CSIRT network, il modello cooperativo europeo per la gestione della cyber security - Cyber Security 360

L'APPROFONDIMENTO

CSIRT network, il modello cooperativo europeo per la gestione della cyber security

Con l’istituzione della CSIRT network, struttura deputata alla gestione reattiva e pro-attiva degli incidenti di sicurezza, l’Europa mira a realizzare un nuovo modello cooperativo tra gli Stati membri in grado di garantire un’efficiente gestione della cyber security. Ecco di cosa si tratta e quali sono gli obiettivi

09 Lug 2021
T
Marco Toiati

Ingegnere, CISO settore bancario

L’articolo 12 della Direttiva NIS[1] istituisce la CSIRT network, la rete dei Computer Security Incident Response Team, con l’intento di “contribuire a sviluppare la fiducia tra gli Stati membri e per promuovere cooperazione operativa rapida ed efficace“.

Il CSIRT è una struttura deputata alla gestione (reattiva e pro-attiva) degli incidenti di sicurezza. La CSIRT Network (rete di CSIRT) è composta da CSIRT nominati dagli Stati membri dell’UE e da CERT-UE (Computer Emergency Response Team for the EU Institutions).

La Commissione europea partecipa alla rete in qualità di osservatore. L’ENISA (Agenzia Europea per la Cybersecurity) ha il compito di garantire la cooperazione dei CSIRT, fornendo il supporto attivo per il coordinamento degli incidenti su richiesta.

CSIRT network e governance delle informazioni

La CSIRT Network ha messo a punto un modello di governance e le piattaforme di collaborazione attraverso le quali è possibile realizzare lo scambio di informazioni per migliorare la gestione di incidenti di sicurezza predisponendo adeguati presidi anche in funzione delle minacce di attacco. La cooperazione favorisce anche la gestione degli incidenti transfrontalieri.

A pochi anni dall’emissione della Direttiva NIS la Commissione Europea ha rilasciato come “proposal” una nuova versione (denominata NIS 2.0) che rivede una serie di aspetti correlati alla rapida diffusione delle tecnologie di comunicazione a seguito della pandemia COVID 19. Questo documento, che andrà a sostituire la direttiva NIS, non abbandona, e anzi rinforza, il concetto di CSIRT Network e di collaborazione degli stati membri in tema di Sicurezza Informatica.

Verso una direttiva NIS 2, che cambia con le proposte della Commissione UE

L’impianto legislativo: le direttive NIS e NIS 2.0

Il livello crescente di dipendenza delle nostre azioni quotidiane dai servizi tecnologici digitali ed il conseguente rischio al quale, come cittadini europei (e non solo), siamo esposti, ha spinto l’Unione Europea a focalizzare l‘attività legislativa dell’ultimo quinquennio nel settore della sicurezza IT.

Da questa focalizzazione nasce, nel 2016, la prima direttiva in tema di cyber-security: la direttiva EU 2016/1148 del Parlamento Europeo e del Consiglio Europeo riguardante la Sicurezza delle Reti e dei Sistemi Informativi, meglio conosciuta come NIS (Network and Information Security).

Come noto, lo strumento legislativo della direttiva obbliga gli stati membri ad un determinato risultato (in questo caso il rafforzamento dell’impianto di protezione dei sistemi e dei dati) demandando al legislatore nazionale l’individuazione dei mezzi per il perseguimento degli stessi. Nel 2018 l’Italia ha recepito la direttiva NIS con il decreto legislativo n.65/2018 pubblicato sulla Gazzetta Ufficiale il 9 giugno e divenuto effettivo dal 24 giugno dello stesso anno.

L’obiettivo della Direttiva NIS è migliorare il livello di difesa delle infrastrutture critiche degli Stati membri, facendo leva su intelligence e prevenzione per raggiungere un adeguato livello di cyber-security e di resilienza dei sistemi critici nazionali.

In particolare il legislatore europeo ha voluto mettere in atto misure organizzative e tecniche in grado di ridurre i rischi e l’impatto degli incidenti informatici, garantendo un generale ed omogeneo innalzamento delle misure di difesa su tutto il territorio europeo.

