Un ISAC per le PMI?

La proposta emerge dal terzo incontro del ciclo di webinar sulla Strategia Nazionale di Cybersecurity, organizzato da Cyber 4.0 in collaborazione con Agenzia per la Cybersicurezza Nazionale, dedicato al tema dell’Information sharing pubblico-privato.
Si è svolto Mercoledì 20 Luglio il terzo incontro del ciclo di webinar che Cyber 4.0, in collaborazione con ACN, sta dedicando ad approfondire alcuni degli aspetti di rilievo della Strategia Nazionale di Cybersecurity.
Il seminario è stato focalizzato sul tema dell’information sharing pubblico-privato, con riferimento sia alle attività dello CSIRT nazionale come collettore e distributore di informazioni su attacchi in corso o sospetti e come canale di contatto con le Forze dell’Ordine, sia alle iniziative programmate a livello di Strategia Nazionale di Cybersecurity, con riferimento particolare alla creazione dell’Information Sharing and Analysis Center (di seguito anche ISAC) nazionale e degli ISAC settoriali.
Gli ISAC sono organizzazioni senza scopo di lucro che provvedono a:

  • Fornire una risorsa centralizzata per la raccolta di informazioni in merito a minacce ed incidenti informatici;
  • Incentivare e consentire lo scambio bidirezionale tra il mondo privato e pubblico di tali informazioni;
  • Favorire la condivisione di esperienza, conoscenze ed analisi in merito a minacce ed incidenti informatici, nonché delle best practice di riferimento per mitigare e contrastare gli attacchi cibernetici.

Per approfondimenti, si rimanda alla pagina web dell’European Union Agency for Cybersecurity (ENISA) dedicata agli ISACs.

L’intervento iniziale da parte dell’Agenzia Nazionale di Cybersecurity ha illustrato le numerose iniziative in corso o programmate per favorire la condivisione di informazioni, operative e di contesto, tra enti pubblici e organizzazioni private.

In particolare, sono state menzionate le azioni #34 e #35 della Strategia Nazionale, relative a:

  • Creare un ISAC presso l’ACN, con il compito di coordinare la collezione e l’analisi di informazioni operazionali e strategiche a maggior valor aggiunto prodotte dai vari servizi cyber nazionali. La struttura sarà collegata alla rete europea degli ISAC contribuendo alla realizzazione dello “European CyberShield”, previsto dalla Strategia di cybersecurity dell’UE.
  • Promuovere la creazione di ISAC settoriali integrati con l’ISAC dell’ACN, anche mediante iniziative pubblico-private, così da favorire il potenziamento dello scambio informativo e di best practice a servizio delle Pubbliche Amministrazioni e dell’industria nazionale.

L’intervento da parte del CNAIPIC (Polizia Postale e delle Comunicazioni) ha riconfermato il ruolo sostanziale che ha avuto l’information sharing con enti pubblici e organizzazioni private fin dalla propria costituzione. La minaccia cyber è per sua stessa natura asimmetrica e multiforme, il tempo e le possibilità per gli attaccanti sono sempre superiori al tempo e le possibilità per la prevenzione e il contrasto. Con l’obiettivo di rendere permanente questa collaborazione e attivare un canale di comunicazione quotidiana, la Polizia Postale ha avviato da tempo la sottoscrizione di Convenzioni con entità di rilievo.

Sono poi intervenuti esperti del settore privato, rappresentanti di realtà che hanno sviluppato esperienze di successo di information sharing pubblico-privato a livello nazionale.

Questi i principali spunti emersi durante il seminario:

