la circolare

Guerra, le sei istruzioni alle PA dall’Agenzia cybersicurezza nazionale

In base al decreto Ucraina di marzo, le PA devono sostituire i prodotti di sicurezza informatica in uso forniti da provider legati alla Russia: una circolare del 21 aprile dell’Agenzia cybersicurezza nazionale fornisce le indicazioni pratiche per provvedere in modo tempestivo e sicuro, con un approccio risk based

27 Apr 2022
Nicoletta Pisanu

Redattrice Cybersecurity360

Istruzioni precise alle pubbliche amministrazioni per cambiare le soluzioni dedicate alla sicurezza degli endpoint e al firewall che venivano fornite da provider legati alla Russia, i quali potrebbero non essere in grado di fornire aggiornamenti e soluzioni a causa della guerra in Ucraina, con possibili ripercussioni di sicurezza.

Si tratta di sei best practice da attuare per evitare rischi, contenute nella circolare numero 4336 del 21 aprile 2022 dell’Agenzia per la cybersicurezza nazionale in attuazione dell’articolo 29, comma 3 del cosiddetto Decreto Ucraina, cioè il decreto numero 21 del 21 marzo 2022.

La norma prevede infatti che le PA sostituiscano i prodotti di sicurezza informatica di operatori legati alla Russia, in quanto, a causa del conflitto in corso, i provider potrebbero non aver la possibilità di “fornire servizi e aggiornamenti ai propri prodotti”, si legge nella nella circolare pubblicata in Gazzetta Ufficiale il 26 aprile.

Circolare Agenzia cyber, perché è una misura importante

Un’azione tempestiva: “Siamo soliti in Italia vederci sempre come il fanalino di coda in ogni occasione. In questo caso, invece, tempestività e precisione sono state ineccepibili, confermando una volta di più quanto fosse necessaria l’Agenzia ed il suo CSIRT”, commenta Gabriele Faggioli, presidente Clusit e CEO di Digital360 e P4I. Per Pierluigi Paganini, CEO di Cybhorus, la decisione è “un atto dovuto, essendo le aziende legate ad uno stato in guerra e che potrebbe pertanto operare in vario modo per interferire con le operazioni delle stesse con conseguente impatto sulla sicurezza dei loro clienti”.

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity

All’origine della circolare c’è un approccio risk based, come evidenzia Luisa Franchina, Presidente Associazione Italiana esperti in Infrastrutture Critiche: “La circolare sottolinea sei buone pratiche da realizzare immediatamente, ma soprattutto invita le PA ad agire sia nel controllo di quanto in esercizio che nell’acquisto di nuove tecnologie, con metodi risk based, ossia partendo sempre da una analisi del rischio”. 

Guerra in Ucraina: gli effetti sulla sicurezza informatica e sulla sovranità digitale europea

Provider russi, cosa dice la circolare dell’Agenzia per la cybersicurezza nazionale

Con il Decreto Ucraina, relativo a “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina”, il Governo ha evidenziato la necessità di rafforzare le difese. In particolare, il citato comma 3 dell’articolo 29 del decreto prevede per le PA la “diversificazione dei prodotti di sicurezza informatica in uso” forniti dai provider legati alla Russia, “al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici”. Effetti che possono essere conseguenza dell’impossibilità, da parte dei provider, di aggiornare le soluzioni o fornire i propri servizi, proprio a causa della guerra.

La circolare spiega che i prodotti di cui si parla nel decreto sono quelli relativi a:

  • endpoint security, compresi antivirus, antimalware ed EDR
  • WAF – web application firewall.

In particolare, vengono citati nella circolare i prodotti delle società Kaspersky Lab, Group IB e i prodotti di Positive Technologies rispettivamente citati nel comma 3 dell’articolo 29 alla lettera A per le prime due aziende e alla lettera B per la terza società. 

Le sei raccomandazioni dell’Agenzia per la cybersicurezza nazionale 

La circolare riporta anche sei raccomandazioni per “adottare tutte le misure e le buone prassi di gestione di servizi informatici e del rischio cyber e, in particolare, di tenere conto di quanto definito dal Framework nazionale per la cybersecurity e la data protection, edizione 2019, realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Universita’ Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l’informatica (CINI), con il supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza”, riporta il testo. Queste best practice sono:

