Information Security: le linee guida ENISA Panoramica delle Technical Guidelines for the implementation of minimum security measures for Digital Service Providers, lo standard di riferimento per la sicurezza informatica in Europa

Information Security: le linee guida ENISA

A 4 anni di distanza dalla sua pubblicazione (febbraio 2017), il documento Technical Guidelines for the implementation of minimum security measures for Digital Service Providers pubblicato dalla European Union Agency for Cybersecurity (ENISA) continua ad essere lo standard di riferimento per la sicurezza delle informazioni in ambito europeo.

L’elaborato è stato realizzato per assistere gli Stati membri e i DSP nel fornire un approccio comune per quanto riguarda le misure di sicurezza per i digital service provider (DSP), ottenuto mediante un efficace processo di analisi e sintesi delle principali pratiche e metodologie di sicurezza delle informazioni esistenti: tra le principali fonti di ispirazione vi è sicuramente la famiglia ISO/IEC 27000 (Information Security Management Systems Family of Standards), e in particolare la ISO 27001 (che descrive i requisiti dei sistemi di gestione per la sicurezza delle informazioni) e la ISO 27002 (che dettaglia i relativi controlli di sicurezza). La pubblicazione di ENISA è stata a sua volta presa come modello di riferimento da numerose linee guida promosse da enti e organizzazioni pubbliche e indipendenti, tra cui le Misure minime di sicurezza ICT per le Pubbliche Amministrazioni previste da Agenzia per l’Italia Digitale (AgID), di cui abbiamo avuto modo di parlare in un articolo dedicato.

In questo articolo ci occuperemo del documento originale, cercando di approfondirne i punti fondamentali e metterli alla prova alla luce dei numerosi cambiamenti portati dall’innovazione digitale degli ultimi anni: come avremo modo di vedere si tratta di un testo che non ha risentito del passare degli anni, continuando ad essere un punto di riferimento estremamente valido per qualsiasi provider di servizi informatici e digitali.

Cos’è ENISA

L’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) è una delle agenzie dell’Unione Europea; creata nel 2004 dal Regolamento UE 460/2004 è pienamente operativa dal 1º settembre 2005 e ha sede ad Atene, con un secondo ufficio a Candia, sull’isola di Creta (Grecia).

In estrema sintesi, ENISA è un centro di competenze in materia di sicurezza delle reti e delle informazioni per l’UE, i suoi Stati membri, il settore privato e i cittadini europei. L’ENISA lavora con questi gruppi per sviluppare consigli e raccomandazioni sulle buone pratiche nella sicurezza delle informazioni; assiste inoltre gli Stati membri dell’UE nell’attuazione della legislazione dell’UE pertinente e lavora per migliorare la resilienza delle infrastrutture e delle reti informative critiche dell’Europa.

Lo scopo principale dell’ENISA è quello di rafforzare le competenze esistenti negli Stati membri dell’UE sostenendo lo sviluppo di comunità transfrontaliere impegnate a migliorare la sicurezza delle reti e delle informazioni in tutta l’UE.

Per uteriori informazioni sull’ENISA e sulle sue attività è possibile consultare il sito web ufficiale.

Introduzione

La storia che ha portato alla genesi del documento Technical Guidelines for the implementation of minimum security measures for Digital Service Providers ha inizio nel 2009, anno in cui la direttiva 2009/140/CE fu riformata introducendo l’articolo 13 bis (sicurezza e l’integrità delle reti e dei servizi di comunicazione elettronica) nella direttiva quadro 2002/21/CE. Nella prima parte del suddetto articolo il legislatore richiede che i fornitori di reti e servizi digitali svolgano le adeguate attività di risk analysis per la sicurezza delle informazioni e implementino adeguate misure per garantire la sicurezza (paragrafo 1) e l’integrità (paragrafo 2) dei servizi erogati, oltre allobbligo di segnalazione di eventuali security breach alle autorità competenti (paragrafo 3).

