Il Governo Draghi alza il tiro sulla cybersecurity e aumenta la quantità di soggetti da “blindare” nell’ambito del cosiddetto Perimetro cibernetico. Il Presidente del Consiglio ha dunque ufficialmente approvato la proposta del Comitato interministeriale per la sicurezza che prevede l’ampliamento dell’ambito di applicazione del perimetro ad ulteriori soggetti pubblici e privati rispetto a quelli precedentemente considerati, ossia di realtà che esercitano, attraverso reti, sistemi informativi e servizi informatici, 223 funzioni essenziali dello Stato, erogando servizi essenziali per il mantenimento di attività civili, sociali o economiche strategiche. Al contempo – si legge nella nota di Palazzo Chigi a seguita del disco verde di Draghi – si è provveduto ad un affinamento di alcune funzioni e servizi già ricompresi nel perimetro.
Nei prossimi giorni, il Dipartimento delle informazioni per la sicurezza provvederà a darne comunicazione agli interessati che, entro sei mesi, saranno tenuti a indicare reti, sistemi informativi e servizi informatici utilizzati per l’erogazione delle funzioni e dei servizi inclusi nel Perimetro.
Dal prossimo 23 giugno dovranno invece essere operativi i soggetti inseriti nella lista il 22 dicembre scorso che oltre ad applicare le misure di sicurezza dovranno notificare allo Csirt – il Computer Security Incident Response Team istituito presso il Dis – eventuali incidenti che si dovessero verificare. La lista delle misure di sicurezza e la tassonomia degli incidenti per cui il soggetto è tenuto a notificare sono state pubblicate l’11 giugno in Gazzetta Ufficiale (qui il provvedimento). Per permettere una adeguata organizzazione ai soggetti inclusi nel Perimetro per ottemperare alle procedure di notifica di incidenti, è prevista una fase sperimentale fino al 31 dicembre di quest’anno.
ECCO LA TIPOLOGIA DI INCIDENTI
Tassonomia degli incidenti
=====================================================================
|Identificativo| | |
|(incidente con| Categoria | Descrizione |
| impatto-ICP) | | |
+==============+=============+======================================+
| | |Infezione (Initial exploitation). Il |
| | |soggetto ha evidenza dell'effettiva |
| | Infezione |esecuzione non autorizzata di codice o|
| ICP-A-1 | (Initial |malware veicolato attraverso vettori |
| |exploitation)|di infezione o sfruttando |
| | |vulnerabilita' di risorse esposte in |
| | |rete. |
+--------------+-------------+--------------------------------------+
| | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| ICP-A-2 | |previsto nelle misure di sicurezza di |
| | |cui all'allegato B, in termini di |
| | |risorse di calcolo, memoria e/o banda |
| | |passante. |
+--------------+ +--------------------------------------+
| | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| ICP-A-3 | |previsto nelle misure di sicurezza di |
| | |cui all'allegato B, di hot-replica e/o|
| | |cold-replica e/o sito(i) di disaster |
| | |recovery, se previsti. |
+--------------+ +--------------------------------------+
| | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| | |previsto nelle misure di sicurezza di |
| ICP-A-4 | |cui all'allegato B, in termini di |
| | |indisponibilita', di perdita |
| | |irreversibile o di corruzione |
| | |irreversibile dei dati provenienti |
| | Guasto |dalle componenti di campo (attuatori e|
| | (Fault) |sensori). |
+--------------+ +--------------------------------------+
| | |Dati hot-replica e/o cold-replica e/o |
| ICP-A-5 | |sito(i) di disaster recovery e/o |
| | |backup, se previsti, persi o corrotti |
| | |in modo irreversibile. |
+--------------+ +--------------------------------------+
| ICP-A-6 | |Perdita di confidenzialita' o |
| | |integrita'. |
+--------------+ +--------------------------------------+
| ICP-A-7 | |Perdita e/o corruzione dati |
| | |irreversibile. |
+--------------+ +--------------------------------------+
| ICP-A-8 | |Perdita e/o compromissione di chiavi |
| | |di cifratura e/o certificati. |
+--------------+ +--------------------------------------+
| ICP-A-9 | |Perdita e/o compromissione di |
| | |credenziali utenti. |
+--------------+ +--------------------------------------+
| | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| ICP-A-10 | |previsto dalle misure di sicurezza di |
| | |cui all'allegato B, in termini di |
| | |impossibilita' di accesso fisico alle |
| | |componenti. |
+--------------+-------------+--------------------------------------+
| | |Ottenimento di privilegi di livello |
| | |superiore (Privilege Escalation). Il |
| ICP-A-11 |Installazione|soggetto ha evidenza dell'impiego non |
| | |autorizzato di tecniche, condotte |
| | |dall'interno della rete, utili ad |
| | |ottenere |