  1. censire prodotti e servizi indicati nella circolare e analizzare “gli impatti degli aggiornamenti degli stessi sull’operatività, quali i tempi di manutenzione necessari”,
  2. Individuare nuovi servizi e prodotti e farne una valutazione, considerando sia che siano compatibili con i propri asset e la “complessità di gestione operativa delle strutture di supporto in essere”,
  3. Occuparsi della definizione, condivisione e comunicazione dei piani di migrazione,
  4. Validare i modi per eseguire il piano di migrazione “su asset di test significativi, assicurandosi di procedere con la migrazione dei servizi e prodotti sugli asset più critici soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani di ripristino a breve termine al fine di garantire la necessaria continuità operativa”, spiega la circolare. Si chiarisce anche che il piano di migrazione “dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione”,
  5. Condurre analisi e validazione delle funzioni e integrazioni dei nuovi prodotti e servizi scelti, “assicurando l’applicazione di regole e configurazioni di sicurezza proporzionate a scenari di rischio elevati”. Tra questi rientrano autenticazione multi fattore per ogni accesso privilegiato, attivare solo funzioni necessarie e adottare principi di zero-trust,
  6. Garantire monitoraggio e audit dei nuovi prodotti, con la previsione di un adeguato sostegno per gli aggiornamenti e le revisioni delle configurazioni. 

Considerando questi consigli, Luisa Franchina sottolinea che “l’analisi del rischio è la metodologia base di una postura consapevole e pronta rispetto alla minaccia cyber. Ormai tutte le metodologie sposate dalle amministrazioni occidentali partono dalla analisi del rischio. L’Europa è profondamente consapevole di questo e si sta muovendo in tal senso in tutte le proposte di nuove direttive (come la NIS 2 e la CER). La postura cyber sicura è prima di tutto una postura risk based”.

Il ruolo dell’Agenzia di cybersicurezza nazionale

Come evidenzia Faggioli, “in un momento storico senza precedenti, in cui ci troviamo per la prima volta a dover agire tempestivamente per arginare un rischio cyber importante legato ad una crisi geo politica, emerge nuovamente non solo l’importanza di avere un ente deputato alla gestione del tema, l’Agenzia di cybersicurezza nazionale, ma anche la sua efficacia. Questa circolare chiarisce in modo inequivocabile i prodotti già valutati dall’Agenzia, nell’ottica delle raccomandazioni fornite dallo CSIRT Italia prima e dal Decreto legislativo 21/22, così come chiesto da diverse organizzazioni. Vengono inoltre fornite precise indicazioni circa il come procedere alla diversificazione dei prodotti e servizi in perimetro”. 

L’impatto del contesto politico 

Per comprendere la rilevanza delle decisioni in questo ambito, è importante considerare il contesto geo politico attuale. La decisione dell’Agenzia per Paganini è motivata “dal fatto che nell’ottica di rafforzamento della postura di sicurezza informatica nazionale è necessario mitigare il rischio derivante dall’indisponibilità di prodotti e servizi tecnologici forniti da aziende di sicurezza informatica legate alla Federazione Russa. Nella circolare si evidenzia come queste aziende possano non essere in grado di fornire servizi e aggiornamenti ai propri prodotti”. 

L’esperto sottolinea che “per farsi un’idea delle opzioni che il governo russo ha, basti pensare che il CEO di una delle aziende citate è stato arrestato in settembre in circostanze misteriose ed incarcerato per alto tradimento. La Russia potrebbe usare la coercizione per interferire con l’operato delle aziende ad essa legate. L’incarcerazione di un CEO e fondatore ha ovviamente un impatto devastante su un’azienda nel medio e lungo termini, e non si può pensare di non tenerne conto”. L’Italia al momento è considerata “dalla Russia un Paese ostile, pertanto l’uso di prodotti di aziende russe le cui decisioni strategiche ed operative possono inevitabilmente essere influenzate dal governo di Mosca”.

In questo scenario è fondamentale però “distinguere la decisione politica da quella tecnologica e della necessità di affrontare il rischio. Tale decisione sotto il profilo politico è un atto dovuto, mentre sotto il profilo tecnologico al momento la circolare non qualifica il rischio di utilizzo degli stessi servizi e prodotti come vettore di attacco, bensì della loro indisponibilità legata al conflitto – precisa Paganini -. Inoltre, la circolare emanata dall’ACN rafforza il concetto di sovranità tecnologica nazionale e della necessità nel tempo di rendere le nostre infrastrutture critiche indipendenti dal tecnologie straniere. Altro aspetto cruciale è la capacità di qualifica di sistemi hardware e software che importiamo. Dobbiamo sviluppare una capacità di analisi tale da rendere ragionevolmente sicura l’adozione di queste soluzioni da parte delle nostre imprese e della pubblica amministrazione. Occorre un cambio culturale importante che necessità di una accresciuta capacità tecnologica sulla quale è necessario lavorare”. 

@RIPRODUZIONE RISERVATA

Articolo 1 di 5