In conseguenza della riforma, adottata tra il 2010 e il 2011 in tutti gli stati membri, ENISA, Commissione Europea (CE), Ministeri e Comunicazioni Elettroniche Nazionali, insieme alle autorità di regolamentazione (ANR) hanno cominciato a lavorare a un framework comune con l’obiettivo di standardizzare le procedura di attuazione e dell’articolo 13 bis in tutta l’Unione Europea. Il team di lavoro ha raggiunto un consenso su due linee guida tecniche non vincolanti per le ANR: le Technical Guideline on Incident Reporting e le Technical Guideline on Security Measures: quest’ultimo documento, la cui ultima versione (2.0) è stata pubblicata nel 2014, contiene i requisiti generali di sicurezza di cui il contributo che stiamo presentando in questo articolo, realizzato successivamente, descrive nel dettaglio le modalità implementative.

Domini e Obiettivi

Il documento riprende i 25 security objectives messi a fuoco nelle Technical Guideline on Security Measures del 2014, a loro volta raggruppati in 7 domini principali, e li espande portandoli a 27:

  • D1: Governance and risk management
    • SO 1: Information security policy
    • SO 2: Governance and risk management
    • SO 3: Security roles and responsibilities
    • SO 4: Security of third party assets (third party management)
  • D2: Human resources security
    • SO 5: Background checks
    • SO 6: Security knowledge and training
    • SO 7: Personnel changes
  • D3: Security of systems and facilities
    • SO 8: Physical and environmental security
    • SO 9: Security of supporting utilities (supplies)
    • SO 10: Access control to network and information systems
    • SO 11: Integrity of network and information systems
  • D4: Operations management
    • SO 12: Operational procedures
    • SO 13: Change management
    • SO 14: Asset management
  • D5: Incident management
    • SO 15: Security incident detection & response (detection capability)
    • SO 16: Security incident reporting and communication
  • D6: Business continuity management
    • SO 17: Business Continuity (strategy and contingency plans)
    • SO 18: Disaster recovery capabilities
  • D7: Monitoring, auditing and testing
    • SO 19: Monitoring and logging policies
    • SO 20: Network and system tests
    • SO 21: Security assessments
    • SO 22: Compliance & monitoring
    • SO 23: Security of data at-rest
    • SO 24: Interface security
    • SO 25: Software security
    • SO 26: Interoperability and portability
    • SO 27: Customer monitoring and log access

Al di là di qualche piccola differenza trascurabile rispetto ai punti già presenti nel 2014, che sono sostanzialmente stati tutti mantenuti, le novità inserite nel 2016 riguardano la sicurezza delle interfacce hardware (SO24) e dei sistemi software (SO25). In questi ultimi due anni ENISA ha ritenuto utile porre l’accento sulla necessità, da parte dei DSP, di stabilire e mantenere:

  • una policy che consenta di mantenere sicure le interfacce dei servizi su cui transitano i dati personali;
  • una policy che garantisca che il software sia sviluppato in modo conforme con le best-practice di sicurezza (es. OWASP).

Non è difficile immaginare le ragioni dietro a questa decisione: si tratta senza ombra di dubbio di una “stretta” connessa all’aumento esponenziale delle minacce informatiche, con particolare riguardo ai tentativi di data breach che sfruttano vulnerabilità di tipo zero-day nei firmware delle periferiche e nei software commerciali (come ad esempio i sistemi operativi), nonché ai numerosissimi attacchi basati su tecniche che sfruttano programmi realizzati in modo non sicuro (SQL Injection, XSS, brute-force, MITM, etc.).

Per un approfondimento sulle odierne minacce informatiche, con particolare riguardo alle tecniche di social engineering (es. spear phishing) e agli attacchi informatici più comuni, consigliamo di leggere il nostro approfondimento: Phishing, Malware e Cyber Risk: come difendersi.

