Il CERT Nazionale. Nascita, sviluppo e aspetti operativi

Nel dicembre del 2013 l’Italia si è dotata per la prima volta di un documento strategico nazionale in tema di cyber- security composto da un “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”, teso a delineare i principi strategici della materia, e da un “Piano nazionale per la protezione cibernetica e la sicurezza informatica” volto a sviluppare le linee operative utili a dare concreta attuazione ai principi tracciati nel Quadro Strategico Nazionale. Attraverso il Piano Nazionale “l’Italia si dota di una strategia organica, alla cui attuazione sono chiamati a concorrere non solo gli attori, pubblici e privati, richiamati nel Quadro Strategico Nazionale ma anche tutti coloro che, su base quotidiana, fanno uso delle moderne tecnologie informatiche, a partire dal singolo cittadino. Tale strategia associa alla sua valenza organica un tratto di flessibilità, indispensabile a fronte delle rapide evoluzioni tecnologiche dello spazio cibernetico e delle relative sfide di sicurezza. La necessità, in sostanza, non è solo quella di essere “al passo con i tempi” ma anche di coglierne le “anticipazioni”, così da prevenire le future minacce atte a minare lo sviluppo economico, sociale, scientifico e industriale, nonché la stabilità politico-militare del nostro Paese”[1].
La 5a delle 11 direttrici operative tracciate nel Piano Nazionale prevede specificatamente la piena “Operatività del CERT nazionale, del CERT-PA e dei CERT dicasteriali”.

In questa intervista rivolta all’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM) che opera nell’ambito del Ministero dello Sviluppo Economico in qualità di suo organo tecnicoscientifico sotto la direzione della Dott.ssa Rita Forsi, e che ha avuto in carico la realizzazione e la gestione del nostro CERT Nazionale, approfondiremo gli aspetti operativi di questo fondamentale organo per la sicurezza cibernetica dell’Italia.

In cosa consiste oggi il CERT Nazionale?

Il CERT Nazionale supporta cittadini e imprese attraverso azioni di sensibilizzazione, di prevenzione e di coordinamento della risposta ad eventi cibernetici su vasta scala. I suoi principali obiettivi riguardano il rafforzamento delle capacità nazionali di contrasto alle minacce e agli incidenti cyber, fornendo supporto nel processo di mitigazione di eventuali crisi cibernetiche ai sensi del DPCM 24 gennaio 2013, e l’incremento della consapevolezza di imprese e cittadini.

Il CERT opera presso il Ministero dello Sviluppo Economico e l’Istituto Superiore delle comunicazioni e delle tecnologie dell’informazione fornisce il supporto operativo, potendosi avvalere di personale tecnico con esperienza pluriennale nel campo della sicurezza informatica.

Cosa ne pensate dell’incremento delle minacce e degli attacchi di cui si ha una sempre maggiore evidenza?

L’incremento delle minacce e degli attacchi cyber evidenzia la necessità di un rafforzamento dei meccanismi di risposta e degli strumenti di rilevazione e contrasto alle minacce. Parallelamente vanno incoraggiati un uso più consapevole dei servizi on-line da parte di cittadini e imprese e la cooperazione tra pubblico e privato.

L’Italia si sta muovendo in questa direzione. L’architettura nazionale per la protezione cibernetica e la sicurezza nazionale delineata nel DPCM 24 gennaio 2013 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale” rappresenta un passo molto importante con l’obiettivo di mettere a sistema le singole professionalità e competenze delineando ruoli e responsabilità delle istituzioni coinvolte.

Quali sono le attività operative che portate avanti?

La principale attività del CERT Nazionale è quella di predisporre una rete di contatti affidabili ed in un ambiente di reciproca fiducia con i quali condividere ogni tipo di informazione riguardante la sicurezza informatica in un ambito in cui il tempo è un fattore essenziale. A livello nazionale, accordi di collaborazione con il settore privato consentono di avere un punto di contatto diretto con i principali attori dei settori più delicati in termini di sicurezza informatica, dalla Telco, all’energia, al settore dei servizi.
A livello internazionale, il continuo scambio di informazioni con gli omologhi CERT consente di avere una vista privilegiata sugli eventi principali in termini di minacce ed incidenti.

