Cybersicurezza: le raccomandazioni dell'ANC sui prodotti legati alla Russia

Circolare Agenzia per la Cybersicurezza Nazionale (ACN) n. 4336 del 21 aprile 2022 - Diversificazione di prodotti e servizi tecnologici di sicurezza informatica.

Con la pubblicazione della circolare n 4336 del 21 aprile 2022 predisposta dall'Agenzia per la Cybersicurezza Nazionale (ACN) in attuazione dell'articolo 29, comma 3, del decreto-legge 21 marzo 2022,  n. 21, che si rivolge alle Pubbliche Amministrazioni, si raccomanda di intraprendere il prima possibile una strategia di diversificazione dei prodotti ad oggi forniti da provider legati alla Russia. 

Tra i fornitori a cui fare attenzione si citano ad esempio:

• Kaspersky Lab, 
• Positive Technologies 
• e Group IB

ed i relativi prodotti anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità «on-premise» o «da remoto».

Le raccomandazioni dell’Agenzia riguardano, in particolare di effettuare i seguenti passi:

1) censire dettagliatamente i servizi e  prodotti  di cui al paragrafo B) della presente circolare, analizzando gli impatti  degli aggiornamenti  degli stessi sull’operatività,  quali  i tempi di manutenzione necessari; 

2)  identificare  e  valutare  i  nuovi   servizi   e   prodotti, validandone  la  compatibilità con i  propri  asset, nonché' la complessità di gestione operativa delle  strutture di supporto in essere; 

3) definire, condividere e comunicare i piani di migrazione  con tutti i soggetti interessati a  titolo  diretto  o  indiretto,  quali organizzazioni interne alle amministrazioni e soggetti terzi; 

4) validare le modalità di esecuzione del piano di migrazione su asset di  test  significativi,  assicurandosi  di  procedere  con  la migrazione dei servizi e prodotti sugli asset più  critici  soltanto dopo la validazione di alcune migrazioni e con l'ausilio di piani  di ripristino a  breve  termine  al  fine  di  garantire  la  necessaria continuità operativa. Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione; 

5) analizzare e validare le  funzionalità  e  integrazioni  dei nuovi servizi e prodotti,  assicurando  l'applicazione  di  regole  e configurazioni  di  sicurezza  proporzionate  a  scenari  di  rischio elevati (quali, ad esempio, autenticazione  multi-fattore  per  tutti gli accessi privilegiati, attivazione dei  soli  servizi  e  funzioni strettamente necessari, adozione di principi di «zero-trust»); 

6) assicurare adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevendendo adeguato  supporto  per  l'aggiornamento  e  la revisione delle configurazioni in linea. 

Le Raccomandazioni sopra enumerate richiedono l’adozione di tutte le misure e le buone prassi di gestione di servizi informatici e del rischio cyber e, in particolare, tenendo  conto di quanto  definito dal Framework nazionale per la cybersecurity  e  la  data  protection, edizione 2019, realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza  di  Roma  e dal  Cybersecurity national lab del Consorzio interuniversitario nazionale per l'informatica (CINI), con  il  supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza.

La verifica della presenza di tali prodotti va compiuta non solo nelle strutture delle rispettive amministrazioni ma anche riguardo ai servizi erogati da fornitori per conto dell’amministrazione (es.: servizi esterni o attrezzature/strumenti/postazioni di lavoro interne gestite da terzi)

1) Agenzia per la Cybersicurezza Nazionale

Suddetta Circolare fa seguito a quanto prescritto attraverso il decreto-legge 21 marzo 2022, n. 21, a tutt’oggi in fase di conversione, contenente due articoli dedicati alla cybersecurity.

• L’articolo 27 che richiede alle aziende di presentare un piano annuale alla Presidenza del Consiglio dei Ministri con componenti, relative specifiche funzionali e fornitori possibili nel momento in cui volevano progettare e realizzare sistemi critici come architetture cloud o reti 5G. Da qui, poi, un controllo approfondito da parte del Centro Nazionale di Valutazione e Certificazione per verificare che venisse garantita la confidenzialità e l’integrità delle informazioni elaborate, con sanzioni fino al 3% del fatturato dell’azienda non adempiente.
• Il secondo articolo, il 28, seguiva le indicazioni dell’Agenzia per la cybersicurezza nazionale per ridurre il rischio dovuto all’invasione dell’Ucraina, vietando l’utilizzo di strumenti per la protezione di endpoint e web firewall forniti da aziende della Federazione Russa. L’Agenzia per la cybersecurity aveva pubblicato un avviso specificando che, a causa delle sanzioni, i produttori avrebbero potuto non essere in grado di aggiornare come richiesto gli strumenti.

Pertanto le funzioni di sicurezza da assicurare sono le seguenti: 

• la sicurezza dei dispositivi (endpoint security), compresi gli applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) e “web application firewall” (WAF).