23 giugno: il perimetro di sicurezza cibernetica Italiano sarà messa alla prova.



Annunciato ad Itasec da Roberto Baldoni (vicedirettore del Dipartimento per le informazioni della sicurezza Dis) l'avvio per il 23 di giugno di un test per la messa alla prova del perimetro di sicurezza cibernetica nazionale Italiano.


Si parla della valutazione dello scudo per le minacce informatiche messo in atto da cinque decreti. Il primo (varato dalla presidenza del Consiglio lo scorso ottobre), stabilisce i criteri per decidere enti e asset da inserire dentro il perimetro.


All'appello ne mancano ancora quattro dove il secondo andrà in Gazzetta ufficiale a breve, a maggio è atteso quello relativo alle notifiche e alle misure di sicurezza, a giugno quello per identificare le categorie dei prodotti tecnologici da sottoporre a screening preventivi e ad agosto, l'ultimo, ovvero il provvedimento per accreditare i laboratori che dovranno svolgere questi controlli.


Terminata l'emissione di questi 4 decreti, l'italia avrà l'impalcatura normativa per poter accendere i motori, e avviare la famosa "Attuazione", ovvero mettere a terra l'impalcatura per rendere resiliente l'italia agli attacchi informatici e soprattutto, eseguire i controlli attraverso i laboratori accreditati.


Ma a giugno partirà il primo "carotaggio", principalmente orientato verso gli operatori che si occupano di telecomunicazioni, energia, servizi finanziari e di welfare, trasporti, difesa, sicurezza interna, spazio, alta tecnologia e pubblica amministrazione, ovvero tutte quelle aziende che forniscono servizi al sistema paese la quale compromissione di un asset informatico possa portare gravi danni al paese.


Successivamente potrebbero rientrare nel perimetro anche gli ospedali, che sono stati presi di mira dai ransomware in questo periodo di pandemia, anche se è stato riportato da Baldoni: “Penso che a stretto giro verrà chiesto ad alcuni importanti ospedali di aderire”.


Gli scenari dei test comprenderanno “un incidente che ha evidenza pubblica”, come ad esempio un databreach di dati personali pubblicato in un tweet per comprendere come reagirà l'operatore e quando fornirà notifica allo CSIRT nazionale, ovvero la cabina di regia capace di valutare e avvertire ulteriori soggetti con particolari contromisure.


Un altro scenario sarà verificare il tempo per la comunicazione dell'incidente e chi non lo rispetterà. Dopo il 1 di gennaio il mancato rispetto sarà soggetto sanzioni, quantificate, a seconda dei casi, da 200 mila a 1,8 milioni di euro.


Ma ancora occorre avviare le attività sul CVCN (comprese le 70 assunzioni), per poter avviare lo screening delle tecnologie utilizzate sul perimetro nazionale, oltre ad accreditare, come da piano, dei laboratori esterni, fissando i paletti di qualità per far svolgere l'attività di certificazione in modo puntuale.


Quindi risulta corretto fare i test, anche se questi test sono di "processo", piuttosto che controlli di sicurezza puntuali.


Risulta necessario creare dei team di hacker etici "nazionali", in seno al CVCN, che possano valutare la cyber-posture delle aziende, e comprendere meglio e nel dettaglio come le organizzazioni stiano implementando le misure dal punto di vista tecnico-specialistico nei loro "cyberspace", oltre ad avviare attività di ricerca mirate alla rilevazione di vulnerabilità non documentate, in modo da avere degli spazi di manovra prima di subire danni dai nostri aggressori.


D'altro canto, la pubblicazione dei dati su internet, avviene sempre perché un criminale informatico ha acceduto ad un sistema critico per una carenza di una fix di sicurezza o una SQL injection non depurata su una web application o per uno zeroday (solo per citarne alcuni dei vettori di attacco).


Ma se non arriviamo a questo livello "tecnico" e approvvigioniamo queste competenze, come possiamo pensare che i processi riescano ad essere attuati e che ci risolvano i problemi?