Si rafforza il Perimetro di sicurezza nazionale cibernetica con l’estensione dell’ambito delle notifiche obbligatorie in caso di incidenti informatici. Diventa obbligatorio notificare anche gli incidenti che impattano su reti, sistemi e servizi informativi che non sono direttamente conferiti sotto il Perimetro. Anche un tentativo di accesso agli altri beni “informatici” rispetto a quelli protetti dal Perimetro è da segnalare al Computer security incident response team (Csirt Italia) dell’Agenzia per la cybersicurezza nazionale.
Acn ha dunque ha elaborato la tassonomia di tale ulteriore tipologia di incidenti informatici per renderne più agevole la notifica e il processo di valutazione degli impatti. Il processo di notifica, da compiersi entro 72 ore, riguarda tutti gli altri beni “informatici” dei soggetti compresi nel Perimetro.
La “tassonomia” (la categorizzazione), elaborata dai tecnici dell’Acn – alla stregua di quelle già pubblicate per gli incidenti in danno di Beni Ict conferiti nel Perimetro – è organizzata sotto forma di tabella, dove sono classificati in categorie gli incidenti informatici e le varie fasi dell’attacco, e indica per ogni tipologia di incidente un codice identificativo e la corrispondente categoria, accompagnata dalla descrizione di ciascuna tipologia.
Le categorie di incidente sono sei, dalla “Raccolta di dati” alla loro esfiltrazione fino al phishing mirato, ma ricomprendono la maggior parte delle tecniche di attacco informatico descritte dal MITRE ATT&CK un riferimento internazionale per le tecniche, tattiche e procedure di attacco informatico.
Quando sarà a regime (tra pochi giorni) la notifica di tali incidenti sulla base della Tassonomia favorirà la tempestiva valutazione della situazione e la stima di eventuali impatti sistemici. Ciò significa che se, ad esempio, un fornitore nazionale di energia scopre e comunica velocemente un attacco, sarà possibile allertare subito altri fornitori potenzialmente oggetto della stessa aggressione. L’ampiezza dell’allerta e la velocità di risposta in questi casi possono fare la differenza tra un attacco riuscito e un attacco fallito.
Così, mentre non cambia il percorso di notifica dei beni conferiti sotto il perimetro, le cui tempistiche vanno da 1 a 6 ore in relazione al tipo di incidente, i soggetti perimetro che devono notificare gli incidenti che accadono fuori dei beni conferiti avranno tre giorni di tempo (72 ore) per segnalare il problema individuato. In questo modo l’Acn, a seguito delle fasi di triage, potrà fornire un’assistenza più rapida ed efficace oltre che valutare in anticipo eventuali attacchi sistemici e possibili spillover su asset conferiti nel perimetro dal soggetto.
La tassonomia adottata rappresenta insomma un altro tassello per favorire la collaborazione Istituzioni, PA e imprese, che erogano servizi critici per il nostro Paese, a beneficio della sicurezza nazionale cibernetica.
