TECNOLOGIA E SICUREZZA

La cyber security per le infrastrutture critiche nazionali: un approccio concreto e operativo

L’attuale crisi politico-militare sta portando un’importante spinta verso un approccio concreto e operativo al tema della cyber security, soprattutto in relazione alle infrastrutture critiche. Ecco un possibile approccio concreto e operativo che ha nel perimetro di sicurezza nazionale cibernetica il punto cardine

14 Apr 2022
L
Gabriele Liverziani

Presales Manager – DP (Digital Platforms S.p.A)

Le recenti e purtroppo continue notizie di attacchi informatici in qualche misura riconducibili alla crisi russo-ucraina stanno portando in evidenza una situazione di forte scollamento tra l’impostazione teorica della “scienza” della cyber security e della cyber warfare, fatta di articolati quadri normativi e best practice che sulla carta appaiono ineccepibili, e la realtà fattuale della cronaca, che racconta di un mix di gruppi filo-governativi, attivisti, sedicenni in cerca di avventura e improvvisati difensori delle libertà che si scontrano su un terreno, quello del cyberspazio, impercettibile ai più fin tanto che i danni delle azioni non diventano tangibili (il blocco delle prenotazioni ferroviarie di questi giorni è solo un danno “minore” se paragonato a quelli che potrebbero verificarsi nel prossimo futuro).

Come già avvenuto per la pandemia da Covid-19, che tra i pochi effetti positivi ha avuto una forte crescita di consapevolezza dei rischi derivanti dall’uso improprio degli strumenti informatici lavorativi in ambiente domestico, anche l’attuale crisi politico-militare sta portando un’importante spinta verso un approccio concreto e operativo al tema della cyber security, soprattutto in relazione alle infrastrutture critiche.

Un decreto per la sovranità tecnologica anche nella cyber: le mosse di Italia ed Europa

Cyber security delle infrastrutture critiche: la situazione in Italia

L’Italia, come noto agli addetti ai lavori, paga le conseguenze dei ritardi accumulati per la definizione di un quadro normativo e organizzativo adeguato, che si sommano al gap tecnologico comune a tutto il nostro continente, dal quale deriva una oggettiva dipendenza dagli Stati Uniti e dai Paesi asiatici produttori hi-tech.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Tuttavia, questa partenza ritardata può trasformarsi nell’opportunità che consentirebbe – e di fatto sta già consentendo – di percorrere con maggiore efficienza la strada già tracciata dagli altri Paesi europei, evitando allo stesso tempo di commettere i loro stessi errori.

Da questo punto di vista, la costituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) e il suo rapido passaggio a una sostanziale – se non ancora del tutto piena – operatività rappresentano un segnale importantissimo del fatto che la direzione presa è quella giusta.

Tra i compiti affidati alla nuova Agenzia rientrano lo sviluppo di politiche di prevenzione, analisi e monitoraggio dei pericoli, la redazione del piano annuale di sicurezza cibernetica nazionale, la promozione di un quadro giuridico e normativo di riferimento, la partecipazione a esercitazioni nazionali e internazionali per testare l’adeguatezza delle misure di sicurezza, lo svolgimento di funzioni consultive, il coordinamento della cooperazione internazionale in funzione di sicurezza cibernetica, la collaborazione con il mondo accademico e della ricerca.

Il rischio che la creazione dell’ACN rappresentasse l’ennesima operazione di rimpasto organizzativo è stato nei fatti superato dalla necessità stringente di rendere la struttura subito funzionante e, oggettivamente, i primi risultati sono evidenti a tutti.

Perimetro cibernetico cardine della strategia cyber italiana

Uno dei cardini attorno a cui ruota l’azione dell’ACN è il Perimetro di Sicurezza Nazionale Cibernetica (PSNC). La sua definizione, prevista dal D.lgs. 105/2019 e attuata con il DPCM 131/2020, ha segnato una svolta fondamentale nel processo di implementazione della cyber security nel nostro Paese.

Ogni buona pratica di analisi e mitigazione dei rischi prevede, per prima cosa, la definizione degli “asset interessati” su cui agire in termini prioritari – in altre parole il “perimetro” – e subito dopo vengono fissate le “metriche” rispetto alle quali valutare (e successivamente innalzare) il livello di maturità e di conformità. L’iter del PSNC ha seguito questa stessa logica: sono stati individuati e inseriti gli asset strategici per garantire la “resilienza cibernetica” nazionale e sono state definite le misure di sicurezza che i soggetti a perimetro devono implementare e rispetto alle quali devono misurare, in forma continuativa, il proprio livello di rischio.

