Per la cybersecurity un approccio risk based fondato sulla conoscenza: il modello Enav

All’inizio di quest’anno il tema della sicurezza informatica e dei rischi connessi al cybercrime è esploso sulle pagine dei giornali a seguito di una nota inchiesta, avviata dalla procura di Roma, che ha portato all’arresto di Giulio e Francesca Maria Occhionero. I due, ritenuti responsabili di attacchi informatici per sottrarre email e documenti a persone delle istituzioni, della politica e della finanza, sono oggi la molla per ribadire che è necessario lavorare per un adeguamento tecnologico dei sistemi informativi pubblici, ma anche per un accrescimento della consapevolezza e dello sviluppo delle competenze in materia all’interno della PA. Anche sul versante organizzativo lo sviluppo di CERT dotati di capacità di prevenzione e reazione deve costituire elemento prioritario. Questo in parte è emerso dai lavori del tavolo-Cantiere Sicurezza digitale, organizzato da FPA nell’ambito dell’iniziativa I Cantieri della PA digitale, a cui hanno preso parte i maggiori rappresentanti del mondo pubblico e privato.

Scarica il report “Sicurezza digitale: competenze, standard e assetti organizzativi”, edizioni ForumPA

Sull’opinione pubblica questo caso di cyberspionaggio ha avuto un forte impatto, e ha portato a chiedersi se organizzazioni complesse, come le amministrazioni pubbliche, siano in grado di gestire i rischi e mettere in atto politiche e strategie volte alla difesa dei dati sensibili in loro possesso. Raggiunto da forumpa.it Francesco Di Maio, capo Dipartimento Sicurezza dell’Enav, ente anche lui destinatario di un tentativo (fallito) di attacco informatico, e componente del Cantiere commenta: “C’è un problema di sicurezza delle informazioni in tutto il mondo e la pubblica amministrazione, che ha anche sue complessità interne, non è immune. Se da un lato la tecnologia ha ritmi di crescita vorticosi, che si trascinano anche minori attenzioni sul momento della progettazione, non tutti conoscono ed apprezzano, ad esempio, il principio Security by design, dall’altra c’è una certa tendenza a dare eccessiva enfasi, quasi un’adesione fideistica, all’aspetto tecnologico, che è solo una delle componenti, non certo esclusiva, della sicurezza delle informazioni”.

La sicurezza delle informazioni quindi si presenta come un problema strutturale nazionale, europeo ed internazionale e va affrontato con un deciso cambio culturale, “ed è forse quella la carta su cui puntare” precisa Di Maio.

L’Enav in questo senso si presenta come un’eccellenza del campo, avendo maturato presto la consapevolezza che la security – ed in particolare l’information security – dovesse essere il nuovo banco di prova proprio per la safety operativa. Così la “aviation Security” di Enav, scossa dagli eventi dell’11 settembre 2001, ha affiancato ai tradizionali temi della sicurezza fisica un nuovo approccio funzionale e risk based basato sulla conoscenza.

Parliamo di “capacità di innovare”, come la definisce Di Maio . La security non solo deve essere adattiva al mutato contesto, ma deve essere in grado di anticipare le tendenze e cogliere i possibili vettori di rischio che si profilano in un orizzonte allargato. In altre parole studiare, assieme al mondo universitario sempre più presente come attore chiave; al mondo istituzionale, alla ricerca industriale, alimentare l’attitudine dei giovani nativi digitali e “mettere di nuovo al centro la capacità del Paese di affermare l’inventiva e il genio rinascimentale, applicato ai tempi moderni”.

“Chi gestisce i servizi della navigazione aerea – ci dice di Maio riportandoci alla sua esperienza – sa che dalla propria cura dipendono vite umane in volo e a terra e l’efficienza e regolarità del trasporto aereo come espressione delle libertà di circolazione e di impresa. Questo ha corrisposto ad un fortissimo commitment da parte del vertice aziendale che si ripropone in atti concreti su tutto il Gruppo e non è rivolto solo alla funzione specialistica di security; un commitment che si è tradotto nella ferma volontà di certificare tutti i processi di sicurezza delle informazioni sotto lo standard ISO 27001, che più che rappresentare una medaglia, è una leva forte verso il continuo miglioramento”.

