Passa ai contenuti principali

Misure minime di cybersecurity per le pubbliche amministrazioni



La circolare dell'Agenzia per l'Italia Digitale (AgID) del 18/04/2017 n. 2/2017 attua quanto anticipato dalla Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015 sulle misure minime di sicurezza ICT per le pubbliche amministrazioni.

Questo documento fornisce il riferimento normativo e le prassi metodologiche da seguire per implementare livelli di sicurezza informatica adeguati per tutte le pubbliche amministrazioni. Il termine entro il quale tali misure minime dovranno essere rese operative da tutte le pubbliche amministrazioni è quello del 31/12/2017.

Sostanzialmente i criteri adottati si basano sul Framework Nazionale di Sicurezza Cibernetica (FNSC) proposto con il "2015 Italian Cyber Security Report del CIS" dalla Sapienza di Roma che a sua volta si basa sul Cybersecurity Framework del NIST promulgato dall'amministrazione Obama nel 2013 al quale su questo blog ho già dedicato un post.

Vengono introdotti tre livelli di controlli di sicurezza cibernetica definiti con l'acronimo ABSC (AgID Basic Security Controls):
  • Minimo [M]: il livello sotto il quale nessuna amministrazione può scendere e sono quindi da considerarsi obbligatori e da implementarsi entro il 31/12/2017
  • Standard [S]: può essere una base di riferimento a cui tendere nella maggioranza dei casi secondo un principio di mitigazione del rischio cyber in base a policy di difesa proattiva
  • Alto [A]: un livello di sicurezza avanzato a cui tendere in base al contesto nel quale si va ad operare ed alla sensibilità dei dati trattati.
In pratica si tratta di compilare il "Modulo di implementazione delle misure minime di sicurezza per le pubbliche amministrazioni" che va conservato ed aggiornato regolarmente, è un documento importante perché sarà il primo documento che dovrà essere valutato in caso di Data Breach del sistema informatico della pubblica amministrazione con un alto profilo di responsabilità per chi lo sottoscrive. I controlli di sicurezza ABSC sono stati suddivisi in diverse aree
  • (ABSC_1) Inventario dei dispositivi autorizzati e non autorizzati
  • (ABSC_2) Inventario dei software autorizzati e non autorizzati
  • (ABSC_3) Proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server
  • (ABSC_4) Valutazione e correzione continua delle vulnerabilità
  • (ABSC_5) Uso appropriato dei privilegi di amministratore
  • (ABSC_8) Difese contro malware
  • (ABSC_10) Copie di sicurezza
  • (ABSC_13) Protezione dei dati
Il modulo deve essere compilato e firmato digitalmente con marcatura temporale dal Responsabile della struttura per l'organizzazione, l'innovazione e le tecnologie di cui all'art.17 del C.A.D, ovvero, in sua assenza dal dirigente allo scopo designato e dal Responsabile Legale della struttura. Dopo la sottoscrizione esso deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell'incidente stesso.

Alcune osservazioni basate sulla mia esperienza sul campo.

Il Cybersecurity Framework del NIST fa una valutazione del rischio cyber basata su 5 funzioni: Identificazione, Protezione, Individuazione, Reazione, Ripristino. la prima parte riguarda l'identificazione è molto importante e viene analizzata nei primi due punti del modulo, ma fare manualmente l'inventario di tutto l'hardware e tutto il software presente nell'ente può essere molto oneroso e dispendioso in termini di tempo, inoltre è difficile da aggiornare ed è possibile fare degli errori, per questo consiglio di adottare un sistema automatizzato in grado di fare la scansione di tutti i dispositivi presenti in rete in modo da poterlo tenere aggiornato ben più agevolmente. 

Il livello di misure minime è un livello di alto profilo di mitigazione del rischio cyber, sicuramente ben oltre il livello dell'attuale Codice Privacy. Penso che sarà un bel salto per le pubbliche amministrazioni anche in considerazione del fatto che l'unico documento del genere era il DPS, il Documento Programmatico sulla Sicurezza, che fu però abolito nel 2012 col decreto sulle semplificazioni del governo Monti, una delle poche semplificazioni fatte in Italia riguardava proprio la cybersecurity e gli effetti si sono fatti sentire: le amministrazioni pubbliche italiane sono state tra le più colpite negli ultimi anni dalle minacce cibernetiche.

Al punto ABSC_4.8.1, "Definire un piano di gestione dei rischi che tenga conto dei livelli di gravità delle vulnerabilità, del potenziale impatto e della tipologia degli apparati (e.g. server esposti, server interni, PdL, portatili,etc.)" misura di livello minimo, quindi obbligatoria, si evince che qualsiasi amministrazione pubblica dovrà fare un'analisi dei rischi, anche se non trattano dati sensibili.

Al punto ABSC_5.1.2, "Utilizzare le utenze amministrative solo per effettuare operazioni che ne richiedano i privilegi, registrando ogni accesso effettuato" misura di livello minimo, quindi obbligatoria, si evince che qualsiasi amministrazione pubblica dovrà implementare sui propri sistemi informatici un programma di tracciamento dei log degli utenti privilegiati, anche se non trattano dati sensibili.

Al punto ABSC_10.4.1, "Assicurarsi che i supporti contenenti almeno una delle copie non siano permanentemente accessibili dal sistema" misura di livello minimo, quindi obbligatoria, ogni amministrazione pubblica dovrebbe valutare l'idea di fare un backup cloud crittografato su datacenter esterno certificato ISO/IEC 27011:2016.

Dal punto di vista delle sanzioni è importante notare che la circolare 2/2017 impone degli obblighi di legge, ma l'AGiD essendo un'agenzia e non un'autorità non può comminare direttamente delle sanzioni in caso di inadempienza. Occorre comunque guardare la cosa con una prospettiva più ampia. In caso di incidente informatico e conseguente data breach, il non aver assolto a questo adempimento comporta sicuramente un aggravio della posizione dell'Ente.

Nell'ambito delle mie competenze nel campo del networking e della consulenza sulla privacy offro un servizio di audit mirato dei sistemi ICT per verificare lo stato di messa a norma degli stessi, per maggiori informazioni potete contattarmi.



Commenti

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian

L'arte del camuffamento: come ingannare gli algoritmi di riconoscimento facciale

La società nella quale viviamo è purtroppo diventata anche una società del controllo e della sorveglianza. Per proteggere la nostra privacy è opportuno adottare un modello di autodifesa digitale (privacy threat model) adeguato al nostro profilo di rischio. Se sei arrivato su questa pagina e stai leggendo questo blog allora hai già fatto il primo passo: puoi far parte anche tu del nostro gruppo di #gentesicura . Per sviluppare un modello di autodifesa digitale occorre farsi alcune domande: che tipo di informazioni voglio proteggere? Da chi le voglio nascondere? Quale sarebbe l'impatto sulla mia vita se queste informazioni venissero scoperte? Oggi una delle minacce più gravi è certamente rappresentata dai sistemi di videosorveglianza e dai loro algoritmi di riconoscimento facciale. Probabilmente in qualche banca dati digitale è già presente una vostra foto collegata al vostro nome e cognome. Anche se non è detto che questo database sia pubblico, è sempre buona norma fare una ricerca