fbpx

Cybersecurity: definizione e provvedimenti

2026 0

Cybersecurity e Sicurezza delle informazioni: cosa sono, quali le differenze e il contesto normativo?
Con il termine cybersecurity si devono intendere quegli aspetti di sicurezza delle informazioni attuate attraverso l’uso di strumenti tecnologici. La sicurezza delle informazioni è prima di tutto un approccio completo alla gestione della sicurezza, di cui la cybersecurity è solo un sottoinsieme.
In questo articolo vediamo cos’è la Cybersecurity e cos’è la Sicurezza delle informazioni e quali le differenze tra loro. Inquadreremo quindi la Cybersecurity nell’ambito della Sicurezza delle informazioni e anche nel contesto del GDPR e vedremo cosa fornisce il NIST Cybersecurity Framework ai fini della valutazione, prevenzione e risposta agli attacchi informatici.

Per un approfondimento sul tema rimandiamo al volume edito da EPC Editore:
IL SISTEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI ED IL GDPR
Guida operativa all’efficace integrazione dei due mondi anche con l’ausilio della ISO/IEC 27701
di Renato Castroreale e Chiara Ponti

Che cos’è la Cybersecurity
Che cos’è la Sicurezza delle Informazioni
La Cybersecurity nell’ambito della Sicurezza delle Informazioni e del GDPR
Che cos’è il NIST Cybersecurity Framework
Cybersecurity: il contesto Normativo
Cybersecurity nella PA

Che cos’è la Cybersecurity

Cybersecurity è un termine davvero molto utilizzato, ma spesso piuttosto a sproposito.
I media hanno contribuito a questa idea distorta dove i “cattivi”, gli hacker, tentano di rubare le nostre informazioni, e i “buoni” li combattono attraverso la Cybersecurity.
Nell’immaginario collettivo queste battaglie, talvolta guerre, assumono quindi connotati da romanzi di fantascienza, con l’idea che il tutto venga attuato con avanzatissime armi tecnologiche alla stregua di fulminatori laser ed astronavi da battaglia. Ma come spesso accade, le cose reali sono assai differenti…
Intendiamoci bene, gli attacchi ci sono costantemente e verso tutti noi (aziende e privati) e magari sono attuati davvero con pochissimi mezzi, ma la questione va inquadrata correttamente.
Con il termine cybersecurity si devono intendere quegli aspetti di sicurezza delle informazioni attuate attraverso l’uso di strumenti tecnologici.

Resilienza, robustezza e reattività

Le accezioni di resilienza, robustezza e reattività sono quindi associate alla cybersecurity e di conseguenza alla visione “distorta” o limitata della sicurezza.
Per resilienza si intende la capacità di un materiale di assorbire l’urto senza rompersi. In ambito informatico si intendere la capacità dei nostri sistemi di resistere ad un attacco.
La resilienza è anche conosciuta come “indice di fragilità”.
Per robustezza si intende la sua capacità di una infrastruttura informatica di resistere a situazioni avverse impreviste, non contemplate dall’ordinaria amministrazione. Il principio è che errori, guasti di software o hardware (interni o esterni al sistema) o attacchi informatici, non dovrebbero alterare il normale funzionamento dei sistemi e l’esperienza dell’utente.
La reattività, come si può intuire dal nome stesso, costituisce la capacità di un sistema informatico di reagire a stimoli esterni o a disservizi riscontrati nell’operatività.

Da tale semplice considerazione si intuisce come questi tre fattori non siano in grado, da soli, di garantire la sicurezza.
Cosa manca? Tutto ciò che può portare un Sistema Informativo a raggiungere un livello accettabile per questi tre fattori, ossia quegli aspetti organizzativi e di supporto che non sono presi in considerazione dalla cybersecurity.

Che cos’è la Sicurezza delle Informazioni

Smontando quindi la visione “fantascientifica” delle guerre informatiche, ci preme rammentare che la sicurezza delle informazioni è quindi prima di tutto un approccio completo alla gestione della sicurezza, di cui la cybersecurity è solo un sottoinsieme.
La sicurezza informatica o per meglio dire la sicurezza delle informazioni, nell’eccezione che siano le informazioni (e i dati personali) gli oggetti più preziosi da proteggere, è invero molto di più, abbracciando aspetti umani ed organizzativi in un approccio a tutto tondo.

