L'analisi di Luisa Franchina, presidente dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC), pubblicata da Cyber Affairs

Una nota del MISE ha annunciato l’istituzione presso l’ISCTI (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico, del CVCN (Centro di Valutazione e Certificazione Nazionale) per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati, e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture strategiche, nonché di ogni altro operatore per cui sussiste un interesse nazionale. Si tratta di una delle azioni qualificanti per la costruzione dell’architettura nazionale sulla sicurezza cibernetica, tracciata per la prima volta dal Dpcm del 24 del gennaio 2013.

L’operatività del CVCN verrà assicurata con un decreto applicativo emanato dal direttore dell’ISCTI, che ne definirà i dettagli tecnici.
Per metà marzo è previsto il voto finale del parlamento europeo sul Cybersecurity Act, provvedimento volto ad innalzare ed armonizzare i livelli di sicurezza informatica dei Paesi dell’Unione attraverso una politica comune. I punti principali del provvedimento sono due: rafforzamento del ruolo di ENISA con attività di coordinamento delle operazioni cyber nella gestione delle crisi sistemiche e definizione di regole e standard per la valutazione di prodotti e servizi informatici in modo tale che la sicurezza degli stessi possa essere certificata.
La Commissione Europea sta infatti lavorando su un cybersecurity framework, ovvero uno schema certificativo di prodotti e servizi. ENISA produrrà la bozza degli schemi certificativi, consulterà gli organismi di certificazione degli stati membri e gli operatori, e sottoporrà alla Commissione uno schema consolidato per l’approvazione.
Il modello di certificazione europea continuerà ad essere basato sul mutuo riconoscimento: gli stati aderenti riconoscono le certificazioni erogate da altri stati membri.

In Italia il DPCM 17/02/2017, decreto Gentiloni, ha introdotto la necessità della certificazione nazionale per quanto riguarda la valutazione “delle componenti ICT destinate ad essere impiegate nei sistemi di soggetti titolari di funzioni critiche o strategiche”.
In seno al MISE viene quindi istituito il CVCN (Centro Nazionale di Valutazione e Certificazione). Tale centro sarà dotato di un laboratorio interno di analisi per le componenti hardware e software ed inoltre si appoggerà a centri esterni accreditati.
La valutazione delle componenti ICT nel panorama nazionale risulta quindi su tre livelli:
1) Valutazione tecnica di prodotti e sistemi ICT che trattano dati classificati. È di competenza dell’organismo di certificazione facente capo all’Autorità Nazionale per la Sicurezza (ANS) e ai laboratori accreditati che eseguono le verifiche in accordo agli standard (CE.VA. Centri di Valutazione). Basata su uno schema Nazionale conforme ai criteri europei ITSEC (Information Technology Security Evaluation Criteria) e agli standard internazionali CC (Common Criteria) emanati dall’ISO;
2) Valutazione tecnica di prodotti e sistemi ICT impiegati da soggetti titolari di funzioni critiche o strategiche. Sarà di competenza del CVCN;
3) Valutazione tecnica di prodotti e sistemi ICT commerciali. È di competenza dell’organismo di certificazione facente capo al MISE (denominato OCSI e istituito presso l’ISCTI con DPCM del 30 ottobre 2003 pubblicato sulla G.U. n. 98 del 27 aprile 2004) e ai laboratori accreditati che eseguono le verifiche in accordo agli standard (LVS, Laboratori per la Valutazione della Sicurezza). Basata su uno schema Nazionale conforme ai criteri europei ITSEC (Information Technology Security Evaluation Criteria) e agli standard internazionali CC (Common Criteria) emanati dall’ISO.

Fin dal 1995 esiste in Italia una struttura per la certificazione della sicurezza di sistemi/prodotti ICT, ma tale struttura, denominata Schema Nazionale, è utilizzabile esclusivamente nell’ambito della sicurezza nazionale (sistemi/prodotti ICT che trattano informazioni classificate). Con il DPCM del 30 ottobre 2003 è stato istituito un secondo Schema Nazionale il quale, essendo stato previsto per un’applicazione al di fuori del contesto della sicurezza nazionale, è idoneo a fornire servizi di certificazione a tutti i settori della PA che non afferiscono a tale contesto. Sia lo Schema del 1995, aggiornato con il DPCM dell’11 aprile 2002 (che ha esteso l’obbligatorietà della certificazione ai sistemi/prodotti ICT non militari e ha previsto la possibilità di utilizzare i Common Criteria in aggiunta ai criteri ITSEC), sia lo Schema del 2003 sono stati definiti secondo quanto previsto dalle normative internazionali nell’ambito della certificazione di sistema/prodotto ICT. In particolare la struttura degli Schemi è fortemente condizionata da alcune caratteristiche degli standard di riferimento (Common Criteria ed ITSEC). In particolare, l’esigenza di garantire l’applicabilità degli standard ad un insieme di sistemi/prodotti ICT il più possibile ampio, non ha consentito di dettagliare in modo completo alcune parti degli standard stessi. Conseguentemente l’Organismo che coordina il funzionamento dello Schema non svolge solo un ruolo di accreditamento iniziale dei laboratori che eseguono le verifiche in accordo agli standard ( LVS), ma opera attivamente, con un’azione di indirizzamento e di verifica, anche durante ogni singolo processo di certificazione. L’assoluta necessità di questa azione, ed in particolare della revisione finale del lavoro svolto dall’LVS, ha indotto anche a stabilire che il certificato venga rilasciato dall’Organismo che coordina lo Schema. Quest’ultimo Organismo viene quindi denominato Organismo di Certificazione, sebbene svolga anche, come già detto, la funzione di accreditamento degli LVS. In Italia l’Organismo di Certificazione è l’Autorità Nazionale per la Sicurezza (ANS) nel caso del primo Schema Nazionale nato nel 1995, mentre è l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCTI) nel caso del secondo Schema nazionale del 2003.

