La regolamentazione del processo di innovazione tecnologica ha assunto un ruolo centrale nella politica dell’Unione Europea e in quella degli Stati Membri. Lo scorso dicembre, con la presentazione del Digital Service Package e del Data Governance Act, la CE, impegnandosi sulla certificazione europea cloud service provider ha mostrato la volontà di definire nuovi paradigmi europei per rafforzare il mercato interno dei servizi digitali.
European Cybersecurity Certification Scheme for Cloud Services (EUCS): la proposta ENISA per la certificazione europea cloud service provider
In questo contesto, e in considerazione del fatto che il cloud computing rappresenta ormai l’infrastruttura digitale alla base di gran parte dello sviluppo in campo tecnologico, la Commissione Europea ha rivolto all’ENISA il proprio appello per stimolare l’adozione di un modello di cloud computing condiviso a livello europeo. Tale iniziativa è volta a rafforzare la fiducia dei consumatori nella società digitale, supportare le imprese europee che si occupano di innovazione e, in tale modo, contribuire a rendere l’Europa maggiormente competitiva sul mercato globale.
A seguito della richiesta formulata dalla Commissione, l’ENISA ha istituito un gruppo di lavoro (composto da 20 membri selezionati tra i rappresentanti dell’industria e da 12 partecipanti degli organismi di accreditamento degli Stati Membri) per l’elaborazione di un European Cybersecurity Certification Scheme for Cloud Services (EUCS), presentato lo scorso dicembre e sottoposto ad una consultazione pubblica che si è conclusa il 7 febbraio e della quale, al momento in cui si scrive, non sono ancora stati resi noti gli esiti.
Il Cyber Security Act, al Considerando 93, evidenzia che i certificati europei di cybersecurity e le dichiarazioni di conformità dovrebbero aiutare gli utenti finali a compiere scelte consapevoli. Pertanto, i prodotti, i servizi e i processi ICT certificati o per i quali sia stata rilasciata una dichiarazione UE di conformità dovrebbero essere accompagnati da informazioni complete, comprensibili e facilmente reperibili per gli utenti finali sia online che, se opportuno, in forma fisica.
L’obiettivo perseguito dal gruppo di lavoro dell’ENISA è stato proprio quello di proporre un nuovo strumento tecnico, concepito per rendere maggiormente accessibili agli utilizzatori le informazioni relative ai servizi offerti dai Cloud Service Provider, a cui sarà richiesto di attenersi a specifici requisiti di trasparenza. La predisposizione del nuovo schema EUCS da parte dell’ENISA si iscrive quindi pienamente nel quadro delle politiche europee volte a rafforzare il mercato interno dei servizi digitali, offrendo un nuovo sistema in grado di attestare il livello di sicurezza di un’ampia gamma di servizi cloud, comprese le tecnologie SaaS, PaaS e IaaS.
Come è stata elaborata la certificazione europea cloud service provider
Nello specifico, lo schema EUCS è stato ideato a vantaggio di diverse categorie di soggetti. Innanzitutto, i Cloud Service Provider (CSP) avranno la possibilità di valutare la sicurezza dei servizi da loro offerti e ottenere una certificazione tesa a rafforzare la fiducia dei consumatori. Questi ultimi – ossia i clienti dei servizi cloud (CSC) – avranno uno strumento per valutare se un certo servizio soddisfi determinati requisiti predefiniti, così da essere posti nella condizione di prendere decisioni informate in merito alla sicurezza dei servizi che utilizzano o che intendono utilizzare. Infine, le autorità di regolamentazione potranno fare riferimento allo schema EUCS nelle normative nazionali ed europee, includendo i requisiti di sicurezza previsti dallo schema nei propri provvedimenti.