La Direttiva si sviluppa su tre principi:

  1. promuovere la cultura del risk management e della circolazione delle informazioni sugli incidenti tra i principali attori economici, in particolare tra gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali, così come tra i fornitori di servizi digitali;
  2. migliorare le capacità ed i mezzi in materia di cyber-security negli stati membri;
  3. adottare un modello cooperativo a livello nazionale e del territorio europeo.

Questi tre principi si traducono in altrettante linee di intervento riguardanti principalmente le aziende che ciascuno stato membro individua come Operatori di servizi essenziali (OSE) o Fornitori di servizi digitali (FSD).

OSE e FSD sono tenuti ad una valutazione del rischio IT e di Cyber-security e ad adottare misure tecniche e/o organizzative che siano adeguate e proporzionate alla gestione dello stesso ed alla minimizzazione dell’impatto a carico della sicurezza delle reti e dei sistemi informativi, con l’obiettivo di garantire la continuità del servizio. Inoltre hanno l’obbligo di notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante, rispettivamente sulla continuità e sulla disponibilità del servizio, al Computer Security Incident Response Team (CSIRT), informandone anche l’Autorità competente NIS di riferimento.

Anche i soggetti giuridici non identificati come OSE e che non sono FSD possono inviare al CSIRT notifiche volontarie degli incidenti che abbiano un impatto rilevante sulla continuità dei servizi da loro erogati. In questo caso non si rileva un obbligo di comunicazione ma un invito a seguire lo stesso modello con l’intento di favorire la più ampia diffusione di una consapevole cultura nel campo della cyber-security e di un conseguente accrescimento dei relativi livelli di sicurezza, anche attraverso un maggiore scambio di informazioni.

CLICCA QUI per scaricare il White Paper: "Cyber Security As A Service"

CSIRT network: nuovo modello di collaborazione europeo

Il concetto di cooperazione e l’adozione di un modello di collaborazione a livello Europeo è anche ribadito al Capo III – Cooperazione della Direttiva NIS. In particolare, all’articolo 6 viene definito il “Gruppo di Collaborazione”. Tale Gruppo ha l’obiettivo di “sostenere e agevolare la cooperazione strategica e lo scambio di informazioni fra Stati membri, di sviluppare la fiducia e nell’ottica di conseguire un livello comune elevato di sicurezza delle reti e dei servizi informativi nell’Unione”.

Il Gruppo di Cooperazione svolge le proprie attività sulla base di programmi biennali con i seguenti compiti (art.6 paragrafo 3 Direttiva NIS):

  1. fornire orientamento strategico per le attività della rete di CSIRT istituita ai sensi dell’articolo 12;
  2. scambiare buone pratiche sullo scambio di informazioni relative alla notifica di incidenti di cui all’articolo 14, paragrafi 3 e 5, e all’articolo 16, paragrafi 3 e 6;
  3. scambiare migliori pratiche fra gli Stati membri e, in collaborazione con l’ENISA, fornire loro assistenza per la creazione di capacità in materia di sicurezza delle reti e dei sistemi informativi;
  4. discutere le capacità e lo stato di preparazione degli Stati membri e valutare, su base volontaria, le strategie nazionali in materia di sicurezza delle reti e dei sistemi informativi e l’efficacia dei CSIRT e individuare le migliori pratiche;
  5. scambiare informazioni e migliori pratiche in materia di sensibilizzazione e formazione;
  6. scambiare informazioni e migliori pratiche in materia di ricerca e sviluppo riguardo alla sicurezza delle reti e dei sistemi informativi;
  7. ove opportuno, scambiare esperienze in materia di sicurezza delle reti e dei sistemi informativi con le istituzioni, gli organi e gli organismi pertinenti dell’Unione;
  8. discutere le norme e le specifiche di cui all’articolo 19 con i rappresentanti delle pertinenti organizzazioni di normalizzazione europee;
  9. raccogliere informazioni sulle migliori pratiche in relazione ai rischi e agli incidenti;
  10. esaminare, su base annuale, le relazioni sintetiche di cui all’articolo 10, paragrafo 3, secondo comma;
  11. discutere il lavoro svolto riguardo a esercitazioni in materia di sicurezza delle reti e dei sistemi informativi, programmi di istruzione e formazione, comprese le attività svolte dall’ENISA;
  12. con l’assistenza dell’ENISA, scambiare migliori pratiche connesse all’identificazione degli operatori di servizi essenziali da parte degli Stati membri, anche in relazione alle dipendenze transfrontaliere riguardo a rischi e incidenti;
  13. discutere modalità per la comunicazione di notifiche di incidenti di cui agli articoli 14 e 16.