RID: Riservatezza, Integrità e Disponibilità

La sicurezza delle informazioni è metodo volto a salvaguardare le Informazioni e gli strumenti informatici, rispetto a tre parametri fondamentali quali: riservatezza, integrità e disponibilità (RID).

Si parla di riservatezza quando si intende garantire l’accesso alle informazioni esclusivamente ai soggetti che hanno diritto ad accedervi. Essa deve essere altresì garantita durante tutto il ciclo di vita dell’informazione, ossia da quando viene generata e/o raccolta a quando viene distrutta, passando ovviamente per ogni tipo di conservazione. Ad esempio, si configura una violazione della riservatezza allorché un dato classificato come segreto, venga accidentalmente visto da soggetti non autorizzati alla lettura di questa tipologia di dati.

Si parla di integrità quando ci si riferisce alla caratteristica dell’informazione di non essere in alcun modo alterata o corrotta. In questo caso stiamo parlando di ogni evento che può alterare e corrompere le informazioni, e quindi ad esempio una modifica accidentale di una informazione, o la corruzione della stessa che può avvenire per ipotesi con il guasto ad un supporto di memorizzazione (anche parziale).

La caratteristica più difficile da inquadrare è normalmente la disponibilità dell’informazione, perché si tende a non considerare questo fattore come un problema. Per disponibilità si intende che una necessaria informazione deve essere accessibile in un determinato momento. Se tuttavia ciò non accade, il danno che ne può derivare è enorme. Pensiamo ad una sala operatoria e ad un chirurgo che deve accedere ai dati di un paziente per eseguire l’operazione e gli stessi non siano accessibili.

Come attuare la sicurezza delle informazioni

Per realizzare la sicurezza delle informazioni si devono considerare tutti gli aspetti che influiscono, in qualche misura, sulla sicurezza, e quindi ben oltre i semplici strumenti tecnologici. Portando un esempio attuale, che caratterizza l’odierno momento storico come la pandemia da Covid-19, ci rendiamo ben conto che sia stato e sia tuttora un elemento tale da costituire un serio rischio per le Informazioni.
Come? Si pensi ad un’organizzazione che non riesce ad operare in quanto è costretta suo malgrado a fare un lockdown non preventivato o una improvvisa quarantena: chi gestirà le informazioni?
Ecco che i tanti fattori, ora interni ora esterni, possono influenzare la sicurezza delle informazioni, ed ecco perché per attuarla occorra considerare accuratamente tutti gli aspetti.
Altrettanto importante è il fattore tempo, perchè attuare la sicurezza delle informazioni e dei dati personali richiede anche il costante impegno nel tempo.
Ancora, la sicurezza delle informazioni è stata analizzata ed indirizzata in una specifica norma ISO, la UNI EN ISO/IEC 27001:2017 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti” (di seguito ISO/IEC 27001).

La Cybersecurity nell’ambito della Sicurezza delle Informazioni e del GDPR

Rappresentiamo in allegato uno schema in ausilio alla comprensione di come si inquadri la Cybersecurity nell’ambito della Sicurezza delle informazioni, e perché no anche nel contesto del GDPR.

A confondere le idee v’è anche tuttavia la spinta all’uso del termine Cybersecurity, sia in ambito Nazionale che Europeo.
Il Governo sta promuovendo un programma di Cybersecurity attraverso l’AGID (Agenzia per l’Italia Digitale), l’ENISA (The European Union Agency for Cybersecurity) che ha recentemente cambiato nomenclatura introducendo appunto il termine “Cybersecurity”, ed ancora si parla continuamente di Cybercrime, ecc..
Ma allora perché si parla poco di sicurezza delle informazioni?

Per due motivi:
1) La sicurezza delle informazioni è un termine legato ad una norma volontaria, che le organizzazioni possono decidere di adottare, anche al fine di addivenire ad una certificazione;
2) I governi ragionano principalmente sugli strumenti (pensiamo alla bagarre sul 5G) che sugli aspetti organizzativi, perché più facili da implementare.

Che cos’è il NIST Cybersecurity Framework

A complicare ulteriormente la questione rammentiamo che negli Stati Uniti esiste uno schema di sicurezza certificabile, denominato NIST Cybersecurity Framework che financo abbraccia aspetti organizzativi.

