Nelle puntate precedenti abbiamo individuato i soggetti destinatari della Direttiva: la normativa europea identifica direttamente le medie e grandi imprese dei settori critici individuati dagli allegati I e II della Direttiva NIS 2.
A supporto delle imprese che necessitano di avviare le procedure di adeguamento normativo, abbiamo redatto una comoda checklist per comprendere quali attività pianificare nei prossimi mesi al fine di rispettare le scadenze e le disposizioni in materia di cybersicurezza.
A partire dal post precedente (Direttiva NIS 2: indicazioni operative – Parte I) è stata avviata l’analisi di cosa devono fare i soggetti destinatari delle disposizioni normative per adempiere agli obblighi di legge. Continuiamo questo percorso.
Il punto di partenza è sempre l’articolo 21:
- Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:
a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
b) gestione degli incidenti;
c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Riprendiamo l’excursus dal punto e).
Sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi
La Direttiva NIS 2, consapevole della stretta correlazione tra i differenti sistemi economici, finanziari ed informatici di aziende ed Enti che compongono il tessuto produttivo e burocratico del Paese, pone a carico dei soggetti interessati anche la gestione della sicurezza digitale nei confronti dei propri i fornitori, siano essi diretti o indiretti.
La normativa rende necessario considerare il rischio guardando l’intera catena di approvvigionamento e, pertanto, induce a considerare la gestione della cybersicurezza a partire dagli accordi contrattuali con i propri fornitori di servizi; a titolo di esempio, le Amministrazioni e le imprese sono responsabili della gestione della sicurezza anche se affida a terzi i servizi di elaborazione e conservazione dei propri dati.
Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
Il paradigma “Security by design”, ricorrente nelle indicazioni internazionali, comunitarie ed assorbito nei Piani triennali per l’Informatica nazionali, si rinnova nel requisito espresso dalla NIS 2 relativo all’implementazione di misure di sicurezza nell’acquisizione, nello sviluppo e nella manutenzione dei sistemi informatici e di rete.
Nuovamente di supporto sono le “Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni” – adottate con Determinazione n. 115 del 9 maggio 2019 in attuazione dagli articoli 68 “Analisi comparativa delle soluzioni” e 69 “Riuso delle soluzioni e standard aperti” del Codice dell’amministrazione digitale – da utilizzarsi come riferimento per le pratiche di cui trattasi.
In aggiunta, la normativa induce l’implementazione di un processo di divulgazione coordinata delle vulnerabilità (più conosciuto tra gli addetti ai lavori attraverso l’acronimo inglese CVD) ben definito da una norma internazionale, la ISO/IEC 29147. La definizione della CVD in un contesto di politiche pubbliche è presente nel glossario della recente strategia nazionale di cybersicurezza 2022-2026 pubblicata dall’ACN:
“Processo strutturato da uno Stato, attraverso il quale le vulnerabilità informatiche non note, rilevate da ricercatori/ethical hacker, sono segnalate alle organizzazioni in modo tale da consentire a queste ultime di diagnosticarle ed eliminarle. La divulgazione coordinata delle vulnerabilità comprende anche il coordinamento tra il soggetto segnalante e l’organizzazione, relativamente ai tempi per la risoluzione e la pubblicazione delle vulnerabilità”.
L’argomento, sempre a livello europeo, è richiamato esplicitamente anche dalla Direttiva NIS 2 che ha introdotto l’importanza a livello europeo di stabilire politiche di CVD e processi di gestione/divulgazione delle vulnerabilità. L’Unione Europea invita così gli Stati membri ad adottare misure per facilitare la divulgazione coordinata delle vulnerabilità stabilendo una politica nazionale pertinente.
In questo contesto, si manifesta l’annuncio nella strategia italiana di cybersicurezza della misura volta a definire una politica nazionale sulla divulgazione coordinata di vulnerabilità che si trova all’interno del primo obiettivo (Protezione) “definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente”. Il processo, descritto nel documento strategico, ha origine nel 2018 tramite un importante lavoro portato avanti dal Team per la Trasformazione Digitale presso la Presidenza del Consiglio dei Ministri che ha avviato la redazione di politiche e procedure in materia di divulgazione delle vulnerabilità finalizzate a coprire sia il settore privato che quello pubblico.
Nelle more l’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE o OECD in inglese), il cui Gruppo di Lavoro sulla Sicurezza nell’Economia Digitale (SDE) ha in carico la stesura di una raccomandazione del Consiglio dell’OCSE sul trattamento delle vulnerabilità della sicurezza digitale, le Pubbliche Amministrazioni e le imprese sono dunque tenute, ai sensi della normativa, ad istituire processi di costante consultazione dei bollettini di vulnerabilità ed attuare procedure di remediation per l’applicazione di aggiornamenti o patch.
Citiamo infine il Codice di condotta sullo sviluppo e produzione di software gestionale, promosso dall’associazione AssoSoftware. Previa approvazione dal Garante per la protezione dei dati personali il codice è stato pubblicato sulla Gazzetta Ufficiale del 27 novembre 2024 ed è già in vigore.