Su proposta della Commissione Europea sono stati avviati i lavori finalizzati all’abrogazione della Direttiva NIS e ad una sua evoluzione verso la così detta Direttiva NIS 2, attualmente emessa come “proposal” , con il preciso scopo di modernizzare il quadro europeo sulla cybersecurity adeguandolo alle esigenze ed alle minacce conseguenti al nuovo panorama internazionale.

A dicembre 2020, la Commissione Europea ha adottato la proposta di Direttiva del Parlamento Europeo e del Consiglio Europeo riguardante le misure per un elevato livello comune di sicurezza informatica dell’Unione. Nello stesso periodo, la Commissione Europea e l’Alto Rappresentante dell’Unione per gli Affari Esteri hanno pubblicato una Comunicazione congiunta al Parlamento Europeo e al Consiglio, recante il titolo “La strategia dell’UE in materia di cibersicurezza per il decennio digitale”.

CSIRT network e framework di cyber security

L’azione del legislatore Europeo, in questo caso, è stata indirizzata ad un ulteriore rafforzamento del framework di cyber-security con particolare attenzione al livello di resilienza dei sistemi informatici. Ciò alla luce del sempre maggiore ricorso a strumenti tecnologici, accelerato dal diffondersi della Pandemia COVID 19 che ha ostacolato la libera circolazione accelerando il ricorso all’utilizzo di mezzi tecnologici e determinando un conseguente andamento crescente di nuove minacce di cyber-security.

In particolare l’iniziativa è nata a seguito di una verifica periodica di conformità della direttiva NIS proprio rispetto al quadro emerso a seguito della pandemia COVID 19, dalla quale è risultato:

  1. basso livello di resilienza delle imprese operanti sul territorio UE;
  2. disomogeneità nelle modalità di attuazione della Direttiva NIS da parte dei paesi membri, dovuta, ad esempio, all’ambiguità del criterio di caratterizzazione dei servizi essenziali;
  3. parziale inefficacia del modello di cooperazione e comunicazione;

Da questo assessment è apparsa chiaramente la necessità di dover rafforzare ulteriormente il framework europeo per la gestione della sicurezza delle tecnologie IT.

Gli obiettivi della Direttiva NIS 2 sono:

  1. allargare il numero di soggetti destinatari delle prescrizioni;
  2. ridurre le diverse incongruenze tra gli Stati per garantire un livello di sicurezza comune ed eliminare le differenze tra gli stessi;
  3. aumentare la consapevolezza collettiva.

A livello operativo la proposta considera due categorie di soggetti: i servizi essenziali e i servizi importanti. I primi includerebbero i servizi considerati essenziali come il settore dell’energia, dei trasporti, del bancario e dell’infrastruttura dei mercati digitali; mentre i secondi riguardano i servizi postali, dell’industria alimentare e chimica.

A seconda della categoria varia l’attività da compiere ed il livello di vigilanza da parte dell’Autorità: la prima categoria è interessata da un iter di vigilanza molto complesso sin dalla fase di attuazione della nuova Direttiva, mentre le organizzazioni appartenenti alla seconda categoria sarebbero destinatari di controlli ex post.

