Sei sulla pagina 1di 49

Presidenza del Consiglio dei Ministri

QUADRO STRATEGICO NAZIONALE


PER LA SICUREZZA
DELLO SPAZIO CIBERNETICO

Dicembre 2013
Presidenza del Consiglio dei Ministri

QUADRO STRATEGICO NAZIONALE


PER LA SICUREZZA
DELLO SPAZIO CIBERNETICO

Dicembre 2013
Lista delle sigle e delle abbreviazioni

AG – Autorità Giudiziaria ENISA – European Network and Information Se-


AGCOM – Autorità per le Garanzie nelle Comu- curity Agency
nicazioni F.A. – Forze Armate
AgID – Agenzia per l'Italia Digitale FF.PP. – Forze di Polizia
APT – Advanced Persistent Threat IC – Infrastrutture Critiche
BYOD – Bring Your Own Device ICE – Infrastrutture Critiche Europee
ccTLD – Country Code Top Level Domain ICT – Information & Communication Technolo-
CERT – Computer Emergency Response Team gies
CERT-SPC – Computer Emergency Response IoT – Internet of Things
Team - Sistema Pubblico di Connettività ISCOM – Istituto Superiore delle Comunicazioni
CISR – Comitato Interministeriale per la Sicurez- e delle Tecnologie dell’Informazione
za della Repubblica ISP – Internet Service Provider
CLUSIT – Associazione Italiana per la Sicurezza IT – Information Technologies
Informatica MEF – Ministero dell’Economia e delle Finanze
CNA – Computer Network Attacks NATO – North Atlantic Treaty Organization
CNAIPIC – Centro Nazionale Anticrimine Infor- NCIRC – NATO Computer Incident Response Ca-
matico per la Protezione delle Infrastrutture pability
Critiche NSC – Nucleo per la Sicurezza Cibernetica
CND – Computer Network Defence ONU – Organizzazione delle Nazioni Unite
CNE – Computer Network Exploitation OSCE – Organizzazione per la Sicurezza e la Coo-
CNO – Computer Network Operations perazione in Europa
CSBM – Confidence and Security Building Mea- PA – Pubblica Amministrazione
sures PMI – Piccole e Medie Imprese
CSDP – Common Security and Defence Policy R&S – Ricerca & Sviluppo
DAG – Dipartimento dell’Amministrazione Gene- SCADA – Supervisory Control and Data Acqui-
rale e del Personale e dei Servizi sition
DDoS – Distributed Denial of Service SMS – Short Message Service
DF – Digital Forensics SOC – Security Operations Center
DIS – Dipartimento Informazioni per la Sicurezza SPC – Sistema Pubblico di Connettività
DNS – Domain Name System TCP/IP – Transmission Control Protocol/Internet
DPCM – Decreto del Presidente del Consiglio dei Protocol
Ministri QSN – Quadro Strategico Nazionale
DSII – Direzione dei Sistemi Informativi e dell’In- UE – Unione Europea
novazione ULS – Unità Locali di Sicurezza
EMEA – European, Middle East and Africa UTM – Unified Threat Management

2
INDICE

Prefazione............................................................................ 4

Executive Summary.............................................................. 8

Capitolo 1 – Profili e tendenze evolutive delle minacce


e delle vulnerabilità dei sistemi e delle reti di interesse
nazionale........................................................................... 10

Capitolo 2 – Strumenti e procedure per potenziare


le capacità cibernetiche del Paese........................................ 18

Allegato 1 – Ruoli e compiti dei soggetti pubblici................. 26

Allegato 2 – Glossario......................................................... 39

