettivi e linee d'azione coerenti con il quadro strategico nazionale.
L'articolo
4 tratta del CISR, in particolare il comma f. recita: "esercita l'alta
sorveglianza sull'attuazione del Piano nazionale per la sicurezza dello
spazio cibernetico".
L'articolo
5 introduce il CISR tecnico, come organismo di supporto al CISR,
presieduto del Direttore Generale del Dipartimento per le Informazione
per la Sicurezza (DIS), e finalmente si entra nel vivo! E' proprio qui
sta la grande novità infatti.
Le specifiche attribuzioni al DIS sono meglio specificate nell'articolo 6. Infatti
proprio
il DIS, nella figura del suo direttore generale, viene individuato dal
DPCM come colui che "adotta le iniziative idonee a definire le
necessarie linee di azione di interesse generale".
Lo
scopo delle linee d'azione è quello di "innalzare e migliorare i
livelli di sicurezza dei sistemi e delle reti...", in previsione delle
necessarie azioni di contrasto e risposta ad una eventuale "crisi
cibernetica da parte delle amministrazioni ed enti pubblici e degli
operatori privati...".
In
pratica al DIS viene dato mandato di coordinare le azioni di contrasto e
risposta ad attacchi cyber in Italia. Concetto chiaramente espresso
nell'articolo 7 comma 2, in cui si dice che il Direttore del DIS cura il
coordinamento delle attività di ricerca informativa finalizzate a
rafforzare la protezione cibernetica e la sicurezza informatica in
Italia.
L'articolo
8 introduce il "nucleo per la sicurezza cibernetica", costituito
permanentemente presso il DIS per gli aspetti di prevenzione e
preparazione alle situazioni di crisi e "per l'attivazione delle
procedure di allertamento". Tale nucleo è presieduto da un vice
direttore generale del DIS ed è composto dal consigliere militare e dai
rappresentanti di:
- DIS;
- AISE;
- AISI;
- Ministero degli affari esteri;
- Ministero dell'interno;
- Ministero della difesa;
- Ministero della giustizia;
- Ministero dello sviluppo economici;
- Ministero dell'economia e delle finanze;
- Dipartimento della protezione civile;
- Agenzia per l'Italia digitale;
- Ufficio centrale per la segretezza.
Il
nucleo, a mente dell'articolo 9, svolge funzioni di "raccordo tra le
diverse componenti dell'architettura istituzionale che intervengono a
vario titolo nella materia della sicurezza cibernetica, in particolare
mantiene attiva l'unità per l'allertamento e la risposta a situazioni di
crisi, unità attiva h24, 7 giorni su 7.
L'articolo
10 stabilisce composizione e compiti del Nucleo in caso di emergenza
cyber, con particolare riferimento al coordinamento che deve porre in
essere per la reazione e stabilizzazione. Nel comma 3 si dice che si
avvale, per le sue attività tecniche, del CERT nazionale del Ministero
dello sviluppo economico e del CERT PA dell'Agenzia per l'Italia
digitale. E in questo caso mi trovo perfettamente d'accordo sulla
necessità di unire le forze (e le risorse)!
L'articolo
11 impone agli operatori privati una serie di regole. Tra queste vi è
l'obbligo di comunicare "ogni significativa violazione della sicurezza e
dell'integrità dei propri sistemi informatici" e l'obbligo di
collaborare alla gestione delle crisi cibernetiche contribuendo al
ripristino della funzionalità dei sistemi e delle reti da essi gestiti.
Sulla denuncia delle violazioni probabilmente non avverrà niente di
sostanziale in quanto non è definita in alcun modo la "significatività"
di un evento cibernetico, ciò comporta che ognuno valuta come vuole,
invece è molto importante il fatto che gli operatori privati debbano
collaborare, anche mettendo a disposizione i "Security Operation Center"
aziendali.
Sempre
l'articolo 11, al comma 2, indica come competenza del Ministero dello
Sviluppo Economico il promuovere "l'istituzione di un centro di
valutazione e certificazione nazionale per la verifica delle condizioni
di sicurezza e dell'assenza di vulnerabilità...", compito a mio parere più
adatto al Ministero dell'Università e della Ricerca, sotto la
supervisione del DIS.
Per finire, diamo uno sguardo all'articolo 13, disposizioni transitorie e finali.
Il
comma 1 da una chiara idea di come il problema cyber sia sentito a
livello governativo, infatti il comma 1 recita: "Dal presente decreto
non derivano nuovi oneri a carico del bilancio dello Stato".
Mi viene un dubbio: che sia tutto uno scherzo?
Non credo, infatti, che l'articolo 13, comma 1, sia compatibile con tutto quanto detto prima!
Alessandro RUGOLO
Immagine tratta da: https://www.sicurezzanazionale.gov.it/sisr.nsf/chi-siamo/organizzazione.html
Nessun commento:
Posta un commento