Cybersecurity: ecco i cinque controlli grazie ai quali evitare l’85% degli attacchi

La minaccia cibernetica alle organizzazioni pubbliche e private è sempre più concreta e quotidiana. Per questo, lo sviluppo di adeguati meccanismi di tutela è balzato al primo posto nell’agenda internazionale. In tutto il mondo, e dunque anche in Italia, le evoluzioni normative e di governance sono ormai all’ordine del giorno. Ne consegue che essere in compliance con le normative di settore per la sicurezza ICT sia diventata un’attività complessa e onerosa, sia dal punto di vista economico sia di tempo. La PA, quindi, come le organizzazioni private, è in cerca di soluzioni sicure e veloci in grado di semplificare gli interventi manuali di verifica di sicurezza dei propri asset e infrastrutture. Da questo punto di vista, la tecnologia ha fatto passi da gigante e i maggiori provider tecnologici possono essere d’aiuto, affiancando gli enti nella scelta nella messa a fuoco delle normative e nell’implementazione dei sistemi più efficaci per gestire l’attività di compliance.

Il contesto normativo attuale

Quali sono le principali normative in vigore e gli scenari del futuro prossimo? Ne abbiamo parlato di recente in un webinar con Alessandra Frasca, Big Fix Sales Specialist di HCL Software.

Attualmente, a livello europeo, è in corso la revisione della NIS (Network and Information Security”), la direttiva 2016/1148 del 6 luglio 2016. Recepita nell’ordinamento italiano con il decreto legislativo n. 65 nel 2018 e adottata con il decreto legge 105 del 2019, la direttiva NIS ha inteso garantire la sicurezza delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica.

Oggi gli Stati dell’UE sono in attesa della NIS 2, che, nelle intenzioni, mira ad aumentare ulteriormente la sicurezza cibernetica europea e ampliare la platea di organizzazioni coinvolte. Nel 2020, infatti, il DPCM, n.131, aveva definito criteri e modalità per l’individuazione dei soggetti inclusi nel perimetro nazionale di sicurezza cibernetica; quando sarà emanata, la NIS 2 apporterà ulteriori modifiche per adeguarsi ai mutamenti dei rischi. In particolare, è già noto che la direttiva NIS 2 farà decadere la distinzione tra operatori di servizi essenziali e fornitori di servizi essenziali, a favore della più consona distinzione tra entità essenziali ed entità importanti.

Anche l’Italia si sta muovendo con decisione in questo campo:

• nel 2021 il DPCM n. 81 ha definito le modalità per la notifica nel caso di incidenti dovuti ad attacchi informatici;
• con il decreto-legge 14 giugno 2021, n. 82, il nostro Paese ha definito l’architettura nazionale di cybersicurezza e ha istituito l’Agenzia per la cybersicurezza nazionale;
• il PNRR comprende la cybersecurity nella Missione 1 e le destina. 620 milioni di euro;
• con il DPCM 16 settembre 2021, poi, sono stati definiti i termini e le modalità del trasferimento di funzioni, beni strumentali e documentazione dal Dipartimento delle informazioni per la sicurezza all’Agenzia per la cybersicurezza nazionale. 

Come aumentare il livello di protezione dei sistemi informatici

Ma, in pratica, cosa devono fare i soggetti che si trovano all’interno del perimetro nazionale di sicurezza cibernetica? Alessandra Frasca spiega che: “Sul capitolo dedicato alla sicurezza, il Piano Triennale della PA, che rimane fondamentale anche in ottica PNRR, continua a richiamare l’attenzione su due grandi aree: accrescere la consapevolezza del rischio cyber; potenziare la sicurezza nelle amministrazioni di ogni dimensione”.

AgID ha fornito alla PA un vademecum per il raggiungimento di misure minime di sicurezza ICT. Si tratta delle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” presentate sotto forma di checklist e create a partire dai controlli internazionali: un sistema di 20 controlli, conosciuto come SANS 20, che è stato pubblicato dal Center for Internet Security (CIS), organo internazionale, degli USA.

“Il vademecum per il raggiungimento di misure minime di sicurezza ICT rimane attuale anche dopo le disposizioni della scorsa estate – sottolinea Frasca –. Permette alle PA di qualsiasi dimensione di capire il proprio livello di adeguatezza rispetto allo specifico punto, in modo che l’interpretazione e l’operatività risultino inequivocabili. Avere la possibilità di capire se un particolare aspetto è stato coperto con un livello di adeguatezza minimo, medio o alto permette di capire velocemente lo stato attuale e prevedere in quali aree migliorare e con quale priorità”.

Per gestire l’attività di compliance con le normative di settore, quindi, occorre attenersi a questo riferimento operativo per punti.

I cinque controlli grazie ai quali evitare l’85% degli attacchi cyber

“Dei 20 controlli Critical Security Control (CSC), ridotti a 18 da maggio scorso e ordinati sulla base dell’impatto della sicurezza dei sistemi – spiega Frasca -, AgID ritiene indispensabili i primi cinque e sottolinea che, conformandosi ad essi, si potrebbero evitare l’85% degli attacchi informatici”.

I controlli indispensabili per raggiungere i livelli minimi di sicurezza informatica, quindi, sono:

1. inventario e controllo delle risorse hardware;
2. inventario e controllo delle risorse software;
3. costante vulnerabilità management;
4. uso controllato dei privilegi amministrativi;
5. configurazione sicura per hardware e software su qualsiasi dispositivo aziendale.

Controlli di questa natura richiedono risorse dedicate e molto tempo, senza contare il rischio di errori umani. Più utile e lungimirante è dotarsi di un sistema di compliance il cui framework di riferimento comprenda tutte le normative internazionali (CIS, NIS 800-53, ISO 27001), oltre alle misure minime AgID. Sistemi di controllo che possono tenere i propri sistemi sotto una compliance continua, evidenziando in near-real time eventuali problemi ed eventualmente correggendoli. Controlli come lo stato del patching o delle configurazioni del software di base, se effettuati sporadicamente o con attività manuali ampliano le superfici di attacco e tengono occupato il personale IT in operazioni ripetitive e poco gratificanti.

“Per questo motivo – sottolinea Frasca – una soluzione come BigFix, può essere di ausilio per implementare molti degli aspetti richiesti dalle normative di compliance. Ci siamo concentrati sui primi cinque punti della normativa AgID perché appunto sono ritenuti i più importanti. Inoltre, essere consapevoli vuol dire poter misurare: i cruscotti direzionali contengono anche dati di operation, dati che fino a poco tempo fa erano destinati solo all’operatore, mentre ora vengono utilizzati anche per capire lo stato delle infrastrutture e ottimizzare i costi e i processi di business”.

Conclusioni

“Nella PA c’è ancora un forte bisogno di aumentare la consapevolezza del rischio di attacchi e di aumentare il livello di protezione dei sistemi informatici – fa notare Alessandra Frasca -. Il rischio zero non esiste e per questo è importante applicare il concetto di security by design, magari facendo affidamento a soluzioni come quella di HCL Software, della quale abbiamo diffusamente parlato in occasione di un webinar in live streaming organizzato il 15 ottobre scorso insieme a FPA”.