Standard e norme di riferimento

I security objectives individuati da ENISA sono derivati dai seguenti standard internazionali, comunemente utilizzati dai fornitori nel settore delle comunicazioni elettroniche dell’UE, tra cui:

  • ISO 27001, Information security management systems
  • ISO 27002, Code of practice for information security controls
  • ISO 24762, Guidelines for information and communications technology disaster recovery services
  • ISO 27005, Information security risk management
  • ISO 27011, Information security management guidelines for telecommunications
  • ISO 22310, Business continuity management systems
  • ITU-T X.1056 (01/2009), Security incident management guidelines for telecommunications organizations
  • ITU-T Recommendation X.1051 (02/2008), Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
  • ITU-T X.800 (1991), Security architecture for Open Systems Interconnection for CCITT applications
  • ITU-T X.805 (10/2003), Security architecture for systems providing end-to-end communications
  • ISF Standard 2007, The Standard of Good Practice for Information Security
  • CobiT, Control Objectives for Information and related Technology
  • ITIL Service Support & ITIL Security Management
  • PCI DSS 1.2 Data Security Standard

E dalle seguenti normative e good practice nazionali:

  • IT Baseline Protection Manual, Germany
  • KATAKRI, National security auditing criteria, Finland
  • NIST 800 34, Contingency Planning Guide for Federal Information Systems
  • NIST 800 61, Computer Security Incident Handling Guide
  • FIPS 200, Minimum Security Requirements for Federal Information and Information Systems
  • NICC ND 1643, Minimum security standards for interconnecting communication providers

Livelli di implementazione

Per ciascuno dei 25 obiettivi vengono elencati tre possibili livelli di implementazione, che il documento chiama sophistication level:

  • 1 – Basic: Misure di sicurezza di base, implementando le quali si raggiunge l’obiettivo minimo di sicurezza richiesta (con esempi di misure in atto).
  • 2 – Industry standard: Misure di sicurezza standard del settore, implementando le quali si raggiunge l’obiettivo secondo gli standard di mercato (con esempi di misure in atto e prove di revisione).
  • 3 – State of the art: misure di sicurezza all’avanguardia, comprensive di monitoraggio continuo dell’attuazione, revisione strutturale dell’attuazione e tracciamento di modifiche, incidenti, test ed esercitazioni per migliorarne in modo proattivo l’attuazione (continous improvement): implementando queste misure si raggiunge l’obiettivo nel modo migliore possibile, equivalente ai più alti standard di mercato. Questo livello viene corredato da esempi di misure in atto, prove di un processo di revisione strutturale e prove di continuous improvement.

I 4 pilastri dell’IT Security

I 25 obiettivi ENISA sono generalmente costruiti attorno a quattro capisaldi fondamentali, che costituiscono a nostro avviso i pilastri principali della sicurezza informatica: autenticazione, autorizzazione, backup e crittografia. Nei prossimi paragrafi cercheremo di fornire una panoramica esaustiva relativamente a ciascuno di essi.

Autenticazione

L’autenticazione è l’atto di confermare la verità di un attributo di una singola parte di dato o di una informazione sostenuto vero da un’entità. In ambito informatico, si definisce autenticazione il processo tramite il quale un sistema (computer, software o utente) verifica la corretta identità di un altro computer, software o utente, autorizzandolo ad usufruire dei relativi servizi associati: in altre parole, possiamo dire che l’autenticazione è un meccanismo che verifica, effettivamente, che un individuo è chi sostiene di essere.

L’autenticazione rende possibile possibile verificare univocamente l’identità del soggetto, consentendo quindi di ricondurre a lui con ragionevole certezza le azioni compiute all’interno del sistema e facilitando in questo modo il rispetto del principio di accountability. La connessione fra autenticazione e accountability è stata sottolineata anche dal Garante italiano, per il quale “la condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di figure tecniche così rilevanti” (provvedimento 4/4/2019).

IMPORTANTE: L’autenticazione è diversa dall’autorizzazione (il conferimento ad un utente del diritto ad accedere a specifiche risorse del sistema, sulla base della sua identità, come vedremo più avanti).

Autorizzazione

Il termine “autorizzazione” indica il permesso o la facoltà di compiere, effettuare o di esercitare determinati diritti. In ambito informatico, si definisce autorizzazione il processo tramite il quale un sistema(computer, software o utente) rende possibile assegnare diversi privilegi di accesso (noti anche come “permessi”) a determinati utenti o gruppi di utenti. Questa assegnazione avviene solitamente per mezzo di policy di accesso (access policy), ovvero raggruppamenti di permessi che consentono o proibiscono lo svolgimento di determinate attività (lettura, scrittura, cancellazione, etc.) all’interno di determinati spazi logici (cartelle filesystem, unità di rete, database, funzionalità, sezioni del sito, etc.).

