Cyber security, Lazzini (Sogei): evoluzione del ruolo dei Cert


Fonte: ASKANEWS - 25 luglio 2017


 
 

"Dopo la pubblicazione della 'Direttiva recante Indirizzi per la Protezione Cibernetica e la Sicurezza Informatica Nazionali', il Governo ha compiuto, lo scorso marzo, un altro importante atto di recepimento della Direttiva NIS attraverso la pubblicazione del 'Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica', a cura della Presidenza del Consiglio dei Ministri". ╚ quanto si legge in un'analisi di Fabio Lazzini, responsabile Security Governance e Privacy di Sogei.

"In continuitÓ con il precedente Piano Nazionale", prosegue l'articolo, "Ŕ statorecepito in maniera pi¨ ampia ed approfondita quanto richiesto dalla Direttiva,attraverso la ridefinizione e l'aggiornamento degli Indirizzi Operativi. In particolare, l'elemento cruciale Ŕ rappresentato proprio dalla necessitÓ dicreare una rete di CERT (Computer Emergency Response Team)/CSIRT(Computer Security Incident Response Team) tra gli operatori di serviziessenziali, tra i quali sono annoverati anche la PA e tutti gli altri soggetti checostituiscono l'architettura di protezione nazionale verso gli attacchi Cyber".

L'obiettivo, spiega l'esperto, "Ŕ assicurare un potenziamento strutturato edomogeneo delle capacitÓ di prevenzione e difesa nazionale. La Direttiva NIS e ilPiano Nazionale sembrano ricalcare questa precisa volontÓ, richiamandol'attenzione su diversi elementi e strategie di attuazione, che ricadonopienamente tra i compiti di un CERT. Tra queste citiamo la capacitÓ dianalizzare le minacce e le vulnerabilitÓ in maniera continuativa ancheattraverso il ricorso a Partenariati Pubblici e Privati; la capacitÓ di raccogliere,elaborare e disseminare le informazioni su minacce, attacchi e tecniche didifesa (cosiddetti cyber intelligence ed information sharing) o ancora ilpotenziamento delle strutture preposte alla vera e propria reazione in caso diincidente o crisi cibernetica".

La Direttiva, rimarca Lazzini, "battezza il CERT quale struttura di riferimento perla creazione di tali capacitÓ, sulla scia di quanto sta giÓ accadendo da qualchetempo, sia nel mondo pubblico, sia in quello privato. Il CERT infatti rappresenta
il punto di contatto principale per la gestione degli incidenti critici e la prevenzione delle minacce nel cyber space, favorendo la cosiddetta Situational Awarness, ovvero la capacitÓ di rappresentare compiutamente lo stato della minaccia cyber, sia a livello di singole Amministrazioni, sia a livello di settore. In particolare, la creazione di una rete di cooperazione e scambio informativo tra soggetti Pubblici, che sia fondato sulle logiche del CERT, consentirebbe di aumentare complessivamente la capacitÓ dell'intera Pubblica Amministrazione di prevenire e gestire tempestivamente gli incidenti di sicurezza e i tentativi di compromissione".

I CERT, commenta il responsabile Security Governance e Privacy di Sogei,"sono ancora troppo focalizzati sulla protezione interna dell'organizzazione enon nascono con un vero e proprio spirito di cooperazione tra di essi, aspetto cruciale per attuare quanto previsto dal Piano Nazionale. Ad oggi, tra gliostacoli pi¨ rilevanti per la creazione di CERT, possiamo citare la carenzacronica e in alcuni casi significativa dei budget destinati alla sicurezzainformatica che, almeno sulla base dei vincoli della Direttiva, dovrebbeauspicabilmente migliorare in futuro; l'assenza di regole tecniche e standardomogenei per uniformare finalitÓ e capacitÓ richieste ai diversi CERT;l'insufficienza di esperienze e competenze specifiche in materia.

Il superamento di tali elementi non pu˛ prescindere dalla pi¨ ampiaconsapevolezza e senso di urgenza associato al recepimento della Direttiva e,pi¨ nello specifico, degli indirizzi operativi contenuti nel Piano Nazionale, conl'obiettivo di contrastare e ridurre, almeno in parte, i rischi crescenti legati allaminaccia cibernetica".

Sebbene "in Italia", sottolinea ancora l'esperto, "la diffusione dei CERTproceda ancora lentamente, stiamo assistendo ad una trasformazione che neridefinisce le attivitÓ, passando da strutture pensate per reagireprevalentemente ad incidenti informatici, a strutture per la prevenzione e ilsupporto strategico per la cyber security. Questo cambiamento porta a mutareil significato della lettera 'R' contenuto nell'acronimo CERT/CSIRT: da puro'Response' ad un concetto pi¨ ampio di 'Readiness'. Lo spirito con il qualeanche la Direttiva NIS si riferisce allo sviluppo dei CERT, conferma questatendenza generale da parte del settore".Un CERT "ben progettato e nel pieno delle proprie funzioni", conclude Lazzini,"assume il ruolo di raccordo fondamentale tra il mondo operativo, tipicamentecoinvolto nell'individuazione e risposta iniziale alle compromissioni, ad unopi¨ strategico e di coordinamento, molto vicino alle funzioni di governance e didirezione aziendale a tutela delle organizzazioni nello spazio cibernetico".

(fonte: Cyber Affairs)