Incidenti di sicurezza informatica. Linee guida ACN per le procedure di gestione

Diritto

Incidenti di sicurezza informatica. Linee guida ACN per le procedure di gestione

Nell’ambito del piano triennale per la PA 2024-2026, l’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato le sue linee guida per la definizione di processi e procedure per gestire in modo efficace gli incidenti di sicurezza informatica.

L’articolo 14-bis, comma 2, lettera b) del decreto legislativo 7 marzo 2005, n. 82 (cosiddetto CAD - Codice dell’Amministrazione Digitale) stabilisce che l’Agenzia per la Cybersicurezza Nazionale fornisca le linee guida per la definizione dei processi e delle procedure per la gestione degli incidenti.

I destinatari delle linee guida sono i soggetti di cui all’articolo 2, comma 2 del CAD (d’ora in avanti riferiti per brevità come soggetti), ossia:

le pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all'articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché le autorità amministrative indipendenti di garanzia, vigilanza e regolazione;
i gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse;
le società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all'articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b).

Il documento promosso da ACN si compone di due capitoli principali:

Processo per la gestione degli incidenti: presenta un modello di processo per la gestione degli incidenti di sicurezza informatica con le relative fasi e sotto-fasi;
Procedure per la gestione degli incidenti: esamina le principali caratteristiche delle procedure per la gestione degli incidenti.

Tra le definizioni contenute, interessante risulta quella riferita all’ “evento rilevante per la sicurezza”. Viene indicato come tale l’ Evento di natura intenzionale o accidentale che potrebbe compromettere o che compromette la sicurezza dei sistemi informativi e di rete, in termini di disponibilità, autenticità, integrità o riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti o accessibili attraverso essi; mentre per “incidente di sicurezza informatica” viene inteso l’Evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi.

Le principali fasi per la gestione di un incidente informatico

Il documento riporta in dettaglio le fasi principali per gestire un incidente informatico, per ciascuna delle quali, l’ACN dedica un paragrafo dettagliato nel documento:

preparazione: precede il verificarsi di un incidente e costituisce la base per una riposta efficace degli incidenti di sicurezza, include le attività di governo, identificazione e protezione;
rilevamento: è volta a rilevare tempestivamente il verificarsi di un incidente;
risposta: riguarda le attività vere e proprie di risposta all’incidente rilevato nella fase precedente, include le attività di investigazione, notifica, contenimento ed eradicazione dell’incidente;
ripristino: consiste nel ripristino dei sistemi informativi e di rete oggetto di compromissione;
miglioramento: individua le azioni da realizzare per migliorare il processo di gestione degli incidenti utilizzano le conoscenze acquisite durante l’esecuzione del processo. In considerazione del fatto che può essere acquisita conoscenza durante tutte le varie fasi del processo, la fase di miglioramento si estende lungo tutto il processo di gestione degli incidenti.

La fase del rilevamento contiene in sé diverse sottofasi, tra cui la notifica obbligatoria alle autorità dell’incidente e la comunicazione alle parti, interne ed esterne, interessate, quando prevista dalla normativa. Con riguardo agli obblighi di notifica verso l’Agenzia per la Cybersicurezza Nazionale si fa riferimento alla Guida alla notifica degli incidenti al CSIRT Italia, già pubblicata da ACN.

Si rammenta, in tal caso, che, laddove il soggetto non sia tenuto, ai sensi della normativa vigente a notificare l’incidente al CSIRT Italia, è sempre possibile procedere alla notifica volontaria attraverso la piattaforma di notifica del CSIRT Italia.

In accordo alle politiche definite a riguardo, si procede inoltre a comunicare l’incidente alle parti interne (come, ad esempio, i vertici del soggetto o l’ufficio legale) ed esterne (come, ad esempio, utenti impattati, fornitori o altri soggetti coinvolti) interessate.

Il processo di gestione degli incidenti deve essere descritto e documentato nel cosiddetto piano di gestione degli incidenti, all’interno del quale devono essere riportate, ad esempio, le operazioni da attuare per la gestione dell’incidente, le strutture organizzative e tecniche coinvolte, gli strumenti da utilizzare e la reportistica da produrre.

Il modello di processo illustrato da ACN è allineato con la struttura del Framework Nazionale per la Cybersecurity e la Data Protection (FNCS) 2, organizzato nelle funzioni Governo, Identificazione e Protezione riguardanti le attività di preparazione e il miglioramento delle pratiche di gestione sulla base delle conoscenze acquisite nel rispondere agli incidenti, nonché Rilevamento, Risposta e Ripristino, relative alle attività di monitoraggio, risposta e ripristino dagli incidenti.

Il Framework Nazionale supporta le organizzazioni che hanno bisogno di strategie e processi finalizzati alla protezione dei dati personali e alla sicurezza cyber.

Il documento di ACN riporta, inoltre, un modello di procedura per il ripristino dei sistemi a partire dal back up.

Nella fase definita “Miglioramento”, finalizzata a incrementare la capacità di gestione degli incidenti, si suggerisce di effettuare riunioni lesson learned, per affrontare diverse tematiche, quali, ad esempio, l’identificazione di ruoli, responsabilità, interlocutori e autorità non chiari o non definiti; la valutazione corretta delle procedure e il miglioramento delle stesse, le criticità emerse, le proposte migliorative, le operazioni da effettuare per prevenire eventi simili, gli indicatori di compromissione da monitorare.

Le linee guida terminano poi con tre appendici, il cui contenuto è riportato, di seguito, in sintesi:

appendice A: obiettivi gestione incidenti, riporta gli obiettivi di sicurezza più specificatamente connessi alla gestione degli incidenti;
appendice B: elenco attività processo e procedure, elenca le attività del processo di gestione degli incidenti e le possibili procedure associate;
appendice C: playbook per la gestione degli incidenti, esamina i playbook quali strumenti utilizzati per guidare la gestione di specifiche categorie di incidenti.

La corretta gestione degli incidenti informatici è diventata una fase cruciale per imprese ed enti pubblici. Avere un quadro chiaro sulle procedure da mettere in atto è fondamentale per la sicurezza di un'organizzazione. Le Linee guida di ACN si propongono come un valido supporto per gestire gli incidenti in modo efficace. il documento completo è disponibile in download sul sito istituzionale di ACN (acn.gov.it).