L’aggiornamento della tabella degli incidenti da notificare entro 6 ore al CSIRT Italia ha portato la novità degli accessi privilegiati sotto sorveglianza.
La nuova tassonomia incidenti IC-PA-20: visione integrata del “duty of care”
L’aggiornamento della tabella degli incidenti da notificare entro 6 ore al CSIRT Italia ha introdotto una fattispecie di estrema rilevanza: l’ICP-A-20. Questa categoria include “l’accesso non autorizzato o con abuso dei privilegi concessi”, notificabile quando vi sia evidenza, anche sulla base di parametri quali-quantitativi, di un accesso dall’interno della rete a dati digitali senza autorizzazione o con abuso delle credenziali concesse. Con una comunicazione diretta ai destinatari, l’Agenzia per la Cybersicurezza Nazionale chiarisce sin da subito che non si tratta solo di un aggiornamento nominale, che si limita a richiedere l’aggiornamento del solo elenco dei fatti suscettibili di notifica, ma che si tratta di una sostanziale innovazione. Essa, infatti, implica non solo l’obbligo di una tempestiva notifica, ma evidenzia la necessità di leggere l’evento che determina l’obbligo di notifica come l’approdo di una ben più ampia ricognizione del modo in cui un’organizzazione si pone di fronte alla gestione degli accessi privilegiati e al loro monitoraggio, centrale per la sicurezza delle infrastrutture ICT e la compliance normativa.
Certamente la notifica ha un suo rilievo sistemico, ma l’aspetto più rilevante è quello di spostare l’attenzione da una logica puramente reattiva all’incidente ad una visione sistemica, che chiama le organizzazioni alla necessità di un monitoraggio costante e sofisticato degli accessi privilegiati. Ma non solo.
La nuova tassonomia, al momento dedicata alle entità del Perimetro della Sicurezza Nazionale Cibernetica, si inserisce in un contesto normativo in continua espansione che impone ai soggetti che sono interessati dalle diverse obbligazioni di conformità (del Perimetro di Sicurezza Nazionale Cibernetica, NIS2 e DORA, per citare le principali) un duty of care, o meglio, per chi è più incline alla visione penalistica del reato omissivo, un “dovere di protezione” particolarmente ampio e rigoroso, che affonda le proprie radici nei principi costituzionali tra cui, in particolare, l’articolo 41.
In altre parole, questi soggetti, in virtù della loro rilevanza strategica per l’economia e la società, sono chiamati a proteggere beni e servizi di elevato interesse pubblico, assumendosi una responsabilità che va ben oltre la semplice tutela dei propri asset aziendali, in base al principio secondo cui la libertà d’impresa non può andare contro l’utilità sociale o in modo di recare danno alla sicurezza, alla libertà, alla dignità umana.
La legge, quindi, preordina, per determinati soggetti – e, come si è visto, non pochi, con le opportune declinazioni e varianti – i necessari controlli per il rispetto dell’obbligo di svolgere la libera attività d’impresa in coerenza con l’utilità sociale e che richiama la diretta responsabilità dei vertici aziendali ad un ruolo incisivo ed attivo in questo contesto, anche per coloro che non rientrano nel più stringente contesto dell’articolo 23 del Decreto Legislativo 138/2024 di recepimento della Direttiva NIS2.
L’introduzione della tassonomia ICP-A-20 impone, dunque, un cambio di paradigma: il governo razionale e strutturato degli accessi ai sistemi, in particolare quelli privilegiati, non può essere un’eventualità o un’opzione o soltanto un intervento reattivo all’incidente e, soprattutto, non può essere improvvisato. Costituisce, invece, uno dei pilastri fondamentali della sicurezza delle informazioni, a presidio dei tre elementi essenziali che la caratterizzano: disponibilità, integrità e riservatezza. Per questa ragione deve essere integrata fin dalla fase di progettazione delle architetture (security by design) e verificata in tutto il ciclo di vita dell’applicazione, del sistema, della rete e oggi, più che mai, del servizio cloud.
La tassonomia ICP-A-20, dunque, è solo un dettaglio di un quadro, estremamente ampio, che caratterizza il nuovo modo di affrontare il tema della sicurezza delle informazioni strutturato in una conformità normativa stringente, che richiede pianificazione in tutte le fasi della “catena del valore” della sicurezza delle informazioni e, per chi è familiare con il Framework Nazionale della Cybersecurity e Privacy, intercettando tutti i suoi piani (o “tiers”): Governance, identificazione, protezione, monitoraggio, risposta, ripristino.
Accessi privilegiati: Security by Design e Security Through Lifecycle
I sistemi di un’organizzazione – nella più ampia accezione che comprende infrastrutture e servizi in cloud e che per questo richiedono una ulteriore riflessione su dove finisca la responsabilità del fornitore dei servizi in cloud e dove inizi quella dell’utente – richiede una piena ed assoluta consapevolezza della propria dimensione di esposizione, che non si limita alla protezione dagli accessi esterni ma tiene in debita considerazione anche le possibili deviazioni di utilizzo da parte di utenti interni, che siano malevoli o anche soltanto negligenti.
Proprio in questo senso, la tassonomia appena introdotta richiede uno sforzo di lettura assieme a diverse altre misure che, nel Framework e nelle norme cogenti che lo richiamano, richiedono all’organizzazione l’adozione di controlli sin dalla fase della progettazione e durante l’intero ciclo di vita delle architetture, dei servizi, dei sistemi e delle reti, che vanno dalla piena consapevolezza del proprio patrimonio informativo, con il totale dominio degli asset e dei servizi; la mappatura accurata dei privilegi, secondo il principio aureo del “privilegio minimo”, la segmentazione e segregazione delle reti, per limitare al massimo gli effetti avversi di movimenti laterali e la propagazione degli attacchi.
A questo si associa la necessità di un monitoraggio continuo ed esteso – e dunque non solo la registrazione puntuale degli accessi, ma anche la capacità di analizzare pattern e anomalie secondo modalità temporali, geografiche e contestuali – e l’automazione dei controlli, con l’obiettivo specifico di rilevare nel più breve tempo possibile anomalie significative e sintomatiche di possibili e di reagire con processi sistemici ed automatizzati, contenendo l’evoluzione di tecniche, tattiche e procedure avverse.
In altre parole, non si tratta più soltanto di conformità da “spunta di checklist”, ma la capacità dell’organizzazione di saper leggere in una logica integrata tutte le diverse misure di sicurezza, che rappresentano una matrice di orientamento che deriva dalla ragione stessa dei modelli di standardizzazione (delle norme ISO in particolare) e che permettono di governare un sistema di gestione maturo e consapevole, rivolto a ridurre la “superficie di attacco” o, più semplicemente ma con maggiore efficacia, rendere l’organizzazione capace di conoscere se stessa e governare il proprio patrimonio informativo, in un contesto che va ben oltre il perimetro dei firewall aziendali.
Questa attività risponde anche ad un’altra non marginale esigenza, anche in questo caso non solo di conformità ma anche di tutela di diritti e libertà fondamentali. Ci si riferisce all’obbligo di protezione dei dati personali che, in relazione alla gestione degli accessi privilegiati, assume valore strategico, ribadito in più punti della normativa europea sulla protezione dei dati personali e dei provvedimenti del Garante privacy italiano, in particolare nel quadro del rilievo che presentano gli amministratori di sistema. Se si osservi attentamente il funzionamento dei processi di gestione ed amministrazione delle identità, ci si avvede di come la necessità di un presidio rigoroso dei processi di accesso alle risorse informative è un elemento imprescindibile per la sicurezza dei trattamenti e che riporta alla necessità di un presidio efficace, metro per la pesatura dell’accountability del titolare e della catena dei responsabili del trattamento e che richiede uno speciale indirizzo di controllo sugli amministratori di sistema e, più in generale, sulla capacità del titolare di garantire la sicurezza del trattamento. Proprio in questo senso, la consapevolezza della serietà del tema nel dominio della tutela dei dati personali si affianca, con tutto il suo peso di responsabilità, alle obbligazioni nell’ambito delle attività regolamentate dei soggetti del Perimetro e delle altre normative applicabili. Si consideri, a sola evidenza del rilievo della materia, la necessità di verificare l’operato degli Amministratori di sistema, nella previsione dell’antico provvedimento dell’Autorità Garante nazionale e delle raccomandazioni linee guida EDPB e WG29 sul monitoraggio continuo e dei collegati obblighi di trasparenza nelle attività di controllo richiesti dall’articolo 4 della L. 300/1970.
In un sistema di gestione della sicurezza delle informazioni, dunque, la questione del controllo degli accessi in generale e di quelli privilegiati in particolare non si esaurisce nell’aspetto del rilevamento ad incidente già avvenuto né può, perciò limitarsi ai tradizionali indicatori di compromissione (IOC) ma richiedere una visione avanzata e attiva dell’intero dominio tecnologico, anticipando sempre di più la soglia del rilevamento e la capacità di governare attivamente le potenziali vulnerabilità emergenti, contrastando in maniera effettiva l’azione degli attori ostili assai prima che questa si manifesti ai sistemi di monitoraggio.
Questo modello richiede, però, oltre alla consapevolezza del cambiamento dello scenario della minaccia. Soprattutto un’evoluzione culturale, che permetta l’interscambio operativo, anche attraverso sistemi (formali o informali) di information sharing, sia tra organizzazioni che con l’Autorità e la capacità di impostare una metodologia che integri pienamente i modelli di threat intelligence, ormai maturi e sviluppati. L’impiego del framework MITRE ATT&CK e della matrice D3FEND, quale ulteriore integrazione della strategia operativa, consente di modellare ogni fase del ciclo di vita dell’attacco, simulare scenari di compromissione, predisporre contromisure e testare l’efficacia del modello difensivo.
Il punto dolente: la minaccia interna come prima linea di rischio
È questo un tema sempre delicato ed antipatico da affrontare perché, sebbene sia fin troppo evidente il ruolo – non necessariamente doloso, ma anzi prevalentemente legato alla negligenza, imprudenza o disattenzione – dei dipendenti nella causazione dei più gravi incidenti di sicurezza, il solo parlarne crea turbamento, evocando sia questioni di limiti ai controlli, sia soprattutto la necessità di evitare che l’esigenza di una prevenzione di fenomeni tutti legati alle vulnerabilità del fattore umano possano arrecare danni incommensurabili alla capacità e continuità operativa dell’organizzazione.
Ciò non di meno, il problema esiste e va affrontato, oggi più che mai con l’occhio attento al duty of care sopra evidenziato, che richiede un’azione su più livelli, primo tra tutti quello connesso al rafforzamento della cultura della sicurezza a tutti i livelli (ed anche per i membri degli organi amministrativi e direttivi, nell’infelice formula dell’articolo 23 del D. Lgs. 138/2024). Tanto si può fare, però, anche in fase preventiva e predittiva, con la rigorosa applicazione dei principi di limitazione dei privilegi o nell’uso limitato e controllato delle credenziali amministrative con strumenti oggi all’avanguardia per limitarne l’utilizzo al singolo uso, una capacità estesa di supervisione con analisi delle anomalie e delle deviazioni dagli standard, l’applicazione di criteri di buona gestione con le verifiche prescritte dalla normativa e un monitoraggio trasparente che tuteli anche la riservatezza dei lavoratori, con comunicazione delle modalità e finalità di controllo.
Governance integrata e responsabilizzazione
Questi sono, perciò, i due termini evocati dall’ampliamento della tassonomia degli incidenti notificabili: non un mero adempimento burocratico, ma una chiara sollecitazione per un governo consapevole della sicurezza delle informazioni. Il quadro normativo non può né deve essere solo rispetto della conformità, ma piena convinzione della necessità di salvaguardia delle informazioni, dei sistemi e delle reti quale elemento di sopravvivenza organizzativa e tutela di diritti fondamentali Questo percorso richiede l’integrazione della governance degli accessi privilegiati, della protezione dei dati personali e della gestione delle minacce interne in una visione unitaria che passa attraverso la strutturazione di processi robusti, trasparenti, adattabili e misurabili..
