giovedì 16 dicembre 2021
Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio
I CSIRT vengono da lontano: iniziamo dal 1988
Nel 1998, un laureato fresco di studi ad Harward decide di lanciare sull'Internet del tempo il suo codice dannoso: è un worm, che lo studente Robert Morris lancia su una rete che al tempo contava 60.000 computer connessi tra enti governativi, militari ed universitari. In meno di 24 ore cadono vittime del worm oltre 6000 macchine e Morris raggiunge il suo obiettivo: dimostrare la totale inadeguatezza delle misure poste a protezione della rete.
Morris, per fortuna, non è un cybercriminale e, di fronte al dilagare del suo worm, abbozza il primo tentativo mai registrato di Incident response: invia infatti in forma anonima le istruzioni necessarie non solo per rimuovere il suo worm, ma anche per impedire che possa di nuovo infettare le macchine bersaglio. Peccato che la rete sia in totale paralisi per il suo attacco e le informazioni non arrivino in tempo. Il worm continua a fare danni e diventano palesi l'assenza totale di coordinamento tra i vari "nodi" della rete nonché i problemi comunicativi.
L'agenzia USA DARPA, che finanzia progetti di ricerca di sicurezza nazionale, colpita profondamente dalle azioni di Morris, istituisce il primo centro di incident response per la risposta coordinata ai cyber attacchi. E' il primo CERT - Computer Emergency Response Team Coordination Center della storia, che poi si evolverà negli CSIRT- Computer Security Incident Response Team.
CERT e CSIRT sono poi stati istituzionalizzati in tutto il mondo.
La Direttiva NIS plasma il volto della cyber security europea
Approvata nel 2016, la Direttiva Europea 1148/2016, detta Direttiva NIS mira a favorire la più ampia diffusione di una cultura nel campo della cyber security e di un conseguente accrescimento dei relativi livelli di sicurezza informatica, anche attraverso un maggiore scambio di informazioni. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, le modalità di notifica degli incidenti subiti.
Per approfondire > LA DIRETTIVA NIS – Network and Information Security
In Italia è stato recepito con ben 4 decreti, volti a costituire e dare corpo al piano di cyber security nazionale.
Per approfondire > A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano
Computer Security Incident Response Team – CSIRT italiano
Viene istituzionalizzato addirittura nel 2011: il DPCM 8 Agosto 2011 contiene le disposizioni su come si organizza e funziona il Computer Security Incident Response Team – CSIRT italiano.
Compiti dello CSIRT italiano sono:
ricevere le segnalazioni di incidente per fungere da punto di contatto tra le attività di prevenzione e preparazione precedente ad eventuali situazioni di crisi derivanti da cyber incidenti. Attiva di conseguenza il Nucleo per la Sicurezza Cibernetica, che ha il compito di attivare tutte le procedure di allerta necessarie. Le operazioni sono svolte sotto la supervisione del DIS - Dipartimento per la sicurezza delle informazioni;
ricevuta la segnalazione, è compito dello CSIRT quello di fornire al segnalante tutte le informazioni che possono essere utili a gestire e mitigare con efficacia l'incidente;
informare gli altri Stati membri UE coinvolti dall'incidente al fine di tutelare la sicurezza degli Operatori di Servizi Essenziali (OSE) e dei Fornitori di Servizi Digitali (FSD). Tutto nel massimo rispetto e tutela della riservatezza delle informazioni fornite;
definire procedure per la prevenzione e la gestione di cyber incidenti;
garantire la collaborazione con l'intera rete di CSIRT, individuando ed applicando forme di cooperazione operativa, informativa e per la condivisione di standard e best pratices.
Insomma, l'organizzazione opera a 3 livelli:
quello nazionale, per migliorare la capacità di cyber difesa dello stato;
quello extranazionale, attraverso la rete europea CSIRT;
a livello di infrastrutture critiche e servizi essenziali.
Molto importante la funzione preventiva dello CSIRT: specialità di questo team sono il monitoraggio e l'analisi dei cyber incidenti nonché la gestione delle vulnerabilità. LO CSIRT fornisce quindi report, bollettini, alert in riferimento alle nuove minacce che potrebbero impattare sulle infrastrutture strategiche italiane.
Infine lo CSIRT si occupa di programmi di formazione, risk analysis e cyber awarness: tutte quelle attività che servono a rafforzare la resilienza ai cyber incidenti tramite l'accesscimento della cyber consapevolezza.
I due CERT italiani: CERT-N e CERT-PA
I due organismi, sempre più strettamente in collaborazione, svolgono congiuntamente il ruolo e le funzioni dello CSIRT. Sono appunto due:
Il CERT-N, Computer Emergency Response Team-N: è il CERT nazionale, istituito presso il MISE, si occupa del settore privato ed ha anche il compito di garantire la cooperazione a livello europeo;
CERT-PA, esclusivo per la Pubblica Amministrazione ed istituito presso l'Agenzia per l'Italia Digitale (AGID). Qui il sito istituzionale https://cert-agid.gov.it/
Va detto che questo modello, discendente appunto dalla direttiva NIS, è stato recepito quasi in tutti i paesi europei, che hanno appunto provveduto ad istituire CERT nazionali affiancati anche da CERT privati secondo le previsioni della direttiva NIS.
Al vertice della piramide della cyber security UE troviamo l'ENISA, l'European Union Agency for Cybersecurity
Per approfondire > Cybersecurity: l'UE si riorganizza per far fronte al cybercrime e creare il mercato unico della sicurezza
La mappa dei CERT europei. Fonte: ENISA
Per far fronte ai cyber attacchi sempre più diffusi, servono strutture dislocate sul territorio
Questa la convinzione dell'Agenzia per l'Italia Digitale che, nel 2019 ha pubblicato le “Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i Cert regionali”. Il documento specifica che i CERT regionali, o CERT di prossimità, dovranno fornire i propri servizi a una categoria di utenti selezionati per appartenenza geografica (prossimità in senso territoriale) o per appartenenza settoriale in base funzionale (sanità, trasporti ecc...).
Alla base c'è la volontà di strutturare una capacità di risposta agli incidenti informatici crescenti che sia capillare e più efficiente e rapida possibile. Il problema da risolvere con l'istituzione di questi CERT di prossimità è quello della platea a cui si rivolgono i servizi del CERT. Per dare qualche numero: la platea di utenti "protetti" dal CERT-PA è passata dalle 70 amministrazioni del 2015 alle 22.000 di oggi, senza però che sia corrisposto a questa crescita un analogo e sufficiente aumento delle risorse assegnate.
Non serve neppure dettagliare troppo, crediamo, la necessità di questi CERT di prossimità: i recenti cyberattacchi contro grandi aziende (San Carlo, Clementoni, Alia Servizi Ambientali), contro i sistemi sanitari regionali (Lazio, USSL Padova), contro i comuni (si pensi al Comune di Torino e ai comuni riuniti sotto l'Unione Reno Galliera.) sono più eloquenti di mille parole.