+--------------+-------------+--------------------------------------+
| | (Establish |permessi di livello superiore. |
| |persistence) | |
+--------------+ +--------------------------------------+
| | |Persistenza (Persistence). Il soggetto|
| | |ha evidenza dell'impiego non |
| ICP-A-12 | |autorizzato di tecniche, condotte |
| | |dall'interno della rete, utili ad |
| | |ottenere persistenza di codice |
| | |malevolo o d'accesso. |
+--------------+ +--------------------------------------+
| | |Evasione delle difese (Defence |
| | |Evasion). Il soggetto ha evidenza |
| ICP-A-13 | |dell'impiego non autorizzato di |
| | |tecniche attraverso cui sono stati |
| | |effettivamente elusi i sistemi di |
| | |sicurezza. |
+--------------+ +--------------------------------------+
| | |Comando e Controllo (Command and |
| ICP-A-14 | |Control). Il soggetto ha evidenza di |
| | |comunicazioni non autorizzate verso |
| | |l'esterno della rete. |
+--------------+-------------+--------------------------------------+
| | |Esplorazione (Discovery). Il soggetto |
| | |ha evidenza dell'impiego non |
| ICP-A-15 | |autorizzato di tecniche, condotte |
| | |dall'interno della rete, utili a |
| | |effettuare attivita' di ricognizione. |
+--------------+ +--------------------------------------+
| | |Raccolta di credenziali (Credential |
| | |Access). Il soggetto ha evidenza |
| | Movimenti |dell'impiego non autorizzato di |
| ICP-A-16 | laterali |tecniche utili ad acquisire, |
| | (Lateral |dall'interno della rete, credenziali |
| | Movement) |valide per l'autenticazione alle |
| | |risorse di rete o ne rinviene copie |
| | |non autorizzate. |
+--------------+ +--------------------------------------+
| | |Movimenti laterali (Lateral Movement).|
| | |Il soggetto ha evidenza dell'impiego |
| ICP-A-17 | |non autorizzato di tecniche utili ad |
| | |accedere o eseguire codice tra risorse|
| | |interne della rete. |
+--------------+-------------+--------------------------------------+
| | |Raccolta (Collection). Il soggetto ha |
| | |evidenza dell'impiego non autorizzato |
| ICP-A-18 | |di tecniche utili ad raccogliere, |
| | |dall'interno della rete, dati di |
| |Azioni sugli |interesse di terze parti o ne rinviene|
| | obiettivi |copie non autorizzate. |
+--------------+ (Action on +--------------------------------------+
| | objs) |Esfiltrazione (Exfiltration). Il |
| | |soggetto ha evidenza dell'impiego non |
| ICP-A-19 | |autorizzato di tecniche utili ad |
| | |esfiltrare dati dall'interno della |
| | |rete verso risorse esterne. |
+--------------+-------------+--------------------------------------+
TABELLA 2
====================================================================+
|Identificativo| Categoria | Descrizione |
+==============+=============+======================================+
| ICP-B-1 | |Inibizione delle funzioni di risposta |
| | |(Inhibit Response Function). Il |
| | |soggetto ha evidenza dell'impiego non |
| | |autorizzato di tecniche utili a |
| | |inibire l'intervento delle funzioni di|
| | |sicurezza, di protezione e di "quality|
| | |assurance" dei sistemi di controllo |
| | |industriale predisposte per rispondere|
| | |a un disservizio o a uno stato |
| | |anomalo. |
+--------------+ +--------------------------------------+
| | |Compromissione dei processi di |
| |Azioni sugli |controllo (Impair Process Control). Il|
| | obiettivi |soggetto ha evidenza dell'impiego non |
| ICP-B-2 | (Actions on |autorizzato di tecniche utili a |
| | objectives) |manipolare, disabilitare o danneggiare|
| | |i processi di controllo fisico di |
| | |sistemi di controllo industriale. |
+--------------+ +--------------------------------------+
| ICP-B-3 | |Disservizio intenzionale (Impact). Il |
| | |soggetto ha evidenza dell'impiego non |
| | |autorizzato di tecniche utili a |
| | |manipolare, degradare, interrompere o |
| | |distruggere i sistemi, i servizi o i |
| | |dati. In tale ambito rientrano ad |
| | |esempio gli eventi di tipo Denial of |
| | |Service/Distributed Denial of Service |
| | |che hanno impatto sui beni ICT. |
+--------------+-------------+--------------------------------------+
| ICP-B-4 | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| | |previsto nelle misure di sicurezza di |
| | |cui all'allegato B, specie in termini |
| | Disservizio |di disponibilita', del bene ICT. |
+--------------+ (Failure) +--------------------------------------+
| ICP-B-5 | |Divulgazione di dati corrotti o |
| | |esecuzione operazioni corrotte tramite|
| | |il bene ICT. |
+--------------+ +--------------------------------------+
| ICP-B-6 | |Divulgazione non autorizzata di dati |
| | |digitali relativi ai beni ICT. |
+--------------+-------------+--------------------------------------+
