Cyber security di Luisa Franchina e Andrea Lucariello
Analizzando alcune delle più autorevoli classificazioni sviluppate dalla dottrina, il rischio cyber – così come, più in generale, il rischio di security – rientra a pieno titolo tra quelli definiti da Prandi come “puri” ed “esterni” o da Saccone come “potenziali”. Tale tipologia di rischio, che si muove all’interno di un’arena già di per sé instabile e complessa, merita di essere compresa e analizzata attraverso diverse dimensioni: dal piano giuridico e normativo a quello di contesto, dallo studio dell’architettura nazionale che gravita intorno al tema fino ad arrivare ai potenziali sviluppi futuri. Andiamo quindi per ordine al fine di inquadrare il tema e lo stato dell’arte nella maniera più esaustiva possibile.
Nel nostro Paese il tema del cyber risk e della cyber security è stato affrontato prima di tutto dal potere politico mediante l’emanazione di tre Decreti del Presidente del Consiglio dei Ministri che danno forma alla materia e fissano alcune questioni definitorie e istituzionali: da un lato il DPCM del 24 gennaio 2013 denominato Direttiva recante la protezione cibernetica e la sicurezza informatica nazionale – apostrofato da alcuni come “Decreto Cyber Sicurezza”; dall’altro, il DPCM del 27 gennaio 2014 che, nell’accogliere una Strategia nazionale di sicurezza cibernetica, ha legittimato l’adozione di due Documenti che hanno dato al tema una struttura organica. Si fa riferimento al Quadro strategico nazionale per la sicurezza dello spazio cibernetico e al Piano nazionale per la protezione cibernetica e la sicurezza informatica. Il primo, elaborato dal Tavolo Tecnico Cyber con la collaborazione dei Dicasteri che afferiscono al CISR (Comitato Interministeriale per la Sicurezza della Repubblica), dell’Agenzia per l’Italia Digitale e del NSC (Nucleo per la Sicurezza cibernetica), individua sei indirizzi strategici che dovranno essere seguiti da tutti gli attori individuati dal DPCM del 24 gennaio 2013, i quali è necessario che interagiscano tra loro in maniera coordinata. Il secondo, invece, tenta di dare una concreta attuazione al Quadro mediante la realizzazione di undici indirizzi operativi, all’interno dei quali sono descritti sia gli obiettivi specifici da conseguire, sia le linee di azione da intraprendere.
Infine lo scorso 17 febbraio 2017 il CISR ha approvato un Decreto del Presidente del Consiglio per la cyber security che andrà a sostituire il DPCM del 24 gennaio 2013 che finora ha regolato l’architettura nazionale per la sicurezza cibernetica. Tale provvedimento, rafforza il ruolo del CISR che “emanerà direttive con l’obiettivo di innalzare il livello di sicurezza informatica del Paese, e si avvarrà in questa attività del supporto del coordinamento interministeriale delle amministrazioni CISR (c.d. CISR tecnico) e del Dipartimento delle Informazioni per la Sicurezza (DIS)” e potrà occuparsi anche del recepimento della direttiva europea NIS (Network and Information Security). Tra le novità vanno sottolineati quattro aspetti:
- il primo è che il Nucleo Sicurezza Cibernetica (NSC) viene ricondotto all’interno del DIS ed assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei Ministeri competenti in materia.;
- il secondo attribuisce al Direttore generale del DIS il compito di definire linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, pubblici e privati, verificandone ed eliminandone le vulnerabilità;
- il terzo è rappresentato dalla interazione, in caso di risposta a una crisi, con tutti i CERT previsti nel Quadro strategico nazionale trai quali il CERT Nazionale (Computer Emergency Response Team) istituito in seno al Ministero dello Sviluppo Economico;
- infine, aspetto non certo ultimo per importanza, per la realizzazione di tali attività è previsto un serio coinvolgimento non solo con il mondo accademico e della ricerca ma anche delle professioni, grazie alla collaborazione con le imprese di settore e le infrastrutture considerate critiche e strategiche nell’attuazione delle politiche di sicurezza informatica.
Tuttavia, la materia è in continuo divenire sia perché sono frequenti i cambiamenti tecnologici e la tipologia di attori “attaccanti”, sia perché alla formazione di un regolamento unitario concorrono anche, in un’ottica di “sicurezza partecipata”, imprese, centri di ricerca, accademie e aziende che, grazie ai loro contributi, rendono dinamica l’evoluzione su diversi piani.