3
PREFAZIONE

Lo sviluppo di Internet caratterizza la nostra era. È attraverso lo spazio


cibernetico che sempre più si realizzano le fondamentali libertà di informa-
zione, di espressione e di associazione del cittadino, viene perseguita la traspa-
renza della politica e l’efficienza dei servizi della Pubblica Amministrazione,
si promuove la crescita e l’innovazione delle nostre aziende. Lo spazio virtua-
le rappresenta un’arena in cui ogni giorno si stabiliscono attraverso le fron-
tiere geografiche miliardi di interconnessioni e si scambia conoscenza a livello
globale, ridisegnando il mondo ad una velocità senza precedenti.
Il risiedere all’interno delle reti di una mole ogni giorno maggiore di sape-
ri essenziali ai fini della sicurezza e della prosperità del sistema-Paese rende
sempre più pressante l’esigenza di garantire, anche nello spazio cibernetico, il
rispetto dei diritti e dei doveri, che già vigono nella società civile, nel tessuto eco-
nomico e nella Comunità internazionale. L’arena digitale non è uno spazio al
di fuori delle leggi, ed è nostra responsabilità lavorare affinché vi si affermino
compiutamente i valori ed i princìpi democratici, oltre che le norme di rispetto
dell’individuo, di eguaglianza e di libertà nelle quali crediamo. È peraltro solo
in un ambiente contrassegnato da fiducia e rispetto reciproco che sarà possibile
cogliere appieno le opportunità di crescita offerte dalle piattaforme digitali, as-
sicurando lo sviluppo di uno spazio cibernetico aperto, affidabile e sicuro per il
sistema finanziario, per le aziende e per i consumatori.
La crescente dipendenza delle società moderne dallo spazio cibernetico ren-
de sempre più grave il danno che può giungere dalla compromissione delle reti o

4
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

da mirati attacchi attraverso di esse. Le minacce possono originare da qualsiasi


punto della rete globale e spesso colpiscono gli anelli più deboli della catena, ossia
i soggetti più fragili, o i sistemi meno protetti. Attraverso le reti possono com-
piersi crimini odiosi come lo scambio online di materiale pedopornografico, o
realizzarsi furti e truffe che, oltre a danneggiare gravemente gli interessi privati,
impediscono che si affermi il necessario livello di fiducia nella comunità digitale.
Il crimine informatico è una piaga che può decretare il fallimento delle
aziende, la sottrazione del loro patrimonio tecnologico e che depaupera la ric-
chezza delle nazioni. Con sempre maggiore preoccupazione assistiamo inoltre
al crescere di una minaccia ancora più insidiosa, che sfrutta le vulnerabilità
dei sistemi informatici per sottrarre, spesso senza che ve ne sia nemmeno la co-
gnizione, il frutto del nostro lavoro di ricerca e sviluppo nel campo delle nuove
tecnologie e dei prodotti. Per un Paese come l’Italia, che fa dell’innovazione la
pietra angolare della sua crescita e della sua competitività, il danno potenziale
è incalcolabile. La sofisticazione degli attacchi informatici e la connessione in
rete delle nostre infrastrutture crescono ad un ritmo tale che la stessa stabilità
e sicurezza del Paese possono essere gravemente pregiudicate, ed è dunque
indispensabile assicurare la migliore protezione degli assetti critici nazionali
da attacchi che possono produrre enormi danni fisici e materiali, ad esempio
attraverso la paralisi o l’alterazione d’interi sistemi che regolano il trasporto
civile e le reti energetiche, o ancora i sistemi di comando e controllo militari.
Ciò implica dunque la necessità di un concetto di difesa innovativo e compar-

5
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

tecipato con il mondo del privato, che in molti casi è al contempo proprietario
e gestore degli assetti critici da tutelare, oltre che l’urgenza d’incorporare la
dimensione informatica dei moderni conflitti nella dottrina strategica e nella
pianificazione delle forze.
L’interdipendenza delle reti, l’asimmetricità della minaccia e la perva-
sività dello spazio cibernetico nella vita di ogni giorno rendono impossibile
assicurare un accettabile livello di sicurezza online in assenza di un ap-
proccio olistico e di una forte unitarietà d’intenti. L’obiettivo non può che
essere quello di potenziare a livello sistemico le nostre capacità di prevedere
e prevenire un attacco, individuarlo nel momento in cui accade, reagire
ad esso e mitigarne gli effetti, risalire ai responsabili, oltre che di ristabilire
rapidamente la funzionalità originaria ed apprendere le lezioni del caso.
A livello internazionale, l’Italia è impegnata tanto nei maggiori consessi
multilaterali, in primis l’Unione Europea e la NATO, quanto a livello bi-
laterale, con i nostri principali partner, per favorire l’affermazione ed il
rispetto di regole di comportamento nell’arena digitale coerenti con i nostri
valori, oltre che per facilitare l’emergere di una governance condivisa a li-
vello globale, indispensabile per far fronte alle grandi sfide della rivoluzione
digitale in atto. A livello nazionale, è imperativo sviluppare un approccio
coordinato e multi-dimensionale, che garantisca la più ampia convergenza
dell’azione delle diverse Amministrazioni dello Stato attorno ad obiettivi
pienamente condivisi e ampiamente partecipati con il mondo del privato,
accademico e della ricerca scientifica.

