CYBER SECURITY

Il nuovo CSIRT e la gestione centralizzata della difesa cyber: quali vantaggi

Istituito presso il DIS (Dipartimento delle Informazioni per la Sicurezza), lo CSIRT costituisce il centro di coordinamento delle attività relative alla prevenzione e alla gestione delle minacce e degli incidenti cyber in Italia e ha quindi un ruolo nevralgico nel monitoraggio della difesa cyber. Ecco con quali vantaggi

29 Mag 2020
F
Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

V
Marco Roberto Vecchiato

Associazione Italiana esperti in Infrastrutture Critiche


A partire dal 6 maggio di quest’anno, in ottemperanza delle disposizioni dell’UE per fronteggiare in modo proattivo ed efficace gli attacchi e le minacce cyber, è stato istituito lo CSIRT Italiano (Computer Security Incident Response Team). Questo nuovo organo costituisce ora il centro di coordinamento di tutte le attività relative alla prevenzione e alla gestione delle minacce e degli incidenti cyber in Italia.

Lo CSIRT è stato istituito presso il DIS (Dipartimento delle Informazioni per la Sicurezza) mediante l’emanazione del D.lgs. 65/2018 e il suo funzionamento è regolato dal DPCM 8 agosto 2019. Lo CSIRT opera in sinergia con il Nucleo per la Sicurezza Cibernetica (NSC) e con il Punto di Contatto Unico NIS, anche questi istituiti presso il DIS.

Lo CSIRT è composto da un team di esperti in cyber security: quindici provenienti da Amministrazioni Pubbliche e gli altri quindici sono da assumere in base alle disposizioni della Presidenza del Consiglio dei Ministri.

CSIRT: quali sono le sue funzioni

La nascita dello CSIRT italiano è dovuta all’attuazione del processo di innovazione che l’Italia sta portando avanti nel settore della cyber security proprio per incentivare la collaborazione (nazionale e internazionale) e la condivisione di informazioni e competenze in ambito cyber, soprattutto incentivando gli enti (sia pubblici che privati) a segnalare allo CSIRT tutti gli incidenti che si sono verificati e le eventuali minacce che questi hanno riscontrato.

Lo CSIRT ha quindi il ruolo nevralgico di gestire tali segnalazioni e di utilizzarle per monitorare lo stato della difesa cyber in Italia.

Lo CSIRT, nell’espletamento delle sue funzioni, potrà avvalersi del supporto dell’Agenzia per l’Italia digitale (AgID) e del CERT-AgID che ha sostituito il CERT-PA per l’emanazione di raccomandazioni e strategie per sensibilizzare e informare le amministrazioni sui temi della sicurezza informatica.

A livello Europeo, lo CSIRT, attraverso il Punto di Contatto Unico NIS, collabora con gli CSIRT istituiti negli altri Stati membri, con la Commissione Europea e con l’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA).

Per rispondere alle segnalazioni che gli sono pervenute lo CSIRT offre diversi servizi[1]. Tra questi vi sono:

  • servizi reattivi:
  1. allarmi e avvisi;
  2. gestione e analisi degli incidenti;
  3. gestione delle vulnerabilità;
  • servizi proattivi
  1. revisione e valutazione dei livelli di sicurezza;
  2. configurazione e mantenimento della sicurezza;
  3. sviluppo di strumenti di sicurezza;
  4. divulgazione di informazioni relative alla sicurezza;
  • servizi per la qualità della sicurezza
  1. analisi dei rischi;
  2. supporto per le attività di Business Continuity e Disaster Recovery;
  3. sensibilizzazione e formazione.

Obbligo di notifica degli incidenti

WHITEPAPER
Quali elementi considerare per capire se si è vulnerabili agli hacker?
IoT
Sicurezza

Il succitato D.lgs. 65/2018 individua determinate categorie di enti (sia pubblici che privati) che per la loro rilevanza a livello Nazionale hanno un ruolo di prim’ordine per quanto riguarda la sicurezza cyber del Paese. Tali enti, per via della loro importanza, sono obbligati dalle disposizioni del Decreto a notificare incidenti ed eventuali minacce. Questi enti sono:

  • gli Operatori di Servizi Essenziali (OSE) (organizzazioni pubbliche e private che forniscono servizi essenziali);
  • i Fornitori di Servizi Digitali (FSD), quali e-commerce e motori di ricerca online (individuati negli allegati II e II del Decreto).