Il contesto

Il 2016 è stato un anno importante: il Framework Nazionale per la Cyber Security, realizzato dal CIS-Sapienza e dal Laboratorio Nazionale di Cyber Security del CINI, ha tentato di dare indicazioni operative condivise alle PA e aziende italiane alle prese con il proprio piano di sicurezza, definendo le priorità e le aree di intervento, indipendentemente dal settore di appartenenza o dalle dimensioni dell’organizzazione. Anche l’AgID si è mossa su questa direzione elaborando un documento sulle Misure minime per la sicurezza ICT delle pubbliche amministrazioni .

Non siamo quindi all’anno zero in materia di sicurezza digitale, ma c’è ancora molto da fare. Se le pubbliche amministrazioni non comprendono che vanno definiti piani di contromisure volte a mitigare i rischi a cui l’organizzazione può essere soggetta, non usciremo mai dall’impasse. In questo contesto si inserisce il Cantiere Sicurezza di FPA che, ci dice Di Maio: “Ha il pregio di tentare di arrivare alla coscienza dei legislatori, per affinare gli strumenti esistenti e la direttiva Europea NIS è un banco di prova; sulla sensibilità dei decisori nelle aziende, nei servizi pubblici essenziali, nelle pubbliche Amministrazioni. Cominciare a parlare di metriche e individuare i razionali misurabili degli incidenti di sicurezza e completare l’itinerario culturale cui prima ho fatto cenno sono i necessari corollari dell’attività di questo tipo di tavoli”.

La best practice: la governance in Enav

Enav ha iniziato nel 2005, anticipando le tendenze normative di settore e generali, una sua strategia di centralizzazione, basata su alcuni spunti anche di tipo normativo, vediamoli:

• Posizione forte verso i fornitori : chiunque contratta con ENAV e ha possibili impatti sulla sicurezza delle informazioni deve sapere che esistono vincoli stringenti e condizionanti. I requisiti di sicurezza vengono declinati dall’origine e i software vengono sottoposti, prima dell’entrata in esercizio, a stringenti test condotti da risorse specializzate interne e sottoposti a monitoraggio continuo da parte del Security Operation Center in logica di approccio che supera il perimetro e traguarda l’end-to-end. I fornitori sono contrattualmente vincolati a presentare i loro prodotti conformi allo stato dell’arte, con termini di riferimento oggettivi, come ad esempio le linee guida OWASP sul software sicuro;
• gestione di governo centralizzata : in ogni attività giornaliera viene ricondotta nell’ambito della attività di verifica e monitoraggio tutti i sistemi, processi, network e reti locali, con un utilizzo massivo di prodotti open source (non amiamo i COTS di security) con applicazioni realizzate internamente per la comprensione delle funzionalità e dei comportamenti dei sistemi, in una logica end-to-end;
• motore dello sviluppo culturale : la forza e la debolezza al tempo stesso della security è il fattore umano. Ne è consapevole il legislatore europeo, che chiede agli Stati membri di agire con best practices e soft regulations che oggi comunemente indirizzano l’attenzione alla capacità ed alla consapevolezza dell’attore interno di essere parte del presidio di sicurezza a prescindere dal ruolo e dalla funzione rivestita. Dal Security Operation Center si sviluppa una strategia anche di comunicazione che raggiunge ogni persona all’interno dell’organizzazione, che non si limita all’avviso o al corso, ma avviene con stimoli operativi, test, esercitazioni a sorpresa e giochi. Il tutto per rendere la security un’abitudine e non un peso né una sofferenza.

L’edizione 2017 de I Cantieri della PA digitale si instrada su un percorso già vivo e animato da esperti e operatori pubblici che giornalmente si sporcano le mani, con l’obiettivo di portare all’effettiva azione attraverso “idee chiare, strategie, fondi e adesione ai valori”.