Attacchi informatici in crescita: un Protocollo ACN per le attività di remediation

Con DIRETTIVA DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 29 dicembre 2023 (in GU del 16 febbraio 2024) il Governo definisce il Protocollo da seguire per instaurare una proficua attività di collaborazione fra l’ACN, l’Autorità nazionale per la cybersicurezza a seguito di un incidente informatico per irrobustire la capacità di risposta ad un cyber attacco.

Cyber attacchi che crescono anche contro il nostro Paese e richiedono una serie di misure da mettere in campo subito per evitare ulteriori effetti sistemici.

Incidente informatico: gli obblighi degli enti privati e pubblici attaccati

In base al Decreto-legge n. 82 del 2021 istitutivo dell’ACN si si fa obbligo ai soggetti pubblici e privati interessati da un incidente informatico di prestare massima collaborazione al personale tecnico-specialistico dell’Agenzia che interviene per le cosiddette attività di remediation, ossia di contenimento e mitigazione delle conseguenze dell’incidente informatico, rivolte al ripristino quanto più possibile immediato dell’operatività dei sistemi compromessi.

Ciò anche per scongiurare effetti sistemici – ossia capaci di propagare conseguenze anche oltre la superficie oggetto di attacco

Spiega il Governo che nell’attuale contesto geopolitico si moltiplicano gli attacchi informatici verso quei paesi, come l’Italia, che risultano particolarmente esposti alla minaccia cyber per aver assunto, nell’ambito della comunità internazionale, posizioni di solidarietà e di sostegno degli attori statuali in conflitto, sia con riguardo alla crisi russo-ucraina, sia con riguardo allo scenario mediorientale.

Per questo era necessario fissare un protocollo fra gli Enti pubblici e privati che siano interessati da tali attacchi e l’ACN.

Attacco informativo: il Protocollo operativo con ACN

Nella Direttiva si parla di un modello operativo capace di dare efficacia ed efficienza ad interventi di risposta in caso di attacco cyber, attraverso le seguenti misure da seguire:

• un censimento dei sistemi, apparati, piattaforme, applicazioni e flussi di dati utilizzati nello svolgimento delle proprie attività, oltre che dei fornitori e/o partner terzi di sistemi informatici, componenti e servizi utilizzati;
• un documento in cui siano definiti ruoli e responsabilità inerenti alla cybersicurezza, sia del personale interno, sia di eventuali terze parti che supportano l’amministrazione, comprensivo dell’individuazione, tra il proprio personale, di un incaricato per la cybersicurezza (quale punto di contatto cyber ai fini delle comunicazioni e del necessario raccordo con l’ACN) e di un referente tecnico per la cybersicurezza (da identificarsi tra il personale responsabile della gestione operativa dei sistemi IT);
• piani per la gestione delle vulnerabilità, dei backup dei dati necessari per l’esercizio delle proprie funzioni essenziali, nonché’ del ciclo di vita dei sistemi, delle identità e dei relativi permessi;
• un piano di risposta in caso di incidente, nel quale vengano puntualmente definite le articolazioni interne che – in stretto raccordo con l’incaricato per la cybersicurezza (ove non direttamente dipendenti dallo stesso) – sono preposte all’attuazione del piano, definendone le competenze decisionali, finanziarie e tecniche, onde adeguatamente fronteggiare un incidente cibernetico. 

In attesa della piena attuazione dei presupposti del modello collaborativo proposto, dovranno intervenire fin da subito delle intese per definire le misure prioritarie e urgenti volte alla mitigazione del rischio cibernetico, in primis tra l’ACN e le amministrazioni rappresentate nel Comitato interministeriale per la cybersicurezza.