☎ : +39 3920719931

Le misure minime di sicurezza per le Pubbliche Amministrazioni: la nuova Circolare AgID n. 2/2017

E’ stata pubblicata sulla Gazzetta Ufficiale n. 103 del 5/05/2017 la Circolare AgID del 18/04/2017 n. 2/2017, contenente le “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, che sostituisce la precedente (e recente) Circolare AgID del 17.03.2017 n. 1/2017 (GU Serie Generale n.79 del 4/4/2017).

Va premesso a tal proposito che il comma 2, lettera a), dell’art. 14 -bis del D.Lgs. 7 marzo 2005, n. 82, noto anche come “Codice dell’Amministrazione Digitale” o “C.A.D.”, prevede tra le varie funzioni attribuite all’AgID anche quella di emanare regole, standard e guide tecniche, nonché quella di vigilare sul rispetto delle norme di cui al medesimo C.A.D., anche attraverso l’adozione di atti amministrativi generali, in materia di sicurezza informatica. Ebbene, la direttiva del 1° agosto 2015 del Presidente del Consiglio dei ministri, che impone l’adozione di standard minimi di prevenzione e reazione ad attacchi cibernetici, individua nell’AgID l’organismo che dovrà rendere prontamente disponibili gli indicatori degli standard di riferimento. E pertanto l’AgID ha provveduto a emanare la circolare n. 2/2017 allo scopo di contrastare le minacce più comuni e frequenti cui sono soggetti i sistemi informativi delle PA.

Le misure minime sono indicate nell’Allegato 1 alla circolare, mentre l’Allegato 2 contiene il modulo in cui andranno sinteticamente descritte le modalità di implementazione di siffatte misure.  Il modulo di implementazione dovrà essere firmato digitalmente con marcatura temporale dal responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie di cui all’art. 17 del C.A.D. (o, in sua assenza, dal dirigente allo scopo designato), e dal responsabile legale della struttura. Dopo la sottoscrizione esso deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell’incidente stesso.

Le PA hanno l’obbligo di implementare le misure minime e di adempiere ai pertinenti obblighi tecnologici e organizzativi entro il 31/12/2017.

L’emanazione della circolare n. 2/2017 è tanto più indispensabile e rilevante posto che le PA, di recente, sono divenute bersaglio specifico di alcune tipologie di attaccanti particolarmente pericolosi. Talora si tratta di soggetti spinti da motivazioni politiche ed ideologiche. Talora però si tratta di gruppi organizzati, non solo di stampo propriamente criminale e in tal caso gli attacchi sono più massicci e sofisticati e mirano al “mascheramento” dell’attività, che in tal modo può procedere senza destare sospetti.

Le misure minime quindi, oltre a tenere nella massima considerazione le difese tradizionali come antivirus e firewall, pongono l’accento sulle misure rivolte ad assicurare che le attività degli utenti rimangano sempre all’interno dei limiti previsti. Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi.

La circolare prevede tre diversi livelli di attuazione:  il livello minimo stabilisce i criteri di base ai quali ogni PA deve essere conforme, in termini tecnologici, organizzativi e procedurali. I livelli successivi prevedono strumenti di protezione più completi.

Fondamentale risulta l’insieme di controlli noto come “SANS 20” pubblicato dal “Center for Internet Security” come CCSCCIS Critical Security Controls for Effective Cyber Defense” nella versione 6.0 di ottobre 2015. L’elenco dei 20 controlli in cui esso si articola, normalmente riferiti come “Critical Security Control” (CSC), è ordinato sulla base dell’impatto sulla sicurezza dei sistemi: ciascun controllo precede tutti quelli la cui implementazione innalza il livello di sicurezza in misura inferiore alla sua.

È comune convinzione che i primi 5 controlli siano quelli indispensabili per assicurare il minimo livello di protezione nella maggior parte delle situazioni e da questi si è partiti per stabilire le misure minime di sicurezza per le PA.

Occorre inoltre osservare che il CCSC è stato concepito essenzialmente nell’ottica di prevenire e contrastare gli attacchi cibernetici, ragione per la quale non viene data particolare rilevanza agli eventi di sicurezza dovuti a casualità come guasti ed eventi naturali.

In estrema sintesi le otto classi di controlli possono essere rappresentate come di seguito:

  1. inventario dei dispositivi hardware autorizzati e non autorizzati in modo che l’accesso sia dato esclusivamente ai dispositivi autorizzati, negandolo viceversa a quelli non autorizzati;
  2. inventario dei software autorizzati e non autorizzati, in modo che sia installato ed eseguito solo software autorizzato, negando installazione o esecuzione al software non autorizzato (per es. programmi “pirata” o privi di licenza);
  3. proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server;
  4. analisi, individuazione, valutazione e correzione continua della vulnerabilità per correggere e minimizzare la finestra di opportunità per gli attacchi informatici;
  5. uso appropriato dei privilegi di amministratore, posto che devono esistere regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi;
  6. protezione contro i malware, ottimizzando nel contempo l’utilizzo dell’automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive
  7. procedure e strumenti di backup in modo da consentirne il ripristino in caso di necessità;
  8. protezione dei dati tramite procedure, strumenti e sistemi necessari per evitare l’esfiltrazione dei dati e garantirne riservatezza, integrità e disponibilità.

Va chiarito fin da subito che tali misure non sono alternative rispetto a quelle previste dall’art. 31 e seguenti del “Codice in materia di protezione dei dati personali” e meglio specificate nel “Disciplinare tecnico in materia di misure minime di sicurezza” di cui all’Allegato B al Codice stesso. Anzi devono necessariamente integrarsi con queste ultime e con altri accorgimenti e cautele prescritti dal Garante per la protezione dei dati personali, per es. con i Provvedimenti a carattere generale rubricati “Lavoro: le linee guida del Garante per posta elettronica e internet” (G.U. n. 58 del 10 marzo 2007 [doc. web n. 1387522]) e “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008” (G.U. n. 300 del 24 dicembre 2008 [cfr. doc. web n. 1577499 e le successive modifiche in doc. web n. 1626595]). 
Esse dovranno inoltre integrarsi coi nuovi obblighi di sicurezza previsti nel Regolamento Europeo n. 2016/679 sulla protezione dei dati personali, e cioè “General Data Protection Regulation” o GDPR, con particolare riferimento all’analisi dei rischi, al piano di rientro per contrastare i rischi, l’analisi degli impatti, la notifica del “data breach” (la c.d. “violazione dei dati” che imporrà anche una specifica procedura per la gestione degli incidenti informatici), le policy di sicurezza o disciplinari interni, le procedure di backup, i piani di disaster recovery e di business continuity. E infatti, ex art. 32, paragrafo 1, GDPR, devono essere adottate ed efficacemente attuate misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Dal che è dato inferire anche le misure minime di sicurezza per i settori ICT delle PA dovranno probabilmente esser aggiornate in previsione della definitiva entrata in vigore del GDPR prevista per il 28 maggio 2018.

Condividi