Su questo sfondo si collocano due documenti – disponibili in rete – redatti conseguentemente ai DPCM di cui sopra: il primo è il Libro bianco su Il futuro della Cyber Security in Italia realizzato dal Laboratorio Nazionale di Cyber Security del Consorzio Interuniversitario Nazionale per l’Informatica (CINI); il secondo è il Framework nazionale per la Cyber Security redatto nel febbraio 2016 su iniziativa Centro di ricerca di Cyber Intelligence and Information Security (CIS) de “La Sapienza” con il supporto del Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei Ministri – che verrà analizzato più nel dettaglio successivamente.
Quando si parla di cyber space – inteso come il dominio del cyber risk – occorre prima di tutto darne una definizione omogenea e successivamente comprendere il contesto attuale entro cui, oggi, questa dimensione si concretizza.
Roberto Baldoni, Direttore del CIS, durante un’audizione alla Camera dei Deputati dal titolo “Indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico”, ha definito il cyberspace come “il complesso ecosistema risultante dall’interazione di persone, software e servizi su internet per mezzo delle tecnologie, dispositivi e reti a esso connesse. Dunque il cyberspace è una struttura su cui poggia il nostro Paese, e ormai tutta la nostra economia: non esiste un settore oggi che non sia interessato alle dinamiche cibernetiche”. Lo stesso Direttore nell’Executive Summer del Framework nazionale per la sicurezza cibernetica ritiene che il cyberspace sia “quell’insieme di reti e sistemi informativi con i quali vengono erogati servizi indispensabili a cittadini, da parte degli enti governativi, delle infrastrutture critiche, delle imprese e della pubblica amministrazione”. A queste condizioni, è evidente che il cyberspace necessiti di essere difeso proprio come si fa con i confini geografici, lo spazio aereo e lo spazio marittimo tutelando, di fatto, gli interessi economici, politici e militari del nostro sistema-Paese – nell’arena cibernetica, questo problema si pone ancora più complesso perché i confini non sono così netti da tracciare. Proprio il tema degli interessi economici, che rappresentano una delle dimensioni della sicurezza nazionale, trova un collegamento diretto con il cyberspace poiché la protezione di quest’ultimo – che non va intesa solo come un mero problema di natura tecnica e informatica – è condizione necessaria per la prosperità economica di una nazione.
Nell’attuale contesto non è più così immediato distinguere tra “pubblico” e “privato” o tra “civile” e “militare”: tali separazioni non esistono sia perché gli strumenti e le tecnologie si confondono tra loro, sia perché nessuno può gestire quest’arena così complessa in completo isolamento. Il turbo-capitalismo, le interconnessioni tra reti e strumenti, il ruolo delle aziende (soprattutto delle PMI) che rappresentano il tessuto e l’intelaiatura economica dell’intero sistema Paese danno luogo a tutta una serie di concetti e nozioni prima ignoti, come i seguenti: i Big Data, le Smart Cities, Internet of Things, Industria 4.0, l’Agricoltura 4.0, il Blockchain, i Bitcoin, e così via. Tutte queste realtà, che sono in fase di sperimentazione e di implementazione ma che rappresentano già ormai dei dati di fatto con cui confrontarsi quotidianamente, costituiscono il contesto che fa da sfondo al rischio cyber soprattutto se, come ha fatto Patrizia Rizzini Cancarini su Il Caffè Geopolitico, del cyber space vengono prese in considerazione sia la dimensione fisica, sia quella sociale. L’interazione tra le due dimensioni porta con sé dei rischi e delle opportunità: se da un lato migliora l’efficienza e il funzionamento, dall’altro lato tale interazione può configurare uno sterminato campo di battaglia per hackers, organizzazioni criminali, attivisti, gruppi terroristici e – perché no – Stati e istituzioni governative.
A titolo di esempio, sebbene presenti delle declinazioni finanche in termini di cyber spionaggio e Information Warfare, prendiamo brevemente in esame il caso di APT 28 e APT 29. APT 28 e APT 29 rappresentano degli acronimi “occidentalizzati” che definiscono due gruppi di hackers, presumibilmente di derivazione governativa russa, dotati di notevoli capacità tecniche – un mix tra malware, social engeneering, hacking, vulnerabilità 0-day e crittografia – e finanziarie, che pare si siano resi responsabili di attacchi di varia complessità. Tra i due sembra che non ci siano situazione antitetiche ma, anzi, si pensa che il secondo sia la naturale evoluzione del primo e che facciano riferimento alle due agenzie di intelligence russe. Benché nell’arena cibernetica l’attribuzione precisa degli attacchi non sia semplice, sembra che le due formazioni siano responsabili delle azioni offensive come quella al Bundestag (2014 e 2016), a TVMonde5 (aprile 2015), alla Casa Bianca, al Pentagono e alla NATO (agosto 2015), alla World Anti-Doping Agency (agosto 2016), alla Democratic National Commitee (2016), alle infrastrutture critiche ucraine (dal 2014 a oggi), al Ministero della Difesa italiano e in parte il Dicastero degli Esteri (dall’ottobre del 2014 al maggio del 2015).
Che fare? Il tema è oggetto di interesse sia per le istituzioni pubbliche e governative, sia per l’industria nazionale. Anzi, tra i due settori è necessario che vengano favoriti tavoli di confronto che sostengano la crescita, lo sviluppo e le potenziali sinergie da ambedue le parti. Per questo motivo, l’ecosistema organico che si sta configurando sarà caratterizzato da confini labili e sfumati: la protezione del sistema-Paese, infatti, passa attraverso la valorizzazione congiunta di entrambi i settori.
Le proposte affrontate in questa sede possono riassumersi in cinque linee di indirizzo che verranno sommariamente declinate nel prosieguo del lavoro:
- Approcciare il rischio cyber come un rischio economico portandolo sui tavoli dei Consigli di Amministrazione e attraverso (anche) strumenti assicurativi
La prima proposta intende porre l’attenzione sul rischio cyber come un rischio di natura economica che, come tale, necessita di essere studiato e preso in considerazione dai Consigli di Amministrazione delle varie organizzazioni. Il top management deve essere consapevole di quale siano i danni e gli impatti di un eventuale attacco cyber al business – in questo caso – aziendale ma anche sulla clientela e sulle entità esterne (operatori del settore, società civile, governo). La digitalizzazione dei processi aziendali, infatti, comporta che numerosi assets informatici oggi rappresentino una risorsa strategica da tutelare per tre ordini di motivi: a) la strategicità degli assets informatici di per sé; b) l’incremento degli “attacchi” alle infrastrutture informatiche a causa del valore che queste hanno per le aziende; c) la facilità di compiere “attacchi” è anche dovuta ai bassissimi costi di realizzazione della maggior parte delle azioni offensive (come nel caso dei CriptoLocker). Per questi motivi, le organizzazioni dovrebbero procedere a una migliore definizione delle strategie con cui “governare il rischio”, a una più precisa descrizione dei modelli di valutazione e conseguentemente dovrebbero implementare azioni più efficienti per mitigare i rischi medesimi. Per far ciò gli interventi devono essere mirati su due fronti: uno interno e l’altro esterno (a terzi).
Sul fronte interno tramite, per esempio, l’assimilazione del rischio cyber all’interno dell’Enterprise risk management. L’ERM è “una filosofia direzionale che considera la gestione integrata dei rischi quale elemento chiave per favorire il raggiungimento degli obiettivi aziendali ai vari livelli della struttura organizzativa. […] L’ERM è quindi un approccio sistematico e integrato utile a gestire tutti i rischi che un’organizzazione può incontrare. Esso si focalizza sulla supervisione del processo di risk management da parte del board, con il fine di identificare, valutare e gestire in un’ottica integrata tutti i principali rischi aziendali. […] Si tratta a ben vedere di un radicato processo di gestione del rischio che tende a integrare il risk management sia a livello di aree tematiche (security, safety, health, environment, finanziaria, produzione, ricerca e sviluppo, ecc.) sia a livello di struttura aziendale, e quindi diretto a tutti i vari livelli verticali dell’impresa (direzione generale, direzioni regionali, stabilimenti, ecc.)”. In tema di rischio cyber questa necessità si fa sempre più pressante perché la gestione di tale rischio non è un problema meramente tecnico e tecnologico, ma che impatta su tutti i livelli dell’organizzazione andando a colpire l’intero patrimonio della medesima – che sia un’azienda o una pubblica amministrazione.
Sul fronte esterno, invece, può essere interessante implementare un sistema di cyber insurance, che agisca nella fase finale del cosiddetto “trasferimento del rischio”. Il tema è in continuo divenire ma è già possibile trarre qualche considerazione soprattutto grazie al Rapporto Clusit 2016 e al Framework Nazionale per la Cyber Security. Il focus-on sul Rapporto Clusit 2016 ricorda la necessità di integrare le polizze tradizionali (All Risks, Incendi, Trasporti) con le polizze cyber perché nell’arena cibernetica gli aspetti materiali si mescolano con quelli immateriali. Il Framework nazionale, invece, afferma che sono due gli approcci che, soprattutto nei paesi anglosassoni e negli Stati Uniti, vengono utilizzati a questo proposito e che configurano due metodologie di indennizzo differenti: il primo è il First Party Damages: ovvero i danni sofferti dall’azienda colpita da un evento cibernetico; il secondo è il Third Party Damages: ossia la responsabilità dell’azienda assicurata per la violazione dei dati di terzi di cui l’azienda assicurata sia in possesso.
