In attesa dei tempi necessari a definire la regolamentazione completa, l’Agid fornisce precise Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni attraverso un documento strutturato, intitolato: Misure minime di sicurezza ICT per le Pubbliche Amministrazioni.
Sicurezza informatica per la PA significherà che l’approccio non sarà più solo un insieme di best practice relative all’analisi delle minacce, delle vulnerabilità e dei rischi dei sistemi ICT che potrebbero causare interruzione dei servizi, furti e, in generale, danni diretti o indiretti ad aziende e persone.
Il Governo, infatti, si sta apprestando a deliberare una normativa molto dettagliata e, come si sa, questo si rifletterà poi nel mondo del privato che dovrà seguire a ruota.
Misure minime di sicurezza ICT per le pubbliche amministrazioni
La comunicazione è ufficiale: sul sito dell’Agenzia per l’Italia Digitaleun comunicato spiega l’iniziativa in questo modo: “Al fine di fornire alle pubbliche amministrazioni un riferimento pratico per valutare e innalzare il proprio livello di sicurezza informatica, AgID ha predisposto un documento che contiene l’elenco ufficiale delle Misure minime per la sicurezza ICT delle pubbliche amministrazioni. Tali misure, il cui rispetto è richiesto a tutte le PA, prevedono tre livelli di attuazione”. Il primo livello minimo stabilisce i criteri di base ai quali ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve essere conforme, in termini tecnologici, organizzativi e procedurali. Fra le misure minime è previsto anche che le pubbliche amministrazioni accedano sistematicamente a servizi di early warning che consentano loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza. A tal proposito il CERT-PA fornisce servizi proattivi ed informativi a tutte le amministrazioni accreditate. I livelli successivi rappresentano situazioni evolutive in grado di fornire livelli di protezione più completi, e dovrebbero essere adottati fin da subito dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati) ma anche visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni.
La sicurezza ICT nella PA e il ruolo dell’Agid
Le misure minime per la sicurezza ICT sono emesse in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, alla luce dei crescenti rischi cibernetici che minacciano anche il nostro Paese.
Le misure minime di sicurezza informatica, costituiscono parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione di futura emanazione, e vengono emanate in forma autonoma, anticipando la loro prossima pubblicazione in Gazzetta Ufficiale mediante i siti web dell’Agenzia e del CERT-PA al fine di fornire tempestivamente alle PA un riferimento normativo e consentire loro di intraprendere un percorso di verifica ed adeguamento.
In particolare, la direttiva assegna all’Agid il compito di sviluppare e rendere disponibili degli indicatori precisi rispetto agli standard di riferimento tali da permettere alle amministrazioni di dotarsi degli standard minimi di prevenzione e reazione ad eventi cibernetici.
Quali le linee guida per contrastare le minacce cibernetiche
Come viene spiegato nel documento, nel recente passato si è assistito ad una rapida evoluzione della minaccia cibernetica e, in particolare, di quelle che coinvolgono la Pubblica Amministrazione. Tra gli esempi citati, i continui attacchi dimostrativi provenienti da diversi soggetti spinti da motivazioni politiche ed ideologiche e orchestrate da gruppi organizzati, non solo di stampo propriamente criminale.
La quantità di risorse che gli attaccanti possono mettere in campo, e che si riflette sulla sofisticazione delle strategie e degli strumenti utilizzati è solo un aspetto del problema. I curatori del documento sottolineano infatti che un aspetto ancora più pericoloso è il mascheramento dell’attività criminale, che rende molto difficile intercettare, arginare e risolvere in modo pervasivo ed efficace la sicurezza informatica.
Le Misure Minime proposte dall’Agid analizzano le 9 classi della sicurezza informatica:
- La prima classe riguarda le difese tradizionali, quali gli antivirus e la difesa perimetrale.
- La seconda classe pone l’accento sulle misure rivolte ad assicurare che le attività degli utenti rimangano sempre all’interno dei limiti previsti, sottolineando come le misure preventive, destinate ad impedire il successo dell’attacco, debbano essere affiancate da efficaci strumenti di rilevazione, in grado di abbreviare i tempi, oggi pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte.
- Considerando come spesso una lunga latenza della compromissione renda estremamente complessa, per la mancanza di log, modifiche di configurazione e anche avvicendamenti del personale, l’individuazione dell’attacco primario, impedendo l’attivazione di strumenti efficaci di prevenzione che possano sicuramente impedire il ripetersi degli eventi, gli esperti aiutano i responsabili della sicurezza a capire anche meglio il contesto da cui nascono le direttive.
- La terza classe, infatti, pone il suo focus nella rilevazione delle anomalie operative e ciò rende conto dell’importanza data agli inventari, che costituiscono le prime due classi di misure, nonché la protezione della configurazione, che è quella immediatamente successiva.
- La quarta classe deve la sua priorità alla duplice rilevanza dell’analisi delle vulnerabilità. In primo luogo le vulnerabilità sono l’elemento essenziale per la scalata ai privilegi che è condizione determinante per il successo dell’attacco; pertanto la loro eliminazione è la misura di prevenzione più efficace. Secondariamente si deve considerare che l’analisi dei sistemi è il momento in cui è più facile rilevare le alterazioni eventualmente intervenute e rilevare un attacco in corso.
- La quinta classe è rivolta alla gestione degli utenti, in particolare gli amministratori. La sua rilevanza è dimostrata dall’ascesa, dal 12° al 5° posto nelle SANS 20.
- La sesta classe deve la sua considerazione al fatto che anche gli attacchi complessi prevedono in qualche fase l’installazione di codice malevolo e la sua individuazione può impedirne il successo o rilevarne la presenza.
- Le copie di sicurezza, settima classe, vengono suggerite in quanto al momento rappresentano l’unico strumento che garantisce il ripristino dopo un incidente.
- La nona classe, la Protezione dei Dati, deve la sua presenza alla considerazione che l’obiettivo principale degli attacchi più gravi è la sottrazione di informazioni.
Sicurezza informatica e protezione dei dispositivi fissi e mobili
Il documento dell’Agid è molto esaustivo, prestando attenzione anche al tema della business continuity multicanale. Al capitolo ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER viene spiegato come Istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni.