Principi traversali di indirizzo e buone pratiche per sventare gli attacchi informatici: la circolare dell’ACN per le PA

L’Agenzia nazionale per la cyber security adotta il 21 aprile 2022 un’importantissima circolare (vigente al 26/04/2022), che potrà essere aggiornata, per fornire alle pubbliche amministrazioni delle buone pratiche per evitare di incorrere in rischi informatici. Pubblicata nella Gazzetta Ufficiale della Repubblica italiana e disponibile sul sito del Governo per assicurarne un’ampia conoscenza nell’intero territorio nazionale, la circolare dell’ACN introduce raccomandazioni alle pubbliche amministrazioni in materia di cyber security.

Leggi anche > Cybersicurezza: si aggiunge in Italia un altro Polo per prevenire i pericoli informatici

L’ACN adotta la circolare n. 4336/2022 per introdurre raccomandazioni alle pubbliche amministrazioni e limitare i rischi informatici

L’Agenzia Nazionale per la cybersecurity, di cui vi abbiamo più volte parlato, ha adottato lo scorso 21 aprile una circolare che illustra le buone pratiche suggerite alla pubblica amministrazione per la sicurezza informatica. La circolare è la numero 4336 ed è vigente da ieri, 26 aprile 2022. L’Agenzia, infatti, è stata creata con l’adozione del D.L. 14 giugno 2021, n. 82, che ha ridefinito l’architettura nazionale cyber e istituito l’Agenzia per la Cybersicurezza Nazionale (ACN) con lo scopo di proteggere gli interessi nazionali nel campo della cybersicurezza. Questa Autorità nazionale ha la funzione di assicurare il coordinamento tra i vari soggetti pubblici coinvolti nell’ambito cyber security, la definizione e l’attuazione di attività comuni per garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale dell’Italia. Con la circolare n. 4337 del 21/04/2022, l’Agenzia interviene per raccomandare alle amministrazioni pubbliche di cui all’articolo 1, comma 2 del decreto legislativo n. 165 del 2021, alcune buone pratiche per garantire la sicurezza informatica del nostro Paese, ricordando che il Governo ha ritenuto urgente assicurare il rafforzamento delle misure per la sicurezza, la difesa nazionale, le reti di comunicazione elettronica e degli approvvigionamenti di materie prime: «l’art. 29, secondo il combinato disposto dei commi 1 e 3, prevede che l’individuazione dei prodotti e servizi da diversificare avvenga in relazione alle categorie indicate con circolare dell’Agenzia per la cybersicurezza nazionale tra quelle volte ad assicurare le seguenti funzioni di sicurezza: a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR); b) «web application firewall» (WAF)». La circolare ha lo scopo, dunque, di indicare le categorie di prodotti e servizi tecnologici di sicurezza informatica per le quali le pubbliche amministrazioni dovranno procedere a diversificazione delle categorie di prodotti e servizi tecnologici di sicurezza informatica elencate nella stessa.

Le raccomandazioni

Nell’ultima parte della circolare, l’Agenzia – alla voce «raccomandazioni procedurali» – raccomanda alle pubbliche amministrazioni «anche in relazione alla precisa conoscenza dei propri asset (reti, sistemi informativi e servizi informatici) e degli impatti degli stessi sulla continuità dei servizi e della protezione dei dati, di adottare tutte le misure e le buone prassi di gestione di servizi informatici e del rischio cyber e, in particolare, di tenere conto di quanto definito dal Framework nazionale per la cybersecurity e la data protection, edizione 2019, realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l’informatica (CINI), con il supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza». In particolare, l’Agenzia raccomanda di censire nel dettaglio i servizi e prodotti interessati nonché i tempi di manutenzione necessari, di identificare e valutare i nuovi servizi e prodotti, di definire, condividere e trasmettere i piani di «migrazione con tutti i soggetti interessati a titolo diretto o indiretto», di convalidare le modalità con cui verrà eseguito il piano di migrazione (che è il processo con cui vengono trasferiti i dati da un sistema ad un altro) «su asset di test significativi» – affinché non venga mai interrotta «la funzione di protezione garantita dagli strumenti oggetto della diversificazione» -, di applicare regole e «configurazioni di sicurezza proporzionate a scenari di rischio elevati» (come, ad esempio, l’autenticazione multi-fattore per gli accessi privilegiati, l’attivazione dei soli servizi e funzioni strettamente necessari, adozione di principi di «zero-trust»), e infine di assicurare un controllo stringente sui nuovi prodotti e servizi, con previsione di un supporto adeguato per aggiornamenti e revisioni delle configurazioni.

L’Agenzia conclude raccomandando alle pubbliche amministrazioni di applicare principi trasversali di indirizzo, come quello della «gestione del rischio», per individuare, valutare e mitigare i rischi «di diversa fattispecie che concorrono nell’attuazione della diversificazione dei servizi», nonché di controllare sempre i canali istituzionali di comunicazione dell’Agenzia per la cybersicurezza nazionale.

Foto IPP/Mario Romano