Elaborato in conformità agli articoli 40 e 41 del Regolamento UE 679/2016 (GDPR), è riferito alle attività di trattamento di dati personali poste in essere dai produttori del software è applicabile esclusivamente al territorio italiano (anche se la software house può avvalersi – nell’ambito degli accordi con il cliente – di infrastrutture e sub-responsabili in UE e extra-UE).
L’obiettivo principale del Codice è fornire un sistema unificato di regole e misure tecniche per garantire la privacy by design e by default in ogni fase del ciclo di vita del software, dalla progettazione fino all’assistenza post-vendita.
Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza
In relazione a strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza, sono da includere anche le attività di monitoraggio, controllo e verifica delle procedure di protezione, anche tramite servizi esterni di consulenza (ad esempio Auditing di terze parti, Penetration test). Il tutto sempre con la finalità di implementare un processo di gestione della sicurezza informatica efficace ed efficiente.
In termini pratici, le pubbliche amministrazioni e le imprese devono condurre regolarmente un Assessment di sicurezza inteso quale strumento finalizzato a valutare specificamente i controlli di sicurezza implementati dall’organizzazione, analizzando la loro efficacia nel mitigare i rischi di sicurezza delle informazioni. L’assessment può includere una valutazione più dettagliata delle vulnerabilità, delle minacce e delle misure di protezione implementate.
Un esempio concreto è rappresentato dall’assessment di sicurezza definito dallo standard ISO 27001: esso si compone di un’attività di analisi dettagliata dei controlli di sicurezza implementati da un’organizzazione in base agli standard definiti nella norma ISO 27001. Questa attività coinvolge l’esame dei processi, delle politiche e dei controlli di sicurezza per valutare la conformità agli standard e l’efficacia nel mitigare in ambito information security. Le modalità di conduzione dell’assessment prevedono anche la programmazione di interviste per rispondere ai requisiti raccolti all’interno di una checklist.
Inoltre, ad uno con il precedente, citiamo le procedure di Audit di sicurezza. L’audit di sicurezza ha come obiettivo principale valutare l’efficacia complessiva del sistema di gestione della sicurezza delle informazioni di un’organizzazione rispetto agli standard e alle politiche stabilite, identificando eventuali non conformità e aree di miglioramento. Richiede la presentazione di documentazione a supporto delle dichiarazioni fatte in sede di intervista e, a differenza della fase di assessment, è maggiormente concentrato sugli aspetti di valutazione dell’efficacia delle misure previste. Il riferimento è sempre lo standard ISO 27001: in tale contesto, le modalità di conduzione prevedono la programmazione di interviste da remoto o on-site per valutare ed esaminare la conformità agli standard, la conformità alle politiche e ai processi interni, e valutano l’efficacia dei controlli di sicurezza implementati.
Le pratiche di Cyber-Hygiene
La normativa europea sottolinea l’importanza di dotare la propria organizzazione di politiche di igiene informatica ed attuarle in maniera proattiva per rafforzare la cyber-sicurezza dei propri sistemi. Diventa quindi fondamentale per le Pubbliche Amministrazioni e le Aziende curare la propria “postura” in termini di rischi cibernetici: si fa riferimento, quindi, al lungo elenco di procedure operative legate alla protezione dei sistemi quali aggiornamenti, cambio password, segmentazione delle reti, sistemi di protezione dalle minacce informatiche, phishing.
Prima fra tutti è doveroso citare la formazione del proprio personale dipendente: la condivisione delle informazioni e la consapevolezza dei rischi figurano sempre tra le attività necessarie per la corretta gestione dei pericoli cibernetici.
Ad integrazione, segue, a mero titolo esemplificativo, un elenco di buone pratiche operative che inducono una valida “postura” in materia di sicurezza informatica:
- Utilizzo di strumenti di analisi del traffico di rete e prevenzione delle intrusioni, monitoraggio degli eventi di livello alto o critico
- Controlli e analisi dei registri degli eventi dei sistemi operativi, inclusa la verifica delle anomalie di funzionamento
- Controlli remoti tramite strumenti dedicati alla centralizzazione e monitoraggio degli eventi di sicurezza delle infrastrutture IT, inclusa la gestione in tempo reale delle anomalie di sicurezza riscontrate
- Monitoraggio delle applicazioni anomale installate sui dispositivi per la prevenzione da minacce come phishing o malwares
- Applicazione delle patch di sicurezza per tutti i sistemi operativi per la chiusura delle scoperture di sicurezza o l’implementazione di nuove funzionalità
- Installazione degli aggiornamenti dei firmware per dispositivi ed apparati
- Disabilitazione di protocolli di rete non sicuri su sistemi server, firewall, postazioni client
- Verifica e implementazione dei controlli di scadenza delle password e dei requisiti di complessità
- Gestione e monitoraggio dei backup aziendali e della loro corretta funzionalità in caso di ripristino
- Analisi delle periferiche compromesse, controllo e rimozione delle componenti infette
La crittografia, il fattore umano, l’autenticazione a due fattori
La strategia europea di cybersicurezza fornisce chiare indicazioni sui principali strumenti da utilizzare per garantire la sicurezza informatica di sistemi e reti: l’applicazione di politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura, è certamente tra questi.