Il Decreto dispone che gli OSE e gli FSD devono ricoprire un ruolo primario nel campo della prevenzione delle minacce cyber, “adottando misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi poste alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni”. Nel caso in cui queste misure non si dimostrino sufficienti per garantire adeguati livelli di sicurezza, “essi notificano al CSIRT italiano…”, “… gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti”.

In risposta alle segnalazioni, lo CSIRT italiano fornisce al segnalante assistenza tecnica e informazioni che possono facilitare un trattamento efficace dell’incidente. Il coinvolgimento dello CSIRT nella gestione degli incidenti scaturisce dall’obbligo che grava sugli OSE e sui FSD di notificare a questo gli incidenti (ex. art. 21 del decreto). Il Decreto, tuttavia, non indica un limite di tempo entro cui l’ente deve notificare l’incidente allo CSIRT.

L’obbligo di notificazioni allo CSIRT è anche a carico di operatori di reti e sistemi di comunicazioni elettroniche (TELCO) sulla base del DM del 12 dicembre 2018 relativo alle “misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi.

Segnalazioni facoltative

Se per gli OSE e gli FSD le segnalazioni di incidenti sono obbligatorie, per le altre categorie è possibile fare delle segnalazioni volontarie, attraverso l’apposita sezione sul sito dello CSIRT, purché gli incidenti abbiano un impatto rilevante sulla continuità dei servizi da loro prestati.

Le news, le allerte e i bollettini pubblicate dallo CSIRT sono disponibili pubblicamente nelle apposite sezioni del sito, dunque, a disposizione di tutti i soggetti pubblici e privati, nonché di tutti i cittadini, che siano professionisti del settore o meno, e chiunque desideri approfondire l’argomento e mantenersi aggiornato sulle vulnerabilità e le minacce più recenti.

Quali vantaggi ci sono grazie allo CSIRT

L’obiettivo della Direttiva NIS (e del relativo Decreto di recepimento) è quello di favorire la più ampia diffusione possibile di una “cultura cyber” e un conseguente accrescimento dei relativi livelli di sicurezza, anche attraverso un maggiore scambio di informazioni.

Ai sensi dell’art. 18 del D.lgs. 65/2018, tutti i soggetti, indipendentemente dalla loro identificazione quali OSE o FSD, possono quindi inoltrare allo CSIRT notifiche volontarie degli incidenti (che abbiano un impatto rilevante sulla continuità dei servizi da loro erogati), in modo da contribuire alla raccolta di dati relativi alle minacce che minano il perimetro nazionale di sicurezza cyber.

Allo stesso modo, al di fuori degli obblighi derivanti dalla normativa di riferimento, qualunque soggetto pubblico o privato può volontariamente segnalare incidenti riguardanti la sicurezza.

Ulteriore tentativo di mettere l’accento sull’importanza di comunicare allo CSIRT eventuali incidenti o minacce sta nel fatto che la notifica volontaria non può comportare nessuna ripercussione da parte delle autorità competenti nei confronti nel soggetto che l’ha effettuata.

Ulteriori vantaggi derivanti dalle attività dello CSIRT sono:

  • avere un coordinamento centralizzato per le questioni della sicurezza cyber;
  • gestire le risposta agli incidenti/minacce in modo centralizzato e specializzato;
  • avere a disposizione le competenze per sostenere e aiutare gli utenti a riprendersi rapidamente dagli incidenti che hanno intaccato la sicurezza dei loro sistemi;
  • tenere informati gli interessati sugli sviluppi e sulle innovazioni nel campo della sicurezza cyber;
  • stimolare la cooperazione all’interno della comunità di riferimento in merito alla sicurezza.

La creazione di questo fulcro per la gestione degli incidenti, attraverso la condivisione di informazioni, permette di acquisire una maggiore consapevolezza dei rischi e delle minacce a livello nazionale (tanto nel settore pubblico quanto in quello privato) e permette di fronteggiare in modo corale queste minacce, creando così una strategia comune.

La costituzione dello stesso in seno al DIS rappresenta ulteriormente l’importanza di dare maggiore rilevanza alle linee guida emanate dal Governo, che ha il compito di garantire una risposta celere e condivisa tra tutti i destinatari.

NOTE

  1. “Handbook for CSIRTs” (Manuale per CSIRT) pubblicato dal CERT/CC6
DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 4