Una particolare attenzione viene riservata alla Protezione dei Dati Personali. La NIS 2 è stata anche sottoposta all’EDPS (European Data Protection Supervisor) che ha espresso in data 5 marzo 2021 il suo parere nell’Opinion n. 5. L’EDPS si è espresso favorevolmente rispetto ad iniziative che promuovono la “sovranità digitale” dal momento che i dati rappresentano oramai uno dei principali valori delle aziende e quindi vanno tutelati con particolare attenzione, specialmente ove si tratti di dati personali con risvolti sui singoli interessati. Tale rafforzamento delle misure di controllo passa per un corrispondente rafforzamento del modello cooperativo basato su processi e soluzioni tecnologiche sviluppate dall’UE. In questo senso l’istituzione del Centro europeo di competenza industriale, tecnologica e di ricerca sulla cibersicurezza con sede a Bucarest ha rappresentato un traguardo di sicuro interesse per lo sviluppo di soluzioni efficaci a supporto del modello basato sulla cooperazione.

Direttiva NIS 2, le raccomandazioni dell’EDPS: focus su crittografia end-to-end e cooperazione tra autorità

Come si legge sul sito del Consiglio Europeo:

“il nuovo Centro di competenza, collaborando con la rete dei centri nazionali di coordinamento designati dagli Stati membri, aiuterà l’UE ad aggregare e collegare in rete le sue competenze nello sviluppo industriale, nella tecnologia e nella ricerca sulla cibersicurezza e a promuovere la diffusione delle soluzioni più recenti nel campo della sicurezza informatica.

Il Centro, in cooperazione con la rete, erogherà sostegno finanziario per la cibersicurezza proveniente dai programmi Orizzonte Europa ed Europa digitale.

Il Centro avrà sede a Bucarest, in Romania. Il suo funzionamento sarà finanziato principalmente dai programmi Orizzonte Europa ed Europa digitale.

Il Centro riunirà inoltre le principali parti interessate, la comunità europea delle competenze in materia di cibersicurezza, per consolidare e diffondere in tutta l’UE le competenze nel settore della sicurezza informatica. I membri della comunità comprenderanno il settore industriale, organizzazioni di ricerca accademica, enti pubblici che si occupano di questioni operative e tecniche in materia di cibersicurezza e soggetti di altri settori che affrontano problemi di cibersicurezza.”

Ancora una volta viene affermato il modello di cooperazione come veicolo principale di difesa e di aumento del livello di resilienza non solo delle singole organizzazioni o dei singoli stati, ma di tutta la UE nel suo complesso.

Il modello cooperativo rende efficace, in particolare, la gestione dell’Incident Management al quale viene data dalla NIS 2 un’importanza centrale soprattutto nell’implementazione di modelli di gestione e comunicazione che vedono il CSIRT come fulcro operativo essenziale.

Nel disegno europeo manca l’attenzione alla PMI, ma di recente è stato pubblicato un bando ENISA per la costituzione di un gruppo di esperti che saranno focalizzati proprio su questo settore, nell’individuazione delle esigenze e nella definizione di modelli operativi e standard di riferimento nella gestione della Cyber Security.

Cos’è uno CSIRT e quali sono i servizi offerti

La pandemia COVID 19 ha spinto molte PMI e aziende di grandi dimensioni ad investire sul lavoro a distanza, attraverso l’adozione di modelli operativi “smart” che prevedono una collaborazione attraverso il canale internet divenuto abilitante per la continuità operativa dei propri modelli di business.

Consentire ai propri dipendenti di lavorare da casa, o comunque da remoto, mette le aziende nelle condizioni di dover valutare e gestire il rischio legato a nuove minacce tecnologiche. Tali minacce sfruttano proprio l’adozione dei nuovi modelli operativi e la “confusione” che in qualche occasione può essersi presentata in aziende non ancora mature per lo smart working.

Più in generale a livello mondiale, non solo europeo, sono oramai ampiamente diffusi i servizi erogati su internet non solo per la comunicazione ma anche per gli acquisti online, l’istruzione e perfino la sanità.

L’acronimo CSIRT sta per Computer Security Incident Response Team (gruppo di gestione degli incidenti di sicurezza informatica). Questo termine ha una valenza principalmente in Europa e sta ad indicare un gruppo di esperti in sicurezza IT, la cui attività principale consiste nell’intervenire a seguito di incidenti di sicurezza informatica.

Oltre alla gestione degli incidenti, il CSIRT offre una serie di soluzioni e di servizi che aiutano gli utenti a mettere in atto azioni di recupero a fronte di violazioni (ad esempio sui dati).

Il CSIRT offre anche servizi per intervenire con azione preventiva sul rischio di attacchi informatici. L’azione di prevenzione viene principalmente realizzata attraverso servizi di monitoraggio, di awareness e, più in generale, di comunicazione nei confronti della comunità di riferimento.

Spesso vengono prodotti bollettini e report relativi alle principali minacce informatiche e/o alle principali vulnerabilità a livello hardware e software. L’azione di comunicazione consente agli utenti di intervenire sui propri sistemi informativi adottando le contromisure necessarie (ad esempio l’adeguamento del livello di patching dei sistemi in uso).

Come detto in precedenza, il temine CSIRT viene utilizzato principalmente in Europa; di seguito una serie di sinonimi utilizzati nel resto del mondo:

  • CERT o CERT/CC (Computer Emergency Response Team / Coordination Center)
  • CSIRT (Computer Security Incident Response Team)
  • IRT (Incident Response Team)
  • CIRT (Computer Incident Response Team)
  • SERT (Security Emergency Response Team)

I servizi che un CSIRT può offrire sono elencati all’art. 12 della direttiva NIS, ma attualmente non tutte le strutture esistenti li erogano nella totalità; per questo è cruciale che un’azienda o un’organizzazione sia messa nelle condizioni di scegliere la migliore struttura che possa supportarla.

Di seguito una sintesi dei possibili servizi offerti.

Servizi reattivi

I servizi che rientrano in questa categoria di solito si riferiscono all’analisi di un incidente di sicurezza dopo che lo stesso si è verificato. In questo caso il compito del CSIRT è quello di avvisare dell’avvenuto incidente e supportare dal punto di vista tecnico la soluzione immediata e le azioni di remediation successive. Il supporto tecnico può essere di diverse tipologie e può riguardare, ad esempio, l’analisi forense, l’analisi del malware, l’analisi delle cause degli incidenti e/o la mitigazione degli stessi.

Servizi pro-attivi

Questa tipologia di servizi sono finalizzati alla prevenzione dagli attacchi informatici. I servizi erogati a questo livello fanno leva sul monitoraggio, sulla comunicazione e sul Knowledge Sharing che abilitano un elevato grado di cooperazione tra i CSIRT.

Un esempio di servizi pro-attivo è l’utilizzo di honeypot per attirare attacchi informatici e poter carpire le informazioni relative a tecniche e strumenti degli attaccanti. Tali informazioni sono poi utilizzate nell’ambito della CSIRT Network per istruire strumenti di prevenzione (es. IPS).

Servizi di Gestione della Qualità della Sicurezza

Si tratta di servizi di natura consulenziale volti alla verifica del livello di maturità di un’organizzazione e del conseguente livello di rischio cybersecurity associato. La competenza per erogare questa tipologia di servizi è strettamente derivante dalle altre due tipologie (servizi reattivi e proattivi) che forniscono, senza dubbio, un patrimonio informativo molto completo.

Gestione degli artefatti

Servizi di analisi di file malevoli o di altri artefatti che possano contenere minacce informatiche (Virus, Worm, Script, Trojans,…). Questi servizi sono in grado di rilevare e di neutralizzare eventuali componenti malevole. Anche in questo caso non mancano attivita’ di condivisione svolte sulla base di rapporti o bollettini periodici.

Genesi del CSIRT e della CSIRT network

Alla fine degli anni ottanta una epidemia di worm, denominato Morris2, ha interessato l’infrastruttura IT delle principali organizzazioni a livello mondiale.

Questa situazione ha reso evidente la necessità di collaborazione tra amministratori di sistema e responsabili IT per far fronte a situazioni del genere: è stato pertanto necessario mettere in atto approcci strutturati, specialmente dal punto di vista organizzativo, per far fronte alle nuove minacce, sempre più invasive, che si stavano affacciando nel panorama della Sicurezza Informatica.

Tutta questa situazione ha spinto la Defence Advanced Research Projects Agency (DARPA) a creare il primo CSIRT: il CERT Coordination Center (CERT/CC3), situato presso la Carnegie Mellon University a Pittsburgh (Pennsylvania). Tale creazione è avvenuta a pochi giorni dall’incidente relativo al warm.

Il modello CSIRT si è diffuso rapidamente in tutta Europa e nel 1992 la rete di ricerca olandese SURFnet ha lanciato il primo CSIRT europeo, con il nome di SURFnet-CERT4. Ad esso si sono poi aggiunti molti gruppi e, attualmente, l’Inventario delle attività CERT dell’ENISA elenca più di 100 gruppi conosciuti dislocati in tutta Europa.

Il primo embrione di CERT, negli anni, si è evoluto passando da un modello reattivo nella gestione degli incidenti all’erogazione di servizi (monitoraggio, formazione, awareness) necessari all’impostazione di un modello di difesa pro-attivo. Questa evoluzione ha comportato, tra le altre cose, l’adozione di una nuova terminologia (CSIRT) che si è sostituita a quella consueta. Nel tempo CSIRT e CERT sono stati utilizzati come sinonimi ma è evidente che il passaggio dal CERT al CSIRT ha rappresentato un’evoluzione radicale del modello operativo e dell’approccio alla gestione degli incidenti di Sicurezza.

Nel 2017 si è costituita la cosiddetta Rete CSIRT (CSIRT Network), cioè un modello di cooperazione tra CSIRT a livello Europeo per consentire la gestione di incidenti su larga scala e transfrontalieri. La CSIRT Network nasce, in particolare, a seguito del primo atto legislativo UE in tema di sicurezza informatica: la direttiva EU 2016/1148 meglio conosciuta come “direttiva NIS”.

In particolare, all’art. 12 tale direttiva prescrive quanto segue: “ la rete CSIRT è composta da rappresentanti dei CSIRT degli Stati membri e del CERT-UE. La Commissione partecipa alla rete dei CSIRT in qualità di osservatore. L’ENISA assicura il segretariato e sostiene attivamente la cooperazione tra i CSIRT”.

La mappa della CSIRT network disponibile all’indirizzo qui.

Durante il periodo della pandemia COVID-19 i membri della CSIRT Network hanno intensificato lo scambio si informazioni sulla sicurezza informatica con l’obiettivo della salvaguardia dei cittadini e delle imprese a livello dell’intero territorio Europeo. Tale situazione ha portato l’apparato di difesa Cybersecurity Europeo ad essere pronto per rispondere a possibili minacce che si possano presentare sfruttando proprio il momento critico legato alla gestione della pandemia.

La CSIRT network produce un rapporto settimanale all’UE e agli Stati membri che fornisce sintesi e raccomandazioni su come affrontare le minacce informatiche legate all’epidemia.

In Europa attualmente si contano più di 500 Computer Incident Response Team (CSIRT) che coprono le esigenze di grandi aziende, PMI, privati cittadini, istituti governativi, istituti di ricerca e istruzione. Si tratta di organizzazioni che operano in “prima linea” nella gestione di attacchi e di incidenti di cyber security.

L’ENISA ha predisposto un servizio disponibile online su internet che consente di avere la mappa dei CSIRT che operano nell’EU per poter individuare la struttura che meglio soddisfa le esigenze sia a livello dei servizi offerti sia a livello geografico.

CSIRT network: una piattaforma di cooperazione

La Commissione Europea ha effettuato l’assegnazione del bando “Connecting Europe Facility – Cybersecurity Digital Service Infrastructure Maintenance and Evolution of Core Service Platform Cooperation Mechanism for CSIRT – MeliCERTes Facility”. L’assegnazione è stata effettata ad un consorzio al quale partecipano: il team nazionale polacco di risposta alle emergenze informatiche (NASK/CERT.pl) con compiti di coordinamento, il team austriaco di risposta alle emergenze informatiche (nic.at/CERT.at), l’autorità estone del sistema informativo (CERT.EE ), il Computer Incident Response Center Luxembourg (CIRCL) e Deloitte.

Obiettivo dell’intervento è lo sviluppo e la manutenzione della piattaforma MeliCERTes, che offre servizi sostenibili e strumenti di collaborazione ai CSIRT dell’UE.

