La risposta agli incidenti: una questione aperta

A cura di:Francesco Maldera Ore

Il 30 agosto scorso l’European Union Agency for Network and Information Security[i] (ENISA) ha pubblicato il rapporto annuale sugli incidenti rilevati nel 2017 dalle imprese fornitrici di servizi di comunicazione elettroniche[ii]. Il rapporto trova il suo fondamento giuridico nell’art. 13 bis della direttiva UE 140/2009[iii] che ha introdotto importanti elementi di novità nel quadro normativo europeo, rispetto alle reti ed ai servizi di comunicazione elettronica.

L’art. 13 bis della direttiva 140 è stato attuato, in Italia, dal Dlgs. 70 del 2012[iv] che ha introdotto gli articoli 16 bis e 16 ter nel Codice delle comunicazioni elettroniche[v]. A norma dell’articolo 16 bis, dunque, esiste un obbligo per gli operatori che gestiscono reti pubbliche di comunicazione di:

  • adottare le misure individuate dal Ministero dello Sviluppo Economico al fine di conseguire un livello di sicurezza delle reti adeguato al rischio esistente e di garantire la continuità della fornitura dei servizi su tali reti;
  • comunicare al Ministero ogni significativa violazione della sicurezza o perdita dell’integrità.

A sua volta, nel caso di violazioni della sicurezza significative, il Ministero dello Sviluppo Economico ha l’obbligo di:

  • informare le altre autorità nazionali competenti (per esempio, il Garante per la Protezione dei Dati Personali);
  • informare le autorità di altri Paesi Membri;
  • informare, direttamente o indirettamente (tramite lo stesso operatore interessato) gli utenti;
  • informare l’ENISA.

Incidente di sicurezza: quando è significativo?

L’ENISA, quindi, riceve dall’Italia e dagli altri Paesi Membri le informazioni relative agli incidenti di sicurezza che riguardano le reti di comunicazione.

Per agevolare l’efficacia e l’efficienza dei meccanismi di analisi e reporting, l’ENISA e le autorità competenti degli Stati Membri hanno stabilito le soglie di significatività degli incidenti di sicurezza che la stessa ENISA ha formalizzato nelle “Linee Guida per il Reporting degli Incidenti”[vi] e nelle “Linee Guida per le Misure di Sicurezza”[vii]. Le soglie sono definite in base a parametri di:

  • durata degli effetti dell’incidente;
  • rapporto percentuale tra la platea degli utenti che subiscono gli effetti dell’incidente ed il numero di utenti totali dell’operatore per l’ambito di riferimento (telefonia mobile, telefonia fissa, accesso ad Internet da mobile, accesso ad Internet da fisso, ecc.).

Un incidente è considerato significativo e, quindi, da segnalare all’ENISA, quando:

  • la durata è maggiore di un’ora e la percentuale di utenti coinvolti è superiore al 15%;
  • la durata è maggiore di due ore e la percentuale di utenti coinvolti è superiore al 10%;
  • la durata è maggiore di quattro ore e la percentuale di utenti coinvolti è superiore al 5%;
  • la durata è maggiore di sei ore e la percentuale di utenti coinvolti è superiore al 2%;
  • la durata è maggiore di otto ore e la percentuale di utenti coinvolti è superiore all’1%.

In ogni caso, l’incidente deve essere comunicato all’ENISA se il prodotto tra numero di utenti coinvolti e durata degli effetti è superiore a un milione (di ore‑utente).

I contenuti del rapporto

Il rapporto riguarda 169 incidenti segnalati, nel 2017, da 22 dei 28 paesi UE e da 2 paesi EFTA e propone alcuni elementi significativi:

  • gli incidenti hanno riguardato soprattutto i servizi mobili (telefonia e internet); in particolare, il 51% degli incidenti ha interessato la telefonia mobile ed il 49% ha interessato l’accesso mobile ad Internet (tenendo presente che un incidente può interessare più di un servizio);
  • gli incidenti sui servizi mobili, oltre ad essere più frequenti, hanno interessato, in media, un numero maggiore di utenti; in media, infatti, ogni incidente di questo tipo ha coinvolto circa mezzo milioni di utenti;
  • la causa più frequente è stata il malfunzionamento di infrastrutture dovuto a guasti hardware o bug software; il 62% degli incidenti è derivato da questo tipo di problemi;
  • l’errore umano è stato la causa che incidenti che hanno coinvolto, in media, il maggior numero di utenti; l’incidente causato dall’uomo ha avuto impatto, in media, su 1,2 milioni di utenti;
  • gli incidenti causati da malintenzionati esterni sono stati rari e hanno registrato una frequenza pari al 2,5% del totale;
  • sono aumentati, rispetto agli anni precedenti, gli incidenti causati da fenomeni naturali; la percentuale di questi incidenti, nel 2017, è stata pari al 18% mentre, nel periodo 2014‑2016, si era mantenuta stabile intorno al 5%.

Questi risultati ci dicono che la sicurezza delle infrastrutture di telecomunicazione è ampiamente migliorabile.

Occorre lavorare, in particolare:

  • sull’affidabilità dei sistemi hardware e software per ridurre drasticamente gli incidenti;
  • sulla progettazione di sistemi di backup che funzionino realmente e che, auspicabilmente, vengano testati periodicamente;
  • sulla robustezza dei sistemi per resistere agli errori umani;
  • sulla capacità dei sistemi di gestione di predire, prima di dare definitività ad ogni azione, le conseguenze di un errore umano, in termini di utenti coinvolti e di durata degli effetti;
  • sulla riduzione della vulnerabilità dei sistemi agli eventi naturali; una recente ricerca[viii] dell’Università dell’Oregon ha dimostrato, ad esempio, che tra 15 anni potrebbero essere sott’acqua, nei soli Stati Uniti, 2.000 km di fibra ottica a lungo raggio, 4.000 km di fibra ottica a corto raggio e 1.100 nodi di scambio.

Incidenti e violazioni

Esiste, inoltre, una significativa sovrapposizione tra alcune definizioni presenti nella normativa europea (poi applicata a livello nazionale):

  • l’ENISA, nell’applicare la Direttiva UE 140/2009, definisce incidente di sicurezza una violazione di sicurezza o una perdita di integrità che potrebbe avere un impatto sull’operatività delle reti e dei servizi di comunicazione elettronica;
  • il Regolamento UE 679/2016[ix] (la regolamentazione generale per la protezione dei dati personali) definisce violazione dei dati personali una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
  • la Direttiva UE 1148/2009[x] (la direttiva NIS poi applicata in Italia dal Dlgs. 65/2018[xi]) definisce incidente ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi.

Basterebbero queste sovrapposizioni lessicali per stimolare una riflessione allargata sull’effetto domino che un incidente di sicurezza nelle comunicazioni elettroniche genera e, quindi, sulla necessità di costruire meccanismi di riduzione dei rischi e di reazione (auspicabilmente coordinata) che siano il frutto di un’approfondita analisi da parte di tutte le autorità governative coinvolte (Agid, Agcom, Garante per la Protezione dei Dati Personali, CSIRT).

Cosa cambia con il nuovo codice delle comunicazioni

Questo aspetto corale è sottolineato dal nuovo Codice Europeo per le Comunicazioni Elettroniche[xii], che vedrà definitivamente la luce il prossimo novembre: all’art. 40 (sostitutivo dell’art. 13 bis della Direttiva UE 140/2009, cioè l’articolo che disciplina la comunicazione degli incidenti di sicurezza nelle reti e servizi di comunicazione elettronica) il Codice indica con precisione quali dovranno essere i parametri da valutare per determinare la rilevanza dell’impatto di un incidente di sicurezza:

  • il numero di utenti interessati dalla violazione;
  • la durata della violazione;
  • la diffusione geografica della zona interessata dalla violazione;
  • la misura in cui il funzionamento del servizio è perturbato;
  • l’incidenza sulle attività economiche e sociali.

Se i primi due parametri sono già considerati nell’attuale attività di reporting a cura dell’ENISA, per gli altri sarà necessaria un’attività coordinata di definizione delle soglie ma, prima ancora, di prevenzione diffusa affinché gli incidenti di sicurezza non rimangano una questione aperta.

Note

 

Articolo a cura di Francesco Maldera

Profilo Autore
Francesco Maldera

Francesco Maldera è Data Protection Officer e Data Scientist.
Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.
Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it

Altri Articoli
Condividi sui Social Network:

Articoli simili

Intervista a Tommaso Pecorella – Forum ICT Security 2019

Intervista a Tommaso Pecorella – Forum ICT Security 2019

A cura di:Redazione Ore Pubblicato il

20° Forum ICT Security Tommaso Pecorella – Ricercatore presso il Dipartimento di Tecnologie dell’informazione dell’Università degli Studi di Firenze Il 5G, pilastro dell’Industria 4.0, può complessivamente definirsi una tecnologia sicura. A presentare rischi di sicurezza è semmai la gestione dei dati raccolti dai sensori della galassia IoT – dai fitness tracker agli assistenti vocali –…

Valutare un servizio DDoS gestito – Cinque caratteristiche da ricercare per ottenere il massimo

Valutare un servizio DDoS gestito – Cinque caratteristiche da ricercare per ottenere il massimo

A cura di:Redazione Ore Pubblicato il

Gli argomenti a favore di un servizio di protezione e di mitigazione DDoS gestito sono più che assodati. Stringendo una collaborazione con un provider capace di monitorare le operazioni di sistema vi liberate da un grande peso in ambito IT, incrementate le risorse per lo staff e avete la possibilità di accedere a competenze specifiche…

Normativa sui Cookie: l’Italia adegua le linee guida e in Europa sanzioni da 100 milioni di euro a Google e 35 milioni per Amazon

Normativa sui Cookie: l’Italia adegua le linee guida e in Europa sanzioni da 100 milioni di euro a Google e 35 milioni per Amazon

A cura di:Stefano Luca Tresoldi Ore Pubblicato il

La normativa sui cookie può presentare sotto alcuni aspetti alcune complessità applicative anche in riferimento alla varietà delle norme applicabili, in quanto a seguito dei recenti pronunciamenti della Corte di Giustizia dell’Unione Europea (CGUE) 1 e delle Linee guida sul consenso adottate il 4 maggio 2020 dall’ EDPB2 si è reso necessario un nuovo intervento…

Stefano Bargellini – Intervista al Cyber Crime Conference 2016

Stefano Bargellini – Intervista al Cyber Crime Conference 2016

A cura di:Redazione Ore Pubblicato il

Stefano Bargellini Director of Safety, Security, Property and Facilities at Vodafone Italia Tavola Rotonda “La cooperazione pubblico-privato tra i SOC e le Istituzioni” La rivoluzione digitale che ha cambiato i paradigmi dell’economia e della società in Italia, in Europa e, in diversa misura in tutti i paesi del mondo, porta con sé, oltre a enormi…

L’impegno del Governo in materia di cybersecurity

L’impegno del Governo in materia di cybersecurity

A cura di:Redazione Ore Pubblicato il

L’Italia inizia ad occuparsi di sicurezza informatica con un approccio nazionale, strategico e accentrato, laddove finora questi problemi erano affidati a una selva di enti pubblici o soggetti privati. Con il DPCM del 24 gennaio 2013, pubblicato nella gazzetta ufficiale n° 66 del 19- 3-2013, il presidente del Consiglio e i ministri membri del Comitato…

Responsabile del trattamento o Data protection officer: c’è differenza?

Responsabile del trattamento o Data protection officer: c’è differenza?

A cura di:Avv. Cristina Vicarelli Ore Pubblicato il

Dopo la recentissima modifica[1] all’articolo 29 del Codice della privacy che ha riaperto il dibattito in ordine alla configurabilità (o sopravvivenza) del ruolo del responsabile interno anche in epoca successiva al 25 maggio 2018 (data in cui il Regolamento generale sulla protezione dei dati – di seguito anche solo Regolamento o RGPD- sarà pienamente applicabile),…