Certificazioni di sicurezza: uno scenario in forte evoluzione

Si è svolto Mercoledì 6 Luglio il primo appuntamento del ciclo di webinar che Cyber 4.0, in collaborazione con ACN, sta dedicando ad approfondire alcuni degli aspetti di rilievo della Strategia Nazionale di Cybersecurity.

Il seminario è stato dedicato ai temi dello scrutinio tecnologico e della certificazione di sicurezza, argomento di forte interesse e attualità per la comunità nazionale di esperti di cybersecurity, come dimostra il coinvolgimento attivo di circa 90 partecipanti (e oltre 100 iscritti).

In aggiunta all’intervento iniziale da parte dell’Agenzia Nazionale di Cybersecurity, sono intervenuti esperti del settore privato con esperienza pluridecennale nel settore della certificazione di sicurezza, che hanno condiviso casi di studio, esperienze accumulate negli anni, criticità e opportunità dello scenario attuale e proposte per riflessioni da sviluppare in un futuro prossimo.

Questi i principali spunti emersi durante il seminario:

  • Il contesto della certificazione di sicurezza ha un pregresso importante a livello nazionale, che parte – per i sistemi che gestiscono informazioni classificate – già nel 1995, e – per tutti i sistemi e prodotti ICT inerenti la PA – nel 2003 con l’istituzione presso il MISE dell’Organismo di Certificazione della Sicurezza Informatica (OCSI)
  • Con l’obiettivo di raggiungere un’autonomia tecnologica nazionale la Strategia di Cybersecurity prevede il potenziamento delle capacità nazionali di scrutinio e certificazione tecnologica, anche tramite una stretta collaborazione delle strutture preposte in ACN con il mondo privato dell’industria e con l’accademia.
  • In data 1 Luglio 2022 presso l’Agenzia Nazionale di Cybersicurezza è stato attivato il CVCN (istituito nel 2019), e si prevede sia imminente il completamento del quadro normativo in materia di certificazione di sicurezza e istituzione dei Laboratori Accreditati di Prova nazionali con il DPCM 4 in prossima pubblicazione. Nel decreto di avvio operativo del CVCN è inoltre formalizzato il passaggio di competenze dell’OCSI dal MISE all’ACN.
  • Oltre che responsabile del CVCN e dell’OCSI, l’Agenzia è anche la National Cybersecurity Certification Authority per la contribuzione alla definizione e all’applicazione di schemi di certificazione europei, ed è Organo di Vigilanza per le attività ispettive e sanzionatorie di LAP (ambito PSNC) e LVS (Laboratori per la Valutazione della Sicurezza, ambito OCSI) previste dalle normative vigenti (Perimetro, NIS).
  • L’implementazione del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) si prevede possa comportare un effetto a cascata anche su organizzazioni e operatori al di fuori del Perimetro. In particolare, la certificazione di prodotti e/o sistemi sarà necessaria per tutte quelle realtà, spesso PMI, che fanno parte della catena di fornitura degli operatori essenziali, nel caso in cui gli asset forniti siano ricompresi nelle categorie da sottoporre a scrutinio del CVCN.
  • Gli schemi di certificazione attualmente adottati fanno riferimento al modello dei Common Criteria, che si ritiene da integrare/ affiancare/ sostituire con altri schemi per poter gestire il prevedibile incremento di tecnologie da certificare che il mutato contesto normativo richiederà di affrontare a livello nazionale.
  • Nuovi schemi sono stati definiti a livello di Unione Europea dall’Agenzia Europea di Cybersecurity – ENISA: European Union Cybersecurity Certification Scheme based on Common Criteria (EUCC); European Cybersecurity Certification Scheme for Cloud Services (EUCS); 5G Cybersecurity Certification Scheme.
  • Ulteriori schemi sono in fase di studio, con riferimento a IACS (Industrial Automation and Control System – sistemi di automazione industriale), IoT e Crittografia.
  • L’EUCC si pone l’obiettivo di applicare in modo più flessibile ed agile lo standard Common Criteria, e pertanto meglio si presterebbe a numerosità e tempistiche previste nel mutato scenario delle certificazioni di sicurezza nazionali.
  • Tali schemi, pur definiti dal punto di vista tecnico, non sono ancora ufficialmente adottati e si prevede possa passare ancora qualche anno prima che siano fruibili a livello comunitario. Nel frattempo si può valutare di usarli come riferimento per il disegno di schemi nazionali che siano in linea con essi.
  • L’EUCC affronta anche alcuni problemi che attualmente sono evidenziati come dei limiti nel panorama delle certificazioni di sicurezza: (i) il mantenimento della certificazione nel caso in cui intervengano delle modifiche documentabili a soluzioni già certificate (es. installazione di patch di sicurezza); (ii) la definizione degli standard di competenze per gli operatori dei laboratori di certificazione.
  • In merito a questo ultimo punto, un elemento su cui si ritiene opportuno aprire una riflessione è la possibilità di costituire un albo professionale per la figura dell’operatore di un laboratorio di certificazione, attualmente assente.
  • Sempre in tema, sarebbe opportuno valutare la possibilità per i Laboratori di utilizzare per l’accreditamento delle risorse le certificazioni esistenti e riconosciute a livello internazionale nell’ambito della sicurezza (es. CEH, SSCP, CISSP, CISM, GICSP,..)
  • Altre problematiche riscontrate sui processi di certificazione attuali fanno riferimento ai costi, alle tempistiche, allo scarso know-how degli attori di un processo di certificazione, alla mancanza di schemi per la certificazione di sistema e al mantenimento del certificato
  • In chiave prospettica, sarebbe opportuno valutare di lavorare anche a certificazioni di sicurezza dei processi e degli ambienti di produzione dei fornitori
  • Sarebbe inoltre molto utile costituire banche dati strutturate dei documenti di valutazione all’interno dello schema di certificazione ad accesso comune
  • Un tema di fondamentale rilevanza per il successo del nuovo impianto di certificazione di sicurezza sarà quello di un’organizzazione strutturata della formazione degli attori del processo di Valutazione

In un futuro al momento solo immaginabile, si dovrebbe prevedere non solo l’introduzione del concetto di security-by-design, ma anche di certification-by-design.

Sono disponibili le presentazioni del Webinar:

E’ inoltre disponibile la registrazione dell’evento cliccando qui