- Rendere operative le linee guide consigliate dal Framework Nazionale per la Cyber Security
La seconda proposta suggerisce di rendere operative le linee guide consigliate dal Framework Nazionale per la Cyber Security. Tale documento, redatto dal Centro di ricerca de La Sapienza Cyber Intelligence and Information Security (CIS), dal Consorzio Interuniversitario Nazionale per l’Informatica (CIS), è stato pubblicato a febbraio 2016. Ai lavori della prima edizione hanno partecipato non solo diverse strutture governative nazionali, ma anche altrettante realtà aziendali e numerosi esperti del settore come curatori. La scelta del termine “Framework” sta a rappresentare che le intenzioni sono quelle “di offrire alle organizzazioni un approccio volontario e omogeneo per affrontare la cyber security al fine di ridurre il rischio legato alla minaccia cyber. L’approccio di questo Framework è intimamente legato a un’analisi del rischio e non a standard tecnologici”. Si tratta, dunque, di uno strumento, ad adozione volontaria, di auto-analisi di un’organizzazione e prende spunto da normative e standard internazionali – soprattutto il “Framework for Improving Critical Infrastructures Cybersecurity” emanato dal NIST.
In via di sintesi, cinque aspetti del Framework sono interessanti per le esigenze di questa sede.
Il primo è che, a partire dal Framework del NIST, il Documento del nostro Paese eredita la dimensione del Framework Core, che rappresenta la struttura del ciclo di vita del processo di gestione della cyber security sia dal punto di vista tecnico, sia organizzativo. Il Core è strutturato gerarchicamente in Function, Category e Subcategory. “Le Functions, concorrenti e continue, sono le seguenti: Identify, Protect, Detect, Respond, Recover; esse costituiscono le principali tematiche da affrontare per operare una adeguata gestione del rischio cyber in modo strategico”. Il Framework quindi definisce – per ogni Function – Category e Subcategory che “forniscono indicazioni in termini di specifiche risorse, processi e tecnologie da mettere in campo per gestire la singola Function. Infine, la struttura del Framework Core presenta delle informative references, dei riferimenti informativi che legano la singola Subcategory a una serie di pratiche di sicurezza note utilizzando gli standard di settore”.
Il secondo aspetto rilevante è che il Framework per essere applicabile deve essere contestualizzato al dominio di applicazione non solo grazie alla dimensione Core, ma anche mediante una scelta ponderata del profilo, dei livelli di priorità e dei livelli di maturità. Una selezione mirata di specifiche Subcategories del Framework costituisce un Profile – secondo aspetto ereditato dal NIST – che, scelto in base a diversi fattori, può essere utilizzato come opportunità per migliorarne lo stato di sicurezza, mettendo a confronto un profilo “attuale” con un profilo “desiderato” e monitorandone l’evoluzione. Per quanto concerne, invece l’analisi dei livelli di priorità e dei livelli di maturità: i primi permettono di supportare le organizzazioni nella scelta delle Subcategories da implementare per ridurre maggiormente i livelli di rischio a cui sono sottoposte mediante una concezione tripartita della priorità (alta, media, bassa); i secondi, invece, permettono di fornire una misura della maturità di un processo di sicurezza, ovvero della maturità di attuazione di una tecnologia specifica o una misura della quantità di risorse adeguate impiegate per l’implementazione di una data Subcategory, attraverso una scala di valori progressiva (ad esempio da 1 a 4, dal minore al maggiore) ognuno dei quali associa una descrizione a un valore.
Il terzo aspetto interessante è l’utilizzo di un paradigma evoluto di gestione del rischio cyber che superi uno statico processo che abbia luogo solo all’interno dell’azienda per giungere ad un approccio dinamico che includa anche altri passaggi come la cyber intelligence, il monitoraggio continuo, il threat modelling e l’information sharing.
