A cura di Domenico Picciano, Head of Public Sector e Stephanie Canè, Senior Security Advisor
L’ Agenzia per la Cybersicurezza Nazionale ha definito 5 fondamentali step per garantire che la digitalizzazione dei sistemi pubblici avvenga in sicurezza:
- Assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo;
- Autonomia strategica nazionale ed europea nel settore del digitale;
- Anticipare l’evoluzione della minaccia cyber;
- Gestione di crisi cibernetiche;
- Contrastare la disinformazione online nel più ampio contesto della cosiddetta minaccia ibrida.
La transizione digitale del Paese e la connessa evoluzione tecnologica comportano nuovi rischi per la sicurezza informatica. Per questo motivo, le attività di vulnerability assessment sono tra quelle primarie per supportare efficacemente il piano di implementazione della Strategia dell’Agenzia per la Cybersicurezza Nazionale e gli obiettivi PNRR. Tra le sfide dell’Agenzia per la Cybersicurezza Nazionale, infatti, c’è la prevenzione e la mitigazione di eventuali attività cyber offensive: non bisogna dimenticare che adottare le best practice di security, assumere professionisti esperti, utilizzare tecnologie all’avanguardia, può proteggerci dagli attacchi di oggi, ma non da quelli di domani. Ogni momento che passa le nostre contromisure diventano sempre più obsolete, non importa quanto oggi siano in linea con gli standard nazionali ed europei.
Per questo verificare regolarmente l’efficacia delle misure di sicurezza in essere è un aspetto fondamentale della prevenzione, che non dovrebbe mai essere tralasciato. Proprio grazie alle attività di security assessment è possibile comprendere lo stato di sicurezza dei sistemi, mediante un insieme di test volti a verificare la presenza di vulnerabilità sugli stessi e ad identificare le opportune azioni di mitigazione da mettere in campo per prevenire un attacco informatico. Le attività di security assessment fanno parte di un approccio olistico che affonda le sue radici nel risk management, che misura secondo standard e policy in costante aggiornamento i rischi di sicurezza e determina quali contromisure è necessario utilizzare per mitigarli.
La definizione e il costante aggiornamento di linee guida, schemi di certificazione e policy settoriali rivolte ai soggetti pubblici e agli operatori privati sono inoltre pilastri dell’obiettivo “Protezione” degli asset del Paese individuato dal PNRR, insieme all’attività di monitoraggio continuo del quadro della minaccia cibernetica. Per questa finalità sono state previste collaborazioni e scambi informativi pubblico-privato e pubblico-pubblico, nonché un processo di divulgazione coordinata di vulnerabilità secondo quanto richiesto dalla comunità internazionale.
Come verrà condotto il vulnerability assessment nella pubblica amministrazione e quali sono i suoi passi fondamentali?
Il vulnerability assessment è una specifica tipologia di security assessment il quale, unendo analisi manuali con analisi ottenute mediante strumenti automatici, ha l’obiettivo di rilevare le possibili vulnerabilità presenti all’interno del perimetro d’analisi definito. Questo approccio misto consente una notevole riduzione dei falsi positivi. L’attività di Vulnerability Assessment, a supporto dell’ obiettivo “Risposta” del PNRR, potrà essere di indirizzo nella costruzione e aggiornamento delle procedure operative relative alle contromisure connesse ai vari scenari della minaccia cyber e nella conseguente corretta implementazione da parte dei soggetti interessati del piano di interventi contenenti le remediation atte a prevenire lo sfruttamento della vulnerabilità rilevata.
Le informazioni sui risultati dell’assessment saranno integrate nell’Information Sharing and Analysis Center (ISAC) presso l’Agenzia per popolare l’indicatore di cyber resilience del Paese e supportare la definizione delle best-practice di settore, linee guida e avvisi di sicurezza.
I passi fondamentali per l’esecuzione di un vulnerability assessment possono essere suddivisi in 3 fasi.
- Fase di Definizione del perimetro d’analisi - Identificazione dei target da sottoporre ad assessment
- Fase di Esecuzione - Esecuzione delle attività secondo un approccio sia di tipo black box (senza ausilio di credenziali) che di tipo grey box (con ausilio di credenziali) tra cui l’identificazione dei servizi e delle funzionalità attive e la verifica delle configurazioni al fine di individuare eventuali anomalie sui target del perimetro d’analisi- Eliminazione falsi positivi (soprattutto in presenza di attività eseguite con l’ausilio di strumenti automatici)
- Fase di Prioritizzazione delle vulnerabilità e Condivisione dei risultati - Prioritizzazione delle vulnerabilità riscontrate mediante l’assegnazione per ciascuna di esse di un livello di criticità (low / medium / high / critical) - Redazione della reportistica sia di sintesi (executive summary) che di dettaglio (technical report) contenente i risultati dell’assessment
Il consolidamento dei processi di Security Assessment nella PA supporterà ad esempio la situational awareness, la capacità di attribuzione e deterrenza, la digitalizzazione in sicurezza e concorrerà a pieno titolo al raggiungimento dei tre obiettivi strategici di Cybersicurezza (protezione, risposta e sviluppo) non solo della PA, ma dell’intero Sistema Paese.