Ancora una volta è importante sottolineare il taglio pratico e operativo che l’ACN ha stabilito: ogni soggetto inserito nel PSNC dovrà necessariamente ottemperare, con tempi e modalità certi, ad una serie di attività volte al miglioramento della propria capacità di difesa e resilienza agli attacchi cyber.

Un framework per la cyber security delle infrastrutture critiche

Sebbene la lista dei soggetti appartenenti al PNSC sia secretata e solo i diretti interessati siano consapevoli di farne parte, è chiaro ed evidente che i criteri di “selezione” siano quelli della direttiva (UE) 2016/1148 del 6 luglio 2016 (c.d. direttiva NIS – “Network and Information Security”). Ne fanno quindi parte i soggetti pubblici o privati che forniscano un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”.

Sono state, al contrario, rese note attraverso la pubblicazione in Gazzetta Ufficiale N.138 dell’11 Giugno 2021, le indicazioni fornite per la valutazione e le misure di sicurezza da adottare per l’abbattimento dei rischi. La GU riporta anche la tassonomia degli incidenti per i quali corre l’obbligo di comunicazione allo CSIRT Italiano (Computer Security Incident Response Team), istituito presso l’ACN.

Analizzando la lista delle misure di sicurezza emanate in GU, non sfugge la chiara derivazione da uno degli standard di riferimento più noti e consolidati: il “Framework for Improving Critical Infrastructure Cybersecurity” del NIST (National Institute of Standards and Technology degli Stati Uniti) meglio noto NIST Cybersecurity Framework (CSF).

In tale standard, le “activities”, ovvero le “azioni finalizzate all’ottenimento di specifici obiettivi di cybersecurity” sono organizzate in una gerarchia di “Funzioni”, “Categorie” e “Sottocategorie”. In particolare le cinque “Funzioni”, che sono “Identificazione”, “Protezione”, “Rilevamento”, “Risposta” e “Recupero”, vanno a mappare, come gli stessi nomi rendono esplicito, le varie fasi di analisi, gestione e risoluzione delle problematiche di sicurezza dei sistemi informatici.

Monitorare le filiere tecnologiche

Tra i vari aspetti, tutti egualmente rilevanti, che l’azione dell’ACN dovrà sempre più sistematizzare, uno in particolare, se implementato rapidamente, porterebbe l’Italia ad essere una volta tanto guida e modello per i partner europei. Si tratta del tema delle filiere tecnologiche che le infrastrutture critiche e gli operatori essenziali del PNSC (e non solo) dovranno necessariamente monitorare e valutare, al fine di evitare che siano veicolo – più o meno volontario – di vulnerabilità di tutta la catena. Stiamo quindi parlando del rischio connesso alla “supply chain” per le infrastrutture critiche.

In tale ambito, la risposta pragmatica dell’ACN si baserà (il rilascio delle procedure attuative è atteso a breve) sul lavoro del CVCN (Centro di Valutazione e di Certificazione Nazionale).

Conclusioni

Il quadro che si va delineando prevede che i Laboratori di Valutazione della Sicurezza (LVS) assumano il ruolo di attori protagonisti nel processo di verifica di ogni sistema informatico.

Infatti il DPR 54/2021 ha stabilito che i soggetti del PNSC saranno tenuti a comunicare al CVCN l’intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset “strategici” e appartenenti a determinate categorie individuate sulla base di specifici criteri tecnici (descritti nel DPCM 15 giugno 2021). Il CVCN dovrà poi assegnare ad un Centro di Valutazione (i CV sono previsti solo per i Ministeri della Difesa e dell’Interno) o più frequentemente ad un LVS accreditato lo svolgimento dei test di sicurezza sugli oggetti in questione.

Si comprende bene come tale processo, se non progettato e implementato con la massima attenzione alle esigenze operative delle infrastrutture critiche, rischia di diventare un pesante freno alle iniziative di digitalizzazione che al contrario, soprattutto per la Pubblica Amministrazione, rappresentano un fattore determinante per lo sviluppo e la crescita del nostro Paese.

Per questo i fornitori di servizi LVS accreditati, con una storia ed un’esperienza consolidata alle spalle, stanno già oliando al meglio i propri meccanismi di funzionamento per garantire, rispetto al loro importante ruolo nel processo, il massimo livello di efficienza e rapidità nello svolgimento dei propri compiti.

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr