Il sempre maggiore interesse nel settore della cybersecurity ha spinto il legislatore italiano ad implementare e rinforzare gli strumenti di difesa e prevenzione. Lo scorso 6 maggio è stato inaugurato il nuovo gruppo di gestione della difesa cibernetica nazionale – il Computer Security Incident Response Team – Italia – istituito presso il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei Ministri.
In questo periodo storico in cui si richiede una sempre più ampia digitalizzazione è stato posto un ulteriore tassello al processo di riforma avviato nel 2010 su impulso del COPASIR. Originato dalle necessità di tutela cibernetica delle infrastrutture critiche, il Comitato ha progressivamente aumentato l’interesse proprio e degli organi di intelligence rispetto alle tematiche della cybersecurity, come insegna il caso dell’app Immuni insegna, con i suoi annessi problemi di privacy.
Il 6 maggio 2020 sono state avviate le attività del Computer Security Incident Response Team – Italia (CSIRT), con il progressivo passaggio di consegne dal CERT-PA, soggetto di supporto alle pubbliche amministrazioni nella prevenzione e nella risposta agli incidenti cibernetici e dal CERT Nazionale, relativo al settore privato, i quali cesseranno di esistere come soggetti autonomi.
La sicurezza informatica, infatti, assume un sempre maggiore interesse nell’ordinamento italiano, tanto da essere riconosciuta come una priorità strategica per la sicurezza nazionale del nostro Paese. Eventuali attacchi alle infrastrutture nazionali, nonché anche alla privacy della cittadinanza, ben possono comportare l’acquisizione di dati in grado di rafforzare soggetti cd. «malevoli».
Il legislatore, al fine di garantire un’attività centralizzata di risposta ai pericoli cibernetici, ha scelto di affidare tale compito agli organi dell’intelligence italiana (come dimostrato anche dall’apposito documento in materia). Proprio in quest’ottica, con il Decreto del Presidente del Consiglio dei ministri 8 agosto 2019, è stato istituito il CSIRT presso la Presidenza del Consiglio dei Ministri – Dipartimento di informazioni per la sicurezza della Repubblica.
Tale decisione rientra nell’attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65), volta ad individuare le misure per un elevato livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione europea, anche nel rispetto delle buone prassi sull’innovazione della cybersicurezza adottate dall’Enisa (European Network Information and Security Agency).
Interessante è comprendere cosa siano i CSIRT (o, secondo altre denominazioni, i Computer Emergency Response Team – CERT): questi, in generale, altro non sono che dei nuclei di coordinamento per gli utenti della rete, deputati al supporto e alla risoluzione di qualsiasi problema di sicurezza informatica, mediante l’expertise di personalità specializzate in diversi ambiti.
Gli specifici compiti del Team italiano risultano disciplinati dall’art. 4 del DPCM 8 agosto 2019, con l’attribuzione delle attività di monitoraggio degli incidenti nazionali, dell’emissione di preallarmi, allerte e comunicazioni alle parti interessate in merito ad eventuali incidenti o ai rischi ad essi connessi. Viene inoltre effettuata l’analisi dinamica dei rischi, così come un’attività di intervento in caso di incidente. Nello specifico, vengono fornite consulenze nell’individuazione dell’origine del rischio, nella gestione dei contatti con i soggetti interessati, nonché nel supporto delle reazioni. Tra le attività di informazione e comunicazione, inoltre, viene ricompresa anche la sensibilizzazione sulle varie situazioni di rischio, mediante la condivisione dei dati relativi a nuove vulnerabilità attraverso il proprio sito internet.
Il CSIRT Italia, inoltre, entra a far parte della rete transnazionale, in un’inevitabile ottica di collaborazione in una materia che travalica grandemente i confini nazionali, assicurando così l’adeguata comunicazione agli Stati dell’Unione europea eventualmente coinvolti nell’incidente. Il piano di compartecipazione, inoltre, viene implementato attraverso l’individuazione di forme di cooperazione operativa, nonché attraverso lo scambio di informazioni e di migliori pratiche.