In termini pratici, l’autorizzazione viene erogata (tramite meccanismi automatici o con l’intervento manuale di un amministratore di sistema) per mezzo della definizione di una serie di Access Control List (ACL), ovvero raggruppamenti che contengono gli utenti (o i gruppi di utenti) che possono beneficiare di ciascuna determinata policy di accesso.

Backup

Nella sicurezza informatica il termine backup indica un processo volto alla messa in sicurezza delle informazioni di un sistema informatico attraverso la creazione di ridondanza delle informazioni stesse mediante una o più copie di riserva dei dati, da utilizzare come recupero (ripristino) dei dati stessi in caso di eventi malevoli accidentali (guasti) o intenzionali (data breach), ma anche errori umani (cancellazioni accidentali), attività di aggiornamento o manutenzione del sistema (e conseguente necessità di effettuare un rollback), etc.

Il termine contenitore “backup” è qui utilizzato per semplificare un concetto più ampio, riassumendo tutte quelle tecniche volte a preservare e a garantire la disponibilità dei dati: intendiamo quindi, per esteso, anche le procedure di Disaster Recovery e Business Continuity, ottenibili oggi sia con strumenti on-premise che tramite servizi cloud.

Crittografia

La crittografia (o criptografia, dal greco kryptós, “nascosto”, e graphía, “scrittura”) è la branca della crittologia che tratta dei metodi per occultare il contenuto di un messaggio in modo da non essere comprensibile/intelligibile a persone non autorizzate a leggerlo; il messaggio, una volta occultato, si chiama comunemente crittogramma e i metodi usati sono detti tecniche di cifratura.

In ambito informatico il termine conserva il medesimo significato, indicando tutte le tecniche e metodologie volte a trasformare sequenze di caratteri tramite l’utilizzo di un algoritmo matematico e l’applicazione di una chiave segreta di cifratura/decifratura (che costituisce il “parametro” principale dell’algoritmo): la segretezza di questa chiave rappresenta il sigillo di sicurezza di ogni sistema crittografico.

In base al tipo di chiave utilizzato è possibile suddividere ogni sistema di crittografia informatica in due macro-categorie:

  • crittografia simmetrica, quando la stessa chiave è utilizzata sia per proteggere il messaggio che per renderlo nuovamente leggibile: o, per dirla in altre parole, quando il mittente e destinatario utilizzano la stessa chiave sia per cifrare che per decifrare il testo;
  • crittografia asimmetrica, quando vengono utilizzate due chiavi di cifratura distinte: una chiave pubblica, utilizzata per crittografare, e una chiave privata, utilizzata per decifrare.

Recentemente a queste due macro-categorie se ne è aggiunta una terza, che però a ben vedere è più una modalità implementativa delle precedenti che non una categoria a sé: la crittografia quantistica, che consiste nell’utilizzo di peculiari proprietà della meccanica quantistica durante la fase di scambio della delle chiavi per evitare che queste possano essere intercettate da un attaccante senza che le due parti in gioco se ne accorgano; la prima rete a crittografia quantistica funzionante è stata il DARPA Quantum Network (2002-2007).

Altre pubblicazioni ENISA

Le Technical Guidelines presentate in questo articolo sono soltanto uno dei tanti contributi che ENISA pubblica annualmente a supporto di aziende, organizzazioni e professionisti IT. In particolare consigliamo di recuperare i seguenti:

Entrambi i documenti sono scaricabili gratuitamente in formato PDF (i link per il download sono all’interno dei rispettivi articoli).

Conclusioni

Siamo giunti al termine del nostro contributo: ci auguriamo che quanto abbiamo scritto possa essere un utile punto di riferimento per tutti i professionisti IT, gli appassionati di information security e chiunque sia interessato ad approfondire la propria conoscenza sulle affascinanti e complesse tematiche alla base della sicurezza informatica.

Alla prossima!

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.