All’interno dello Schema nazionale vengono definite tutte le procedure e le regole necessarie per la valutazione e la certificazione della sicurezza ICT, in conformità ai criteri europei ITSEC o ai Common Criteria. Le procedure relative allo Schema nazionale devono essere osservate dall’Organismo di Certificazione, dai Laboratori per la Valutazione della Sicurezza, nonché da tutti coloro (persone fisiche, giuridiche e qualsiasi altro organismo o associazione) cui competono le decisioni in ordine alla richiesta, acquisizione, progettazione, realizzazione, installazione ed impiego di sistemi e prodotti nel settore della tecnologia dell’informazione che necessitano di una certificazione di sicurezza conforme agli standard internazionali specificati precedentemente.
L’Organismo di Certificazione determina la linea di condotta per l’accreditamento dei Laboratori per la Valutazione della Sicurezza. L’accreditamento degli LVS è l’atto con cui l’Organismo di Certificazione riconosce formalmente l’indipendenza, l’affidabilità e la competenza tecnica di un Laboratorio per la Valutazione della Sicurezza.
L’utilità primaria della valutazione/certificazione della Sicurezza di un sistema/prodotto/PP (Profilo di Protezione) secondo le regole dello Schema è quella di fornire una stima del livello di sicurezza secondo standard condivisi da tutti i soggetti coinvolti e di garantire che tale stima venga eseguita da una terza parte indipendente rispetto ai soggetti stessi.
Lo Schema riconosce gli accordi internazionali sull’interpretazione delle norme dei suddetti standard.

In questo contesto la ‘sicurezza nel settore della tecnologia dell’informazione’ deve essere intesa come la protezione della riservatezza, dell’integrità e della disponibilità delle informazioni mediante il contrasto delle minacce originate dall’uomo o dall’ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l’accesso, l’utilizzo, la divulgazione e la modifica delle informazioni stesse e di garantire, al contempo, l’accesso e l’utilizzo delle informazioni solo a coloro che siano stati autorizzati.
Tra le varie motivazioni che hanno condotto all’istituzione dello Schema Nazionale, vogliamo menzionare, in particolare, il fatto che da tempo i produttori di software e hardware offrono sistemi e prodotti dotati di funzionalità di sicurezza, per le quali dichiarano caratteristiche e prestazioni soprattutto al fine di orientare gli utenti nella scelta delle soluzioni più idonee a soddisfare le proprie esigenze. In molte applicazioni, soprattutto quelle caratterizzate da un elevato grado di criticità, le predette dichiarazioni potrebbero risultare non sufficienti, rendendo necessaria la valutazione e la certificazione della sicurezza condotte da soggetti indipendenti e qualificati, sulla base di standard riconosciuti a livello nazionale ed internazionale. In particolare, è ormai opinione largamente diffusa che le garanzie concernenti l’adeguatezza, la qualità e l’efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, quali quelli operanti all’interno di uno Schema Nazionale.
Il garantire un elevato livello di sicurezza ICT alle infrastrutture sia pubbliche, sia appartenenti al settore privato, è considerato un fattore abilitante per lo sviluppo economico e sociale di un Paese economicamente e socialmente avanzato. Per tale motivo, assume una rilevanza notevole l’individuazione e la realizzazione di una strategia di diffusione della fiducia negli strumenti ICT utilizzati per la realizzazione dei suddetti servizi e, quindi, nello sviluppo e nella diffusione della certificazione di sicurezza effettuata in modo indipendente e imparziale.
L’individuazione della suddetta strategia deve necessariamente tenere in conto le esperienze recenti in materia di certificazione di sicurezza, al fine di individuare sia gli errori commessi, sia l’attuazione di possibili migliorie.
La certificazione e la valutazione di sicurezza può essere effettuata a vari livelli di garanzia: nel caso dei Common Criteria, sono previsti sette livelli di garanzia denominati EALx, essendo EAL1 il livello a garanzia più bassa, e EAL7 quello a garanzia più elevata. Al crescere del livello di garanzia crescono sia i controlli e le verifiche di sicurezza effettuati, sia gli oneri economici e tecnici a carico del Fornitore. E’ opportuno evidenziare, a titolo di esempio della utilità delle verifiche di sicurezza effettuate, che già il livello EAL1 garantisce nel sistema/prodotto l’assenza di vulnerabilità note e sfruttabili.

