La circolare dell'Agenzia per l'Italia Digitale (AgID) del 18/04/2017 n. 2/2017 attua quanto anticipato dalla Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015 sulle misure minime di sicurezza ICT per le pubbliche amministrazioni.
Questo documento fornisce il riferimento normativo e le prassi metodologiche da seguire per implementare livelli di sicurezza informatica adeguati per tutte le pubbliche amministrazioni. Il termine entro il quale tali misure minime dovranno essere rese operative da tutte le pubbliche amministrazioni è quello del 31/12/2017.
Sostanzialmente i criteri adottati si basano sul Framework Nazionale di Sicurezza Cibernetica (FNSC) proposto con il "2015 Italian Cyber Security Report del CIS" dalla Sapienza di Roma che a sua volta si basa sul Cybersecurity Framework del NIST promulgato dall'amministrazione Obama nel 2013 al quale su questo blog ho già dedicato un post.
Vengono introdotti tre livelli di controlli di sicurezza cibernetica definiti con l'acronimo ABSC (AgID Basic Security Controls):
- Minimo [M]: il livello sotto il quale nessuna amministrazione può scendere e sono quindi da considerarsi obbligatori e da implementarsi entro il 31/12/2017
- Standard [S]: può essere una base di riferimento a cui tendere nella maggioranza dei casi secondo un principio di mitigazione del rischio cyber in base a policy di difesa proattiva
- Alto [A]: un livello di sicurezza avanzato a cui tendere in base al contesto nel quale si va ad operare ed alla sensibilità dei dati trattati.
In pratica si tratta di compilare il "Modulo di implementazione delle misure minime di sicurezza per le pubbliche amministrazioni" che va conservato ed aggiornato regolarmente, è un documento importante perché sarà il primo documento che dovrà essere valutato in caso di Data Breach del sistema informatico della pubblica amministrazione con un alto profilo di responsabilità per chi lo sottoscrive. I controlli di sicurezza ABSC sono stati suddivisi in diverse aree
- (ABSC_1) Inventario dei dispositivi autorizzati e non autorizzati
- (ABSC_2) Inventario dei software autorizzati e non autorizzati
- (ABSC_3) Proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server
- (ABSC_4) Valutazione e correzione continua delle vulnerabilità
- (ABSC_5) Uso appropriato dei privilegi di amministratore
- (ABSC_8) Difese contro malware
- (ABSC_10) Copie di sicurezza
- (ABSC_13) Protezione dei dati
Il modulo deve essere compilato e firmato digitalmente con marcatura temporale dal Responsabile della struttura per l'organizzazione, l'innovazione e le tecnologie di cui all'art.17 del C.A.D, ovvero, in sua assenza dal dirigente allo scopo designato e dal Responsabile Legale della struttura. Dopo la sottoscrizione esso deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell'incidente stesso.
Alcune osservazioni basate sulla mia esperienza sul campo.
Il Cybersecurity Framework del NIST fa una valutazione del rischio cyber basata su 5 funzioni: Identificazione, Protezione, Individuazione, Reazione, Ripristino. la prima parte riguarda l'identificazione è molto importante e viene analizzata nei primi due punti del modulo, ma fare manualmente l'inventario di tutto l'hardware e tutto il software presente nell'ente può essere molto oneroso e dispendioso in termini di tempo, inoltre è difficile da aggiornare ed è possibile fare degli errori, per questo consiglio di adottare un sistema automatizzato in grado di fare la scansione di tutti i dispositivi presenti in rete in modo da poterlo tenere aggiornato ben più agevolmente.
Il livello di misure minime è un livello di alto profilo di mitigazione del rischio cyber, sicuramente ben oltre il livello dell'attuale Codice Privacy. Penso che sarà un bel salto per le pubbliche amministrazioni anche in considerazione del fatto che l'unico documento del genere era il DPS, il Documento Programmatico sulla Sicurezza, che fu però abolito nel 2012 col decreto sulle semplificazioni del governo Monti, una delle poche semplificazioni fatte in Italia riguardava proprio la cybersecurity e gli effetti si sono fatti sentire: le amministrazioni pubbliche italiane sono state tra le più colpite negli ultimi anni dalle minacce cibernetiche.
Al punto ABSC_4.8.1, "Definire un piano di gestione dei rischi che tenga conto dei livelli di gravità delle vulnerabilità, del potenziale impatto e della tipologia degli apparati (e.g. server esposti, server interni, PdL, portatili,etc.)" misura di livello minimo, quindi obbligatoria, si evince che qualsiasi amministrazione pubblica dovrà fare un'analisi dei rischi, anche se non trattano dati sensibili.
Al punto ABSC_5.1.2, "Utilizzare le utenze amministrative solo per effettuare operazioni che ne richiedano i privilegi, registrando ogni accesso effettuato" misura di livello minimo, quindi obbligatoria, si evince che qualsiasi amministrazione pubblica dovrà implementare sui propri sistemi informatici un programma di tracciamento dei log degli utenti privilegiati, anche se non trattano dati sensibili.
Al punto ABSC_10.4.1, "Assicurarsi che i supporti contenenti almeno una delle copie non siano permanentemente accessibili dal sistema" misura di livello minimo, quindi obbligatoria, ogni amministrazione pubblica dovrebbe valutare l'idea di fare un backup cloud crittografato su datacenter esterno certificato ISO/IEC 27011:2016.
Al punto ABSC_10.4.1, "Assicurarsi che i supporti contenenti almeno una delle copie non siano permanentemente accessibili dal sistema" misura di livello minimo, quindi obbligatoria, ogni amministrazione pubblica dovrebbe valutare l'idea di fare un backup cloud crittografato su datacenter esterno certificato ISO/IEC 27011:2016.
Dal punto di vista delle sanzioni è importante notare che la circolare 2/2017 impone degli obblighi di legge, ma l'AGiD essendo un'agenzia e non un'autorità non può comminare direttamente delle sanzioni in caso di inadempienza. Occorre comunque guardare la cosa con una prospettiva più ampia. In caso di incidente informatico e conseguente data breach, il non aver assolto a questo adempimento comporta sicuramente un aggravio della posizione dell'Ente.
Nell'ambito delle mie competenze nel campo del networking e della consulenza sulla privacy offro un servizio di audit mirato dei sistemi ICT per verificare lo stato di messa a norma degli stessi, per maggiori informazioni potete contattarmi.
Commenti
Posta un commento