Ermanno Goletto

Roberto Massa

Misure minime di sicurezza ICT per le Pubbliche Amministrazioni

Visualizzazioni: 10.916

Informazioni generali

Il 26 settembre 2016 l’AgID (Agenzia per l’Italia Digitale) ha pubblicato un documento che contiene l’elenco ufficiale delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni” che devono essere adottate in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale.

Le Misure minime sono diventate di obbligatoria adozione per tutte le Amministrazioni con la pubblicazione sulla Gazzetta Ufficiale (Serie Generale n.103 del 5-5-2017) della Circolare 18 aprile 2017, n. 2/2017, recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)».

Modalità di attuazione

L’adeguamento delle Pubbliche amministrazioni alle Misure minime dovrà avvenire entro il 31 dicembre 2017, a cura del responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie di cui all’art.17 del C.A.D., e in sua assenza a cure del dirigente allo scopo designato.

Il dirigente responsabile dell’attuazione deve compilare e firmare digitalmente con marcatura temporale il “Modulo di implementazione” allegato alla Circolare. Le modalità con cui ciascuna misura è implementata presso l’amministrazione debbono essere sinteticamente riportate nel modulo di implementazione.

Dopo la sottoscrizione il modulo di implementazione deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell’incidente stesso.

Al fine di fornire tutte le principali informazioni identificative e descrittive relative alle singole misure può essere utile fare riferimento anche alle informazioni contenute in procedure, eventualmente, già approvate e adottate dall’Amministrazione che si raccomanda di fornire in allegato in caso di segnalazione di incidente informatico al CERT-PA.

Fra le misure minime è previsto anche che le pubbliche amministrazioni accedano sistematicamente a servizi di early warning che consentano loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza. A tal proposito il CERT-PA fornisce servizi proattivi ed informativi a tutte le amministrazioni accreditate.

AgID provvederà ad aggiornare le Misure minime tutte le volte che si renderà necessario, in funzione dell’evoluzione della minaccia cibernetica, al fine di mantenere la Pubblica Amministrazione ad un livello adeguato di protezione.

Premesse sulla definizione delle Misure minime di sicurezza ICT per le pubbliche amministrazioni

Le Misure minime di sicurezza ICT per le pubbliche amministrazioni si basano sull’insieme di controlli noto come SANS 20, pubblicato dal Center for Internet Security come CCSC «CIS Critical Security Controls for Effective Cyber Defense» nella versione 6.0 di ottobre 2015. Il SANS20 è un elenco composto da venti controlli, denominati Critical Security Control (CSC), ordinato sulla base dell’impatto sulla sicurezza dei sistemi. Ciascun controllo precede tutti quelli la cui implementazione innalza il livello di sicurezza in misura inferiore alla sua.

Dal momento che è comune convinzione che i primi cinque controlli siano quelli indispensabili per assicurare il minimo livello di protezione nella maggior parte delle situazioni AgID è partita da questi per stabilire le misure minime di sicurezza per la pubblica amministrazione italiana e definire gli AgID Basic Security Control(s) (ABSC).

Per definire gli ABSC AgID è partita dal confronto tra le versioni 6.0 e 5.1 dei CCSC, assunto quale indicatore dell’evoluzione della minaccia cibernetica nel corso degli ultimi anni da cui risulta:

  • Un aumento di importanza delle misure relative agli amministratori di sistema, che balzano dal 12° al 5° posto, entrando nella rosa dei Quick Win.
  • Riduzione d’importanza della sicurezza applicativa scivola dal 6° al 18° posto
  • Riduzione d’importanza degli accessi wireless dal 7° al 15° a causa della diffusione delle contromisure atte a contrastare le vulnerabilità tipiche di tali ambiti.

