GENNAIO 2025
La relazione dell’Agenzia per la cybersecurity nazionale (Acn) al Parlamento relativa al 2023 parla dei risultati raggiunti e degli investimenti effettuati nell’ambito della sicurezza.
Il 2024 sarà un anno transitorio. Si recepirà la Nis 2 e si implementerà lo schema europeo di certificazione di prodotto per la cyber-security a seguito della pubblicazione dello schema da parte della Commissione europea, avvenuto all’inizio di quest’anno. Con questo arriveranno anche uno schema specifico per il 5G e uno per il cloud. Ne seguiranno altri, suddivisi per tecnologia e per campo di applicazione.
Lo schema di certificazione per la cyber-security di prodotto basato sui Common criteria (Eucc) di livello europeo è stato pubblicato il 31 gennaio 2024. Copre livelli definiti sostanziali o alti: i certificati Eucc di livello sostanziale corrispondono a quelli che coprono i livelli 1 e 2 degli Ava_Van, ossia i livelli di sicurezza delle analisi di vulnerabilità collegate ai Common criteria. I certificati Eucc di livello alto corrispondono a quelli che coprono i livelli 3, 4 e 5 degli Ava_Van. I certificati saranno basati su protection profile come già previsto dallo standard dei Common criteria.
Nel frattempo, dodici sono i certificati Common criteria emanati dall’Ocsi, l’Organismo di certificazione della sicurezza informatica, operante ora all’interno della Acn, nel 2023, in attesa che lo schema europeo abroghi definitivamente lo schema nazionale di certificazione Common criteria emanato del 2003 e oggi ancora operativo.
Sono più di cento i procedimenti Cvcn di scrutinio realizzati nel 2023 per l’impiego di prodotti dell’Ict su servizi del Psnc, mentre sono circa 180 le valutazioni tra tecnologia 5G, notifiche con profili di cyber-security e pre-notifiche realizzate dal Cvcn in applicazione del golden power.
Accanto a questi obiettivi raggiunti fa capolino un altro risultato positivo: l’accreditamento dei laboratori di prova che affiancheranno il Cvcn nelle attività di verifica e certificazione. Cinque laboratori sono ad oggi in corso di valutazione. Tale processo richiede un significativo investimento da parte delle aziende in termini economici e strutturali, nonché di risorse umane. La Acn ha ammesso 27 aspiranti laboratori alla possibilità di un finanziamento in ambito Pnrr per coprire le spese del procedimento di accreditamento. Tuttavia il poco personale disponibile sul mercato per svolgere il ruolo professionalmente rilevante di valutatore disincentiva molto le aziende.
Per quanto riguarda la situazione degli attacchi, il report Clusit evidenziava come nel 2023 il settore più colpito sia stato quello governativo-militare con il 19% degli attacchi, seguiva il comparto manifatturiero con il 13% delle violazioni. Il 30% circa di attacchi viene invece evidenziato nella relazione Acn come indirizzato a Pa locali e centrali, mentre qui il settore manifatturiero risulta target al 4% e le telecomunicazioni hanno il primato con un 20% secco di attacchi. La quantità di attacchi alla Tlc denuncia che sta proseguendo quello che potremmo chiamare un dislocamento di truppe cibernetiche nei sistemi dell’infrastruttura che, insieme a quella energetica, è la più critica.
Quest’ultima scende, rispetto agli anni passati, al circa 6%, attestandosi su valori che ricordano sempre il dislocamento di truppe cibernetiche pronte all’uso, ma con una maggiore capacità che potremmo definire chirurgica.
(da Airpress n. 155, maggio 2024)
Luisa Franchina
(Newletter AIIC n. 06 (2024))