Il National Institute of Standards and Technology o NIST (in origine National Bureau of Standards o NBS) è un’Agenzia del Governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie. Fa parte del Dipartimento del Commercio ed il suo compito risiede nella promozione dell’economia americana attraverso la collaborazione con l’industria al fine di sviluppare standard, tecnologie e metodologie che favoriscano la produzione ed il commercio.
Esso si occupa di moltissimi ambiti (dal meteo alla Cybersecurity), ma è sicuramente un esempio da seguire a livello mondiale, per impostare una strategia di sicurezza condivisa (della cui importanza tratteremo tra poco, con l’esperimento italiano per ora fallito).

A cosa serve il NIST

Il NIST Cybersecurity Framework fornisce un quadro politico di linee guida sulla sicurezza informatica per come le organizzazioni del settore privato negli Stati Uniti possano valutare e migliorare la loro capacità di prevenire, rilevare e rispondere agli attacchi informatici.
Il framework è stato tradotto in molte lingue ed è utilizzato dai governi giapponesi ed israeliani, tra gli altri. Esso «Fornisce una tassonomia di alto livello dei risultati della sicurezza informatica e una metodologia per valutare e gestire tali risultati».
La prima versione è stata pubblicata nel 2014, ed era originariamente destinata agli operatori di infrastrutture critiche. Esso viene utilizzato da un’ampia gamma di organizzazioni aiutando le medesime ad essere proattive sulla gestione del rischio.
Nel 2017 è stata fatta circolare una bozza del framework, nella versione 1.1, per un commento pubblico. La versione 1.1 (ancora compatibile con la versione precedente) è stata annunciata e resa disponibile al pubblico soltanto nell’aprile 2018. Le modifiche includono indicazioni su come eseguire:
• autovalutazioni;
• ulteriori dettagli sulla gestione del rischio legato alla catena di approvvigionamento;
• indicazioni su come interagire con le parti interessate della catena di approvvigionamento incoraggiando un processo di divulgazione delle vulnerabilità.

La larga diffusione di questo framework a livello mondiale, soprattutto in Paesi come gli Stati Uniti ed Israele (i maggiori produttori di soluzioni per la sicurezza informatica) ha quindi ulteriormente contribuito alla diffusione del termine “Cybersecurity”.
I produttori di soluzioni hardware e software, inoltre, hanno fatto passare il concetto che siano i prodotti ad aiutare le Organizzazioni e a garantire la Sicurezza delle Informazioni anziché un governo di tutti i processi come realmente invece la stessa è.

Cybersecurity: il contesto Normativo

Parlare di un contesto normativo in Italia, è un po’ “eccessivo”, nonostante il parlar continuo di Cybersecurity, anche da parte del Governo.
Vedremo quindi le principali attività correlate alla Cybersecurity ed alla Sicurezza Informatica.

Il CAD

Il Codice dell’Amministrazione Digitale (CAD) è un testo unico che riunisce ed organizza le norme riguardanti la informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese. Istituito con il decreto legislativo 7 marzo 2005, n. 82, ha subito, sin da subito, costanti e copiosi emendamenti.

Con l’ultimo e recente intervento normativo nel 2019, il CAD è stato ulteriormente razionalizzato nei suoi contenuti. Si è proceduto ad un’azione di deregolamentazione attuata attraverso la semplificazione del linguaggio nonchè sostituendo le precedenti regole tecniche con linee guida, a cura di AgID, la cui adozione risulterà più rapida e reattiva rispetto all’evoluzione tecnologica.

Cosa è stato fatto

Inoltre, come evidenziato dalla relativa relazione illustrativa del decreto legislativo n. 217/17:
• è stata sottolineata con maggior forza la natura di carta di cittadinanza digitale della prima parte del CAD con disposizioni volte ad attribuire a cittadini e imprese i diritti all’identità e al domicilio digitale, alla fruizione di servizi pubblici online e mobile oriented, a partecipare effettivamente al procedimento amministrativo per via elettronica e a effettuare pagamenti online;
• è stata promossa l’integrazione e l’interoperabilità tra i servizi pubblici erogati dalle pubbliche amministrazioni in modo da garantire a cittadini e imprese il diritto a fruirne in maniera semplice;
• è stata garantita maggiore certezza giuridica alla formazione, gestione e conservazione dei documenti informatici prevedendo che non solo quelli firmati digitalmente – o con altra firma elettronica qualificata – ma anche quelli firmati con firme elettroniche diverse possano, a certe condizioni, produrre gli stessi effetti giuridici e disporre della stessa efficacia probatoria senza prevedere l’intervento ad hoc di un giudice;
• è stata rafforzata l’applicabilità dei diritti di cittadinanza digitale e promosso l’innalzamento del livello di qualità dei servizi pubblici e fiduciari in digitale, sia istituendo presso l’AgID l’Ufficio del Difensore civico per il digitale, che aumentando la misura delle sanzioni irrogabili qualora i fornitori di servizi fiduciari violassero le norme;
• è stato promosso un processo di valorizzazione del patrimonio informativo pubblico, riconducendolo tra le finalità istituzionali di ogni Amministrazione.