6
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

In un clima economico-finanziario contrassegnato dalle ben note difficoltà


di bilancio non possiamo permetterci alcuna duplicazione degli sforzi ed occorre
saper ricercare ogni utile sinergia, tenendo a mente che gli stanziamenti che si
renderanno – da parte di tutti – necessari rappresentano non solo un significa-
tivo risparmio rispetto al danno potenziale cui siamo soggetti, ma anche una
straordinaria opportunità di crescita culturale, sociale ed economica.
In linea con quanto previsto dal DPCM del 24 gennaio 2013, il presente
Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico individua
i profili e le tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e
delle reti d’interesse nazionale, specifica i ruoli ed i compiti dei diversi soggetti
pubblici e privati ed individua gli strumenti e le procedure con cui perseguire
l’accrescimento delle capacità del Paese di prevenire e rispondere in maniera
compartecipata alle sfide poste dallo spazio cibernetico. Con l’allegato Piano
Nazionale vengono inoltre individuate le priorità, gli obiettivi specifici e le linee
d’azione per dare concreta attuazione a quanto descritto nel Quadro Strategico.
Con questi due documenti l’Italia si dota di una strategia attorno alla quale
coordinare gli sforzi per rafforzare la nostra capacità di fare squadra per guardare
con fiducia alle sfide di sicurezza dello spazio cibernetico e per fare avanzare l’in-
teresse nazionale laddove sempre più si realizza la ricchezza delle nazioni.

7
EXECUTIVE SUMMARY

Il presente Quadro Strategico Nel Capitolo 1, “Profili e tendenze evolu-


Nazionale è stato elaborato dal Tavolo tive delle minacce e delle vulnerabilità dei siste-
Tecnico Cyber (TTC) che – istituito il 3 mi e delle reti di interesse nazionale”, si inten-
aprile 2013 in seno all’organismo colle- de fornire una panoramica delle principali
giale permanente (c.d. CISR “tecnico”) minacce – dalla criminalità informatica
dopo l’entrata in vigore del DPCM 24 gen- allo sfruttamento delle tecnologie ICT per
naio 2013 – opera presso il Dipartimento fini terroristici, dall’“hacktivismo” allo
Informazioni per la Sicurezza. Ai lavo- spionaggio cibernetico, dal sabotaggio
ri del TTC partecipano i rappresentan- per via informatica ai conflitti nella 5a di-
ti cyber dei Dicasteri CISR (Affari Esteri, mensione – e delle vulnerabilità sfruttate
Interno, Difesa, Giustizia, Economia e per la conduzione di attacchi nello spazio
Finanze, Sviluppo Economico) dell’Agen- cibernetico, sia di tipo tecnico che di tipo
zia per l’Italia Digitale e del Nucleo per la organizzativo e di processo.
Sicurezza Cibernetica. Lo spazio cibernetico, tuttavia, è, in
La definizione di un Quadro Strategico prima battuta, un insieme di nodi (i siste-
Nazionale per la sicurezza dello spazio mi) e di collegamenti (le reti) che, attra-
cibernetico non può prescindere da un verso la gestione di una mole sempre mag-
inquadramento della minaccia che, in giore di dati, costituiscono una risorsa
considerazione della sempre maggiore dif- cruciale per gli Stati, le aziende, i cittadini
fusione dell’impiego delle tecnologie ICT e tutti gli attori che curano interessi politi-
nella vita quotidiana – dal semplice paga- ci, militari, economici e sociali affidandosi
mento di beni e servizi per via telematica alle nuove tecnologie.
alla gestione di infrastrutture critiche e Al fine, quindi, di garantire al Paese la
strategiche nazionali – diverrà anch’essa tutela di tali istanze, sono stati identifica-
più pervasiva e subdola, col rischio di ve- ti, nel Capitolo 2 “Strumenti e Procedure per
nire ignorata o sottovalutata dai fruitori potenziare le capacità cibernetiche del Paese”,
di tali tecnologie. gli indirizzi strategici che includono il mi-

