Un anno fa il centro di ricerca di cyber intelligence e information security della Sapienza (CIS) ha puntato il dito verso l’inadeguatezza delle misure in essere nella Pubblica Amministrazione Italiana con il Cyber Security Report 2014 . A supporto della tesi una valanga di dati raccolti nel corso di un intero anno di indagini fatte in collaborazione con AgID. Quest’anno, il CIS con il Laboratorio Nazionale di Cyber Security del CINI hanno deciso di spostare l’attenzione dalla denuncia alla proposta allargando nel contempo lo scenario di riferimento, dalla pubblica amministrazione all’economia di un paese avanzato di cui la pubblica amministrazione è un settore regolato strategico. Il cyber security report 2015 presenterà quindi un Framework Nazionale per la Cyber security. L’esercizio durato oltre sei mesi ha avuto il supporto della Presidenza del Consiglio dei Ministri e ha visto la partecipazione di un gruppo di aziende come AON, Deloitte, ENEL, ENI, Hermes Bay, KPMG, Intellium, di un gruppo di attori istituzionali come MISE, Garante Privacy e AgID, il testo è stato poi allargato ad altri attori privati come PWC e Microsoft ed ora è stato aperto al contributo di tutti gli operatori ed ai cittadini che possono contribuire ad emendare il testo del Framework Nazionale all’interno di una consultazione pubblica che terminerà il prossimo 10 Gennaio. Alla fine del processo si vuole ottenere un documento altamente condiviso tra pubblico e privato poiché il pericolo cyber è trasversale. In questo momento abbiamo raggiunto quasi 800 utenti registrati che hanno scaricato il framework ed abbiamo già ricevuto oltre 100 emendamenti.

Il framework nazionale è allineato con il framework pubblicato nel 2014 negli USA dal NIST a seguito di un executive order del Presidente Obama per aumentare la resilienza delle infrastrutture critiche statunitensi. Il documento propone un arricchimento del framework statunitense e una metodologia per poter contestualizzare il framework all’interno di un generico settore produttivo o regolato (come la PA), non necessariamente infrastruttura critica. L’adozione di una contestualizzazione del framework è volontaria e permette all’organizzazione di aumentare la propria resilienza verso attacchi informatici e di proteggere le proprie proprietà intellettuali. Quindi il framework rappresenta di fatto la più grande operazione di consapevolezza sulla minaccia cyber fatta sino ad ora in Italia verso il settore pubblico e privato ed in particolare verso le alte sfere dirigenziali di queste organizzazioni, con il chiaro obiettivo di fare uscire il rischio cyber dai dipartimenti di IT di una organizzazione e di farlo sbarcare dentro i consigli di amministrazione. Per questo anche il linguaggio usato è volutamente non tecnico, ben lontano da quello usato dagli standard ISO 27001 o NIST 800-54 rev. 4 in termini tecnologici, ma a questi si riferisce nel momento in cui il documento passa dalla mano dei dirigenti a quella dei tecnici che devono implementare le varie pratiche di sicurezza.

percentuale
figura: percentuale di registrazioni alla consultazione pubblica per settore

Nel documento viene presentata come esempio una specifica contestualizzazione del framework per le Piccole Medie Imprese Italiane. Queste infatti faticano più di altre organizzazioni a valutare accuratamente il rischio che corrono non proteggendo i propri asset strategici (dati, documenti, progetti, servizi, prodotti, ecc.). La contestualizzazione fornisce i controlli di sicurezza che devono essere indirizzati ad alta priorità dalle PMI ed una guida per implementarli. ll Framework italiano non si rivolge tuttavia solo alla PMI ma propone raccomandazioni e suggerimenti su come possono utilizzare il framework attori come pubblica amministrazione, settore bancario, grandi imprese e infrastrutture critiche.

I regolatori di settore o associazioni di categoria ad esempio possono creare delle contestualizzazioni per le aziende del proprio settore. Le imprese parte di quei settori selezionano una delle contestualizzazioni disponibili e procedono con l’implementazione. A partire dalla contestualizzazione ognuno può definire il proprio profilo, cioè può vedere quante (e come) implementa già le pratiche incluse nella contestualizzazione scelta. Si ha così una fotografia della propria “postura” cyber, un AS-IS dal quale definire il priorio profilo target: dove si vuole arrivare, il TO-BE. I livelli di priorità ed i livelli di maturità presenti in di ogni controllo di sicurezza aiutano a definire una roadmap per per passare dal current profile al target profile. Non potendo comunque ridurre a zero il rischio cyber, nel documento viene descritto come una organizzazione può assicurare il rischio residuo creando un circolo virtuoso con istituti assicurativi che può portare ad un percorso economicamente sostenibile di rafforzamento delle difese cyber di una organizzazione in un periodo definito.

La pubblica amministrazione può avvantaggiarsi del framework in diversi aspetti. Ad esempio molti sono i regolatori del settore pubblico che normano la dimensione cyber: AGID, PCM, Garante Privacy, MISE ecc. Il framework definisce un terreno di gioco comune ed omogeneo diviso in 98 sottocategorie dove operare in modo coerente. Inoltre un regolatore, segnatamente AGID, può declinare il Framework fornendo alle PA contestualizzazioni che rispecchino le norme in vigore, il CAD, le regole tecniche, ecc. contrassegnando le pratiche obbligatorie e che tengano conto anche del tipo di PA: PA centrale, PA locale, comuni, ASL ecc nella definizione delle priorità e dei livelli di maturità.

Infine tra i vari vantaggi che un framework può portare al settore pubblico e a quello privato è l’incremento della sicurezza della catena di approvvigionamento (supply chain) di prodotti e servizi. Queste organizzazioni potrebbero richiedere ai propri fornitori, di avere un particolare profilo minimo: una serie di pratiche di sicurezza necessarie per trattare dati particolarmente critici oppure per poter interagire con i sistemi della organizzazione e così via.

Lo sforzo del CIS e del Laboratorio Nazionale Cyber è stato importante e l’obiettivo è molto ambizioso. La cyber security è uno di quei settori dove non esiste differenza tra pubblico e privato e dove tutti gli attori devono cooperare per il bene del sistema paese e delle singole organizzazioni. Nessuno può affrontare il problema in isolamento. Per cooperare in modo efficace abbiamo bisogno in questo delicato settore di un quadro di riferimento comune e di una lingua comune dove ad esempio trasferire in modo veloce riconosciute best practices da un settore all’altro in modo veloce o prendere il meglio da pratiche da diversi settori. Il Framework Nazionale rappresenta proprio questa lingua comune!

Il Framework verrà presentato ufficialmente il 4 Febbraio 2016 in Aula Magna dell’Università degli studi di Roma La Sapienza.