Cybersecurity, le norme puntano sull’accreditamento come strumento di garanzia

Il 2018 è stato un anno difficile per la sicurezza informatica. Di fronte a un rischio in aumento in tutto il mondo, il legislatore europeo e italiano mette in campo nuove politiche e identifica l’accreditamento dei laboratori di prova e degli organismi di certificazione come strumento di garanzia. Ne parliamo con Riccardo Bianconi, Ispettore di Accredia.

 

Cosa si intende per cybersecurity e perché è importante?

La cybersecurity, tradotta di fatto come sicurezza delle informazioni, si applica a tutti i modi di gestire le informazioni, intese come insiemi di dati, più o meno elaborati, considerati rilevanti ai fini degli interessi di una nazione, di una persona giuridica o di una persona fisica. Oggetto di tutela, è, a seconda dei casi, la sicurezza dello Stato o la sopravvivenza del business di un’azienda, piuttosto che i dati personali del singolo, ma anche il mantenimento dell’ordine pubblico, a partire dagli interessi primari dei cittadini come la protezione dei posti di lavoro, attraverso la tutela del know-how di un’azienda, o la regolare fruizione di servizi, quali i trasporti e quelli forniti dai sistemi di distribuzione dell’acqua e dell’energia.

Con lo sviluppo delle nuove tecnologie di comunicazione come il 5G, di elaborazione (Edge computing), dei sistemi IoT (Internet of Things) ma anche dell’Intelligenza Artificiale (AI) e delle cosiddette “criptovalute”, le reti, le macchine e i software che costituiscono l’infrastruttura di un’organizzazione diventano sempre più performanti, ma anche più vulnerabili.

La capacità di governare e tutelare le informazioni in sicurezza è quindi un tema caldo a livello mondiale così come nel nostro paese, dove, secondo i dati CLUSIT (Associazione Italiana per la Sicurezza Informatica), nel 2018 si è registrato un aumento degli attacchi critici pari al 37,7%. Su decine di migliaia di attacchi, come quelli legati ai cosiddetti “criptolocker” alcuni purtroppo vanno a buon fine, e un’organizzazione, costretta a pagare un riscatto per ottenere la decriptazione dei dati presenti sui suoi server, può ritrovarsi in grave difficoltà. In questi casi, la tutela passa attraverso l’adozione di misure di sicurezza che consentano di ridurre drasticamente il rischio legato alle vulnerabilità dell’infrastruttura IT, di rilevare le minacce o che mettano in condizione, in caso di attacco, di ripristinare autonomamente i dati in tempi certi.

 

Come si è mosso il legislatore europeo?

L’UE si è data l’obiettivo di mettere in piedi un’infrastruttura normativa in grado di proteggere l’intero mercato digitale europeo dagli attacchi informatici. A partire dal 2010 sono state avviate diverse azioni preliminari, tutte confluite nella Direttiva NIS (Direttiva UE 2016/1148) sulla sicurezza delle reti e dei sistemi informativi. Un altro passo in avanti è rappresentato dal Regolamento eIDAS (Reg. UE 910/2014), fino ad arrivare al Regolamento GDPR (Reg. UE 679/2016) sulla protezione dei dati. Parallelamente è stato sviluppato un documento generale, il Cybersecurity Act (Reg. UE 881/2019) che punta a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali. In vigore dal 27 giugno 2019, il Cybersecurity Act rafforza il ruolo dell’ENISA (Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione) chiamata a operare in maniera più strutturata a supporto e coordinamento delle attività di sicurezza nei vari paesi dell’UE.

Punto chiave è l’introduzione di un sistema europeo di certificazione, basato preferibilmente sull’accreditamento, discendente dal Cybersecurity Act, che si affianchi alle certificazioni su base volontaria. Molte sono già rilasciate in vari paesi UE, ma spesso non sono dotate di mutuo riconoscimento, cosa che crea una barriera alla circolazione di merci e servizi. Quindi è opportuno che l’UE stabilisca norme applicabili in maniera uniforme, che garantiscano la circolazione dei prodotti e servizi destinati a proteggere le infrastrutture IT. La definizione di un quadro complessivo di regole per gli schemi europei di certificazione della sicurezza informatica è tuttora in corso.

 

Qual è la situazione nel nostro paese?

L’Italia è un paese che può essere considerato di esempio in tutta l’UE. Intanto con i provvedimenti previsti dal CAD (Codice dell’Amministrazione Digitale), sotto la guida di AgID (Agenzia per l’Italia Digitale) e con la collaborazione di UNINFO, nonché di Accredia e degli organismi di certificazione accreditati, è stato possibile creare degli schemi di valutazione della conformità volti a mettere in sicurezza le infrastrutture importanti, come quelle per la Conservazione a norma dei documenti, per l’identificazione dei cittadini (SPID) e per la qualifica dei Trust Service Providers (eIDAS).

A livello normativo, è attualmente all’esame del Parlamento il DL 105/2019 “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”. L’obiettivo è assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli Enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato.

In base all’art. 2, comma 6, il CVCN (Centro di valutazione e certificazione nazionale) che è l’organismo di certificazione e sicurezza informatica istituito presso il MiSE – nell’ambito dell’approvvigionamento ICT destinato a reti, sistemi e servizi rilevanti – deve svolgere attività di verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note, anche avvalendosi di laboratori accreditati dallo stesso CVCN. Quest’ultimo è incaricato anche di elaborare e adottare schemi di certificazione cibernetica, laddove gli schemi di certificazione esistenti non siano ritenuti adeguati.

 

Quale apporto può venire, in questo contesto, dall’Ente di accreditamento italiano?

Per quanto riguarda la certificazione, a oggi in Italia per i prodotti e i servizi destinati alle infrastrutture critiche si fa riferimento al processo svolto nell’ambito della Sicurezza Nazionale (Ce.VA. Centro di Valutazione della Difesa) secondo standard chiamati common criteria, con procedure rigide che possono richiedere diversi mesi. Per prodotti e servizi di livello importante, ma non critico, invece, sarà possibile definire dei processi rigorosi, ma più dinamici, per i quali l’Ente di accreditamento sta proponendo le proprie competenze al MiSE.

Accredia infatti è stato il primo Ente al mondo ad avviare l’attività di accreditamento dei laboratori che fanno Vulnerability Assessment e sta lavorando per estendere tale accreditamento ai Penetration Test. Questi processi permettono di valutare la resilienza delle infrastrutture IT aziendali contro i crimini informatici. Inoltre Accredia è firmataria degli Accordi EA e IAF MLA necessari per rilasciare accreditamenti riconosciuti a livello internazionale secondo le norme ISO/IEC di riferimento, che riguardano le certificazioni di prodotti e servizi, di sistemi di gestione, per le competenze informatiche e per la sicurezza delle informazioni.

Non ultimo, a livello europeo, l’Ente coordina il Gruppo di Lavoro EA per gli Audit in ambito IT ed è pronto a mettere a disposizione la propria esperienza, strutturata e comprovata, nel valutare le competenze dei laboratori che effettuano prove per software e hardware, e degli organismi che rilasciano le certificazioni delle infrastrutture e dei sistemi di gestione che applicano tali software e hardware.