L’intercettazione delle comunicazioni tra elementi dell’infrastruttura IT rappresenta una minaccia attualmente in crescita esponenziale; l’uso della codifica delle comunicazioni, durante lo svolgimento di qualsiasi mansione, è dunque da applicare per preservare la riservatezza dei dati.
Citiamo, fra tutte, le criticità legate della memorizzazione di dati su Personal Computer dei dipendenti: se un utente malevolo avesse modo di interagire con il PC dell’impiegato, avrebbe anche la possibilità di esfiltrare dati abbastanza agevolmente, dal momento che questi ultimi sono memorizzati in chiaro. Troppo spesso, infatti, i dati memorizzati sulla memoria di massa non sono codificati e non sempre gli uffici sono accessibili al solo personale autorizzato.
Stesso problema può manifestarsi a seguito di una normale richiesta di assistenza tecnica: nel momento in cui si consegna la postazione per effettuare un intervento di ripristino si perde totalmente il controllo dei dati digitali in essa memorizzati, che potrebbero essere indisturbatamente visionati e trafugati.
Per quanto concerne gli allegati delle email il problema è il medesimo: se l’utente malevolo si trova nella stessa rete del PC mittente è possibile, sfruttando la tecnica del “man-in-the-middle”, riuscire ad intercettare la comunicazione. Nel caso peggiore è possibile perfino modificare il contenuto del messaggio, e dei relativi allegati, da recapitare al destinatario.
Non meno importante è la memorizzazione dei dati su supporti rimovibili: per qualsivoglia motivo un dipendente potrebbe effettuare una copia del proprio lavoro su Pen-Drive. Anche questi dispositivi memorizzano, solitamente, i dati in chiaro. Pertanto, in caso di smarrimento, chiunque ritrovi il supporto di memorizzazione, ha modo di leggere e condividere dati probabilmente riservati.
Ultimo ma non meno importante è l’utilizzo del Cloud. Molti provider offrono enormi quantità di spazio nel quale poter memorizzare i propri dati, in maniera del tutto gratuita. Giova, però, notare che alcuni di essi non garantiscono né il pieno anonimato né la piena riservatezza di tali dati.
La soluzione richiesta dalle disposizioni della NIS 2 per ovviare agli scenari sopra descritti è pertanto l’uso di meccanismi di crittografia.
Alcuni suggerimenti utili individuano l’abilitazione della funzionalità Bitlocker, presente su ogni PC dotato di sistema operativo Microsoft Windows 7 o superiore: la funzionalità di crittografia dei dai su disco rigido implementata riduce drasticamente la possibilità di esfiltrazione fisica dei dati. In aggiunta, è opportuno applicare la stessa procedura su dispositivi removibili, al fine di diminuire in maniera consistente la probabilità di lettura in caso di perdita.
In tale ambito, valida alternativa alla soluzione proprietaria Microsoft, citiamo l’open source Veracrypt.
Per quanto riguarda l’utilizzo del cloud è suggerito caricare nello storage virtuale solo documenti pubblici o non importanti. In caso contrario, l’ideale sarebbe produrre archivi protetti mediante cifratura o utilizzare soluzioni software di codifica dei dati quali BoxCryptor o strumenti similari.
In relazione all’utilizzo delle email, valgono le stesse linee guida esposte per l’utilizzo dei servizi cloud: utilizzare archivi protetti da password o link a documenti cloud, ma con gli accorgimenti precedentemente descritti.
Completiamo l’excursus in ambito cifratura, citando lo strumento largamente diffuso per l’archiviazione sicura delle password: il sistema open-source PassBolt. Troppo spesso, infatti, le credenziali di accesso a sistemi e strumenti informatici sono custoditi con scarsa attenzione su postazioni e dispositivi non adeguatamente protetti. Attraverso l’applicativo PassBolt è possibile centralizzare in maniera sicura la memorizzazione delle password personali e dell’organizzazione: utilizzando il protocollo OpenPGP per crittografare i dati immagazzinati, il sistema le rende irrecuperabili in chiaro dagli utenti non in possesso delle credenziali corrette e fornisce un ulteriore strumento di difesa verso l’esfiltrazione delle password di accesso ai sistemi.
Infine, citiamo senza ulteriori approfondimenti, l’attenzione alla sicurezza delle risorse umane, alle strategie di controllo degli accessi nonché all’uso di soluzioni di autenticazione a più fattori che concludono il perimetro delle misure minimali previste dalla Direttiva.
Pronto per partire ?
La tua organizzazione è pronta ? Continua a seguirci perché nei prossimi articoli continueremo ad approfondire l’argomento ed entreremo nel dettaglio di ciascuna procedura !