La Direttiva europea 2016/1148, detta Direttiva NIS, su reti e sistemi informativi relativamente alle infrastrutture critiche e alle loro supply chain, ha un fine più ampio di quanto dichiarato nel titolo della Direttiva, ossia proteggere l’intero tessuto sociale ed economico degli Stati Membri da minacce cyber e dalle loro conseguenze. Per garantire l’efficacia di contrasto nel tempo, le leggi, devono essere adeguate all’evoluzione delle minacce stesse secondo un processo di miglioramento progressivo. Il NIS 2 è l’acronimo che identifica la Direttiva Europea su “Network and Information Systems” 2 di prossima approvazione, come miglioramento di quella corrente del 2016.
La conformità delle strutture critiche
Il tema delle minacce cyber è di estrema attualità da diversi anni. Considerate inizialmente solo tipiche del perimetro tecnologico, si sono velocemente insinuate dentro ogni attività quotidiana, fino a includere anche l’ambito legale a causa delle significative implicazioni nella vita di persone, aziende e governi. A livello legislativo si pone l’attenzione principalmente alle infrastrutture critiche, meglio se etichettate essenziali o importanti, ma il senso è proprio questo? L’infrastruttura critica è l’unica che si deve preoccupare della conformità? Vediamo i razionali di questo percorso, tra l’altro non esclusivo dell’Europa.
In anticipo sulla Direttiva europea NIS, nel 2013, negli USA viene emesso l’Executive Order 13636 che dà mandato al NIST, organismo federale di promozione dell’innovazione e della competitività industriale, di sviluppare un framework volontario costituito da standard, linee guida e pratiche per ridurre il rischio cyber alle infrastrutture critiche, attraverso la partecipazione condivisa di aziende private e pubbliche. Dietro questa azione, c’è la consapevolezza che per affrontare la minaccia cyber non è possibile farlo limitatamente a perimetri circoscritti, ma solo tramite la partecipazione attiva di tutti per condividere la conoscenza sulle peculiarità delle minacce e degli eventi di rischio. Il fronte di attacco riguarda l’intera rete Internet e tutti i sistemi ad essa collegati, indipendentemente dal loro valore o dalla loro funzione. Per l’attaccante ogni dispositivo può essere importante, o come bersaglio o come mezzo per agevolare l’attacco.
Le vulnerabilità “zero day”
Il timore principale è rivolto essenzialmente alle nuove minacce, al fatto che per le vulnerabilità “zero day” non esiste un rimedio immediato e sulla necessità di acquisire l’opportuna conoscenza, utile a definire un’efficace risposta difensiva per l’intero perimetro da proteggere. L’ampiezza della rete non rappresenta un punto di debolezza se il meccanismo di condivisione della conoscenza è funzionante. La nuova minaccia si può manifestare su un qualunque sistema connesso in rete, interna o esterna. Se il sistema attaccato comunica a tutti gli altri l’evento di incidente, crea conoscenza e da questa la possibilità di definire un rimedio utile per tutti. Viceversa, a non comunicare l’incidente, l’attaccante ha la possibilità di perfezionare la tecnica su sistemi non presidiati, e poi agire con originalità (e letalità) sui sistemi critici delle infrastrutture essenziali. Per questa necessità di conoscenza è indispensabile la partecipazione di tutti, infrastrutture critiche o meno.
A livello legislativo, l’obiettivo principale è riuscire a coinvolgere tutte le aziende a partecipare al fronte di difesa, agendo in due direzioni. La prima è il coordinamento delle azioni di difesa, istituendo opportuni organismi di governo del meccanismo di protezione, di raccolta segnalazioni incidenti e di indirizzo della reazione. La seconda è più difficile, è la creazione di condizioni che invoglino le aziende ad aderire spontaneamente. Imporre indiscriminatamente delle regole a tutti non produrrebbe alcun effetto, meglio quanto fatto finora, volto a promuovere la consapevolezza del rischio e dei benefici a cooperare nella difesa comune. Le aziende devono riuscire autonomamente a riconoscere il valore di un’attività che fornisce un rapporto costo/beneficio visibilmente favorevole alle aziende stesse. Solo in tal modo la partecipazione sarà la più ampia possibile.
La definizione del NIST Cybersecurity Framework
Questo indirizzo già si percepisce nella definizione del NIST Cybersecurity Framework (NIST CSF), sviluppato secondo dei requisiti forniti dalle aziende stesse, con delle caratteristiche stabilite dall’EO 13636 e riassumibili in:
- adottare un linguaggio comune
- adattabile alle esigenze
- promuovere le opportunità di collaborazione
- valutare la capacità implementativa e il rischio
- favorire la facilità di mantenimento della conformità
- garantire una catena di approvvigionamento sicura
- prestare attenzione alla efficienza dei costi.
L’obiettivo dichiarato è ridurre il rischio cyber delle infrastrutture critiche, ma è inclusivo anche delle loro supply chain. In tal modo, il coinvolgimento di altre aziende cresce in modo esponenziale, avvicinando alle tematiche del rischio cyber anche realtà che per dimensioni od obiettivi di business, ben difficilmente avrebbero una effettiva sensibilità sul tema.