  • L’impulso che verrà dall’implementazione della Strategia Nazionale di Cybersecurity porterà a regime un modello di collaborazione pubblico-privato fino ad ora assente su scala nazionale, ma realizzato in alcuni settori virtuosi come quello bancario. L’essenziale ruolo guida di ACN dovrà essere coadiuvato da organizzazioni di settore e da entità che già si caratterizzano per l’implementazione di un modello operativo di collaborazione tra istituzioni pubbliche e mondo privato.
  • La cybersecurity non deve essere inquadrata come un ambito competitivo, e deve essere rimarcato il valore di ritorno di fare sistema e condividere informazioni anche con potenziali attori dello stesso settore di business. In questo contesto, iniziative volte a incrementare la fiducia (trust) tra membri di uno stesso network di information sharing è elemento base su cui costruire meccanismi permanenti di scambio e collaborazione.
  • È pertanto importante la presenza di un soggetto terzo che possa fungere da garante dello scambio di informazioni, che possa filtrare e indirizzare le comunicazioni in modo neutrale, che possa – se richiesto – anonimizzare le fonti di segnalazione, verificarne l’affidabilità, che realizzi iniziative di trust building e di conoscenza uno-a-uno dei membri della propria constituency e che definisca e implementi regole di ingaggio appropriate ed omogenee.
  • La numerosità delle segnalazioni di attacchi, in corso o sospetti, che possono interessare le controparti di una community di information sharing è molto elevata. Si rende non solo opportuno, ma necessario l’utilizzo di soluzioni tecniche e di standard internazionali per lo scambio di informazioni strutturate, come ad esempio lo standard MISP. Ciò consente anche un dialogo diretto con i sistemi SIEM aziendali.
  • L’esperienza sviluppata dal CERTFin in tal senso ha permesso di sviluppare un’efficace condivisione di indicatori di compromissione (IOC) e informazioni strutturate su frodi informatiche, organizzate per livelli di gravità e secondo un protocollo TLP.
  • È importante costruire un sistema di reportistica delle segnalazioni gestite, che consenta di estrarre resoconti periodici utili sia in chiave cyber threat intelligence, che in chiave di interpretazione dello scenario e adeguamento delle politiche di prevenzione e protezione aziendali.
  • Nel contesto della cybersecurity assume importanza fondamentale estendere lo scambio di informazioni oltre i confini del proprio settore industriale di appartenenza e della propria area geografica. Meccanismi di coordinamento inter-ISAC e/ o con analoghe realtà attive in altri Paesi sono da incentivare. In questo è strutturale il ruolo dell’ISAC nazionale come raccordo dei differenti ISAC settoriali e interfaccia di cooperazione internazionale.
  • Un tema di interesse che resta aperto è quello di determinare una modalità di misurazione dell’impatto delle iniziative di information sharing sulla cybersecurity, in modo da indirizzarne lo sviluppo e massimizzarne l’efficacia. Se infatti da un lato non ci sono dubbi sui benefici pratici derivanti dall’appartenenza ad un network di information sharing, dall’altro alcune variabili da considerare come “costo” sono sicuramente l’effort necessario per reperire e rendere disponibili le informazioni, così come la loro sensibilità aziendale.

L’incontro è stato poi occasione per lanciare una proposta di creazione di un ISAC dedicato esplicitamente alle PMI, contesto che si conferma particolarmente esposto a problemi di sicurezza delle informazioni e spesso poco rappresentato nell’ambito delle iniziative di sistema.

Un ISAC per le PMI consentirebbe di avere un punto di riferimento comune per aziende che spesso condividono problematiche più legate alla propria dimensione che al settore specifico di appartenenza e servirebbe da punto di aggregazione per la condivisione di esperienze di risposta ad incidenti e per un innalzamento collettivo del livello di consapevolezza su minacce in corso o prospettiche.

In considerazione della natura pubblico-privata della sua constituency, e del mandato istituzionale di supporto alle PMI conferitogli dal Ministero dello Sviluppo Economico, nonché delle competenze che può mettere a disposizione per la gestione delle iniziative correlate e delle comunicazioni da e verso l’Agenzia Nazionale di Cybersecurity, Cyber 4.0 rappresenta certamente un contesto operativo importante in cui avviare un ragionamento sull’opportunità di creare un ISAC per le PMI.

Sono disponibili le presentazioni del Webinar:

Luca Massarelli, Advisor Agenzia per la Cybersicurezza Nazionale, Information Sharing e Collaborazione Pubblico-Privato

Romano Stasi, Chief Operating Officer CERTFin, Information Sharing e Public-Private Partnership

Andrea Pugini, Security Governance & Data Protection Sogei, Sogei Information Sharing

E’ inoltre disponibile la registrazione dell’evento cliccando qui