Il quarto aspetto da ricordare è il legame tra il già citato ERM, gli standard internazionali di sicurezza informatica e il Framework: un siffatto modello di gestone del rischio in ambito aziendale assicura un approccio integrato e olistico a tutti i rischi aziendali. Più in particolare, “il Framework, salendo a un livello di astrazione, agisce da ponte tra strumenti di Enterprise Risk Management [CAS, COSO, ISO] e IT & Security Standards [COBIT, SANS, ISO]”: in questo modo, da un lato, è possibile applicare una doppia contestualizzazione del Framework (per settore e per dimensioni) e, dall’altro, considerando l’organizzazione come un’unica entità, è possibile far risaltare gli aspetti positivi di un rischio, ovvero quelli che consentono di dare un vantaggio competitivo e di garantire lo sviluppo e la protezione dell’intera organizzazione.
Infine, l’ultimo aspetto di rilevante interesse del Framework è rappresentato dallo studio di quelli che sono i vantaggi per le grandi imprese e per PMI. Per le prime, l’applicazione del Framework costituisce uno strumento per la top management awareness, per definire con quali priorità agire nei confronti del rischio cyber, aiuta a pianificare un miglioramento sostenibile nella gestione della cyber security (anche attraverso strumenti assicurativi, come descritto in precedenza), semplifica la protezione della catena di approvvigionamento e delle eventuali supply chains, favorisce l’adozione di un processo evoluto di gestione del rischio cyber e consente l’adozione di un linguaggio comune. Per le piccole e medie imprese, invece, dato che – pur non avendo mai affrontato il problema della sicurezza informatica – rappresentano il tessuto economico-sociale del Paese, l’applicazione del Framework permette una precisa contestualizzazione ad esse “dedicata”, una scelta delle pratiche che con il minimo sforzo garantiscono di ottenere un salto di livello in termini di protezione (quick-wins), rappresenta una guida all’implementazione dei controlli a priorità alta, un rafforzamento della catena di approvvigionamento e consente – anche in questo caso – l’adozione di un linguaggio comune .
- Accogliere le indicazioni del Report italiano di Cyber security 2016
Il Report italiano di Cyber security 2016 – controlli essenziali, redatto dai già citati CIS e CINI e pubblicato a marzo 2017, presenta una serie di controlli essenziali – sul modello di un vademecum – per difendersi dai pericoli della rete.
Gli obiettivi del Documento vengono fissati già nell’Executive Summary, in cui si spiega che esso, implementando buone prassi e una fornendo una stima dei costi, “propone 15 Controlli essenziali di Cyber security che possono essere adottati e implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi e per aumentare la consapevolezza del personale interno, in modo da resistere agli attacchi più comune”. Infatti, le piccole e micro imprese rappresentano la filiera produttiva dalla quale non si può prescindere per garantire la sicurezza di tutto il sistema-Paese: per questo motivo, nelle intenzioni del Report c’è quella di costituire una guida essenziale alla cyber security per le PMI e per i cittadini affinché – mediante un linguaggio semplice – si recepisca l’importanza di condividere le buone prassi.
I “controlli essenziali”, esplicitati nel Capitolo 2 del Report, sono definiti anche come “comportamenti virtuosi” e sono mappati con le linee guida del Framework nazionale e con le misure minime di sicurezza informatica per le PA al fine di garantire una supply chain dell’intero sistema-Paese: costituiscono, dunque, una proposta di incentivi per la sicurezza informatica a vari livelli. Suddivisi in 8 macro-aree, tali controlli, selezionati – scrive il Report – attraverso un processo di consultazione pubblica da 200 esperti del settore, configurano 15 settori di intervento, come di seguito riportati:
| 1 | Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. |
| 2 | I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc..) offerte da terze parti a cui si è registrati sono quelli strettamente necessari. |
| 3 | Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti. |
| 4 | È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici. |
| 5 | Sono identificate e rispettate le leggi e/o regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda |
| 6 | Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato. |
| 7 | Le passwords sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo di sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori). |
| 8 | Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utente personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi accounts non più utilizzati sono disattivati. |
| 9 | Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza. |
| 10 | Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato…). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza. |
| 11 | La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite. |
| 12 | Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda. I backup sono conservati in modo sicuro e verificati periodicamente. |
| 13 | Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione). |
| 14 | In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto. |
| 15 | Tutti i softwares in uso (inclusi i firmwares) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i softwares obsoleti e non più aggiornabili sono dismessi. |
- Adottare un processo evoluto di gestione del rischio cyber (Sophisticated Adversary Simulation, Intelligence Aziendale)
Un processo evoluto di gestione del rischio può essere adottato sfruttando, appunto, l’evoluzione di alcune tecniche classiche o altre già utilizzate in differenti settori di i
