Prosegue l’iter per rafforzare il Perimetro Nazionale di Sicurezza Cibernetica (PNSC): tramite la Determina 3 gennaio 2023 a firma del Direttore Roberto Baldoni (pubblicata in Gazzetta Ufficiale del 10 gennaio 2023) l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la nuova tassonomia riguardante gli incidenti che debbono essere oggetto di notifica ed estende gli obblighi di notifica dei soggetti facenti parte del perimetro di sicurezza.
Perimetro cyber, operativo il processo di certificazione: quali implicazioni
Indice degli argomenti
La nuova tassonomia: ecco di cosa si tratta
Nello specifico, già il DPCM 14 aprile 2021 n. 81 – contenente disposizioni in materia di notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici dei soggetti compresi nel Perimetro – forniva, negli allegati A1 e A2, una tassonomia di riferimento per la notifica degli incidenti da parte dei soggetti interessati al Computer Security Incident Response Team (CSIRT Italia) dell’ACN.
Le tempistiche per la notifica possono variare in base alla gravità dell’incidente: le categorie meno gravi, riportate nella Tabella 1 (Infezione, Guasto, Installazione, Movimenti laterali e Azioni sugli obiettivi), prevedono una notifica entro 6 ore dalla rilevazione dell’incidente, mentre quelle più gravi, individuate nella Tabella 2 (Azioni sugli obiettivi, Disservizio), riducono tale termine temporale a un’ora.
Con il nuovo provvedimento firmato da Roberto Baldoni, direttore dell’ACN, viene resa pubblica questa nuova tassonomia che rafforza il suddetto Perimetro, in quanto è stato esteso l’ambito delle notifiche obbligatorie in caso di incidenti informatici che riguardano sistemi, reti e servizi informativi che non sono direttamente conferiti sotto il Perimetro stesso, in attuazione del cosiddetto decreto “Aiuti bis” (decreto-legge 9 agosto 2022, n.115, che modifica le disposizioni dell’articolo 1, comma 3 bis del decreto-legge n.105 del 2019, riguardante proprio il Perimetro di Sicurezza Nazionale Cibernetica).
Come spiegato all’interno del comunicato, ogni tentativo di accesso a beni informatici che non ricadono sotto la protezione del Perimetro di Sicurezza ma che appartengono a soggetti dello stesso, deve essere segnalato, entro settantadue ore, al Computer Security Incident Response Team (CSIRT Italia) dell’ACN.
Tale disposizione dovrebbe permettere all’Agenzia di supportare al meglio tutte le attività a protezione dei soggetti nazionali del Perimetro. La tassonomia adottata rappresenterà un ulteriore strumento utile a favorire la collaborazione di istituzioni, pubbliche amministrazioni e imprese, che erogano servizi critici per il Paese, a beneficio della sicurezza nazionale cibernetica.
Il nuovo sistema di notifica e la relativa tassonomia entreranno a regime a 14 giorni dalla pubblicazione, ovvero il 26 gennaio 2023. Queste disposizioni vanno a integrare ed espandere le norme già in essere, relative agli incidenti aventi un impatto sui beni ICT dei soggetti inclusi nel Perimetro Nazionale di Sicurezza Cibernetica (PSNC).
Com’è organizzata la nuova tassonomia degli incidenti cyber
La tassonomia, prodotta dai tecnici dell’ACN, è organizzata in forma di tabella, contenente le categorie di incidenti informatici e fasi di attacco.
Per ogni tipologia di incidente sarà conferito un codice identificativo e una categoria corrispondente, con opportuna descrizione.
Le categorie degli incidenti sono sei e comprendono le tecniche d’attacco informatico già descritte dal MITRE ATT&CK, un knowledge base che raggruppa informazioni acquisite a livello internazionale in ambito di cybersecurity e più nello specifico di tecniche e procedure utilizzate dagli attaccanti (TTP, Tattiche, Tecniche e Procedure), descrivendo il comportamento e le modalità di interazione degli attacchi informatici con gli elementi del sistema informativo target.