La Piattaforma di Cyber Security MeliCERTes fa parte della Strategia Europea per la Cyber Security. MeliCERTes è una rete per implementare un modello di comunicazione tra i Computer Security Incident Response Team (CSIRT) nazionali degli Stati membri e per promuovere una cooperazione operativa rapida ed efficace.

La piattaforma MeliCERTes è ora ospitata dall’Agenzia europea per la sicurezza informatica, ENISA. La nuova sovvenzione riguarda la sua evoluzione ed in particolare:

  • l’implementazione di una raccolta di strumenti open source utilizzati, sviluppati e mantenuti dagli stessi CSIRT, con l’obiettivo primario di fornire servizi per la propria circoscrizione;
  • miglioramento delle basi esistenti avviate in MeliCERTes in una piattaforma manutenibile a lungo termine e più operativa, intesa a sostenere gli sforzi di cooperazione all’interno della rete CSIRT.

Il progetto prevede inoltre lo sviluppo di nuove idee per l’evoluzione degli strumenti per la gestione e la divulgazione delle vulnerabilità, l’archiviazione di malware su larga scala o l’analisi delle perdite e le capacità di rilevamento.

Il consorzio assegnatario del progetto è composto da tre membri della rete CSIRT che hanno una comprovata esperienza sia nella creazione di nuovi strumenti che nella manutenzione di software a lungo termine.

Questa sovvenzione di 3 anni riceve un finanziamento di 2 milioni di euro dall’UE. Sarà realizzato in stretta collaborazione con ENISA, l’Agenzia dell’UE per la sicurezza informatica che ospita il nodo centrale della struttura MeliCERTes.

Un’altra iniziativa rilevante è quella prevista dal bando CEF “Creazione dell’infrastruttura di servizi digitali per la sicurezza informatica di un meccanismo di cooperazione con una piattaforma di servizi di base per il gestore delle strutture dei centri di analisi e condivisione delle informazioni (ISAC)” detto anche SMART 2018/1022.

L’UE ha stanziato 1,5 milioni di euro per assistere la creazione e l’ulteriore sviluppo di ISAC settoriali a livello europeo che coprono tutti i settori e sotto-settori identificati dalla direttiva NIS (allegato II), come energia, finanza, sanità, distribuzione dell’acqua, infrastrutture digitali e settori dei trasporti.

Gli ISAC (Information Sharing and Analysis Centres) nascono dalla collaborazione pubblico-privato ed hanno la finalità di potenziare la difesa informatica di organizzazioni operative nel settore dei servizi essenziali. Gli ISAC raccolgono, analizzano e condividono informazioni relative alle minacce informatiche ed alle relative tecniche di difesa e prevenzione.

Nell’ambito di tale bando, Gapgemini (coordinatore) e Intrasoft lavorano insieme in un consorzio supportato da Spark Legal Network, l’Organizzazione olandese per la ricerca scientifica applicata (TNO) e i servizi tedeschi DFN-CERT. L’attività svolta è finalizzata alla definizione di una strategia ed alla realizzazione di strumenti per abilitare la creazione di nuovi ISAC in settori critici.

È inoltre previsto il supporto in fase di avvio mediante consulenza tecnica e legale. Anche in questa attività, l’ENISA si pone come abilitatore nella creazione di ISAC di settore a livello UE.

Modello di governance e test sul campo

Il 29 settembre 2020 si è tenuta l’ultima edizione di “Blue OLEx 2020”. Si tratta di un’esercitazione operativa di cyber-security promossa dell’ENISA in collaborazione con la Commissione europea. L’Italia, ha partecipato come nella precedente edizione, ed è stata rappresentata dal Dipartimento delle Informazioni per la Sicurezza (DIS) della Presidenza del Consiglio dei Ministri.

I lavori sono stati organizzati dall’Olanda, si sono svolti online, ed hanno visto la partecipazione di ventisette paesi membri. Le attività sono state indirizzare alla verifica “sul campo” della capacità degli stati membri di far fronte ad attacchi di cyber-security ed al rafforzamento del livello di cooperazione tra gli stessi stati, la Commissione Europea e l’ENISA. Infine, l’esercitazione pone le basi per una discussione politica ad alto livello, su questioni strategiche di politica informatica, in particolare, definendo un quadro coerente per la gestione delle crisi a livello dell’UE.

