Photo by Ferdinand Stöhr on Unsplash

Cantiere Sicurezza digitale, report 2017: ecco perché sui cert

di Andrea Ivan Baldassarre, FPA

 

Già nel corso della sua prima edizione, il Cantiere di FPA dedicato alla sicurezza informatica nella PA aveva evidenziato la rinnovata attenzione verso il tema dei CERT (Computer Emergency Response Team) e del ruolo che questi possono svolgere nello sviluppo di capacità avanzate di rilevazione e risposta agli incidenti informatici nel settore pubblico. 

Un’attenzione motivata dalla spinta impressa dall’Unione Europea, che da anni promuove l’adozione dei CERT nelle organizzazioni pubbliche e private come uno degli elementi fondamentali della propria strategia sulla cybersecurity, e che con l’adozione della Direttiva NIS – Network and Information Security (2016), ha posto le basi per lo sviluppo di strutture in grado di garantire adeguate la capacità di risposta e prevenzione agli eventi cibernetici in tutti i Paesi membri. 

La Direttiva NIS, che dovrà essere recepita nell’ordinamento nazionale entro il maggio 2018, ha fornito lo spunto per indirizzare ulteriormente gli atti di indirizzo strategico e operativo (Quadro Strategico e Piano Nazionale), in particolare per ciò che attiene l’operatività delle strutture nazionali di incident prevention, response e remediation. 

> Scarica il report 2017 del Cantiere Sicurezza digitale, edito da ForumPA

Non è infatti un caso che le maggiori novità introdotte dalla nuova versione del Piano Nazionale per la protezione cibernetica e la sicurezza informatica, approvato a marzo 2017 in attuazione del c.d. DPCM Gentiloni(1), si siano concentrate sull’Indirizzo Operativo 5, nel quale si riconosce che “l’approntamento di capacità di prevenzione e reazione ad eventi cibernetici richiede lo sviluppo di Computer Emergency Response Team (CERT) quali soggetti erogatori di servizi di assistenza tecnica, ricerca e sviluppo, formazione e informazione per i rispettivi utenti, pubblici e/o privati”.  

Proprio pochi giorni fa – a brevissima distanza dalla chiusura del report – è stato finalmente approvato e pubblicato lo schema di Decreto Legislativo che dovrebbe recepire nell’ordinamento nazionale le disposizioni della Direttiva NIS. L’atto stabilisce, tra le altre cose: 

  • la fusione di CERT Nazionale (MISE) e CERT PA (AgID), già anticipata dalla nuova versione del Piano Nazionale, che andranno a confluire nel nascituro CSIRT Italiano, che verrà istituito presso la Presidenza del Consiglio dei Ministri; 
  • l’individuazione di ben 5 Autorità competenti NIS, identificate in cinque Ministeri chiave (MISE, MIT, MEF, Salute, Ambiente) per i rispettivi settori di competenza; 
  • la designazione del Dipartimento delle informazioni per la sicurezza (DIS) quale punto di contatto unico, incaricato a livello nazionale di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea. 

Tuttavia, la rinnovata attenzione al tema dei CERT si scontra ancora oggi con una certa carenza di linee guida e documenti di indirizzo su come realizzare tali strutture all’interno delle pubbliche amministrazioni, e non solo. Le principali linee guida esistenti sono infatti state pubblicate dal Software Engineering Institute della Carnegie Mellon University (luogo di nascita dei CERT), e da ENISA, l’Agenzia europea per la sicurezza delle reti e dell’informazione(2). Ma come già sottolineato da Andrea Rigoni in un contributo dell’aprile scorso, a valle del primo incontro del Cantiere, “si tratta di linee guida generiche adatte a qualsiasi settore. Non trattano però le specificità della situazione Italiana, in particolare il modello organizzativo interno, le capabilities di base e la relazione con le altre strutture istituzionali”. 

Già nel report 2016, il Cantiere aveva suggerito la necessità che AgID realizzasse delle linee guida su come costituire un CERT, che indicassero alle pubbliche amministrazioni i vari passi da seguire e i principali elementi cui prestare attenzione per realizzare un Computer Emergency Response (o meglio Readiness) Team, integrando indicazioni operative con alcuni esempi riferiti a best practice riconosciute a livello nazionale e internazionale. 

Un’esigenza percepita soprattutto a livello locale, dove le amministrazioni più piccole fanno un’enorme fatica a trovare le risorse (umane ed economiche) necessarie a garantire un’adeguata preparazione alle nuove minacce cyber. Non è infatti un caso che tra i principali elementi di novità evidenziati dal Documento di sicurezza nazionale 2017 – allegato alla Relazione annuale al Parlamento sulla Politica dell’informazione per la Sicurezza – vi sia un aumento consistente (in termini relativi) degli attacchi rivolti agli Enti locali, che nel 2017 hanno rappresentato il 30% degli attacchi informatici verso soggetti pubblici (+17% rispetto al 2016), contro il 70% fatto registrare dalle amministrazioni centrali (erano stati l’87% nel 2016). 

Da qui l’idea di dedicare il percorso di analisi del 2017 alla definizione di un nucleo fondamentale di indicazioni utili allo sviluppo di un’ipotetica linea guida sui CERT pubblici, e in particolare sui CERT territoriali, e sulle relative attività di information sharing, considerate come il fondamentale catalizzatore per l’avvio di un sistema di collaborazione tra strutture di incident prevention & response. Una sorta di “abecedario” degli elementi organizzativi, tecnologici e procedurali di cui si dovrebbe tener conto nel processo di costituzione di un CERT/CSIRT, da sottoporre ad AgID per la loro validazione e distribuzione. 

 


1. DPCM 17 febbraio 2017, Direttiva recante nuovi indirizzi per la protezione cibernetica e la sicurezza informatica
2. Un approccio graduale alla creazione di un CSIRT, ENISA, 2006

 

Foto di Ferdinand Stöhr