La Direttiva NIS 2
Ritornando alla Direttiva NIS, ritroviamo la stessa sostanza concettuale, anche se con delle inevitabili differenze legate a una governance europea più complessa di quella americana. Il fine è lo stesso mentre la diversa declinazione e applicabilità delle regole è superabile nel tempo. La Direttiva NIS 2 migliora, e semplifica senza stravolgere, il modello di funzionamento già definito dalla Direttiva NIS e dal framework NIST.
In sintesi, a un’azienda viene richiesto di attuare un processo iterativo che consiste in:
- un’autovalutazione secondo il framework di cybersecurity adottato
- una valutazione del relativo rischio cyber
- l’implementazione delle misure individuate nel trattamento del rischio a seguito della gap analysis tra il profilo corrente e quello desiderato.
Il rischio valutato è nei confronti del raggiungimento degli obiettivi propri del business ed è intuitivo capire quanto questo processo sia legato al contesto specifico dell’azienda e non debba essere confuso con un banale riempimento di una generica checklist. Unica incombenza, in caso di incidente, è richiesta la tempestiva segnalazione al CSIRT, organo preposto alla raccolta delle segnalazioni degli incidenti di sicurezza e di intervento.
Autovalutazione
L’autovalutazione del proprio profilo di sicurezza avviene secondo un framework derivato dal NIST CSF con l’aggiunta di alcuni risultati attesi di conformità al GDPR, ossia quell’insieme minimo di regole di corretta gestione della privacy che ogni azienda deve aver ragionevolmente implementato. Questa valutazione iniziale è importante perché rende evidente al management quali sono le vulnerabilità proprie del business e permette di agire in funzione al rischio valutato rispetto agli obiettivi dell’azienda stessa. Quindi, le azioni identificate per il trattamento del rischio, per la loro caratteristica di essere quelle indispensabili agli obiettivi, rendono questo processo realmente cost-effective.
Framework
Il framework deve essere calato nel proprio contesto aziendale, considerando il completo perimetro di sicurezza informatica. Sicuramente, includendo i nostri sistemi gestionali, amministrativi e le tecnologie per governarli, ossia il classico IT, ma dobbiamo aggiungere anche tutti i sistemi di varia natura che concorrono al raggiungimento degli obiettivi di business, ossia le tecnologie note come operational technology (OT). La completezza del perimetro di protezione aziendale è ben definita dall’Executive Order 14028 del maggio 2021, il quale dichiara che “l’ambito della protezione e della sicurezza deve includere i sistemi che elaborano i dati (tecnologia dell’informazione (IT)) e quelli che gestiscono i macchinari vitali che garantiscono la nostra sicurezza (tecnologia operativa (OT))”. L’OT copre tutti gli apparati che in qualche modo sono collegati in rete per compiere funzioni operative o di controllo, ad esempio sistemi di controllo della linea di produzione, di un acquedotto, di una centrale elettrica, di una stazione ferroviaria, ma anche apparati di domotica, sistemi di videosorveglianza, apparati radiogeni, ascensori, e così via.
I tre pillars della Direttiva NIS
Quanto detto finora rappresenta ciò che un’azienda fa normalmente, magari usando un processo similare o altri framework, ma sostanzialmente già in atto per la propria protezione. La Direttiva NIS è focalizzata su tre pillars, “improving cybersecurity capabilities”, “developing cybersecurity risk management” e “encouraging information sharing”. I primi due sono già nella cultura della sicurezza informatica di ogni azienda, il terzo invece si ottiene aderendo, volontariamente o meno, al meccanismo di protezione proposto/imposto dalla Direttiva NIS. Ripensando al NIS 2, ma soprattutto ai fattori di rischio che hanno portato alla Direttiva NIS, vale la pena attendere di essere definiti infrastruttura critica per partecipare alla condivisione delle informazioni sugli incidenti di sicurezza informatica? Semplice, assolutamente no. Condivisione, significa far parte di un processo virtuoso che aiuta ad essere informati sulle nuove minacce, concorrere alle misure di contrasto e quindi, essere preparati ad affrontarle.
Conclusioni
Aderire in modo volontario alla Direttiva NIS, ispirandosi ai suoi principi guida, innanzitutto fa agire per la propria sicurezza senza stravolgere il piano definito internamente, qualunque esso sia. Anche se il NIS 2 introdurrà una differente tassonomia sulle infrastrutture critiche ed andrà ad ampliarne la definizione, operativamente, non ci sarà nulla in più di ciò che già fa un’azienda. Inoltre, si migliora il processo di conoscenza delle minacce, sia internamente all’azienda che esternamente. È un passo corretto per rendere vero il principio base della Direttiva NIS “ensuring a high common level of cybersecurity within the Union”. Poiché il principio è valido per l’intera Unione, lo sarà a maggior ragione per tutti i singoli partecipanti. Senza costi aggiuntivi ma a valore aggiunto per tutti.