8
Executive summary

glioramento, secondo un approccio inte- forzamento della cooperazione nazionale


grato, delle capacità tecnologiche, ope- in materia di sicurezza cibernetica.
rative e di analisi degli attori istituzionali;
il potenziamento delle capacità di difesa A corollario di quanto sopra, in
delle Infrastrutture Critiche nazionali e de- Allegato 1 sono elencati i “Ruoli e compiti
gli attori di rilevanza strategica per il siste- dei soggetti pubblici”, mentre in Allegato 2
ma-Paese; l’incentivazione della coopera- è possibile consultare un breve “Glossario”
zione tra istituzioni e imprese nazionali; la dei termini tecnici impiegati, al fine di age-
promozione e diffusione della cultura del- volare la lettura del documento anche da
la sicurezza cibernetica; il rafforzamento parte dei “non addetti ai lavori”.
delle capacità di contrasto alla diffusione
di attività e contenuti illegali on-line; il raf-

9
CAPITOLO 1
PROFILI E TENDENZE EVOLUTIVE
DELLE MINACCE E DELLE
VULNERABILITÀ DEI SISTEMI E DELLE
RETI DI INTERESSE NAZIONALE

Introduzione e tecnologica dello spazio cibernetico e


circa i valori ed i princìpi che debbono in-
formare l’arena digitale, la ricerca di tali
Definizione soluzioni, anche all’interno degli Stati più
Lo spazio cibernetico è l’insieme delle avanzati, non è semplice e richiede un atti-
infrastrutture informatiche interconnesse, vo coinvolgimento del settore privato.
comprensivo di hardware, software, dati L’onere di trovare risposte alle nuove
ed utenti, nonché delle relazioni logiche, e complesse sfide che emergono dal cyber-
comunque stabilite, tra di essi. Esso dun- spazio non può ricadere sulle sole istituzio-
que comprende internet, le reti di comu- ni pubbliche, anche in considerazione del
nicazione, i sistemi su cui poggiano i pro- fatto che le reti sono in larghissima parte
cessi informatici di elaborazione dati e le possedute ed operate da soggetti privati i
apparecchiature mobili dotate di connes- quali devono, quindi, sapere e potere con-
sione di rete. dividere aspettative e responsabilità per la
protezione dello spazio cibernetico.
Esso costituisce un dominio virtuale di
Una sfida complessa
importanza strategica per lo sviluppo eco-
La natura stessa dello spazio ciberne-
nomico, sociale e culturale delle nazioni
tico e dell’informatizzazione, importan-
e proprio per questo è necessario equili-
ti fattori di trasformazione delle società
brare con attenzione il rapporto tra Stato
contemporanee, fa emergere problemi
ed individuo, tra esigenze di sicurezza na-
culturali, sociali e politici inediti ed in re-
zionale e di ordine pubblico, da un lato, e
lazione ai quali occorre elaborare e con-
libertà individuali, dall’altro.
cordare soluzioni efficaci, coerenti e, in
Si pensi, ad esempio, come l’ininter-
molti casi, innovative.
rotto monitoraggio tecnico della funzio-
In una Comunità Internazionale anco-
nalità delle reti e la protezione dei dati
ra caratterizzata da significative divergen-
che vi transitano siano essenziale presup-
ze circa le categorie tassonomiche utilizza-
posto per il pieno godimento del diritto
te per definire la realtà politico-strategica

