Per consultare l'edizione 2020 dei Cantieri PA vai a https://www.forumpa.it/cantieri-pa/

Foto di reynermedia rilasciata sotto licenza cc - https://www.flickr.com/photos/89228431@N06/11334584353

Cert, struttura e processi: il Cantiere Sicurezza prepara le linee guida

di Eleonora Bove e Andrea Baldassarre

Realizzare delle Linee Guida sui CERT – Computer Emergency Response Team, con indicazioni chiare e molto operative su struttura, gerarchia e processi. Questa è la missione che si è dato il cantiere Sicurezza digitale al suo terzo incontro a Roma il 27 giugno.

I partecipanti al tavolo, tra cui alcuni dei più importanti responsabili delle infrastrutture pubbliche italiane, hanno concordato nel definire una modalità di lavoro collaborativo per la stesura di un documento condiviso, che possa essere da guida per le amministrazioni pubbliche italiane.

Un importante impegno questo, che nasce dalle forti criticità sollevate durante i primi incontri del tavolo nel definire struttura e compiti del CERT, oltre che nell’avviare un sistema di gestione della sicurezza delle informazioni pronto a rispondere alle minacce. I recenti fatti di cronaca ci mostrano che non siamo ancora in grado di adottare le misure idonee a fronteggiare tempestivamente gli attacchi.

A questo si aggiunge che attualmente a livello internazionale non esistono metodologie o sistemi di regole per definire le modalità di collegamento tra CERT e/o modelli ferrei di gerarchie tra questi, cosa fondamentale per una corretta risposta di difesa. Siamo quindi, anche in uno scenario geopolitico più ampio, ad un livello di maturità di cooperazione tra CERT estremamente basso e basato su una logica di best effort.

Da questo punto di vista un’ attività di information sharing, come è emerso più volte nel corso del “dibattito di Cantiere”, può quindi rappresentare un ottimo catalizzatore per l’avvio di un sistema di collaborazione tra CERT.

Non siamo però disfattisti, in Italia esistono buone pratiche che seppur al di fuori del mondo della PA, possono essere dei modelli per le amministrazioni.

È il caso ad esempio del CERT-Fin, il CERT Finanziario italiano, nato da un’iniziativa cooperativa pubblico-privata promossa da ABI e Banca d’Italia (in qualità di regolatore di settore, seppur privo di ruoli di gestione nell’ambito della nuova struttura), con l’obiettivo di innalzare la capacità di gestione dei rischi cyber degli operatori bancari e finanziari e la cyber resilience del sistema finanziario italiano.

Obiettivo: Linee Guida CERT e Infosharing

Preso il modello sopra citato e quanto si può apprendere dalle esperienze dei membri del Tavolo, si avanza una prima struttura del documento a cui si intende lavorare, per presentarlo entro la fine del 2017:

Sezione 1 – CERT

  • definizione e contestualizzazione in ambito PA, differenze tra CERT dicasteriali, CERT territoriali e CERT locali
  • piattaforme di base per la costruzione di un CERT
  • principi di base sull’autonomia, l’isolamento e la resilienza dell’infrastruttura a supporto del CERT

Sezione 2 – Information sharing

  • engagement delle sharing partner
  • tassonomie aggiornate di minacce, incidenti e rischi
  • regole
  • piattaforme

Sezione 3 – Roadmap di implementazione

 

Il quadro regolatorio in cui ci muoviamo

Il Piano Triennale per l’Informatica nella Pubblica Amministrazione dedica uno specifico capitolo al tema della sicurezza informatica, annoverando tra le linee d’azione la creazione da parte del CERT-PA del Cyber Security Knowledge Base e del National Vulnerability Database, nonché l’emanazione entro settembre 2017 delle Regole tecniche per la sicurezza ICT delle Pubbliche amministrazioni. Dall’altro canto il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica, pubblicato in GU lo scorso 31 maggio, mantiene invece un impianto sostanzialmente invariato rispetto alla sua precedente versione, introducendo tuttavia alcuni elementi di novità relativi all’indirizzo operativo n. 5 “Operatività delle strutture nazionali di incident prevention, response e remediation”, riconsiderando il sistema dei CERT pubblici sulla base:

  • della progressiva unificazione di CERT Nazionale e CERT PA in un’unica struttura;
  • della creazione di una rete nazionale di CERT che risponda ad un soggetto con specifici poteri di coordinamento.

La governance della sicurezza sta prendendo forma ora, i tempi sono veloci quanto le minacce che arrivano dall’esterno, e non è solo un affare italiano. È quindi importante l’impegno che il tavolo promosso da FPA si è assunto. E’ advocacy, ma è anche altro, perché pur continuando a rivolgere il proprio lavoro al referente politico di riferimento, agisce prima di tutto per migliorare il sistema, facilitare i processi e la comunicazione tra le amministrazioni attraverso un modello condiviso e collaborativo.

 

 

Foto di reynermedia rilasciata sotto licenza cc – https://www.flickr.com/photos/89228431@N06/11334584353