Come tutti gli anni anche quest’anno il Centro di Ricerca sulla Cyber Intelligence ed Information Security (CIS), dell’Università̀ di Roma La Sapienza, ha presentato il suo Report sullo stato della Cyber Security Italiana. Quest’anno però si è deciso di andare oltre e passare dalla denuncia alla proposta allargando allo stesso tempo lo scenario di riferimento e offrendo uno strumento di applicazione pratica che possa essere di utilità̀ al Paese intero. Il Report CIS 2015 presenta un Framework di applica- zione Nazionale per la Cyber Security del- le aziende, grandi e piccole, della pubblica amministrazione, centrale e periferica, delle infrastrutture critiche e dunque più̀ in generale per l’intero tessuto economi- co-sociale italiano. L’idea di questo strumento nasce come risposta positiva alla sfida lanciata dal Quadro Nazionale Strategico e dal Piano Nazionale Strategico per la cyber security. Gli indirizzi operativi di quest’ultimo fanno spesso richiamo alla necessità, da un lato, di aumentare la consapevolezza, la cultura e la percezione della sicurezza del settore privato ed industriale e, dall’altro, di contribuire ad un sistema nazionale per l’information risk management. Il Framework è stato il risultato di un lavoro collaborativo coordinato dal CIS Sapienza e dal Laboratorio Nazionale di Cyber Security del CINI con il supporto della Presidenza del Consiglio dei Ministri e ha visto la partecipazione di un gruppo di aziende come AON, Deloitte, ENEL, ENI, Hermes Bay, KPMG, Intellium, oltre ad un gruppo di attori istituzionali come il MISE (tramite il Cert Nazionale), il Garante della Privacy e AgID. Il tavolo di lavoro è stato poi allargato ad altri attori privati come PWC e Microsoft ed infine è stato sottoposto ad una consultazione pubblica dove tutti i cittadini e gli operatori, privati e pubblici, hanno potuto contribuire al miglioramento e perfezionamento del testo. Il Frame- work è, dunque, il risultato di un vero esercizio civico di collaborazione tra il settore pubblico e privato sotto la coordinazione accademica. Per questa ragione rappresenta la più̀ grande operazione di awareness sulla minaccia cyber fatta sino ad ora in Italia e dunque un primo tassello nel rilancio tecnologico ed economico del Paese.
Come è stato fatto: I lavori sono iniziati a maggio 2015 ma non si è partiti completamente da zero. Infatti, si è partiti da uno dei Framework più̀ riconosciuti e apprezzati al mondo: il Framework NIST. Creato dal National Institute of Standard & Technology (NIST), il Framework NIST è uno schema di Cyber Security orientato principalmente alle Infrastrutture Critiche. Facendo riferimento al documento statunitense, punto di riferimento nell’ambito della cyber security, si è voluto compiere un primo passo verso un processo di armonizzazione internazionale della gestione del rischio cibernetico. Di fatto quel che è stato fatto in Italia potrà̀ essere facilmente replicato in altri Paesi, europei e non, facendo del Framework NIST una di “Stele di Rosetta” della Cyber Security internazionale.
Un documento dinamico: Il Framework Nazionale non definisce le tecnologie bensì̀ la metodologia che un’azienda, piccola o grande che sia, può̀ seguire per rendersi più̀ sicura dal punto di vista cyber. In questo modo il Framework si presenta come uno strumento dinamico, un documento “vivo”, che può̀ e deve essere aggiornato nel tempo ma che non è vincolato dalle realtà̀ tecnologiche attuali. Il Framework Nazionale non costituisce una mera traduzione del Framewrok NIST, esso va ben oltre, arricchendolo di componenti fondamentali che lo rendono una evoluzione migliorativa incentrata sulla realtà̀ Italiana. In particolare si è tenuto conto delle seguenti caratteristiche: la contestualizzazione della metodologia rispetto sia al tessuto economico-industriale italiano che alle normative e agli standard vigenti in materia di sicurezza; la facilità di comprensione e di applicazione da parte dei recepenti; il bilanciamento tra gli obiettivi di sicurezza e quelli di budget delle organizzazioni che intendono adottarlo; la trasversalità̀ della sua applicazione senza alcun limite verso la dimensione, il mandato e lo scopo dell’organizzazione. Infine, dal punto di vista metodologico, il Framework Nazionale introduce in particolare tre nuovi concetti: i livelli di priorità̀, i livelli di maturità̀ e la metodologia di contestualizzazione.
Cos’è: Il Framework è una metodologia di gestione del rischio cyber composto gerarchicamente da tre elementi: Function, Category e Subcategory. Le Function sono cinque e costituiscono le tematiche da affrontare per adottare una corretta ed adeguata gestione del rischio cyber. Le cinque Function sono: Identify, Protect, Detect, Respond, Recover. Ciascuna Function è suddivisa in un numero variabile di Category a loro volta composte da una serie di Subcategory, arrivando ad un totale di 98 Subcategory. A differenza del Framework NIST, a ciascuna Subcategory è stata associato un livello di priorità̀ implementativa e vari livelli di maturità̀. Mentre le 32 Subcategory identificate a priorità̀ alta definiscono un profilo di sicurezza basic che qualsiasi organizzazione dovrebbe possedere, ciascuna organizzazione è libera di “contestualizzare i propri livelli di priorità̀ in base al tipo di business, alla dimensione ed al suo profilo di rischio” (Baldoni et all. 2016). I livelli di maturità̀ definiscono le modalità̀ con cui si implementano le Subcategory, all’aumentare del livello di maturità̀ solitamente aumenta la complessità̀ e l’effort necessario all’implementazione della Subcategory. Ciascuna Subcategory è presentata con delle informative reference che, richiamando alcuni degli standard di settore, la legano ad un insieme di pratiche di sicurezza note. Creare una contestualizzazione del Framework significa identificare le Fuction, le Category e le Subcategory con i relativi livelli di priorità̀ e maturità̀ da adottare. Il risultato è definito come un Profile, ovvero l’insieme di Subcategory che vanno a definire un profilo di sicurezza cyber. In altre parole, una contestualizzazione non è altro che la definizione di un profilo di sicurezza cyber che tiene conto delle necessità di sicurezza del contesto in cui viene definito e che può̀ essere adottata in maniera volontaria da qualsiasi organizzazione o ente interessato. Il Framework rende possibile l’armonizza- zione dei livelli di cyber sicurezza delle aziende italiane offrendo un linguaggio semplice, comune e condiviso. Mentre le sue applicazioni ed implementazioni future potranno diventare la base per una rinascita economica del Paese, il Frame- work già̀ nella sua forma attuale rappresenta uno strumento fondamentale, in primis per le PMI ma anche in modo più̀ esteso per tutti le aziende ed organizza- zioni italiane.
Uno strumento di autoanalisi: Il Framework si presenta infine come uno strumento di autoanalisi che può̀ essere utilizzato da qualsiasi organizzazione o azienda per definire il proprio profilo attuale e identificare un profilo target da raggiungere. Di fatto, partendo da un’analisi del rischio, ogni azienda e/o entità̀ può̀ identificare una propria contestualizzazione, ovvero identificare un profilo target da raggiungere ed i relativi livelli di priorità̀ e di maturità̀ adatti al proprio contesto. Inoltre, il framewrok dota l’amministrazione pubblica di uno strumento con il quale potrà̀ adeguare ed aumentare i propri livelli di sicurezza cyber che, come evidenziato dal Report 2014, soprattutto a livello locale sono tutt’oggi ben al di sotto delle aspettative.
A chi è rivolto: La risposta più̀ immediata sarebbe: “a chi vuole raggiungere un livello minimo ed adeguato di sicurezza, a chi non ha strumenti avanzati di analisi del rischio cyber, a chi già̀ possiede una governance del rischio cibernetico ma vuole sapere che livello di maturità̀ ha raggiunto, a chi desidera migliorare l’esistente e a chi vuole creare obiettivi di sicurezza comuni.” La trasversalità̀ e la libertà di applicazione sono infatti le peculiarità̀ del Framework. A differenza dalla pubblicazione dell’anno precedente, focalizzata sull’assessment della sicurezza cibernetica delle Pubbliche Amministrazioni locali e centrali, il Cyber Security Report 2015 offre una risposta ed un supporto concreti a tutte le organizzazioni: dalle piccole e medie imprese alle grandi imprese, dalle infrastrutture critiche alle pubbliche amministrazioni sino agli organi regolatori di settore. L’obiettivo è di fornire a tutti questi attori nazionali la capacità di valutare lo stato del- l’arte della propria gestione del rischio cibernetico ed identificare le strade percorribili, ognuno in base al proprio profilo e priorità̀. Come sottolineato dallo stesso Prof. Baldoni, e come viene spesso riba- dito annualmente dai report di settore (si veda Verizon, Clusit, Ponemon Institute), l’economia è oltremodo digital lead ed il livello di esposizione alle minacce cibernetiche è direttamente proporzionale al suo grado di dipendenza dai sistemi informativi. Quanto questo è sempre più̀ vero per le grandi imprese, le pubbliche amministrazioni e gli operatori di infrastrutture critiche, la sensibilizzazione alla problematica diviene sempre più̀ necessaria per le piccole e le medie imprese (PMI).
