Cyber Security
Cyber security, Lazzini (Sogei): evoluzione del ruolo dei Cert
"Con Direttiva NIS da Response si passa a concetto più ampio di Readiness"
Roma, 25 lug. (askanews) - "Dopo la pubblicazione della 'Direttiva recante Indirizzi per la Protezione Cibernetica e la Sicurezza Informatica Nazionali', il Governo ha compiuto, lo scorso marzo, un altro importante atto di recepimento della Direttiva NIS attraverso la pubblicazione del 'Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica', a cura della Presidenza del Consiglio dei Ministri". È quanto si legge in un'analisi di Fabio Lazzini, responsabile Security Governance e Privacy di Sogei.
"In continuità con il precedente Piano Nazionale", prosegue l'articolo, "è stato recepito in maniera più ampia ed approfondita quanto richiesto dalla Direttiva, attraverso la ridefinizione e l'aggiornamento degli Indirizzi Operativi. In particolare, l'elemento cruciale è rappresentato proprio dalla necessità di creare una rete di CERT (Computer Emergency Response Team)/CSIRT (Computer Security Incident Response Team) tra gli operatori di servizi essenziali, tra i quali sono annoverati anche la PA e tutti gli altri soggetti che costituiscono l'architettura di protezione nazionale verso gli attacchi Cyber".
L'obiettivo, spiega l'esperto, "è assicurare un potenziamento strutturato ed omogeneo delle capacità di prevenzione e difesa nazionale. La Direttiva NIS e il Piano Nazionale sembrano ricalcare questa precisa volontà, richiamando l'attenzione su diversi elementi e strategie di attuazione, che ricadono pienamente tra i compiti di un CERT. Tra queste citiamo la capacità di analizzare le minacce e le vulnerabilità in maniera continuativa anche attraverso il ricorso a Partenariati Pubblici e Privati; la capacità di raccogliere, elaborare e disseminare le informazioni su minacce, attacchi e tecniche di difesa (cosiddetti cyber intelligence ed information sharing) o ancora il potenziamento delle strutture preposte alla vera e propria reazione in caso di incidente o crisi cibernetica".
La Direttiva, rimarca Lazzini, "battezza il CERT quale struttura di riferimento per la creazione di tali capacità, sulla scia di quanto sta già accadendo da qualche tempo, sia nel mondo pubblico, sia in quello privato. Il CERT infatti rappresenta il punto di contatto principale per la gestione degli incidenti critici e la prevenzione delle minacce nel cyber space, favorendo la cosiddetta Situational Awarness, ovvero la capacità di rappresentare compiutamente lo stato della minaccia cyber, sia a livello di singole Amministrazioni, sia a livello di settore. In particolare, la creazione di una rete di cooperazione e scambio informativo tra soggetti Pubblici, che sia fondato sulle logiche del CERT, consentirebbe di aumentare complessivamente la capacità dell'intera Pubblica Amministrazione di prevenire e gestire tempestivamente gli incidenti di sicurezza e i tentativi di compromissione".
I CERT, commenta il responsabile Security Governance e Privacy di Sogei, "sono ancora troppo focalizzati sulla protezione interna dell'organizzazione e non nascono con un vero e proprio spirito di cooperazione tra di essi, aspetto cruciale per attuare quanto previsto dal Piano Nazionale. Ad oggi, tra gli ostacoli più rilevanti per la creazione di CERT, possiamo citare la carenza cronica e in alcuni casi significativa dei budget destinati alla sicurezza informatica che, almeno sulla base dei vincoli della Direttiva, dovrebbe auspicabilmente migliorare in futuro; l'assenza di regole tecniche e standard omogenei per uniformare finalità e capacità richieste ai diversi CERT; l'insufficienza di esperienze e competenze specifiche in materia. Il superamento di tali elementi non può prescindere dalla più ampia consapevolezza e senso di urgenza associato al recepimento della Direttiva e, più nello specifico, degli indirizzi operativi contenuti nel Piano Nazionale, con l'obiettivo di contrastare e ridurre, almeno in parte, i rischi crescenti legati alla minaccia cibernetica".
Sebbene "in Italia", sottolinea ancora l'esperto, "la diffusione dei CERT proceda ancora lentamente, stiamo assistendo ad una trasformazione che ne ridefinisce le attività, passando da strutture pensate per reagire prevalentemente ad incidenti informatici, a strutture per la prevenzione e il supporto strategico per la cyber security. Questo cambiamento porta a mutare il significato della lettera 'R' contenuto nell'acronimo CERT/CSIRT: da puro 'Response' ad un concetto più ampio di 'Readiness'. Lo spirito con il quale anche la Direttiva NIS si riferisce allo sviluppo dei CERT, conferma questa tendenza generale da parte del settore".
Un CERT "ben progettato e nel pieno delle proprie funzioni", conclude Lazzini, "assume il ruolo di raccordo fondamentale tra il mondo operativo, tipicamente coinvolto nell'individuazione e risposta iniziale alle compromissioni, ad uno più strategico e di coordinamento, molto vicino alle funzioni di governance e di direzione aziendale a tutela delle organizzazioni nello spazio cibernetico".
(fonte: Cyber Affairs)
© Riproduzione Riservata