Il CAD è, per conseguenza, lo strumento principale volto alla Sicurezza delle Informazioni e alla Cybersecurity, anche se trova le sue applicazioni esclusivamente in ambito pubblico, nei rapporti giuridico-economici tra pubblico e privato.

Cybersecurity nella PA

AgID (Agenzia per l’Italia Digitale), ha recentemente avviato una survey sul livello di “Cyber Security Awareness” nella PA che coinvolge i Responsabili della Transizione al Digitale (RtD), spinta appunto dal Piano riportato al paragrafo seguente.
I suddetti RtD sono stati invitati a partecipare a questa indagine conoscitiva.

Il Responsabile per la Transizione al Digitale (RtD) ha tra le principali funzioni quella di garantire operativamente la trasformazione digitale della Pubblica Amministrazione, coordinandola nello sviluppo dei servizi pubblici digitali e nell’adozione di modelli di relazione trasparenti e aperti con i cittadini.
L’ articolo 17 del CAD (sopra citato), obbliga tutte le amministrazioni a individuare un ufficio per la transizione alla modalità digitale (il cui responsabile è il RtD) cui competono le attività nonché il governo dei processi organizzativi ad essa connessi, necessari alla realizzazione di un’Amministrazione digitale.

Con la Circolare n. 3 del 1° ottobre 2018, adottata dal Ministro per la Pubblica Amministrazione, si sollecitano tutte le amministrazioni pubbliche a individuare al loro interno un RtD.

I servizi digitali erogati dalla PA sono cruciali per il funzionamento dell’intera Nazione e le minacce cibernetiche crescono continuamente, anche in forza dell’evoluzione delle tecniche di ingegneria sociale volte ad ingannare gli utenti dei servizi digitali pubblici.
Tra gli obiettivi di questi attacchi ci sono quelle organizzazioni che, per dimensione e capacità di investimento, non sono preparate a resistere agli attacchi (pensiamo ai Comuni).
Lo scopo di questa indagine è quindi quello di determinare un livello “minimo” di sicurezza al quale tutti i soggetti coinvolti saranno tenuti ad aderire.

Il piano triennale per l’Informatica nella Pubblica Amministrazione

Il “Piano triennale per l’informatica nella Pubblica Amministrazione – 2020-2022” mirante ad incrementare la consapevolezza dei rischi di cybersecurity nel settore pubblico, prevede appunto la verifica descritta al paragrafo precedente come parte di un progetto di crescita culturale volta alla diffusione della consapevolezza in ambito di Sicurezza informatica e Cybersecurity, ed alla condivisione di esperienze nello stesso ambito.

Come recita l’Executive Summary dello stesso: «Il Piano Triennale per l’informatica della Pubblica Amministrazione (di seguito Piano Triennale o Piano) è uno strumento essenziale per promuovere la trasformazione digitale del Paese e, in particolare quella della Pubblica Amministrazione italiana. Tale trasformazione deve avvenire nel contesto del mercato unico europeo di beni e servizi digitali, secondo una strategia che in tutta la UE si propone di migliorare l’accesso online ai beni e servizi per i consumatori e le imprese e creare le condizioni favorevoli affinché le reti e i servizi digitali possano svilupparsi per massimizzare il potenziale di crescita dell’economia digitale europea.
Per tale motivo, come già indicato dettagliatamente nelle edizioni precedenti, gli obiettivi del Piano triennale sono basati sulle indicazioni che emergono dalla nuova programmazione europea 2021-2027, sui principi dell’eGovernment Action Plan 2016-2020 e sulle azioni previste dalla eGovernment Declaration di Tallinn (2017-2021), i cui indicatori misurano il livello di digitalizzazione in tutta l’UE e rilevano l’effettiva presenza e l’uso dei servizi digitali da parte dei cittadini e imprese.
Come noto, l’Italia è caratterizzata da un’elevata decentralizzazione amministrativa che fa sì che il ruolo delle PA regionali/locali sia particolarmente rilevante nel processo di innovazione tecnologica.
Gli obiettivi del Piano sono pertanto pianificati affinché le azioni attuative siano fortemente integrate ai diversi livelli della Pubblica Amministrazione, fino agli enti locali – che sono caratterizzati da un contesto di maggiore prossimità – per una più ampia diffusione della cultura della trasformazione digitale che abbia immediati vantaggi per cittadini e imprese.»

