È uscita di recente la nuova "direttiva recante indicazioni per la protezione cibernetica e la sicurezza informatica nazionali".
Occorreva una nuova norma?
Direi di si.
Vediamo di capire cosa c'è di nuovo e di fare alcune considerazioni personali di carattere generale.
La "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali" è ora Decreto della Presidenza del Consiglio dei Ministri, emanato il 17 febbraio 2017 e pubblicato in Gazzetta Ufficiale, serie generale nel numero 87 del 13 aprile 2017.
Qual è il suo scopo?
In primo luogo aggiornare la normativa preesistente risalente a quattro anni fa (DPCM 24 gennaio 2013), quindi "ricondurre a sistema e unitarietà le diverse competenze coinvolte nella gestione della situazione di crisi..." nel campo cyber, la cui mancanza (di unitarietà!) è evidentemente origine della difficoltà nel dare risposte ad un eventuale attacco informatico verso una o più infrastrutture critiche nazionali.
L'articolo 1 ci introduce all'argomento indicando l'oggetto della Direttiva (architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali...) e i principali soggetti interessati (principalmente Ministero dello Sviluppo Economico, Agenzia per l'Italia Digitale, Ministero della Difesa e Ministero dell'Interno).
È interessante l'articolo 2 in cui si raccolgono le definizioni più importanti per il campo cyber. Necessarie, senza ombra di dubbio, anche se non tutte personalmente condivisibili. Parlo in particolare della definizione di "spazio cibernetico" e delle conseguenze che questa può avere nella analisi del rischio cyber.
Iniziamo con la definizione del DPCM.
"Spazio cibernetico: l'insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati e utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi".
Ora prendiamo alcune delle definizioni di Cyberspace adottate dalle nazioni più avanzate nel settore: USA e Russia.
- USA: The notional environment in which communication over computer networks occurs;
- Russia: A sphere of activity within the information space, formed by a set of communication channels of the internet and other telecommunications networks, the technological infrastructure to ensure their functioning, and any form human activity on them (individual, organizational, state);
Queste definizioni sono tratte dal sito del NATO Cooperative Cyber Defence Centre of Excellence che si trova a Tallin, in Estonia (https://ccdcoe.org/cyber-definitions.html).
Ora, consideriamo la definizione della Russia: è facile notare che, oltre a parlare di rete internet e di canali di comunicazione, fa riferimento alle "infrastrutture tecnologiche che permettono il funzionamento delle reti di comunicazioni", infrastrutture non comprese né nella definizione USA né in quella italiana.
A mio parere la mancanza di questo riferimento potrebbe indurre in errore chi è interessato a sviluppare l'analisi del rischio cyber di una infrastruttura critica, per esempio inducendolo a non considerare la centrale elettrica che alimenta un data center critico.
Certamente questo è solo un banale esempio, ma a volte le banalità possono fare la differenza!
Altra definizione a mio parere incompleta è quella che parla di "evento cibernetico".
Secondo la direttiva un evento cibernetico è un "avvenimento significativo, di natura volontaria o accidentale, consistente nell'acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi".
Anche in questo caso, a mio parere, manca qualcosa: come potremmo infatti inquadrare un evento come quello conosciuto col nome di "Stuxnet", con cui Stati Uniti e Israele (per quanto si sa) hanno sabotato la centrale nucleare iraniana di Natanz?
Il virus in questo caso ha danneggiato le centrifughe, ha cioè agito contro un elemento che non fa parte di alcuna rete informatica, eppure non si può non considerare tale evento come "attacco cyber".
Ecco due esempi che fanno capire l'importanza dell'adozione di idonea normativa e di corrette definizioni. È chiaro che si tratta di punti di vista e che metterli in evidenza serve esclusivamente a creare consapevolezza e diffondere la conoscenza.
Per cui, benvenuto al DPCM che comunque fa chiarezza!
Ma andiamo oltre.
L'articolo 3 illustra i compiti attribuiti al presidente del consiglio dei ministri, "responsabile della politica generale del Governo e vertice del Sistema di informazione per la sicurezza della Repubblica, ai fini della tutela della sicurezza nazionale anche nello spazio cibernetico".
Il presidente del consiglio si avvale del Comitato Interministeriale per la Sicurezza della Repubblica (CISR) per la definizione del quadro strategico nazionale per la sicurezza dello spazio cibernetico.
È interessante, in questo contesto, il richiamo al quadro strategico nazionale che contiene le "tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale, la definizione dei ruoli e dei compiti dei diversi soggetti, pubblici e privati, e di quelli nazionali operanti al di fuori del territorio del Paese, [..] strumenti e delle procedure con cui perseguire l'accrescimento della capacità del Paese di prevenzione e risposta rispetto ad eventi nello spazio cibernetico, anche in un'ottica di diffusione della cultura della sicurezza".