L’incardinamento del gruppo presso il DIS, inoltre, assicura una stringente collaborazione con il Nucleo per la Sicurezza Cibernetica, istituito proprio per fra fronte a pericoli di sicurezza nazionale.
Come detto, quindi, il ruolo delle informazioni sull’incidente assume particolare rilievo sia in via di analisi dei rischi, che di risposta al pericolo. Per tali motivi il CSIRT Italia si configura come il soggetto unico deputato alla ricezione delle segnalazioni.
Lo scopo è quello di assicurare un’elevata tutela attraverso delle attività di aggregazione delle informazioni rilevate. La centralizzazione dei dati, infatti, assicura un livello di prevenzione superiore rispetto al tracciamento di singoli episodi. A tal fine vengono adottati, in pratica, dei modelli generali di minaccia e di risposta agli attacchi informatici.
Proprio al fine di una completa ricostruzione degli eventi rischiosi, il D.lgs. n. 65 del 2018, agli artt. 12 e 14, individuano i soggetti deputati alla comunicazione degli incidenti. Specificamente, gli Operatori di Servizi Essenziali (OSE), fornitori di servizi essenziali, e i Fornitori di Servizi Digitali (FSD), motori di ricerca e operatori nell’e-commerce, sono sottoposti ad un obbligo di notifica al CSIRT il quale, a sua volta, si interfaccerà con il NSC. Laddove tali obblighi non siano adempiuti, è lo stesso d.lgs., all’art. 21, a disporre una serie di sanzioni amministrative, irrogabili dalle Autorità NIS (previste dall’art. 7 dello stesso decreto). Per gli altri soggetti, invece, la notifica degli incidenti è volontaria. A tal fine è stata istituita un’apposita sezione del sito del CSIRT in ogni caso in cui la criticità abbia leso la continuità dei servizi forniti.
Il progressivo aumento di interesse da parte dell’ordinamento italiano alle tematiche della sicurezza cibernetica denota, sicuramente, un rilevante passo in avanti nella tutela della nazione anche rispetto ai competitor esterni. Il sistema delineato, però, mantiene comunque delle criticità. Prima tra tutte emerge l’assenza di un obbligo generalizzato di comunicazione degli incidenti. Questo rischia di non permettere un completo tracciamento delle vulnerabilità, soprattutto per quanto riguarda quei soggetti connotati da un elevato rilievo infrastrutturale o economico, ma non rientranti tra gli OSE o gli FSD. Un simile approccio, inoltre, sembrerebbe limitare la rilevanza degli incidenti al solo settore pubblico, o a specifici operatori privati ritenuti particolarmente dirimenti. In realtà, un’effettiva mappatura del rischio sembrerebbe richiedere una completa panoramica della situazione informatica nazionale, anche con lo scopo di predisporre dei modelli generali di minaccia e di risposta. A questo deve aggiungersi come l’assenza di un termine entro cui sia necessario procedere alla notifica dell’incidente rischia di rendere ambigua, ove non direttamente complicata, l’applicazione della disciplina.
L’incardinamento del Team presso il DIS, invece, appare una valida strategia in grado di centralizzare lo studio dei pericoli, nonché una garanzia nello snellimento delle interfacce tra i diversi operatori del settore. Questo alla luce del ruolo di punto unico di contatto assunto dal Dipartimento in materia di sicurezza delle reti e dei sistemi informativi. Infatti, anche altri paesi europei – tra tutti Francia e Germania – hanno adottato modelli simili.
In conclusione, occorre osservarsi come la transnazionalità delle reti individua proprio nella cooperazione tra i vari Paesi il vero campo di battaglia della cybersecurity. Solo laddove i principali attori – siano essi europei o paesi alleati sotto diverse forme – riusciranno a collaborare nella prevenzione e nella gestione dei rischi si riuscirà effettivamente a ridurre il livello di vulnerabilità complessivo. Sul punto, però, occorrerà osservare come effettivamente si snoderanno sul piano pratico le attività del CSIRT.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.