Traduttore automatico - Read this site in another language

Visualizzazione post con etichetta cyber space. Mostra tutti i post
Visualizzazione post con etichetta cyber space. Mostra tutti i post

domenica 4 febbraio 2018

Cina: Strategia Nazionale per la sicurezza del Cyberspace

Nel mese di dicembre del 2016 la Cina ha reso pubblica la strategia nazionale
del settore cyber attraverso la pubblicazione di un documento di alto livello chiamato per l'appunto "Strategia Nazionale per la sicurezza del Cyberspace". 
Sul sito della USITO (United States Information Technology Office) è possibile trovare qualche riferimento. Partendo da li diamo dunque uno sguardo veloce al documento pubblicato integralmente sul sito del "Cyberspace Administration of China", l'organismo governativo che sovrintende il settore.
Il documento, dopo le dichiarazioni di principio sullo sviluppo della società cinese in relazione al nuovo dominio del cyberspace, inizia analizzando le opportunità offerte dal cyberspace, in particolare il cyberspace è visto come un nuovo dominio attraverso il quale è possibile:
- la diffusione di informazioni;
- sviluppare idee, produrre e vivere;
- favorire lo sviluppo economico;
- favorire lo sviluppo culturale;
- partecipare alla vita sociale e alla governance del Paese;
- favorire la cooperazione globale.
Tra le opportunità è stato inserito anche un punto che più che altro è una affermazione, si parla infatti del nuovo dominio e della sovranità nazionale su di esso. E' detto infatti che il cyberspace è una area di interesse di importanza pari ai domini classici (terra, mare, cielo e spazio). Viene affermato che la sovranità dello Stato si estende anche sul cyberspazio.
Alle opportunità segue l'elencazione delle sfide legate al nuovo dominio e i pericoli intrinseci a:
- sicurezza politica;
- sicurezza economica;
- sicurezza culturale;
- nuove forme di terrorismo e criminalità;
- competizione internazionale sul controllo delle risorse cyber;
Nel testo, tra le sfide, si può trovare un interessante riferimento alla funzione della Cina e all'uso del cyberspace per la salvaguardia della pace mondiale.
Il documento afferma che l'obiettivo della Cina è quello di promuovere il cyberspace in modo pacifico, sicuro, aperto, cooperativo e ordinato, salvaguardando la sovranità nazionale, la sicurezza e gli interessi di sviluppo nazionale.
Il principio alla base della strategia nazionale per la sicurezza del Cyberspace consiste nel garantire che il nuovo "dominio" sia sicuro, stabile  e prospero e in tal senso la Cina dichiara di essere disponibile a collaborare con tutti gli altri paesi del mondo per intensificare la comunicazione, ampliare il consenso, approfondire la cooperazione e promuovere attivamente la riforma del sistema globale di governance di Internet in modo da salvaguardare congiuntamente la pace e la sicurezza. Questo, anche perché la Cina è il paese più popoloso nel mondo e con il maggior numero di persone e aziende collegate alla rete Internet.
Ora, qui mi fermo. Non perché il documento sia terminato ma perché vorrei mettere in evidenza una enorme discrepanza tra ciò che afferma il documento di policy cinese (peraltro praticamente sconosciuto nel mondo occidentale) e quanto invece si sente dire ogni giorno dalla propaganda ovvero che Cina e Russia sono i maggiori pericoli del Cyberspace.
Dove sta la verità?
Forse, come al solito, nel mezzo.
In ogni caso mi piace pensare che anche un piccolo articolo come questo possa in qualche modo aumentare la consapevolezza e la conoscenza del cyberspace.
 
Alessandro RUGOLO

Per approfondire:
- http://www.usito.org/news/china-publishes-first-national-cybersecurity-strategy;
- http://www.cac.gov.cn/2016-12/27/c_1120195926.htm

martedì 20 giugno 2017

Novità sul fronte Cyber: pubblicato il DPCM 17 febbraio 2017


E' uscita di recente la nuova "direttiva recante indicazioni per la protezione cibernetica e la sicurezza informatica nazionali".
Occorreva una nuova norma?
Direi di si.

Vediamo di capire cosa c'è di nuovo e di fare alcune considerazioni personali di carattere generale.

La "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali" è ora Decreto della Presidenza del Consiglio dei Ministri, emanato il 17 febbraio 2017 e pubblicato in Gazzetta Ufficiale, serie generale nel numero 87 del 13 aprile 2017.

Quale è il suo scopo?

