Perimetro cibernetico per la sicurezza nazionale. Intervista al Prof. Corrado Giustozzi

In merito al DPCM entrato in vigore il 5 novembre 2020 “Regolamento in materia di perimetro di sicurezza nazionale cibernetica”, la redazione di DIMT ha intervistato il Professor Corrado Giustozzi.

Il Professore Corrado Giustozzi è consulente strategico, docente e divulgatore di cybersecurity e sicurezza delle informazioni. Esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale – Presidenza del Consiglio dei Ministri, per lo sviluppo del Computer Emergency Response Team della Pubblica Amministrazione (CERT-PA, ora CERT-AGID). Membro per quattro mandati (2010-12, 2012-15, 2015-17, 2017-20) dell’Advisory Group dell’Agenzia dell’Unione Europea per la Cybersecurity (ENISA), e componente da tre mandati (2015-16, 2017-18 e 2019-20) del Consiglio Direttivo di Clusit.

Il DPCM che è entrato in vigore dal 5 novembre 2020 opererà come uno scudo difensivo per l’Italia contro attacchi informatici ad aziende e PA: “Regolamento in materia di perimetro di sicurezza nazionale cibernetica”. A Suo parere i criteri e i parametri che permetteranno ai ministeri di individuare quei soggetti che svolgono un’attività essenziale per lo Stato, sono degli strumenti efficienti? Potrebbe spiegarci in quale maniera opererà lo scudo previsto dal DPCM?

In realtà questo DPCM è solo un tassello, né il primo né l’ultimo, del complesso mosaico che va sotto il nome di “Perimetro di sicurezza nazionale cibernetica”. Questo è stato istituito più di un anno fa, con il decreto-legge 21 settembre 2019 n. 105, e prevede un percorso attuativo lungo e articolato di cui questo DPCM costituisce solo uno dei passi attuativi intermedi.

Vale la pena di ricordare che il cosiddetto Perimetro è una normativa esclusivamente italiana (ossia non derivata da norme comunitarie) che risulta di fatto complementare alla Direttiva NIS europea, già recepita dall’Italia nel 2018, in quanto indirizza la sicurezza di quegli operatori o fornitori che erogano servizi essenziali per lo Stato. I passi operativi per la messa in esercizio del Perimetro sono scaglionati in due fasi, che avrebbero dovuto originariamente scadere entro sei mesi ed entro un anno dall’entrata in vigore della legge, ma sono state ritardate per via dell’emergenza COVID-19. Nella prima fase attuativa devono essere definiti da parte delle Autorità competenti i criteri per l’identificazione dei servizi oggetto di protezione, e deve essere stilato l’elenco degli operatori da includere nel Perimetro; devono inoltre essere definiti i criteri secondo i quali questi ultimi dovranno provvedere al censimento ed alla mappatura dei propri servizi, nonché delle infrastrutture sottostanti, e le modalità con cui gli elenchi così compilati dovranno essere comunicati alle Autorità stesse. Nella seconda fase attuativa dovranno invece essere definite le procedure mediante le quali i soggetti identificati interagiranno con lo CSIRT Italia per la notifica degli incidenti, nonché le misure di sicurezza cui gli stessi soggetti dovranno ottemperare per garantire livelli elevati di protezione alle proprie infrastrutture. Entrambe queste fasi, secondo quanto stabilito dal decreto-legge istitutivo del Perimetro, devono essere regolate nei dettagli operativi da ben quattro appositi DPCM di specifica emanazione.

Il DPCM entrato in vigore il 5 novembre è semplicemente il primo dei passi attuativi del Perimetro, e in sé non costituisce nulla di nuovo o inatteso in quanto la sua emanazione era espressamente prevista dalla norma principale entrata in vigore oltre un anno fa. Esso stabilisce i criteri secondo i quali le apposite Autorità competenti (Ministero dello sviluppo economico per i soggetti privati, Presidenza del Consiglio per i soggetti pubblici) dovranno provvedere ad identificare i soggetti da includere nel Perimetro, e le modalità con cui questi dovranno assolvere alla prima parte dei compiti loro assegnati: ossia, in particolare, censire le proprie infrastrutture di servizio e notificarle alle Autorità stesse. Istituisce poi le strutture di supporto alla gestione dei processi e dei flussi di operatività a regime, comprese le modalità con cui gli operatori individuati dovranno relazionarsi con lo CSIRT per segnalare eventuali incidenti significativi.