È sempre il PCM (su delibera del CISR) che adotta il "Piano nazionale per la protezione cibernetica e la sicurezza informatica" contenente obiettivi e linee d'azione coerenti con il quadro strategico nazionale.
L'articolo 4 tratta del CISR, in particolare il comma f. recita: "esercita l'alta sorveglianza sull'attuazione del Piano nazionale per la sicurezza dello spazio cibernetico".
L'articolo 5 introduce il CISR tecnico, come organismo di supporto al CISR, presieduto del Direttore Generale del Dipartimento per le Informazione per la Sicurezza (DIS), e finalmente si entra nel vivo! È proprio qui sta la grande novità infatti.
Le specifiche attribuzioni al DIS sono meglio specificate nell'articolo 6. Infatti
proprio il DIS, nella figura del suo direttore generale, viene individuato dal DPCM come colui che "adotta le iniziative idonee a definire le necessarie linee di azione di interesse generale".
Lo scopo delle linee d'azione è quello di "innalzare e migliorare i livelli di sicurezza dei sistemi e delle reti...", in previsione delle necessarie azioni di contrasto e risposta ad una eventuale "crisi cibernetica da parte delle amministrazioni ed enti pubblici e degli operatori privati...".
In pratica al DIS viene dato mandato di coordinare le azioni di contrasto e risposta ad attacchi cyber in Italia. Concetto chiaramente espresso nell'articolo 7 comma 2, in cui si dice che il Direttore del DIS cura il coordinamento delle attività di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica in Italia.
L'articolo 8 introduce il "nucleo per la sicurezza cibernetica", costituito permanentemente presso il DIS per gli aspetti di prevenzione e preparazione alle situazioni di crisi e "per l'attivazione delle procedure di allertamento". Tale nucleo è presieduto da un vice direttore generale del DIS ed è composto dal consigliere militare e dai rappresentanti di:
- DIS;
- AISE;
- AISI;
- Ministero degli affari esteri;
- Ministero dell'interno;
- Ministero della difesa;
- Ministero della giustizia;
- Ministero dello sviluppo economici;
- Ministero dell'economia e delle finanze;
- Dipartimento della protezione civile;
- Agenzia per l'Italia digitale;
- Ufficio centrale per la segretezza.
Il nucleo, a mente dell'articolo 9, svolge funzioni di "raccordo tra le diverse componenti dell'architettura istituzionale che intervengono a vario titolo nella materia della sicurezza cibernetica", in particolare mantiene attiva l'unità per l'allertamento e la risposta a situazioni di crisi, unità attiva h24, 7 giorni su 7.
L'articolo 10 stabilisce composizione e compiti del Nucleo in caso di emergenza cyber, con particolare riferimento al coordinamento che deve porre in essere per la reazione e stabilizzazione. Nel comma 3 si dice che si avvale, per le sue attività tecniche, del CERT nazionale del Ministero dello sviluppo economico e del CERT PA dell'Agenzia per l'Italia digitale. E in questo caso mi trovo perfettamente d'accordo sulla necessità di unire le forze (e le risorse!).
L'articolo 11 impone agli operatori privati una serie di regole. Tra queste vi è l'obbligo di comunicare "ogni significativa violazione della sicurezza e dell'integrità dei propri sistemi informatici" e l'obbligo di collaborare alla gestione delle crisi cibernetiche contribuendo al ripristino della funzionalità dei sistemi e delle reti da essi gestiti. Sulla denuncia delle violazioni probabilmente non avverrà niente di sostanziale in quanto non è definita in alcun modo la "significatività" di un evento cibernetico, ciò comporta che ognuno valuta come vuole, invece è molto importante il fatto che gli operatori privati debbano collaborare, anche mettendo a disposizione i "Security Operation Center" aziendali.
Sempre l'articolo 11, al comma 2, indica come competenza del Ministero dello Sviluppo Economico il promuovere "l'istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità...", compito a mio parere più adatto al Ministero dell'Università e della Ricerca, sotto la supervisione del DIS.
Per finire, diamo uno sguardo all'articolo 13, disposizioni transitorie e finali.
Il comma 1 da una chiara idea di come il problema cyber sia sentito a livello governativo, infatti il comma 1 recita: "Dal presente decreto non derivano nuovi oneri a carico del bilancio dello Stato".
Mi viene un dubbio: che sia tutto uno scherzo?
Non credo, infatti, che l'articolo 13, comma 1, sia compatibile con tutto quanto detto prima!
