La neoistituita Agenzia per la Cybersicurezza Nazionale con la circolare n. 4336 del 21 aprile 2022 ha dato attuazione alle misure elaborate dal Governo per contrastare i possibili effetti negativi della crisi Russo-Ucraina sulla dotazione informatica in uso presso le pubbliche amministrazioni.
Il prolungarsi della crisi tra Russia e Ucraina ha portato all’attenzione in maniera sempre più evidente la rilevanza della dipendenza dell’economia di molti Paesi dalla “catena” (c.d. supply chain) di forniture di beni e servizi essenziali (vedi la crisi energetica e quella agroalimentare).
Il tema investe in maniera trasversale la fornitura di diversi beni e servizi, tra cui anche quelli parte del settore tecnologico, ed in particolare i prodotti e servizi informatici, oggi ampiamente diffusi in tutto il mondo e inevitabilmente interessati dal conflitto in corso.
Ne è prova il sensibile aumento di attacchi informatici che sarebbero stati veicolati da attori russi verso obiettivi localizzati in occidente, i quali avevano già mostrato la sensibilità della questione dell’approvvigionamento dei beni ICT nel dicembre 2020, a proposito del noto attacco alla società di sviluppo software SolarWinds. In tale occasione, i criminali, veicolando il codice malevolo attraverso gli aggiornamenti dell’applicazione Solarwinds Orion (per maggiori dettagli sulle modalità qui), riuscirono a compromettere le reti e le risorse informatiche dei clienti dell’azienda, tra cui rientravano anche alcune infrastrutture critiche e governative statunitensi.
L’attuale conflitto ha dato modo di tornare sul tema della sicurezza della supply chain IT. Il Governo italiano, il 21 marzo 2022, è intervenuto sugli effetti economici e umanitari derivanti dalla crisi in atto, disponendo misure urgenti a tal fine con il decreto-legge numero 21, convertito in legge 5 aprile 2022, n. 28.
In particolare, la protezione della filiera tecnologica nazionale trova spazio al Capitolo II della decretazione, rubricato “Cybersicurezza delle reti, dei sistemi informativi e dei servizi informatici e approvvigionamento di materie prime critiche”. L’art. 30 dispone che l’individuazione delle materie prime critiche, su cui vige un obbligo di notifica in caso di trasferimento fuori dell’UE (es. i rottami ferrosi, anche non originari dell’Italia), avvenga con un apposito DPCM. Mentre, l’art. 29, prevede una serie di misure volte a rafforzare la cybersicurezza della pubblica amministrazione facendo rinvio ad una circolare dell’Agenzia per la Cybersicurezza Nazionale (ACN) per quanto riguarda la definizione dei criteri di “diversificazione” dei prodotti e servizi tecnologici di sicurezza informatica legati alla Federazione Russa «che non siano in grado di fornire servizi e aggiornamenti in conseguenza della crisi in Ucraina».
L’Agenzia è così intervenuta il successivo 21 aprile diffondendo la circolare n. 4336 pubblicata in Gazzetta Ufficiale il 26 aprile 2022, ove sono state indicate le categorie di prodotti e servizi tecnologici di sicurezza informatica per le quali le pubbliche amministrazioni devono provvedere alla loro sostituzione.
Precisiamo che il dettato dell’art. 29, comma 3, d.l. 21/2022, già anticipava che tali beni e servizi sarebbero stati individuati tra quelle categorie volte ad assicurare:
- le funzioni di sicurezza dei dispositivi (c.d. endpoint security), compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR);
- le “Web application firewall” (WAF).
Con la menzionata circolare, l’Agenzia ha precisato che, indipendentemente dalle modalità con la quale sono stati acquistati (tramite canale di rivendita indiretta e/o anche accordi quadro), e dalla loro erogazione (“on-premise” o da remoto), sono parte del primo gruppo le categorie di prodotti e servizi della nota società Kaspersky Lab e della società Group-IB, mentre nel secondo gruppo sono stati individuati i prodotti e servizi della società Positive Technologies.
Il disposto prosegue anche con alcune indicazioni procedurali ove viene raccomandato a tutte le amministrazioni pubbliche di adottare le misure e le buone prassi di gestione dei servizi informatici tenendo conto di quanto definito dal Framework nazionale per la Cyberisecurity e data protection del 2019 (elaborato dai centri di ricerca CIS e CINI, il documento costituisce un modello di gestione integrata che coniuga la protezione dei dati personali con la cybersicurezza), la cui osservanza era già stata raccomandata ai soggetti afferenti al Perimetro Nazionale di Sicurezza Cibernetica con il DPCM 81/2021.
Infine, la circolare descrive il processo di diversificazione, articolato in sei passaggi che ripercorrono il tipico processo di gestione del rischio la cui metodologia è nota nelle normative tecniche di sicurezza informatica e delle informazioni.
Pare, inoltre, opportuno osservare che a seguito dei recenti attacchi informatici verso alcuni siti istituzionali italiani, pubblicamente rivendicati da attori malevoli di matrice russa (c.d. public attribution), il 12 maggio 2022, il Computer Security Incident Response Team Italiano (CSIRT), in qualità di Gruppo di intervento responsabile, tra le diverse funzioni, di fare “sensibilizzazione situazionale”, ha pubblicato un’analisi delle principali vulnerabilità sfruttate nella conduzione di tali attacchi e relative misure di mitigazione, al fine di innalzare la resilienza delle infrastrutture digitali nazionali, tra cui vi rientrano certamente anche quelle in uso presso le pubbliche amministrazioni.
Il documento deve pertanto considerarsi integrativo rispetto a quanto raccomandato dall’ACN nella circolare menzionata.
In conclusione, non possiamo che notare che sebbene allo stato attuale l’Italia non disponga ancora di sufficienti capacità, né di mezzi tecnologici e industriali per garantire autonomamente la sicurezza della propria economia e delle proprie infrastrutture critiche, la diversificazione delle risorse informatiche della p.a., attuata con la citata circolare, ha dato avvio al piano di conseguimento «dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali […]», quale processo rientrante tra gli obiettivi della neoistituita Agenzia per la Cybersicurezza Nazionale, ai sensi dell’art. 7 del d.l. 82/2021, convertito in l. 109/2021.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale