La minaccia cibernetica è finalmente stata presa in considerazione anche dalla classe politica che da qui ai prossimi anni metterà in campo regolamenti e linee guida che avranno sicuro impatto sull’operatività di tutte le aziende. Vediamo di fornire qualche indicazione.
La cyber security in Europa
L’obiettivo della Comunità Europea è quello di creare uno spazio cibernetico accessibile, affidabile e sicuro nel quale il Digital Single Market possa operare garantendo crescita e sicurezza alle imprese. In quest’ottica è stata istituita l’ENISA (Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione ) e sono stati sviluppati la direttiva NIS (Network and Information Security 2016/1148) relativa alla sicurezza delle reti e sistemi informativi nonchè il Cybersecurity Act (di prossima emanazione) relativo alla certificazione dei prodotti e tecnologie ICT.
La direttiva NIS si rivolge a tutti i soggetti pubblici o privati che forniscono servizi essenziali per la società (sanitari, energia, trasporti, bancari, ecc) nonchè a coloro che forniscono sistemi di e-commerce e cloud. Costoro devono: adottare misure di prevenzione e protezione adeguate al rischio che si corre, prevenire e contenere l’impatto di incidenti di sicurezza di reti e sistemi IT e notificare all’Autorità gliincidenti con impatto rilevante. Ogni Nazione deve poi identificare un Team per la gestione degli incidenti informatici (CSIRT) che deve monitorare gli incidenti e cooperare a livello internazionale in un’ottica di information sharing.
Il Cybersecurity Act è invece destinato a alla certificazione della sicurezza informatica di prodotti ICT e servizi digitali e trattandosi di un regolamento entrerà immediatamente in vigore una volta adottato dal parlamento Europeo. Questo provvedimento mira a normare ed armonizzare fra tutti i paesi Europei i criteri di certificazione della sicurezza dei prodotti ICT (già attualmente in essere) , potenziando il ruolo dell’Enisa quale ente in grado di elaborare schemi di certificazione comuni e di fornire supporto sulle varie questioni. In particolare la certificazione andrà a valutare se i sistemi , servizi o processi sono in grado di proteggere i dati da accesso, divulgazione, perdita o modifica accidentali o non autorizzati dei dati trattati; se i dati sono accessibili agli operatori limitatamente alla loro effettiva necessità e sulla base di precise autorizzazioni; se sono state individuate e documentate le vulerabilità note; se è possibile ripristinare tempestivamente la disponibilità e l’accesso ai dati e servizi in caso di incidente tecnico o fisico ; se i criteri di security by design sono applicati a tutto il processo, garantendo impostazioni sicuri e SW e HW sempre aggiornati e protetti.
Sulla base di questi criteri si identificano tre livelli di certificazione in base al servizio o prodotto erogato: livello base, che prevede la autocertificazione da parte del produttore e richiede il solo riesame periodico della documentazione tecnica; livello sostanziale volto a ridurre al minimo i rischi di incidenti ed attacchi informatici commessi da soggetti che dispongono di abilità e risorse limitate; livello elevato mirato a ridurre al minimo il rischio di attacchi informatici avanzati commessi da attori che dispongono di abilità e risorse significative.
La cybersecurity in Italia
Negli ultimi anni l’Italia ha intensificato l’emanazione di decreti riguardanti il gli aspetti di protezione civernetica e sicurezza informatica e in particolare ha avviato il piano triennale per l’informatizzazione e la trasformazione digitale della PA. L’obiettivo è quello di: sviluppare una serie di standard operativi e organizzativi che consentano la gestione efficiente ed integrata del processo di protezione dello spazio cibernetico nazionale ; incentivare la cooperazione tra istituzione e imprese nazionali (pubbliche e private) al fine di affrontare in maniera organiza la minaccia cyber; rafforzare la cultura della sicurezza informatica a tutti i livelli che risulta uno degli elementi di maggior criticità di tutto il sistema.
Lascia un commento