La cosa importante da sottolineare è che con l’approvazione di questo DPCM, anche se avvenuta in ritardo rispetto ai tempi originariamente previsti, il complesso disegno del Perimetro prosegue il suo iter realizzativo secondo i programmi prefissati, nonostante gli inevitabili intoppi causati dall’emergenza COVID. Ora la palla, per così dire, sta alle Autorità le quali dovranno identificare i soggetti interessati, ai quali arriverà apposita notifica sotto obbligo di riservatezza così come avviene per gli operatori soggetti alla Direttiva NIS. Coi prossimi DPCM verranno ulteriormente delineati gli altri aspetti operativi connessi all’attuazione del Perimetro tra cui, di massima importanza, le misure di sicurezza che gli operatori dovranno adottare, le quali costituiscono il vero “scudo”.

Questo “scudo” opererà esattamente sulla falsariga di quanto previsto dalla Direttiva NIS, che come noto si rivolge a quegli operatori che forniscono servizi essenziali per la società: ossia imponendo ai soggetti inclusi nel Perimetro di innalzare la propria capacità di difesa mediante l’adozione di specifiche misure di sicurezza, ed imponendo loro l’obbligo di autovigilarsi e di notificare alle Autorità competenti, per il tramite dello CSIRT, ogni incidente rilevante in cui dovessero occorrere. Inutile dire che la definizione della “rilevanza” di un incidente è una delle indicazioni che le Autorità stesse sono tenute a fornire agli operatori, a seconda del settore di appartenenza.

Quali sono i rischi e le conseguenze di un attacco operato ai danni di questi soggetti identificati dal DPCM?

Al contrario della Direttiva NIS, che indirizza quei servizi vitali per la società (acqua, luce, trasporti, …) il cosiddetto Perimetro indirizza quei servizi e prodotti ICT rilevanti per la sicurezza dello Stato. Saranno quindi compresi nel Perimetro tutti quei soggetti che, pur magari non svolgendo compiti essenziali per la società e quindi non ricompresi nel novero degli Operatori di Servizi Essenziali ai sensi della Direttiva NIS, svolgono tuttavia attività o forniscono prodotti di natura critica per il buon funzionamento della Repubblica. Lo scopo del Perimetro è proprio questo: estendere agli operatori critici per lo Stato gli stessi obblighi di sicurezza già imposti agli operatori critici per la società, nella considerazione che un attacco condotto con successo contro tali soggetti può compromettere il funzionamento di settori critici dello Stato ed avere quindi enormi ripercussioni sulla sicurezza nazionale.

Questi obblighi consistono innanzitutto nell’adozione di buone pratiche per l’innalzamento della sicurezza dei propri processi e delle proprie infrastrutture, che discendano da un approccio basato sull’analisi del rischio; e dall’adozione di una serie di misure addizionali, di natura sia organizzativa che tecnica, le quali verranno fornite dalle Autorità competenti. Lo scopo finale è quello di minimizzare la superficie di attacco esposta dagli operatori, incrementare le loro difese preventive sia attive che passive, aumentare la loro capacità di rilevare di anomalie e eventi sospetti, rafforzare la loro capacità di reazione agli incidenti e agli attacchi. Sul fronte dei prodotti invece verranno messe in campo specifiche procedure tecniche per la certificazione della loro sicurezza informatica, e una rete di laboratori autorizzati ed accreditati per svolgere le misure ed erogare le relative certificazioni; ciò allo scopo di assicurarsi che prodotti e servizi ICT adottati in ambiti vitali per lo Stato non soffrano di difetti e vulnerabilità, tanto accidentali quanto intenzionali, che possano minare la loro sicurezza e compromettere quindi quella dello Stato stesso.