Nell’elaborare il nuovo schema, il gruppo di lavoro ha tenuto in considerazione standard e modelli preesisenti. In particolare, l’EUCS ha fatto propria la definizione di Cloud Service Provider fornita dalla ISO/IEC 17888 che identifica tra le caratteristiche peculiari dei servizi cloud la scalabilità, l’elasticità, la condivisione delle risorse e il fatto che questi possano essere erogati in modalità self-service e on demand. La struttura dello schema è inoltre compatibile con lo standard ISO/IEC 27000 (Information Security Management Systems) e con gli International Auditing Standard, risultando così facilmente integrabile con i modelli di gestione già utilizzati dai provider di tali servizi.
L’ENISA ha inoltre specificato che lo schema di certificazione proposto per i Cloud Service Provider non mira a verificare la conformità degli stessi al Regolamento Europeo 2016/679 (GDPR): una valutazione di conformità al GDPR dei trattamenti effettuati da parte dei Cloud Service Provider potrà essere effettuata solo ricorrendo ad uno schema di certificazione “GDPR specifico”. Al momento in cui si scrive, tali schemi di certificazione “GDPR specifici” non sono ancora stati approvati dall’Autorità Garante per la Protezione dei Dati personali e dall’European Data Protection Board, ma si prevede che nei prossimi mesi vi saranno ulteriori sviluppi in tal senso, sia a livello nazionale che a livello europeo. In ogni caso, l’ENISA ha indicato che i risultati ottenuti dall’esito della procedura di valutazione effettuata sulla base dello schema EUCS potranno essere riutilizzati qualora un provider voglia ottenere anche una certificazione GDPR.
Inoltre, per quanto riguarda i requisiti che devono avere gli organismi di certificazione, lo schema EUCS prevede che questi ultimi siano accreditati sulla base dello standard ISO/IEC 17065, ovvero il medesimo previsto dall’art. 43, comma 1, lettera b) GDPR per gli organismi autorizzati a rilasciare una certificazione GDPR specifica.
I livelli di sicurezza
Il Cyber Security Act, al Considerando 75, indica che lo scopo dei sistemi europei di certificazione della sicurezza informatica dovrebbe essere quello di garantire che i prodotti, i servizi e i processi ICT certificati soddisfino requisiti specifici volti a proteggere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati, trasmessi o elaborati e dei servizi offerti.
A questo scopo, lo schema EUCS ha previsto tre progressivi livelli di sicurezza: un livello di garanzia di “base”, un livello intermedio, definito “sostanziale”, e un livello di garanzia “elevato”.
Livello di garanzia “di base”
Tale livello di garanzia è inteso a ridurre al minimo i rischi di base di incidenti e di attacchi cibernetici ed è adatto ai servizi cloud progettati per soddisfare i requisiti di sicurezza tipici dei “sistemi non critici”. Il profilo tipico dell’aggressore rispetto al quale il livello di sicurezza di base offre una garanzia adeguata è costituito da un soggetto dotato di limitate competenze informatiche e ridotte risorse economiche, che agisce singolarmente replicando un attacco cyber già noto. La metodologia prevista dall’EUCS per accertare la sussistenza dei requisiti previsti da tale livello di garanzia si basa su un piano di audit predefinito, consistente in un’autovalutazione effettuata dallo stesso Cloud Service Provider e successivamente verificata dall’organismo di certificazione che, sulla base delle evidenze rilevate, elabora una relazione conclusiva e provvede al rilascio dell’attestazione di conformità.
Livello di garanzia “sostanziale”
Questo livello di garanzia è inteso a ridurre al minimo i rischi di incidenti e di attacchi cyber effettuati da attori con competenze e risorse limitate ed è adatto a servizi cloud progettati per soddisfare i requisiti di sicurezza per sistemi definiti “business-critical”. Il profilo tipico dell’aggressore rispetto al quale il livello di sicurezza sostanziale offre una garanzia adeguata è costituito da un team di ridotte dimensioni con accesso a una vasta gamma di tecniche di hacking conosciute, ma con limitate risorse economiche e privo degli strumenti per effettuare attacchi su vasta scala o per scoprire vulnerabilità precedentemente sconosciute. Affinché un Cloud Service Provider ottenga la certificazione EUCS per il livello “sostanziale” è indispensabile che dimostri di possedere tutti i requisiti del livello di garanzia Basic e che sia sottoposto ad un ulteriore audit effettuato dall’organismo di certificazione incaricato.