In primo luogo aggiornare la normativa preesistente risalente a quattro anni fa (DPCM 24 gennaio 2013), quindi "ricondurre a sistema e unitarietà le diverse competenze coinvolte nella gestione della situazione di crisi..." nel campo cyber, la cui mancanza (di unitarietà!) è evidentemente origine della difficoltà nel dare risposte ad un eventuale attacco informatico verso una o più infrastrutture critiche nazionali.

L'articolo 1 ci introduce all'argomento indicando l'oggetto della Direttiva (architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali...) e i principali soggetti  interessati (principalmente Ministero dello Sviluppo Economico, Agenzia per l'Italia Digitale, Ministero della Difesa e Ministero dell'Interno).

E' interessante l'articolo 2 in cui si raccolgono le definizioni più importanti per il campo cyber. Necessarie, senza ombra di dubbio, anche se non tutte personalmente condivisibili. Parlo in particolare della definizione di "spazio cibernetico" e delle conseguenze che questa può avere nella analisi del rischio cyber.
Iniziamo con la definizione del DPCM. 
"Spazio cibernetico: l'insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati e utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi".

Ora prendiamo alcune delle definizioni di Cyberspace adottate dalle nazioni più avanzate nel settore: USA e RUSSIA.

- USA: The notional environment in which communication over computer networks occurs;

- RUSSIA: A sphere of activity within the information space, formed by a set of communication channels of the internet and other telecommunications networks, the technological infrastructure to ensure their functioning, and any form human activity on them (individual, organizational, state);

Queste definizioni sono tratte dal sito del NATO Cooperative Cyber Defence Centre of Excellence che si trova a Tallin, in Estonia (https://ccdcoe.org/cyber-definitions.html).

Ora, consideriamo la definizione della Russia: è facile notare che, oltre a parlare di rete internet e di canali di comunicazione, fa riferimento alle "infrastrutture tecnologiche che permettono il funzionamento delle reti di comunicazioni", infrastrutture non comprese né nella definizione USA né in quella italiana.
A mio parere la mancanza di questo riferimento potrebbe indurre in errore chi è interessato a sviluppare l'analisi del rischio cyber di una infrastruttura critica, per esempio inducendolo a non considerare la centrale elettrica che alimenta un data center critico.
Certamente questo è solo un banale esempio, ma a volte le banalità possono fare la differenza!

Altra definizione a mio parere incompleta è quella che parla di "evento cibernetico".
Secondo la direttiva un evento cibernetico è un "avvenimento significativo, di natura volontaria o accidentale, consistente nell'acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi".
Anche in questo caso, a mio parere, manca qualcosa: come potremmo infatti inquadrare un evento come quello conosciuto col nome di "Stuxnet", con cui Stati Uniti e Israele (per quanto si sa) hanno sabotato la centrale nucleare iraniana di Natanz?
Il virus in questo caso ha danneggiato le centrifughe, ha cioè agito contro un elemento che non fa parte di alcuna rete informatica, eppure non si può non considerare tale evento come "attacco cyber".

Ecco due esempi che fanno capire l'importanza dell'adozione di idonea normativa e di corrette definizioni.E' chiaro che si tratta di punti di vista e che metterli in evidenza serve esclusivamente a creare consapevolezza e diffondere la conoscenza.
Per cui, benvenuto al DPCM che comunque fa chiarezza!

Ma andiamo oltre.

L'articolo 3 illustra i compiti attribuiti al Presidente del Consiglio dei Ministri, "responsabile della politica generale del Governo e vertice del Sistema di informazione per la sicurezza della Repubblica, ai fini della tutela della sicurezza nazionale anche nello spazio cibernetico".
Il Presidente del Consiglio si avvale del Comitato interministeriale per la sicurezza della Repubblica (CISR) per la definizione del quadro strategico nazionale per la sicurezza dello spazio cibernetico.

E' interessante, in questo contesto, il richiamo al quadro strategico nazionale che contiene le "tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale, la definizione dei ruoli e dei compiti dei diversi soggetti, pubblici e privati, e di quelli nazionali operanti al di fuori del territorio del Paese, [..] strumenti e delle procedure con cui perseguire l'accrescimento della capacità del Paese di prevenzione e risposta rispetto ad eventi nello spazio cibernetico, anche in un'ottica di diffusione della cultura della sicurezza".

E' sempre il PCM (su delibera del CISR) che adotta il "Piano nazionale per la protezione cibernetica e la sicurezza informatica" contenente obiettivi e linee d'azione coerenti con il quadro strategico nazionale.

