Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Domenica, 05 Aprile 2020
Stato dell’arte sulle Certificazioni Cyber - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Stato dell’arte sulle Certificazioni Cyber - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

MARZO 2020

Il Regolamento UE 2019/881 dell’Unione Europea (Cybersecurity Act) del 2019 ha stabilito “un quadro per l’introduzione di sistemi europei di certificazione della sicurezza informatica. Tale schema di certificazione prevede che i prodotti, servizi e processi ICT valutati nel loro ambito siano “conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita”. Un “programma di lavoro progressivo dell’Unione”, in cui saranno individuate le priorità strategiche, sarà pubblicato entro il 28 giugno 20201.
L'idea alla base della creazione di uno schema di certificazione di un prodotto ICT è quella di controllare un insieme di requisiti minimi di sicurezza, una singola volta, e per tutti i clienti, fermo restando che questi ultimi dovranno effettuare una propria attività di investigazione al momento dell’acquisto.
Prendendo in esame i principali studi di settore, regolamenti nazionali ed europei è possibile analizzare lo stato di avanzamento delle normative inerenti agli schemi di certificazione cyber.
Dalla metà degli anni ‘90 esiste in Italia una struttura per la certificazione della sicurezza di sistemi/prodotti ICT, ma tale struttura, denominata Schema Nazionale, è utilizzabile esclusivamente nell’ambito della sicurezza nazionale. Con il DPCM del 30 ottobre 2003 è stato istituito un secondo Schema Nazionale il quale è idoneo a fornire servizi di certificazione a tutti i settori della PA che non afferiscono al contesto della sicurezza nazionale. Entrambi questi Schemi sono stati definiti secondo quanto previsto dalle normative internazionali nell’ambito della certificazione di sistema/prodotto ICT, tanto che la loro struttura è fortemente condizionata da alcune caratteristiche degli standard Common Criteria ed ITSEC2.
Il processo di certificazione nazionale è diviso in due parti: la valutazione, e la certificazione. Una volta terminata la prima parte, è possibile esaminare il Rapporto Finale di Valutazione e utilizzare quest’ultimo come base per produrre un Rapporto di Certificazione, che attesta che l’analisi è stata condotta secondo criteri stabiliti, e il relativo Certificato, valido solo per la specifica versione e configurazione del prodotto3.
Nel novembre del 2019 è stato approvato anche il Perimetro di Sicurezza Nazionale Cibernetica, che ha confermato il ruolo del Centro di Valutazione e Certificazione Nazionale (CVCN) nell’assicurazione delle garanzie di sicurezza e dell’assenza di vulnerabilità di prodotti destinati a essere impiegati sulle reti, sui sistemi informativi e sui servizi informatici dei soggetti interni al perimetro nazionale. In aggiunta, attraverso l’utilizzo di poteri speciali, il Governo italiano può imporre specifiche prescrizioni o condizioni in relazione “alla stipula di contratti o accordi aventi ad oggetto l'acquisizione di beni o servizi basati sulla tecnologia 5G4. Il Governo italiano può quindi richiedere un determinato livello di certificazione o attuare il potere di veto.
Proprio relativamente alla tecnologia 5G, il provvedimento più recente in ambito europeo è l’EU Toolbox, del gennaio 2020, con il quale la Commissione Europea è intenzionata a far fronte al rischio di interferenze da parte di un paese terzo attraverso la catena di approvvigionamento del 5G. La Commissione ha invitato i membri a porre condizioni specifiche in tal senso, compresi schemi di certificazione.
Oltre alle tecnologie 5G, un altro settore che merita un’analisi è quello delle Certificazioni Cloud. I servizi di cloud computing, infatti, sono complessi e costruiti a partire da diverse componenti ICT risultando quindi di difficile valutazione per i clienti. A tale riguardo, nel 2012 la Commissione Europea ha pubblicato la comunicazione "Strategia europea per il cloud computing - liberare il potenziale del cloud computing in Europa" per assistere lo sviluppo di sistemi di certificazione a livello europeo per crearne un elenco5.
ENISA, incaricata di supportare lo studio, ha realizzato la Cloud Certification Schemes List (CCSL), attraverso la quale è in grado di offrire una panoramica dei diversi schemi di certificazione esistenti e le relative caratteristiche6. Sempre sotto il dominio di ENISA è presente anche il Cloud Certification Schemes Metaframework (CCSM), un tool online che rappresenta una mappatura che prenda contemporaneamente in esame i requisiti di sicurezza della rete e dell'informazione desiderati dal cliente, e gli obiettivi di sicurezza degli schemi di certificazione cloud esistenti, in modo tale da facilitarne la scelta7.
Infine, per completare lo stato dell’arte riguardo alle certificazioni, è opportuno menzionare lo studio IACS Cybersecurity Certification Framework, un rapporto che ha avuto come scopo quello di presentare gli esperimenti del componente IACS (Industrial Automation and Control Systems) Cybersecurity Certification Framework (ICCF) eseguiti nel 2017 dalle squadre nazionali di esercitazione (NET) di Francia, Polonia e Spagna. Basato su casi reali di utilizzo e simulazioni di attività ICCF, tale rapporto documenta le attuali pratiche di certificazione dei paesi menzionati e le opinioni dei membri delle squadre NET in relazione alla certificazione della sicurezza informatica dei prodotti IACS8.
Luisia Franchina

(Newletter AIIC n. 03 (2020))