Analizzando la tipologia delle certificazioni fino ad ora effettuate dagli Schemi esteri, emergono alcune considerazioni, che possono essere così riassunte:
– è maggiormente diffusa la certificazione di prodotto a livelli di garanzia medi ed elevati (da EAL4 in sù), mentre sono poco diffuse le certificazioni di sistema (se non nell’ambito della sicurezza nazionale) e le certificazioni a bassi livelli di garanzia (EAL1 e EAL2);
– le certificazioni a livelli medio alti di garanzia sono, in generale, molto costose e richiedono tempi lunghi rispetto al ciclo di vita del prodotto. Tali circostanze ostacolano una maggiore diffusione della certificazione di sicurezza, e la hanno confinata in applicazioni molto specifiche;
– sono abbastanza diffuse le certificazioni dei documenti denominati Profili di Protezione (PP). Si possono individuare diverse applicazioni di PP certificati. Solo per citare alcuni esempi, negli USA, vengono utilizzati come riferimento per definire i capitolati delle Agenzie Federali per la dotazione di sistemi di sicurezza, quali ad es. i firewall. Nella UE, sono stati predisposti alcuni PP riguardanti i dispositivi sicuri da utilizzare per i servizi di firma elettronica. Tutti questi documenti, certificati, costituiscono quindi il riferimento cui dovranno conformarsi i fornitori che intendono far certificare prodotti appartenenti a quella specifica categoria;
– non sono per nulla diffuse le procedure di mantenimento nel tempo dei certificati di sicurezza. Tale circostanza implica che non appena si rilevino nuove vulnerabilità o vengano rilasciate nuove “patch” di sicurezza o nuove versioni del prodotto, la certificazione di sicurezza perde praticamente la sua validità.

D’altra parte, analizzando la situazione attuale della sicurezza ICT, non ha molto senso utilizzare prodotti “molto sicuri” in sistemi complessivamente vulnerabili o in organizzazioni in cui non si sia provveduto a certificare l’intero processo organizzativo che ruota attorno all’uso del prodotto ICT certificato. Questa considerazione porta a dedurre che è preferibile una uniformità di attenzioni alla sicurezza, eventualmente anche a bassi livelli di garanzia, nei vari ambiti che caratterizzano un ‘processo completo’ (cioè dall’ambiente, ai ruoli, al sistema-prodotto) piuttosto che avere un prodotto certificato ad alti livelli di garanzia e lacune di sicurezza in tutti gli altri ambiti. A questo proposito, si sottolinea l’importanza dell’affiancamento tra certificazioni di prodotto e certificazioni di processo, oggi molto diffuse.
Inoltre, l’utente finale non risulta allo stato di diffusione internazionale dell’uso della Certificazione Common Criteria e ITSEC un soggetto fondamentale, almeno non tanto quanto lo è il Fornitore. Infatti, le certificazioni risultano essere richieste in modo pressoché esclusivo dai fornitori per i loro prodotti, ma non esiste ancora la cultura della Certificazione del Sistema, a cui potrebbe essere molto più interessato l’utente. Infatti, la certificazione di sistema, così come intesa nei Common Criteria e in ITSEC, prende in considerazione in modo specifico e dettagliato la caratteristica dell’ambiente e delle ipotesi di tipo procedurale e fisico. Per questa ragione, per una Organizzazione è molto più utile certificare il sistema che si utilizza piuttosto che accontentarsi di un prodotto certificato senza porre la dovuta attenzione a quello che circonda il prodotto stesso.

Infine, un ultimo elemento che è bene tenere presente, è legato alla peculiarità del mercato italiano per i fornitori di prodotti e sistemi ICT. Infatti, l’Italia è caratterizzata da una molteplicità di aziende medie e piccole. Questo scenario fa si che non ci sia di fatto un mercato per la Certificazione di Prodotti agli alti livelli di garanzia (EAL3 e 4 tipicamente) come negli USA, ma esista un potenziale mercato molto ampio per la Certificazione di Sistema, con particolare interesse per i sistemi che integrino prodotti già certificati e che assicurino un livello di garanzia per cui le minacce associate a vulnerabilità note risultino contrastate adeguatamente nel corso del tempo (già possibile con un EAL1 e con un processo di mantenimento del certificato).

Resta da affrontare il tema della qualificazione del fornitore, soprattutto per prodotti e sistemi di nuova generazione. La tendenza che sta emergendo è quella di caratterizzare la qualificazione secondo tre direttrici: competenza, rispondenza ai requisiti, indipendenza e neutralità.
In conclusione l’istituzione del CVCN apre un capitolo più volte auspicato di standardizzazione della sicurezza dei prodotti e dei sistemi ICT dai quali dipendono tutti i servizi di un Sistema Paese (critici e non). Questa svolta potrebbe rappresentare, fra l’altro, il primo vero momento di diffusione delle buone pratiche di security by design e by default.

Condividi tramite