Dall’altra parte il CERT è impegnato a predisporre un canale di comunicazione con tutti i cittadini.
La predisposizione del sito web (www.certnazionale.it) va in questa direzione e l’obiettivo, nel medio termine, è quello di renderlo sempre più capace di fornire contenuti al tempo stesso utili e di facili lettura per tutti. Operativamente il CERT Nazionale divulga informazioni su potenziali minacce informatiche che possano recare danno a imprese e cittadini.

A tale fine, il CERT effettua quotidianamente attività di monitoraggio di fonti aperte, gestione delle segnalazioni provenienti dalle Imprese e dai CERT pubblici nazionali e internazionali, elaborazione di report tecnici, predisposizione di contenuti di interesse generale.

Pensate al partenariato pubblico – privato per accrescere le capacità del CERT? se si, in che modo è possibile?

Riteniamo che la collaborazione con il settore privato sia essenziale per il conseguimento degli obiettivi del CERT nazionale. Per questo motivo già nella fase di progettazione del CERT nazionale sono state effettuate audizioni delle principali Imprese che gestiscono infrastrutture critiche informatizzate per un confronto sulle aspettative del settore privato e per sondare la disponibilità di collaborazione e le relativa modalità di implementazione.

Da giugno del 2014, ovvero dall’avvio delle attività del CERT nazionale, sono stati stipulati accordi di collaborazione con Imprese del settore TLC ed energetico che hanno visto la costituzione di un tavolo Tecnico permanente come punto di costante confronto con il settore privato. Lo scambio di informazioni su vulnerabilità e incidenti ed eventuali minacce, sugli sviluppi e sulle azioni per la mitigazione di un incidente informatico, iniziative di sensibilizzazione, formazione tecnica, eventi e incontri organizzati in tema di sicurezza informatica sono i punti salienti della collaborazione.

Lo strumento di collaborazione è una piattaforma di infosharing, che consente la condivisione in tempo reale delle criticità, accelerando anche la loro risoluzione.
Più si allargherà la cerchia delle Imprese aderenti all’Accordo, più l’azione del CERT nazionale aumenterà la sua efficacia. Molto più difficile è raggiungere le piccole e medie imprese. Oltre alla divulgazione di informazioni sul sito web, il CERT nazionale sta pianificando iniziative che possano arrivare anche alle PMI.

Che succede al verificarsi di una minaccia presso un attore nazionale?

Al verificarsi di una minaccia, come per esempio la presenza accertata di malware, piuttosto che la segnalazione di pagine di phishing o vulnerabilità di qualsiasi tipo, l’attore nazionale, sia esso un ISP o una azienda, viene prontamente avvertito. Il canale principalmente adottato è una e-mail firmata elettronicamente. In prima istanza viene avvertito l’ISP o gli ISP impattati dalla minaccia ed è per questo che una delle attività principali al momento consiste nell’ampliare la lista dei contatti ed instaurare un rapporto di reciproca fiducia con i gestori delle reti nazionali. Non è escluso che venga contattata direttamente l’azienda, ovvero il cliente finale, quando la minaccia sia particolarmente pericolosa o la dimensione o il tipo di azienda richieda una particolare attenzione.

Il CERT nazionale, inoltre, si fa carico di informare anche gli altri possibili attori che potrebbero essere interessati dalla minaccia suggerendo eventuali modalità di prevenzione o reazione.
Nel caso in cui la minaccia sia nei confronti di un soggetto della Pubblica Amministrazione viene invece prontamente avvertito il CERT-PA, così come se la minaccia abbia aspetti con risvolti di natura militare, il CERT-Difesa.

Se invece è una azienda ad aver subito un attacco, dove può rivolgersi e che tipo di informazioni deve fornire?

Qualunque soggetto può rivolgersi al CERT Nazionale attraverso il canale email, come ampiamente descritto sul sito istituzionale https://www.certnazionale.it La documentazione presente sul sito riporta anche i dettagli degli elementi minimi da fornire, quali una descrizione dettagliata dell’incidente, o della minaccia, il luogo e le modalità di rilevamento e qualsiasi altra informazione utile a circoscrivere ed individuare il problema.

E’ sempre suggerito, anche se non obbligatorio, l’utilizzo delle chiavi PGP per cifrare e autenticare i messaggi e consentire una più rapida verifica dell’attendibilità degli stessi.
Ovviamente le aziende che fanno parte del Tavolo Tecnico, hanno nella piattaforma di infosharing un canale privilegiato per le comunicazioni verso il CERT Nazionale.

L’impegno del CERT Nazionale è quello di utilizzare le informazioni ricevute con l’esclusivo obiettivo di neutralizzare la minaccia, ponendo la massima attenzione alla riservatezza della fonte.

Che tipo di interazioni ha il CERT Nazionale nel contesto Europeo?

Il CERT Nazionale è l’interfaccia verso tutti gli altri omologhi CERT dei Paesi Membri e con il CERT-EU. Lo scambio di informazioni e le richieste di supporto reciproco con i CERT europei (e, talvolta, internazionali) è già molto fitto.
Quello che si sta costruendo è un meccanismo virtuoso di reciproca fiducia attraverso il quale le informazioni possano fluire con velocità sempre maggiore ed il reciproco supporto che i CERT delle varie nazioni sono in grado di fornirsi vicendevolmente possa diventare un fattore di successo nell’ambito della sicurezza informatica.

Il CERT Nazionale rappresenta il punto di riferimento nazionale per la prevenzione, il monitoraggio, l’analisi e il coordinamento della risposta a incidenti informatici anche per i CERT europei ed extraeuropei.
E’ già consolidato un quotidiano scambio di informazioni con CERT esteri che prevede un’attenta analisi del CERT nazionale anche per individuare CERT pubblici nazionali, Istituzioni competenti e Imprese interessate dalle informazioni scambiate. Anche la partecipazione ai Cyber Exercise organizzati e coordinati dell’Agenzia Europea ENISA hanno visto la partecipazione del CERT nazionale come punto di contatto nazionale verso gli altri CERT europei.

Cosa si aspetta l’Europa dal CERT Italiano?

Il CERT Nazionale è organizzato sulla base delle Linee Guida dell’Agenzia Europea ENISA. La proposta di Direttiva NIS (Network Information Security), attualmente all’esame del Consiglio UE, prevede la costituzione di un CERT in ogni Stato Membro UE, requisiti che questo deve possedere e i meccanismi di cooperazione tra i CERT europei.

In Italia, già all’atto del recepimento della Direttiva 2009/140/CE che ha introdotto disposizioni sulla sicurezza e integrità delle reti, è stata prevista la costituzione del CERT nazionale presso il Ministero dello Sviluppo Economico. Nella progettazione e implementazione del CERT Nazionale si è tenuto conto anche dei requisiti richiesti nella proposta di Direttiva.

Quale pensate sia la scommessa più difficile da vincere nell’ambito della sicurezza cyber in Italia?

Sicuramente la prevenzione e una maggiore consapevolezza anche attraverso l’aumento della fiducia nelle relazioni tra tutti gli attori coinvolti.

NOTE

  1. Presidenza del Consiglio dei Ministri, “Piano nazionale per la protezione cibernetica e la sicurezza informatica”, 2013, pag. 5

A cura di ISCOM, Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione, Ministero dello Sviluppo Economico.

Articolo pubblicato sulla rivista ICT Security – Marzo 2015

Condividi sui Social Network:

Articoli simili