La Circolare 4336 dell’Agenzia per la Cybersicurezza Nazionale, pubblicata lo scorso 26 aprile 2022 in Gazzetta Ufficiale, definisce i criteri per la diversificazione dei prodotti e servizi tecnologici di sicurezza informatica utilizzati all’interno delle Amministrazioni pubbliche e fornisce a queste ultime utili indicazioni pratiche per provvedere in modo tempestivo e sicuro, con un approccio risk based.
La sostituzione dei prodotti e servizi tecnologici, però, potrebbe avere non poche implicazioni per la PA. Vediamo quali e perché.
Guerra, le sei istruzioni alle PA dall’Agenzia cybersicurezza nazionale
Indice degli argomenti
Ambiti d’intervento della Circolare dell’ACN
La necessità di tale Circolare si è concretizzata a seguito del protrarsi della crisi in Ucraina che, secondo il Legislatore, ha minato la capacità, relativamente ad aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa, di fornire servizi e aggiornamenti ai propri prodotti, elemento imprescindibile per assicurare un livello minimo di sicurezza all’interno di una organizzazione.
La Circolare in esame, ai fini di fronteggiare tale scenario, individua – in coerenza con quanto previsto dall’art. 29 del Decreto legge 21 marzo 2021 in ambito di “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina” – due categorie di servizi tecnologici da attenzionare in ottica di avviamento di un processo di diversificazione:
- sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR);
- Web application firewall (WAF).
Per la prima, la Circolare individua le soluzioni offerte dalle società “Kaspersky Lab” e “Group-IB” come oggetto della diversificazione da mettere in atto. Per quanto concerne la seconda, sono invece coinvolte le soluzioni offerte dalla società “Positive Technologies”.
I prodotti e i servizi offerti da tali aziende dovranno essere oggetto di diversificazione anche qualora commercializzati tramite canale di rivendita indiretta e/o veicolati tramite accordi quadro o contratti quadro in modalità «on-premise» o «da remoto».
Le buone pratiche di cyber security per le PA
Inoltre, la Circolare si sofferma sull’importanza, per le Amministrazioni pubbliche, di adottare misure e buone pratiche in ambito cyber security con particolare riferimento a quanto espresso dal Framework Nazionale per la Cyber Security Data Protection edizione 2019, realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l’informatica (CINI), con il supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza (DIS).
Tale strumento, che già costituisce la base per le misure di sicurezza richieste ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (vedi DPCM 81/2021), diviene ora esplicitamente consigliato anche per tutte le ulteriori Amministrazioni pubbliche parte del Sistema-Paese.
In particolare, il suo approccio flessibile consente di procedere a una “contestualizzazione” all’interno del settore in cui opera l’Organizzazione, cogliendo necessità ed esigenze specifiche non solo in termini normativi ma anche in relazione all’implementazione di tecnologie rilevanti.
Il processo di adozione delle nuove soluzioni tecnologiche
Un ulteriore valore aggiunto della Circolare è rappresentato dalla definizione di un processo, suddiviso in sei step, volto a fornire una serie di indicazioni sulle modalità di individuazione delle nuove soluzioni tecnologiche da adottare e sulla relativa implementazione sicura all’interno delle Amministrazioni.
Nello specifico, il processo prevede di:
- effettuare il censimento dei servizi e dei prodotti oggetto di diversificazione, analizzando gli impatti degli aggiornamenti degli stessi sull’operatività. In altre parole, potrebbe essere opportuno valutare le implicazioni della diversificazione all’interno dell’infrastruttura dell’Amministrazione e/o eventuali servizi esternalizzati;
- individuare le nuove soluzioni tecnologiche da adottare successivamente a una valutazione della loro compatibilità con gli asset già presenti all’interno del perimetro dell’Amministrazione;
- elaborare e condividere piani di migrazione con tutti i possibili soggetti coinvolti, interni ed esterni;
- validare preventivamente le modalità di esecuzione del piano di migrazione attraverso un criterio di priorità basato sulla criticità degli asset coinvolti;
- analizzare e validare le funzionalità dei nuovi servizi e prodotti, applicando regole e configurazioni di sicurezza adeguate ai risultati dell’analisi del rischio effettuata. In questo senso è opportuno valutare l’implementazione di misure di sicurezza quali 2FA, limitazione dei privilegi utente, adozione di principi “zero-trust” ecc.;
- monitorare, manutenere e sottoporre ad audit i nuovi prodotti e servizi adottati, in ottica di verifica continuativa.
L’importanza di adottare un approccio risk based
Infine, la Circolare promuove, con particolare riferimento alla predisposizione, alla migrazione e alla gestione dei nuovi prodotti e servizi, l’adozione di principi fondamentali in materia di sicurezza delle informazioni quali ad esempio un approccio basato sul rischio (risk based). Tale approccio, che costituisce già la base di normative europee e internazionali (es: Direttiva NIS e la proposta di NIS 2), implica uno sforzo, da parte delle Amministrazioni pubbliche, rispetto alla minaccia cibernetica in relazione al proprio contesto di riferimento.
In altre parole, le organizzazioni coinvolte devono effettuare una vera e propria analisi del rischio, che consideri minacce, probabilità, vulnerabilità e impatti, volta a individuare misure di sicurezza efficaci per l’innalzamento della propria postura di cyber security in termini di identificazione, valutazione e mitigazione dei rischi cibernetici. La corretta esecuzione di tale analisi del rischio si configura come un valore aggiunto sotto due profili.
In primo luogo, lo svolgimento dell’analisi permetterà all’organizzazione di incrementare la propria consapevolezza rispetto alla minaccia cibernetica. Inoltre, dall’output di tale analisi del rischio, che risulta essere “settoriale”, emergeranno misure di sicurezza maggiormente “adeguate” e in linea con i livelli di sicurezza attesi.
Conclusioni
In parallelo al percorso di attuazione del Perimetro di Sicurezza Nazionale Cibernetica, l’attenzione sugli aspetti relativi alla cyber security per le organizzazioni del Sistema-Paese appare ancora elevata.
L’attuale contesto geopolitico ha fornito l’occasione per mettere in atto un ulteriore avanzamento, a favore di tutte le Amministrazioni pubbliche, in grado di rafforzare i presidi di sicurezza a tutela dello spazio cibernetico nazionale.