Nella Figura ripresa dal Report vengono indicate contestualizzazioni di settore produttivo e contestualizzazioni basate sulla tipologia di azienda. Da notare come per ogni settore produttivo o per ogni tipologia di azienda potrebbero essere definite più̀ contestualizzazioni. Un’azienda come primo passo nel processo di adesione del Framework dovrà̀ selezionare una contestualizzazione da utilizzare.
Infrastrutture critiche Il report suggerisce soprattutto alle IC un approccio evoluto alla cyber security, indicato nella figura che segue (ripresa dal report).
Il processo prevede che l’organizzazione utilizzi politiche di information gathering e information sharing per alimentare una componente di cyber intelligence e che condivida parte di questa informazione mediante i medesimi canali di information sharing: il processo di cyber security risk management riceve informazioni e dati dai componenti di cyber intelligence e dal monitoraggio continuativo dell’infrastruttura IT per definire, in un processo ciclico e continuo, le strategie migliori per il trattamento del rischio cyber. La finalità̀ di fondo è quella di spostare il governo delle minacce cyber da un approccio reattivo a un approccio predittivo per cui risulta imprescindibile effettuare un’analisi dei rischi cyber all’interno di una più̀ generale analisi sistemica delle dinamiche organizzative.
Le PMI: Seppur legate ad una generazione di valore che trova espressione in un prodotto finito, fisico e tangibile, gran parte del valore generato dalle PMI è immateriale. Questo, infatti, risiede nella proprietà̀ intellettuale, nei brevetti e nei progetti che custodiscono la creatività̀, la tradizione e l’innovazione, vero patrimonio genetico dell’impresa e della sua unicità̀. Gestire la cyber security della PMI equivale a salvaguardarne l’esistenza sotto il duplice aspetto della competitività̀ e della solidità̀ economico-finanziaria. Conoscere il proprio grado di preparazione, o di impreparazione, difronte al rischio cibernetico significa infatti avere una percezione di quanto è necessario fare per ridurre la probabilità̀ o l’impatto di eventi cibernetici che potrebbero comportare esborsi economici insostenibili o compromettere la capacità dell’azienda di rimanere sul mercato. Il Framework è stato dunque pensato per consentire alle PMI di effettuare una valutazione del proprio livello di maturità̀, suggerendo alcune priorità̀ minime di sicurezza che allo stesso tempo tengono conto della struttura e della capacità economica dell’impresa stessa.
Regolatori ed associazioni di settore: I regolatori di settore e le organizzazioni capofila dei settori economici del nostro Paese possono invece adottare lo strumento per stabilire profili di sicurezza co- muni condivisibili all’interno del settore di appartenenza. Ciò̀ è supportato dal fatto che il Framework include, per ciascun controllo di sicurezza suggerito, i riferimenti agli standard internazionali esistenti, alle normative nazionali ed ai relativi obblighi vigenti. Questa accortezza consente al Framework di non entrare in conflitto con le normative di settore ma di essere aggiornabile dagli stessi regolatori ed organizzazioni in base alle evoluzioni interne al proprio dominio di competenza. Infine, trasponendo le esperienze europee del Regno Unito e della Germania, lo strumento si potrebbe prestare come requisito richiesto ai vari fornitori o partner delle associazioni di settore, delle Grandi Imprese e degli operatori delle infrastrutture critiche per entrare a far parte della loro catena di approvvigionamento. Non costituisce di certo una certificazione ma potrebbe avviare un meccanismo virtuoso per molti ambiti strategici della nostra economia e dei servizi alla cittadinanza.