Cybersecurity, Agid: “Dalle misure minime al piano triennale per una nuova strategia Paese”

All’inizio del 2015 il CIS “La Sapienza” ha presentato il 2014 Italian Cyber Security Report, realizzato in collaborazione con AgID, nel quale veniva misurata in modo oggettivo la realtà, ampiamente nota, di una pubblica amministrazione che considerava la sicurezza informatica come un problema essenzialmente tecnologico, convinta che fosse sufficiente l’istallazione di un buon firewall ed un valido antivirus per contrastare delle minacce legate più allo hacktivismo, che alla cibercriminalità. Di fatto il rapporto correttamente individuava nell’eccessiva polverizzazione dei sistemi informatici all’interno della PA, quella che esso chiama “estensione della superficie di attacco”, e nella mancanza di strutture organizzative per la risposta agli attacchi le principali criticità.

In questi due anni AgID, che istituzionalmente ha un ruolo di primo piano nella gestione della sicurezza informatica della pubblica amministrazione italiana, ha profuso notevoli energie ed effettuato significativi investimenti per innalzare il livello di sicurezza cibernetica della PA e, di riflesso, dell’intera nazione.

In primo luogo ha realizzato e reso operativo il CERT-PA, CERT (Computer Emergency Response, o meglio Readiness, Team) della Pubblica Amministrazione, che oggi sorveglia la Rete alla ricerca dei segnali legati agli attacchi specificamente indirizzati contro le amministrazioni pubbliche, erogando servizi di allertamento specifico verso la propria constituency e di supporto alla gestione degli incidenti verso le amministrazioni che lo richiedono.

Tuttavia è il Piano Triennale, con le sue attività ed i suoi progetti coerenti ed integrati, il principale strumento atto a innalzare il livello generale di sicurezza della PA italiana. In primo luogo la razionalizzazione dei sistemi informativi e delle basi di dati, anche supportata dagli strumenti messi a disposizione con la gara Cloud di Consip recentemente aggiudicata, sono la base per ridurre effettivamente la “superficie di attacco”.

Se poi si considera che il presupposto principale per realizzare qualsiasi forma di sicurezza informatica è l’autenticazione; perché è solo attraverso la garanzia che le azioni possono essere attuate esclusivamente da chi ha l’autorità per eseguirle che si riesce a garantire l’integrità, la disponibilità e la riservatezza delle informazioni, allora si capisce l’importanza di un progetto quale SPID, che mira a realizzare un sistema di autenticazione standardizzato, coerente ed ubiquitario. Abbattendo, per gli utenti la complessità di dover gestire centinaia di sistemi di autenticazione diversi, la maggior parte dei quali utilizzati sporadicamente, e per i fornitori di servizi la necessità di dover realizzare autonomamente un sistema di autenticazione che deve essere contemporaneamente semplice, usabile e sicuro.

Le Misure Minime di Sicurezza ICT per le Pubbliche Amministrazioni

Tuttavia questi due anni hanno visto anche una rapida mutazione del panorama delle minacce cibernetiche, anche e forse soprattutto nei confronti dell’amministrazione pubblica. Si sono infatti moltiplicati gli eventi che hanno visto come scopo degli attaccanti il furto di informazioni e si è evidenziata anche una preoccupante evoluzione nella natura degli attaccanti stessi che arriva a coinvolgere anche i governi.

Per questa ragione è diventato urgente fornire alle amministrazioni un riferimento pratico sulle azioni che possono e devono essere poste in campo per innalzare il livello di protezione contro gli attacchi informatici. In tale senso ha preso posizione anche il Presidente del Consiglio, che poi è l’Autorità Nazionale per la Sicurezza, che con la Direttiva 1 agosto 2015 ha sollecitato in particolare l’Agenzia ad individuare gli standard di riferimento.

L’Agenzia, prendendo le mosse dai SANS 20, generalmente riconosciuti come utile raccolta di azioni concrete atte a contrastare gli attacchi informatici, ha sviluppato una proposta che è stata valutata e discussa nell’ambito della struttura cui è attualmente affidata la cura della sicurezza cibernetica nazionale, producendo le Misure Minime di Sicurezza ICT per le Pubbliche Amministrazioni.

Uno strumento per la PA italiana

I controlli originali sono stati analizzati alla luce della realtà italiana ed adattati alle esigenze della Pubblica Amministrazione, vagliando con cura anche il loro impatto economico e l’adattabilità dell’implementazione a realtà dimensionalmente, tecnologicamente ed economicamente molto diverse. Ciò ha portato all’individuazione di una scala di livelli di attuazione, alla quale corrispondono livelli di sicurezza ed impatti economici ed organizzativi crescenti.

Sebbene l’implementazione delle misure possa sfruttare tecnologie anche sofisticate, è facile osservare che queste sono organizzative prima che tecnologiche. Normalmente il loro scopo primario è esercitare uno stretto controllo sui processi che gestiscono gli strumenti informatici; nella convinzione che solo assicurando che colui che compie un’azione è il soggetto effettivamente autorizzato ad effettuarla si riesce a prevenire l’intrusione e l’incidente.

Ovviamente le misure indicate come minime costituiscono una base assolutamente essenziale, che può e deve essere implementata, con strumenti e procedure elementari, anche nelle realtà più piccole. Ciascuna amministrazione, sulla base della valutazione della criticità dei dati da essa gestiti e dei rischi ai quali è effettivamente esposta, valuterà la necessità e l’opportunità di attuare misure di livello più elevato, scegliendo le strategie implementative più idonee nella propria realtà.

Il Report 2015 del CIS “La Sapienza”, il successivo a quello citato in apertura, ha proposto il Framework Nazionale per la Cyber Security, che trae ispirazione da quello del NIST statunitense. Esso propone una metodologia per valutare ed incrementare il livello di sicurezza di un’organizzazione, ma non scende nel dettaglio delle azioni concrete da mettere in campo per ottenere questo risultato. Lungi dall’essere una “contestualizzazione” del Framework per la PA, le Misure Minime sono però inquadrabili al suo interno, tanto che per ciascuna misura sono individuati e riferiti gli elementi (le “Subcategory”) da essa indirizzate.

La nuova guerra fredda

In questi giorni si sente frequentemente e pericolosamente parlare di un ritorno alla guerra fredda, di cui la generazione degli anni ‘50 conserva un vivido e triste ricordo. È tuttavia opportuno tenere presente che con tale termine veniva indicata una guerra condotta nell’ombra, senza esclusione di colpi, ma sostanzialmente priva di spargimento di sangue per l’assenza di battaglie cruenti sul campo. Queste caratteristiche si adattano perfettamente ad una guerra cibernetica condotta sul campo del ciberspazio; ma attenzione che i danni che possono essere prodotti senza bisogno di provocare vittime sono enormi e la possibilità di causare o meno vittime è solo un opzione. Sarà opportuno non farsi trovare impreparati.