Articolo a firma di Giacomo Lunardon – Servizi Tecnici Istituto Statale “A. Monti” di Asti e “CIS Controls Volunteer”
Traendo spunto dagli attacchi subiti dalla Regione Lazio tra la fine di luglio e l’inizio di agosto 2021, e in riferimento all’incursione informatica a danni della SIAE, vittima il 20 ottobre 2021 di un cyber attacco che ha fruttato un “bottino informatico” di circa 60 GB di dati personali, riteniamo opportuno sottolineare ancora una volta quanto siano importanti le misure di sicurezza informatica che devono essere applicate a tutti i sistemi, e in particolare a quelli delle pubbliche amministrazioni che trattano dati sensibili.
Soprattutto le scuole hanno il dovere di applicare quelle che l’AgID definisce “misure minime” secondo la circolare n.2 del 18/04/2017, per quanto pubblicato sulla G.U. 103 del 05/05/2017 e che in breve sunto viene sotto riportata.
Le misure di sicurezza ICT
Le misure di sicurezza ICT sono un riferimento per valutare e migliorare il livello di sicurezza informatica delle amministrazioni.
Consistono in controlli di natura tecnologica, organizzativa e procedurale, utili alle PA per valutare il proprio livello di sicurezza informatica.
A seconda della complessità del sistema informativo a cui si riferiscono e della realtà organizzativa dell’amministrazione, le misure possono essere implementate in modo graduale seguendo tre livelli di attuazione.
Minimo
È quello al quale ogni PA, indipendentemente dalla sua natura e dimensione, deve necessariamente conformarsi.
Standard
È il livello che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza, e rappresenta la maggior parte delle realtà della PA italiana.
Avanzato
Deve essere adottato dagli enti maggiormente esposti a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.
Le misure minime sono un importante supporto metodologico, oltre che un mezzo attraverso il quale le PA possono verificare autonomamente la propria situazione e avviare un percorso di monitoraggio e miglioramento.
Le misure minime:
- Forniscono un riferimento operativo direttamente utilizzabile
- Stabiliscono una base comune di misure tecniche e organizzative
- Sono uno strumento utile per verificare lo stato di protezione contro le minacce informatiche e tracciare un percorso di miglioramento
- Responsabilizzano le pubbliche amministrazioni sulla necessità di migliorare e mantenere adeguato il proprio livello di protezione cibernetica
L’adeguamento alle misure minime è a cura del responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, come indicato nel CAD (art. 17 ) o, in sua assenza, del dirigente designato.
Il dirigente responsabile dell’attuazione deve compilare e firmare digitalmente il “Modulo di implementazione” allegato alla Circolare 18 aprile 2017, n. 2/2017.
La situazione oggi
A distanza di 5 anni dalla pubblicazione, l’AgID non ha indicato ulteriori misure o variazioni di quelle vigenti, ma nel frattempo l’evoluzione tecnologica, la diffusione di nuove strategie dei cyber criminali e l’ampliamento dei servizi cloud fanno sorgere nuovi interrogativi.
Il modulo proposto da Agid nel 2017 prendeva spunto da una serie di indicazioni di sicurezza riconducibili per la maggior parte ai Controlli CIS nelle versioni 5 e 6.
A tal proposito, ricordiamo che CIS Security è una organizzazione no profit che, avvalendosi dell’aiuto di una vasta community di professionisti, trasforma le indicazioni tecniche di sicurezza dei maggiori players mondiali del settore (tra i molti citiamo NIST) in misure più facilmente comprensibili a una vasta platea.
Di seguito andremo ad esaminare per sommi capi come siano evolute queste misure di sicurezza.
I controlli CIS versione 8
Nel mese di settembre 2021 sono stati pubblicati i nuovi Controlli CIS aggiornati alla versione 8.
Il lavoro di CIS Security si è incentrato sulla semplificazione e sull’attualizzazione delle misure, apportando una consistente riduzione delle indicazioni, soprattutto se difficilmente applicabili, e eliminando quelle ormai superate.
Gli obiettivi rimangono gli stessi, ma vengono declinati in modo più chiaro, rinunciando alla precedente classificazione adottata nella versione 7.1, e raggruppando i controlli in 18 capitoli anziché 20.
I principi di progettazione di queste misure di sicurezza si basano sui seguenti punti:
L’attacco informa la difesa
I Controlli CIS vengono selezionati, eliminati e prioritizzati in base ai dati e alla conoscenza specifica del comportamento dell’attaccante e su come fermarlo.
Focalizzare
Aiutare i difensori nell’identificare gli elementi più importanti di cui necessitano per fermare gli attacchi principali.
Fattibilità
Tutte le singole raccomandazioni (Salvaguardie) devono essere specifiche e implementabili in modo pratico.
Misurabilità
Tutti i Controlli CIS, specialmente per il Gruppo di Implementazione 1, devono essere misurabili. Semplificare o eliminare le ambiguità linguistiche per evitare interpretazioni non coerenti. Alcune Salvaguardie possono avere una soglia.
Allineamento
Creare e dimostrare una “convivenza pacifica” con altri regolamenti, amministrazioni, processi gestionali, frameworks e strutture. Cooperare puntando ad altri standard e raccomandazioni di sicurezza, se esistenti (ad esempio NIST®).
Tra i vari punti di interesse spiccano i “Gruppi di Implementazione”, ovvero categorie di autovalutazione che identificano un sottoinsieme di Controlli CIS che la comunità ha valutato come applicabili ad aziende o enti pubblici con un profilo di rischio comune.
Questi Gruppi di Implementazione costituiscono uno sguardo orizzontale che percorre tutti i Controlli CIS, organizzandoli “su misura”.
Nello specifico si definisce “IG1” una “igiene informatica di base”, ovvero l’insieme fondamentale delle garanzie di difesa informatica che ogni azienda o ente pubblico dovrebbe applicare per proteggersi dagli attacchi più comuni.
Di conseguenza è possibile considerare livelli equivalenti le misure “minime” dettate da AgID e le misure “IG1” definite dai Controlli CIS versione 8.
La struttura dei Controlli CIS prevede inoltre una presentazione standardizzata che include:
Panoramica
Una breve descrizione degli obiettivi del Controllo e la sua utilità come azione difensiva.
Perché questo controllo e importante
Una descrizione della rilevanza del Controllo per bloccare, mitigare o identificare gli attacchi, e una spiegazione di come gli attaccanti possano effettivamente colpire in sua assenza.
Procedure e strumenti
Una descrizione tecnica dei processi e delle tecnologie che permettono l’implementazione e l’automazione del Controllo.
Salvaguardie
Una tabella di azioni specifiche che l’azienda dovrebbe applicare per implementare il Controllo.
Conclusioni
I controlli di sicurezza ICT, incluse le attività di formazione del personale, rappresentano la più efficace difesa nei confronti dei più comuni cyber attacchi.
Gli eventi recenti hanno dimostrato che spesso la maggiore vulnerabilità è rappresentata dal personale che lavora quotidianamente con le tecnologie informatiche, il più delle volte senza essere preparato a fronteggiare anche un rischio banale, o non avendo le conoscenze per riconoscere un tentativo di “phishing” o di “social engineering”.
Chi desidera approfondire l’argomento valutando i controlli di sicurezza attualizzati e confrontati, può fare riferimento al documento liberamente scaricabile dalla sezione “Risorse” della community di GDPR Scuola!