La risposta agli eventi cibernetici
Le nuove norme sulla sicurezza informatica della Pubblica Amministrazione sono finalmente state emanate.
A quasi due anni dalla direttiva del 1° agosto 2015 del Presidente del Consiglio dei ministri che imponeva l'adozione di standard minimi di prevenzione e reazione ad eventi cibernetici.
Già nel 2016 l'AgID (Agenzia per l'Italia Digitale) aveva provveduto a una prima stesura delle 'Misure minime di sicurezza ICT per le pubbliche amministrazioni' e con la pubblicazione in Gazzetta Ufficiale della Circolare 18 aprile 2017 n. 2/2017 si conclude così l'iter normativo e ne inizia l'applicazione.
La scadenza per l'adempimento degli obblighi previsti è fissata al 31 dicembre 2017 sotto la responsabilità del dirigente dei sistemi informativi.
Lo scopo delle misure
Scopo delle disposizioni è quello dichiarato di imporre alla Pubblica Amministrazione l'adozione di procedure standardizzate e controlli che garantiscano un livello minimo di protezione dei sistemi informatici.
Il nucleo di tali controlli è quello ispirato dai CSC (Critical Security Controls) del SANS Institute, organizzazione di ricerca cooperativa e formazione fondata nel 1989 e riferimento mondiale in materia.
Ovviamente i controlli sono stati rimodulati e personalizzati per renderli aderenti alla realtà della Pubblica Amministrazione italiana. La modulazione dei controlli consente anche alle amministrazioni più piccole di rispondere agli obblighi senza introdurre misure fuori scala con inutili ricadute sulle proprie risorse, umane e materiali.
A tale scopo sono stati individuati quelli che vengono definiti come AgID Basic Security Controls (ABSC) e che costituiscono le misure minime da adottare.
I controlli previsti
I controlli sono stati suddivisi in tre gruppi, riferiti a livelli complessivi di sicurezza crescente in modo da facilitarne l'adozione.
Nel primo gruppo (di livello minimo) sono contenuti quelli obbligatori per ogni Pubblica Amministrazione, indipendentemente dalle dimensioni: è il livello minimo inderogabile per tutta la PA.
Il livello standard costituisce il secondo gruppo ed è applicato dalla maggior parte delle Amministrazioni mentre i controlli del terzo gruppo (livello alto) sono imposti alle amministrazioni ritenute più esposte a rischi.
I controlli sono suddivisi in classi funzionali, più precisamente otto, secondo quanto riportato di seguito:
- ABSC 1: inventario dei dispositivi autorizzati e non autorizzati;
- ABSC 2: inventario dei software autorizzati e non autorizzati;
- ABSC 3: protezione delle configurazioni hardware e software sui sistemi in uso presso l'amministrazione;
- ABSC 4: individuazione e correzione delle vulnerabilità dei sistemi in uso, con tempestività per ridurre al minimo il periodo in cui le vulnerabilità possono essere sfruttate per condurre attacchi contro l'amministrazione;
- ABSC 5: gestione degli utenti (soprattutto amministratori) per assicurare un corretto utilizzo sui sistemi;
- ABSC 8: contrasto dell'introduzione e diffusione nell'amministrazione di codice malevolo di qualsiasi provenienza;
- ABSC 10: gestione delle copie di sicurezza delle informazioni critiche dell'amministrazione (quelle da utilizzare per il ripristino);
- ABSC 13: protezione contro la sottrazione (o semplicemente l'uscita non autorizzata) dei dati dell'amministrazione.
Le norme prevedono anche l'attività di controllo; è obbligatorio infatti certificare le misure adottate compilando un apposito modulo, archiviato dall'amministrazione e inviato al CERT-PA (Computer Emergency Response Team - Pubblica Amministrazione) in caso di incidenti.
Per evitare che le misure adottate rimangano uno strumento statico e siano superate dalla costante evoluzione delle minacce, l'amministrazione deve inoltre accedere periodicamente ai servizi di early warning per rimanere costantemente aggiornata e mettere in atto le contromisure più opportune.
Scarica il testo delle Misure minime di sicurezza ICT per le pubbliche amministrazioni pubblicato in Gazzetta Ufficiale.