Ed ancora: « La presente edizione, rappresenta la naturale evoluzione dei due Piani precedenti: laddove la prima edizione poneva l’accento sull’introduzione del Modello strategico dell’informatica nella PA e la seconda edizione si proponeva di dettagliare l’implementazione del modello, questa edizione si focalizza sulla realizzazione delle azioni previste, avendo – nell’ultimo triennio – condiviso con le amministrazioni lo stesso linguaggio, le stesse finalità e gli stessi riferimenti progettuali.»

Istituto Italiano di Cybersecurity (IIC)

L’Istituto italiano di Cybersecurity è stato sì previsto ma poi successivamente stralciato dalla Legge di Bilancio 2021.
La volontà era quella di costituire una realtà che, attraverso il colloquio con i Servizi tecnici di sicurezza delle organizzazioni, potesse proteggere le infrastrutture strategiche delle stesse.

L’Istituto italiano di Cybersecurity (IIC), avrebbe dovuto essere una fondazione, con diversi membri fondatori tra cui il Premier GIUSEPPE CONTE, i Ministri del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) e il Ministro dell’Università e della Ricerca GAETANO MANFREDI. Lo stesso doveva essere coordinato dal DIS, Dipartimento Informazioni e Sicurezza (Servizi Segreti), con funzioni di monitoraggio e promozione dei servizi offerti.

Pur essendo fallita la costituzione dell’ICC, non è da escludere che la stessa potrebbe comunque rientrare in un futuro disegno di legge.

La collaborazione con i servizi informativi

La prevista collaborazione con i Servizi Informativi (Servizi Segreti), pone le basi per determinare l’importanza che questo Istituto dovrebbe avere: di qui la quasi certezza che lo stesso prima o poi verrà fondato.L’importanza è data dal fatto che tale Istituto costituirebbe un nuovo modo di pensare alla Sicurezza, con un progetto coinvolgente sia il settore pubblico che quello privato, concependo lo Stato come attore protagonista in un ambito di importanza strategica per l’Italia.

L’operatività di detto auspicabile Istituto coprirebbe non solo i rischi relativi agli attacchi informatici, ma anche quelli di scenari di cyber attacchi terroristici che saranno con ogni probabilità il nuovo modo di fare le guerre.
Al contempo la promozione della consapevolezza sulla sicurezza e la conseguente protezione dei settori strategici, potrebbero costituire un fattore di crescita importante.

Una visione nazionale

Solo una visione nazionale potrà consentire la necessaria capacità di comprensione dei problemi legati alla Cybersicurezza, per poi trasferirla a tutte le organizzazioni nazionali le quali non sarebbero in grado da sole di rispondere adeguatamente alle continue necessità di aggiornamento e definizione di conseguenti strategie di difesa.

Tornando al coordinamento previsto per i Servizi Informativi, la nostra intelligence, ed andando a valutare il significato di quest’ultima parola, si capisce come la stessa voglia intendere «la raccolta, il mantenimento, l’analisi e la diffusione di notizie e dati dalla cui elaborazione vengono ricavate informazioni utili alla tutela della sicurezza nazionale di uno Stato e alla prevenzione di attività destabilizzanti di qualsiasi natura». Ecco, quindi, che in questa accezione la collaborazione attiva con organizzazioni private e pubbliche in termini di Sicurezza Informatica, offre una completa visione della strategia che sta alle spalle della costituzione di codesto Istituto. Non quindi “007 con licenza di uccidere”, ma Servizi Informativi che collaborando con le organizzazioni nazionali, pongono le basi per una reale difesa in questo campo, avviando anche un processo costruttivo di coinvolgimento ed informazione.

Altrettanto importante è il messaggio di avere a capo una Fondazione controllata dalla Stato, e quindi creata per servire gli interessi nazionali e non già quelli singoli di qualche grande gruppo, lobby o multinazionale.

Per un approfondimento sul tema consulta il volume:
IL SISITEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI ED IL GDPR
Guida operativa all’efficace integrazione dei due mondi anche con l’ausilio della ISO/IEC 27701
di Renato Castroreale e Chiara Ponti
EPC EDITORE – marzo 2021

Allegati

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore