Perimetro cibernetico, un’ora per denunciare un incidente: modalità e impatti per le aziende - Cyber Security 360

L'APPROFONDIMENTO

Perimetro cibernetico, un’ora per denunciare un incidente: modalità e impatti per le aziende

Il DPR attuativo della legge sul Perimetro di sicurezza nazionale cibernetica è stato approvato dal Mise: è ora necessario strutturare il DPCM che disciplina notifiche e misure di sicurezza in caso di incidenti, che dovranno essere denunciati entro un’ora. Ma non sarà semplice per le aziende. Ecco perché

04 Feb 2021
S
Marco Santarelli

Esperto in Network Analysis, Critical Infrastructures, Big Data and Future Energies

Ora che il DPR attuativo della legge sul Perimetro di Sicurezza Nazionale Cibernetica, mirato a garantire la sicurezza delle reti di Tlc nazionali in vista della realizzazione delle infrastrutture 5G, ha ottenuto l’approvazione del Ministero dello Sviluppo Economico, si sta pensando alla strutturazione di un DPCM ad hoc su notifiche e misure di sicurezza in caso di incidenti informatici: la denuncia, nei casi più gravi, dovrà essere fatta entro un’ora esatta dall’incidente e sicuramente la gestione da parte delle imprese non sarà affatto semplice.

Perimetro cibernetico, incidenti e beni ICT: di cosa parliamo

È dunque utile analizzare nel dettaglio quelli che potrebbero essere i rischi e le opportunità quando parliamo di incidenti cyber ai beni ICT delle aziende incluse nel perimetro di sicurezza nazionale cibernetica.

Nell’articolo 1 del documento di “Richiesta di parere parlamentare su atti del Governo” del 14 gennaio 2021 si legge che per “incidente” è inteso “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”.

Cosa si intende per incidente cyber

L’incidente può riguardare, quindi, la rete o un sistema informativo, ovvero:

  1. una rete di comunicazione elettronica;
  2. qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;
  3. i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi […] per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi.

Cosa si intende per servizio informatico

Per “servizio informatico” si intende, invece, “un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing”.

Quali sono gli impatti sui beni ICT

Qual è, dunque, l’impatto sul bene ICT, che può essere rete, sistema informativo o servizio informatico? La “limitazione della operatività del bene ICT, ovvero compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali”.

Denunciare un incidente cyber: un’ora diventa un boomerang

In attesa che Camera e Senato siglino le normative a tutela delle realtà incluse nel perimetro cibernetico e di tutto il sistema di beni, servizi e sistemi che fanno parte della Information and Communication Technology, sappiamo già che gli incidenti definiti “gravi”, ossia infezione, guasto, installazione, movimenti laterali e azioni sugli obiettivi, dovranno essere denunciati al CSIRT (Computer Security Incident Response Team) del DIS entro un’ora dall’accaduto.

Si avranno fino a sei ore di tempo in casi ritenuti meno gravi.

I piani di attuazione e ripristino a seguito della denuncia di incidente

L’ente, quindi, a seguito della notifica, dovrà occuparsi di avviare i piani di attuazione e ripristino, da relazionare poi al CSIRT in maniera tecnica e dettagliata, salvo esigenze di segretezza comunicate dall’autorità giudiziaria.

Il DIS, se la notifica arriva da un soggetto pubblico, la comunica al Ministero dell’Interno; se invece proviene da un soggetto privato, passa al dicastero dello Sviluppo Economico.

Spese di verifica e test a carico delle aziende

Altro carico di responsabilità per le imprese, come stabilito dall’articolo 9 del DPR (Oneri economici a carico del fornitore) “le spese a carico del fornitore per le attività di valutazione svolte dal CVCN (Centro di valutazione e certificazione nazionale) e dai CV (Centri di valutazione) e per le attività di test condotte dai LAP sono calcolate sulla base delle disposizioni di cui all’articolo 6 del decreto legislativo 30 dicembre 2003, n. 366”.

Ossia i fornitori dovranno affrontare le spese per tutto l’iter di valutazione e test di sicurezza di beni, servizi e sistemi ICT.

Quali impatti per le aziende incluse nel perimetro cibernetico

Sicuramente l’impatto sulle oltre 100 aziende più importanti per la nostra sicurezza nazionale (e al momento incluse nel perimetro cyber) di questo nuovo DPCM non è da sottovalutare, come anche ha dichiarato Stefano Mele, partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano, soprattutto perché l’attuale bozza dell’atto normativo prevede un tempo di 24 mesi.

Le aziende sono più che altro preoccupate della gestione dei dati digitali attraverso beni ICT, infrastrutture fisiche e tecnologiche, cloud computing compreso, che si trovano sul territorio nazionale, e i tempi così stretti non sono a loro favore.

Oltre alle modalità e ai tempi di notifica, il testo stabilisce anche quali sono le misure di sicurezza, come sono classificati gli incidenti, appunto più o meno gravi, e le azioni minime a tutela delle informazioni. In più, nell’Allegato B del DPCM in valutazione, vengono esposte le misure di sicurezza da seguire:

  • “Identificazione”, ossia: Gestione degli asset (Asset Management), Governance, Valutazione del rischio (Risk Assessment), Strategia della gestione del rischio, Gestione del rischio relativo alla catena di approvvigionamento;
  • “Protezione”, vale a dire: Gestione delle identità, autenticazione e controllo degli accessi, Consapevolezza e addestramento, Sicurezza dei dati, Procedure e processi per la protezione delle informazioni, Manutenzione, Tecnologie per la protezione;
  • “Rilevamento”, quindi: Anomalie ed eventi, Monitoraggio continuo per la sicurezza, Processi di rilevamento;
  • “Risposta”, ovvero: Pianificazione della risposta, Comunicazione, Analisi, Mitigazione;
  • “Recupero”, partendo da: Pianificazione del ripristino, Miglioramenti fino a Comunicazione.

Dieci indicazioni su come tutelare informazioni attraverso strumenti elettronici, dalla “Identificazione degli utenti e gestione delle identità digitali” alla “adozione di tecniche di cifratura”, e sette prescrizioni in merito di sicurezza fisica e documentale, dalla “accesso alle informazioni è consentito sulla base del principio della necessità di conoscere (need to know)” alla spedizione della documentazione tramite corrieri.

Insomma, ci sarà un bel da fare per le imprese.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4