Le PA sono chiamate a diversificare i prodotti e servizi tecnologici di sicurezza informatica, per contrastare l’incremento di rischi determinato dall’attuale contesto di crisi internazionale, venutosi a determinare dopo lo scoppio del conflitto in Ucraina.
È quanto prevede la circolare dell’Agenzia dell’Agenzia per la Cybersicurezza Nazionale relativa all’articolo 29 comma 3 del DL 21 marzo 2022, n. 21 (“Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina”).
Pubblicata in Gazzetta il 26 aprile, la circolare di Acn prevede che le amministrazioni sostituiscano le soluzioni di fornitori legati alla Russia, in quanto questi stessi fornitori potrebbero non riuscire a “fornire servizi e aggiornamenti ai propri prodotti”. Nel dettaglio si citano i prodotti di Kaspersky Lab, Group IB di Positive Technologies.
Sei le raccomandazioni per le PA contenute nel documento firmato dal direttore dell’Agenzia, Roberto Baldoni:
- censire prodotti e servizi indicati nella circolare e analizzare “gli impatti degli aggiornamenti degli stessi sull’operatività, quali i tempi di manutenzione necessari”,
- Individuare nuovi servizi e prodotti e farne una valutazione, considerando sia che siano compatibili con i propri asset e la “complessità di gestione operativa delle strutture di supporto in essere”,
- Occuparsi della definizione, condivisione e comunicazione dei piani di migrazione,
- Validare i modi per eseguire il piano di migrazione “su asset di test significativi, assicurandosi di procedere con la migrazione dei servizi e prodotti sugli asset più critici soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani di ripristino a breve termine al fine di garantire la necessaria continuità operativa”, spiega la circolare. Si chiarisce anche che il piano di migrazione “dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione”,
- Condurre analisi e validazione delle funzioni e integrazioni dei nuovi prodotti e servizi scelti, “assicurando l’applicazione di regole e configurazioni di sicurezza proporzionate a scenari di rischio elevati”. Tra questi rientrano autenticazione multi fattore per ogni accesso privilegiato, attivare solo funzioni necessarie e adottare principi di zero-trust,
- Garantire monitoraggio e audit dei nuovi prodotti, con la previsione di un adeguato sostegno per gli aggiornamenti e le revisioni delle configurazioni.
Passare subito all’azione
Le aziende di cybersecurity chiedono di passare subito all’azione.“Anche in relazione alle inedite sfide determinate dal conflitto in Ucraina, l’Agenzia per la Cybersicurezza nazionale, con la circolare appena pubblicata, amplia il novero di fornitori i cui prodotti e servizi dovranno essere rapidamente oggetto di diversificazione da parte delle Pubbliche Amministrazioni – commenta Marco Comastri, ceo di Tinexta Cyber – Nondimeno, raccomanda alle stesse di adottare tempestivamente tutte le opportune misure e prassi di gestione dei servizi informatici e del rischio cyber. Ma, per gli enti pubblici, come passare rapidamente dalla teoria alla pratica? Non si tratta, infatti, di sostituire banalmente un prodotto con un altro, magari con capacità esclusivamente reattiva in caso di tentativi malevoli, ma occorre un approccio che porti alla definizione di una strategia di cybersecurity preventiva. In quest’ottica, anche per la corretta allocazione degli investimenti, il primo passo è valutare in modo puntuale le aree critiche” .
“È un processo complesso e delicato che richiede un accurato piano di migrazione per ottenere l’auspicato livello di mitigazione del rischio, ottimizzando tempi e risorse. Per implementarlo servono competenze e capacità di visione cyber complessiva- sottolinea Comastri – Occorre, dunque, agire con urgenza ma senza frenesia e ricorrere a un’attività di advisory che consenta sia la corretta valutazione preliminare delle reali vulnerabilità del perimetro di sicurezza informatica sia l’individuazione e personalizzazione – in relazione alle peculiarità dei diversi contesti amministrativi – delle soluzioni più idonee per livello di rispondenza agli standard tecnologici europei, integrabilità con gli altri sistemi in uso nell’organizzazione e compliance con le norme comunitarie e nazionali”.