Si è deciso di fare riferimento, nell’identificazione degli ABSC, alla versione 6 dei CCSC. Tuttavia l’insieme dei controlli definiti è più vicino a quello della versione 5.1 poiché AgID ha ritenuto che molti dei controlli eliminati nel passaggio alla nuova versione, probabilmente perché non più attuali nella realtà statunitense, sono ancora importanti nel contesto della pubblica amministrazione italiana.

Strutturazione delle Misure minime di sicurezza ICT per le pubbliche amministrazioni

Il CCSC è stato concepito essenzialmente nell’ottica di prevenire e contrastare gli attacchi cibernetici, ragione per la quale non viene data particolare rilevanza agli eventi di sicurezza dovuti a casualità quali guasti ed eventi naturali. Per questa ragione, ai controlli delle prime cinque classi AgID ha deciso di aggiungere quelli della CSC8, relativa alle difese contro i malware, della CSC10, relativa alle copie di sicurezza, unico strumento in grado di proteggere sempre e comunque le informazioni dal rischio di perdita, e della CSC13, riferita alla protezione dei dati rilevanti contro i rischi di esfiltrazione.

Ciascun CSC è costituito da una famiglia di misure di dettaglio più fine, che possono essere adottate in modo indipendente, consentendo un’ulteriore modulazione utile ad adattare il sistema di sicurezza alla effettiva realtà locale. AgID ha ritenuto che anche al secondo livello ci fosse una granularità ancora eccessiva, soprattutto sotto il profilo implementativo, che avrebbe costretto soprattutto le piccole amministrazioni ad introdurre misure esagerate per la propria organizzazione. Per tale ragione è stato introdotto un ulteriore terzo livello, nel quale la misura di secondo livello viene decomposta in misure elementari, ancora una volta implementabili in modo indipendente. Pertanto un ABSC è identificato da un identificatore gerarchico a tre livelli x, y, z, dove x e y sono i numeri che identificano il CSC concettualmente corrispondente e z individua ciascuno dei controlli di livello 3 in cui questo è stato raffinato.

Quindi le Misure minime di sicurezza ICT per le pubbliche amministrazioni sono composte da 8 ABSC che sono derivati dai CSC 1,2,3,4,5,8,10 e 13.

Il primo livello delle Misure minime di sicurezza ICT per le pubbliche amministrazioni corrisponde ad una famiglia di controlli destinati al perseguimento del medesimo obiettivo (ABSC o relativo CSC) e ad esso è associata una tabella che li contiene tutti i controlli così strutturata:

  • La prima colonna «ABSC_ID#» è sviluppata gerarchicamente su tre livelli e definisce l’identificatore univoco di ciascuno di essi.
  • La seconda colonna «Descrizione» specifica il controllo attraverso una definizione sintetica.
  • La terza colonna «FNSC» (Framework nazionale di sicurezza cibernetica), viene indicato l’identificatore della Subcategory del Framework Core del Framework nazionale per la Cyber Security, proposto con il 2015 Italian Cyber Security Report del CIS «La Sapienza» presentato lo scorso 4 febbraio 2016, al quale il controllo è riconducibile.
  • La quarta, la quinta e la sesta colonna sono booleane e costituiscono una linea guida che indica quali controlli dovrebbero essere implementati per ottenere un determinato livello di sicurezza.
    • La quarta colonna «Minimo» specifica il livello sotto il quale nessuna amministrazione può scendere e i controlli in essa indicati debbono riguardarsi come obbligatori.
    • La quinta colonna «Standard» può essere assunta come base di riferimento nella maggior parte dei casi.
    • La sesta colonna «Alto» può essere considerata come un obiettivo a cui tendere.

Minaccia cibernetica per le pubbliche amministrazioni

La pubblica amministrazione continua ad essere oggetto di attacchi dimostrativi, provenienti da soggetti spinti da motivazioni politiche ed ideologiche, ma sono diventate importanti e pericolose le attività condotte da gruppi organizzati, non solo di stampo propriamente criminale, i quali dispongono di un’elevata quantità di risorse che si riflette nell’utilizzo di strategie e strumenti sofisticati.