L'articolo 4 tratta del CISR, in particolare il comma f. recita: "esercita l'alta sorveglianza sull'attuazione del Piano nazionale per la sicurezza dello spazio cibernetico".

L'articolo 5 introduce il CISR tecnico, come organismo di supporto al CISR, presieduto del Direttore Generale del Dipartimento per le Informazione per la Sicurezza (DIS), e finalmente si entra nel vivo! E' proprio qui sta la grande novità infatti.

Le specifiche attribuzioni al DIS sono meglio specificate nell'articolo 6. Infatti
proprio il DIS, nella figura del suo direttore generale, viene individuato dal DPCM come colui che "adotta le iniziative idonee a definire le necessarie linee di azione di interesse generale".
Lo scopo delle linee d'azione è quello di "innalzare e migliorare i livelli di sicurezza dei sistemi e delle reti...", in previsione delle necessarie azioni di contrasto e risposta ad una eventuale "crisi cibernetica da parte delle amministrazioni ed enti pubblici e degli operatori privati...".
In pratica al DIS viene dato mandato di coordinare le azioni di contrasto e risposta ad attacchi cyber in Italia. Concetto chiaramente espresso nell'articolo 7 comma 2, in cui si dice che il Direttore del DIS cura il coordinamento delle attività di ricerca informativa finalizzate a rafforzare  la protezione cibernetica e la sicurezza informatica in Italia.

L'articolo 8 introduce il "nucleo per la sicurezza cibernetica", costituito permanentemente presso il DIS per gli aspetti di prevenzione e preparazione alle situazioni di crisi e "per l'attivazione delle procedure di allertamento". Tale nucleo è presieduto da un vice direttore generale del DIS ed è composto dal consigliere militare e dai rappresentanti di:
- DIS;
- AISE;
- AISI;
- Ministero degli affari esteri;
- Ministero dell'interno;
- Ministero della difesa;
- Ministero della giustizia;
- Ministero dello sviluppo economici;
- Ministero dell'economia e delle finanze;
- Dipartimento della protezione civile;
- Agenzia per l'Italia digitale;
- Ufficio centrale per la segretezza.

Il nucleo, a mente dell'articolo 9, svolge funzioni di "raccordo tra le diverse componenti dell'architettura istituzionale che intervengono a vario titolo nella materia della sicurezza cibernetica, in particolare mantiene attiva l'unità per l'allertamento e la risposta a situazioni di crisi, unità attiva h24, 7 giorni su 7.

L'articolo 10 stabilisce composizione e compiti del Nucleo in caso di emergenza cyber, con particolare riferimento al coordinamento che deve porre in essere per la reazione e stabilizzazione. Nel comma 3 si dice che si avvale, per le sue attività tecniche, del CERT nazionale del Ministero dello sviluppo economico e del CERT PA dell'Agenzia per l'Italia digitale. E in questo caso mi trovo perfettamente d'accordo sulla necessità di unire le forze (e le risorse)!
L'articolo 11 impone agli operatori privati una serie di regole. Tra queste vi è l'obbligo di comunicare "ogni significativa violazione della sicurezza e dell'integrità dei propri sistemi informatici" e l'obbligo di collaborare alla gestione delle crisi cibernetiche contribuendo al ripristino della funzionalità dei sistemi e delle reti da essi gestiti. Sulla denuncia delle violazioni probabilmente non avverrà niente di sostanziale in quanto non è definita in alcun modo la "significatività" di un evento cibernetico, ciò comporta che ognuno valuta come vuole, invece è molto importante il fatto che gli operatori privati debbano collaborare, anche mettendo a disposizione i "Security Operation Center" aziendali.
Sempre l'articolo 11, al comma 2, indica come competenza del Ministero dello Sviluppo Economico il promuovere "l'istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità...", compito a mio parere più adatto al Ministero dell'Università e della Ricerca, sotto la supervisione del DIS.

Per finire, diamo uno sguardo all'articolo 13, disposizioni transitorie e finali.
Il comma 1 da una chiara idea di come il problema cyber sia sentito a livello governativo, infatti il comma 1 recita: "Dal presente decreto non derivano nuovi oneri a carico del bilancio dello Stato". 
Mi viene un dubbio: che sia tutto uno scherzo?
Non credo, infatti, che l'articolo 13, comma 1, sia compatibile con tutto quanto detto prima!

Alessandro RUGOLO

Immagine tratta da: https://www.sicurezzanazionale.gov.it/sisr.nsf/chi-siamo/organizzazione.html