Blue OLEx è un evento di alto livello organizzato ogni anno da uno Stato membro e sostenuto dall’Agenzia dell’Unione europea per la sicurezza informatica, ENISA, in collaborazione con la Commissione europea. Ha lo scopo di testare la preparazione dell’UE in caso di crisi cibernetica che colpisce gli Stati membri dell’UE e di rafforzare la cooperazione tra le autorità nazionali per la sicurezza informatica, la Commissione europea e l’ENISA.

Blue OLEx riunisce gli alti dirigenti delle autorità competenti dei ventisette Stati membri, responsabili della gestione della crisi informatica e/o della politica informatica, della Commissione europea e dell’Agenzia ENISA ed è l’opportunità per testare sul campo la Cyber Crisi Liaison Organization Network (CyCLONe) cioè l’organizzazione per la gestione di eventuali crisi cyber a livello EU.

CyCLONe, la rete europea per la cyber difesa degli Stati membri: cos’è e come funziona

L’obiettivo di CyCLONE è, infatti, quello di contribuire all’attuazione del progetto della Commissione europea per una rapida risposta alle emergenze in caso di incidente o crisi cibernetica transfrontaliera su larga scala e integrare le strutture di cyber-security esistenti a livello dell’UE collegando la cooperazione a livello tecnico (Security Incident Response Team – CSIRT) e livelli politici (ad es. risposta integrata alle crisi politiche – IPCR). In tal modo, CyCLONE realizzerà due obiettivi fondamentali: consentire consultazioni sulle strategie di risposta nazionali e valutare l’impatto coordinato sugli effetti previsti o osservati di una crisi, a vantaggio dei decisori politici, sia a livello nazionale che dell’UE.

Le lezioni apprese durante Blue OLEx 2020 costituiscono un input per l’integrazione delle procedure operative standard di CyCLONE che daranno forma agli esercizi futuri secondo un ciclo di “continuos improvement”.

 

FONTI BIBLIOGRAFICHE

  1. CERT/CC CSIRT handbook.
  2. DIRETTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.
  3. Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148.
  4. EU Member States incident response development status report – Novembre 27, 2019.
  5. Consiglio Europeo – COMBINED EVALUATION ROADMAP/INCEPTION IMPACT ASSESSMENT Revision of the NIS Directive – Q4 2020.
  6. Consiglio Europeo – Posizione del Consiglio in prima lettura in vista dell’adozione del REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO che istituisce il Centro europeo di competenza per la cibersicurezza nell’ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento.
  7. European Data Protection Supervisor – Opinion 5/2021 on the Cybersecurity Strategy and the NIS 2.0 Directive.
  8. ENISA – EU MS INCIDENT RESPONSE DEVELOPMENT STATUS REPORT November 2019.
  9. ENISA – Blue OLEx 2020: the European Union Member States launch the Cyber Crisis Liaison Organisation Network (CyCLONe) – September 29,2020.
  10. Segretariato Generale del Consiglio Europeo – Progetto di conclusioni del Consiglio sulla strategia dell’UEin materia di cibersicurezza per il decennio digitale – 9 marzo 2021.

 

NOTE

  1. La Direttiva NIS (Network & Information Security) è stata adottata dalla UE nel luglio 2016 e rappresenta una dei primi tentativi di regolamentare la Sicurezza Informatica a livello Europeo. Con questa direttiva il legislatore europeo ha inteso raggiungere un comune elevato livello di sicurezza delle reti e dei sistemi informativi all’interno dell’UE, mediante (1) il miglioramento degli strumenti e delle competenze di cyber-security a livello nazionale, (2) la maggiore cooperazione e la gestione dei rischi a livello dell’UE, (3) gli obblighi di segnalazione degli incidenti per gli operatori di servizi essenziali e per i fornitori di servizi digitali. La direttiva NIS, entrata in vigore nell’agosto del 2016, è un traguardo importante verso la predisposizione di un modello resiliente di sicurezza informatica condiviso a livello comunitario.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5