Quindi le misure preventive devono essere affiancate da efficaci strumenti di rilevazione, in grado di abbreviare i tempi, oggi pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte.

In questo scenario, in cui è fondamentale la rilevazione delle anomalie operative, viene data grande importanza agli inventari, a cui sono dedicati l’ABSC 1 e l’ABSC 2, nonché alla protezione della configurazione, a cui è dedicato l’ABSC 3.

Per prevenire efficacemente gli attacchi basati sulla scalata ai privilegi, occorre dare importanza all’analisi delle vulnerabilità, a cui è dedicato l’ABSC 4, al fine di eliminare le vulnerabilità e rilevare le alterazioni nel caso di un attacco in corso.

L’ABSC 5 dedicata alla gestione degli utenti, in particolare quelli amministratori su cui il SANS20 ha posto particolare attenzione portando l’importanza della loro gestione dal 12° al 5° posto.

L’ABSC 8 è dedicato all’individuazione di codice malevolo spesso installato durante una o più fasi di attacchi complessi.

Le copie di sicurezza rappresentano di fatto l’unico strumento che garantisce il ripristino dopo un incidente, quindi a tele fondamentale attività è dedicato l’ABSC 10.

Dal momento che l’obiettivo principale degli attacchi più gravi è la sottrazione di informazioni alla protezione dei dati è stato dedicato l’ABSC 13.

Conclusioni

Le Misure minime di sicurezza ICT sono parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione, a riguardo si veda la news di AgID Sicurezza informatica per la PA: focus su standard di riferimento per tutte le amministrazioni e il capitolo dedicato alla “Sicurezza” del Piano Triennale.

In estrema sintesi le Misure minime di sicurezza ICT per le pubbliche amministrazioni sono un insieme ordinato e ragionato di “controlli” predisposto da AgID al fine di fornire alle pubbliche amministrazioni un elenco di azioni puntuali di natura tecnica od organizzativa che costituiscono un riferimento pratico per valutare e innalzare il livello della sicurezza informatica.

AgID ha cercato di modulare i controlli in modo da non costringere le Pubbliche Amministrazioni più piccole ad introdurre misure esagerate per la propria organizzazione, con conseguenti inutile dispendio di risorse. Per questo motivo i singoli controlli CSC sono stati trasposti nei controlli ABSC suddividendoli in famiglie di misure di dettaglio più fine in modo da consentire alle Pubbliche Amministrazioni di implementare un livello di sicurezza informatica adatto alle effettive esigenze della specifica realtà locale suddividendo i controlli in tre gruppi verticali, riferiti a livelli complessivi di sicurezza crescente.

Il livello minimo Misure minime di sicurezza ICT rappresenta i controlli obbligatori che ogni amministrazione pubblica deve implementare entro il 31 dicembre 2017, ma sarebbe opportuno valutare le azioni necessarie sull’infrastruttura tenendo conto anche dei controlli di livello Standard che rappresentano la una base di riferimento e costituiscono un ragionevole compromesso fra efficacia delle misure preventive ed onerosità della loro implementazione. I controlli di livello Alto il livello adeguato per le organizzazioni maggiormente esposte a rischi, per la criticità delle informazioni trattate o dei servizi erogati, inoltre rappresentano l’obbiettivo l’obiettivo ideale cui tutte le altre organizzazioni dovrebbero tendere. In ogni caso le amministrazioni NSC (Nucleo di Sicurezza Cibernetica), dovrebbero collocarsi almeno a livello “standard” in assenza di requisiti più elevati.

Ovviamente le Misure minime di sicurezza ICT per le pubbliche amministrazioni insieme al Framework Nazionale per la Cybersecurity, destinato a piccole e micro imprese italiane, può consentire ad aziende private può fornire ottimi spunti su cui modellare la sicurezza della propria infrastruttura in base al criticità dei dati trattati o ai servizi erogati.