Livello di garanzia “elevato”
Tale livello dovrebbe fornire una ragionevole garanzia che il servizio cloud sia progettato e gestito in modo da ridurre al minimo il rischio di attacchi cibernetici effettuati da soggetti con competenze e risorse significative. Il livello di sicurezza “elevato” è considerato adatto a servizi cloud progettati per soddisfare requisiti di sicurezza specifici in relazione a dati e sistemi definiti “mission-critical”. Questo livello di sicurezza è volto a garantire una protezione da minacce informatiche sferrate da parte di un team di persone altamente qualificate e dotate di risorse significative per progettare ed eseguire attacchi e scoprire vulnerabilità precedentemente sconosciute. La valutazione per il livello di garanzia elevato prevede requisiti aggiuntivi rispetto a quelli del livello di garanzia “sostanziale” inclusi, tra gli altri, il monitoraggio automatizzato e test di penetrazione dei controlli di sicurezza pianificati su base pluriennale.
EUCS: uno schema per sistemi complessi
I servizi cloud sono sistemi complessi e stratificati, in cui le infrastrutture e le funzionalità di un servizio si basano spesso su altri servizi cloud. È quindi comune che un Cloud Service Provider utilizzi dei servizi – definiti “sub-service” – erogati da altri Cloud Service Provider.
In considerazione di tale interdipendenza e stratificazione dei servizi cloud, l’EUCS prevede che, qualora un servizio cloud “dipendente” utilizzi quale proprio componente un “sub-service” che abbia precedentemente ottenuto una certificazione EUCS, tale certificazione potrà essere riutilizzata a vantaggio del servizio cloud che si avvalga di questo “sub-service” già certificato. Infatti, nel caso in cui il provider del servizio cloud dipendente voglia ottenere una certificazione EUCS, l’attività di valutazione effettuata dall’organismo di certificazione risulterà essere notevolmente semplificata grazie al fatto che il sottoservizio utilizzato aveva già ottenuto una propria certificazione EUCS.
Conclusione
L’adozione di uno schema europeo di certificazione per i Cloud Service Provider potrebbe rappresentare un importante tassello del piano europeo per il rafforzamento del mercato interno dei servizi digitali, inteso anche ad offrire un’alternativa europea ai servizi erogati dalle big tech statunitensi e cinesi, a vantaggio degli utilizzatori finali. L’esito della procedura di consultazione sarà determinante per comprendere il punto di vista degli operatori del settore e recepirne le eventuali osservazioni.
Il percorso intrapreso dall’ENISA costituisce un’ulteriore conferma della rilevanza che le certificazioni stanno assumendo nel quadro regolatorio europeo relativo a settori specifici e nei rapporti tra imprese e consumatori. Soprattutto negli ambiti in cui – a causa della complessità della tecnologia utilizzata e della sua rapida evoluzione – l’utente finale non è nella condizione di poter effettuare verifiche autonome sulle caratteristiche dei servizi di cui intende usufruire, la certificazione diviene uno strumento indispensabile per orientare il consumatore nell’effettuare scelte consapevoli. Al fine di favorire un’ampia ed effettiva adozione degli schemi di certificazione risulterà essenziale l’integrazione tra schemi già esistenti e quelli per i quali non è stato ancora concluso l’iter di approvazione.
Si attende che nei prossimi mesi le competenti authority compiano gli ultimi passi necessari per l’adozione di schemi di certificazione sia nell’ambito della sicurezza informatica che in relazione agli schemi per la certificazione GDPR specifica.