La nuova tassonomia pubblicata dall’ACN non va a modificare le tempistiche e le modalità di segnalazione per gli incidenti a danno dei beni ICT conferiti nel Perimetro, che rimangono le stesse, ma mira invece ad espanderne la portata, arrivando ad includere i beni e i servizi informatici non espressamente inclusi nel PNSC, come già accennato.
Per quanto riguarda gli incidenti rilevati a danno di questi ultimi, i soggetti inclusi nel Perimetro avranno tre giorni di tempo (72 ore) per segnalare il problema al CSIRT Italia.
Le differenti categorie di incidenti nella nuova tassonomia
Le categorie di incidenti riportate nella nuova tassonomia sono sei:
- Accesso iniziale (Initial Exploitation)
- Esecuzione (Execution)
- Installazione (Establish persistence)
- Movimenti laterali (Lateral movement)
- Azioni sugli obiettivi (Actions on objectives)
- Ricognizione (Reconnaissance) riferita ad attività di spear phishing.
Qui di seguito sono elencate le specifiche descrizioni relative a ogni categoria.
- Accesso iniziale si riferisce a situazioni in cui il soggetto rileva accessi non autorizzati all’interno della propria rete, attraverso vettori di infezione o sfruttamento di vulnerabilità.
- Esecuzione fa riferimento al rilevamento di esecuzione non autorizzata di codice o malware all’interno della rete del soggetto.
- Installazione include invece l’ottenimento non autorizzato di privilegi di livello superiore, l’uso non autorizzato di tecniche finalizzate ad ottenere la persistenza di codice malevolo o a garantire un accesso, l’utilizzo non autorizzato di tecniche di elusione di politiche e sistemi di sicurezza all’interno di reti e sistemi del soggetto, e la presenza di comunicazioni non autorizzate verso l’esterno.
- Movimenti laterali riguarda l’uso di tecniche non autorizzate per attività di esplorazione e ricognizione su sistemi e reti interne, la raccolta non autorizzata di credenziali, e i cosiddetti movimenti laterali, ossia tecniche non autorizzate per accedere, controllare o eseguire codice tra le risorse interne della rete.
- Azioni sugli obiettivi include incidenti relativi alla raccolta non autorizzata di dati e informazioni, alla loro esfiltrazione verso risorse esterne, all’inibizione delle funzioni di sicurezza, protezione e quality assurance dei sistemi del soggetto, alla compromissione dei processi di controllo fisico di sistemi di controllo industriale e a disservizi intenzionali (manipolazione, degradazione, interruzione o distruzione) su sistemi, servizi o dati del soggetto.
- Ricognizione fa riferimento, infine, alle tecniche di raccolta di informazioni potenzialmente utili all’attaccante per successive attività malevole.
Nunzia Ciardi (ACN): “Convivere con il rischio cyber imparando a gestirlo”
Gli interventi dell’Agenzia sul tema cyber
L’impegno dell’ACN, per consentire la cosiddetta resilienza della catena di approvvigionamento e delle infrastrutture critiche, continua nella direzione già intrapresa dalla creazione dell’Agenzia stessa.
“In uno scenario caratterizzato da crescenti tensioni geopolitiche, attacchi informatici in evoluzione e rischi di interruzione della catena di approvvigionamento, il ruolo di ogni funzionario di alto livello della sicurezza informatica di una nazione è quello di ottenere il meglio dalla rivoluzione digitale per la società – in termini di benessere e prosperità economica – riducendo al minimo sia il rischio di subire attacchi dirompenti sia il costo delle misure di sicurezza aggiuntive applicate”, aveva dichiarato il direttore dell’ACN Baldoni in un editoriale pubblicato il 3 dicembre 2022 dall’International Journal of Critical Infrastructure Protection (IJCIP).
“Convivere con il rischio cyber imparando a gestirlo”, sono invece le parole di Nunzia Ciardi, Vicedirettore dell’ACN, in merito alla strategia cloud nazionale e alla pubblicazione in Gazzetta Ufficiale, il 2 gennaio 2023, del nuovo processo di qualificazione dei servizi cloud per la PA, che ricadrà sotto la responsabilità dell’Agenzia a partire dal 19 gennaio.