10
Profili e tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale

alla privacy e dell’integrità dei sistemi op- tivi. La minaccia si sostanzia nei c.d. at-
pure, sempre a titolo di esempio, come tacchi cibernetici: azioni più o meno au-
possa essere complesso ricercare il giu- tomatizzate sulle reti da parte di singoli
sto equilibrio tra il diritto alla privacy e la individui o organizzazioni, statuali e non,
necessaria azione di contrasto a crimini finalizzate a distruggere, danneggiare o
come l’uso della rete per lo scambio di ostacolare il regolare funzionamento dei
materiale pedopornografico, lo spaccio sistemi, delle reti o dei sistemi attuatori
di stupefacenti, l’incitamento all’odio di processo da essi controllati ovvero a
o la pianificazione di atti di terrorismo. compromettere l’autenticità, l’integrità,
Reati che, oltre a ledere specifici diritti, la disponibilità e la riservatezza dei dati ivi
rappresentano un attacco all’idea stessa custoditi o che vi transitano.
di un dominio cibernetico libero, demo- Attualmente gli attacchi più sofisticati
cratico ed aperto. possono essere realizzati attraverso l’uso
di c.d. “armi cibernetiche” – ossia software
malevoli appositamente sviluppati (defi-
Finalità niti “malware”), o un insieme di istruzioni
Il Quadro Strategico Nazionale ed informatiche – posti in essere con lo spe-
il Piano Nazionale previsti dal DPCM cifico intento di danneggiare o alterare un
del 24 gennaio 2013 mirano ad accre- sistema informatico anche al fine di pro-
scere la capacità di risposta del Paese durre danni fisici.
alle presenti e future sfide riguardanti il
cyber-space, indirizzando gli sforzi nazio-
nali verso obiettivi comuni e soluzioni Una minaccia insidiosa
condivise, nella consapevolezza che la Una caratteristica saliente della mi-
protezione dello spazio cibernetico è un naccia cibernetica è la sua asimmetricità.
processo più che un fine, che la continua L’attaccante infatti:
innovazione tecnologica introduce ine- • può colpire a grandissima distanza,
vitabilmente nuove vulnerabilità, e che da dovunque nel mondo esista un ac-
le caratteristiche stesse della minaccia cesso alla rete;
cibernetica rendono la difesa, per ora, • potenzialmente può attaccare siste-
di tipo prevalentemente – anche se non mi particolarmente sofisticati e pro-
esclusivamente – reattivo. tetti sfruttandone anche una sola vul-
nerabilità;
• può agire con tempi tali da non con-
La minaccia cibernetica ed i suoi sentire un’efficace reazione difensiva;
attori • può rimanere anonimo o comunque
non facilmente individuabile renden-
do in tal modo estremamente com-
Definizione plessa e difficile una corretta risposta
Con minaccia cibernetica intendiamo da parte dell’attaccato.
l’insieme delle condotte controindicate La natura stessa della minaccia ci-
che possono essere realizzate nel e tramite bernetica, quindi, limita la deterrenza, fa
lo spazio cibernetico ovvero in danno di prevalere tendenzialmente l’attacco sul-
quest’ultimo e dei suoi elementi costitu-

11
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

la difesa e rende indispensabile, da par- Tipi di minaccia


te dei soggetti principali che operano nel A seconda degli attori e delle finalità
cyber-spazio (Governi ed aziende), l’im- si usa distinguere la minaccia cibernetica
plementazione di un continuo processo in quattro macro-categorie. Si parla in tal
di analisi che permetta loro di adeguare caso di:
gli standard e le procedure di sicurezza al • criminalità cibernetica (cyber-crime):
contesto operativo e tecnologico in veloce complesso delle attività con finalità cri-
cambiamento. minali (quali, per esempio, la truffa o
frode telematica, il furto d’identità, la

12
Profili e tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale

sottrazione indebita di informazioni o minaccia sempre più seria e di primaria


di creazioni e proprietà intellettuali); rilevanza per la stabilità, il benessere e la
• spionaggio cibernetico (cyber-espio- sicurezza del Paese.
nage): acquisizione indebita di dati/
informazioni sensibili, proprietarie o
classificate; Il mercato del computer crime
• terrorismo cibernetico (cyber-terrorism): Il computer crime market rappresenta
insieme delle azioni ideologicamente dunque un settore appetibile e redditi-
motivate, volte a condizionare uno sta- zio sia per singoli hackers che per orga-
to o un’organizzazione internazionale; nizzazioni criminali che alimentano un
• guerra cibernetica (cyber-warfare): in- mercato nero in cui è possibile commer-
sieme delle attività e delle operazio- ciare contenuti illegali (ad esempio stu-
ni militari pianificate e condotte allo pefacenti, materiale pedopornografico o
protetto da copyright) e strumenti per rea-
scopo di conseguire effetti nel predet-
lizzare, in proprio o con il supporto tec-
to ambiente.
nico delle organizzazioni criminali stesse,
reati contro il patrimonio (truffe, ricatti,
L’impatto economico del cyber-crime estorsioni, furti, ecc.), sottrazione di dati
Il risiedere sulle reti di una mole sem- sensibili e d’identità (ad esempio ai fini
pre crescente di dati aziendali o relativi di riscatto o per perpetrare altri reati),
allo status patrimoniale degli individui riciclaggio di capitali illeciti, giochi d’az-
grazie ai servizi di cloud computing, assieme zardo e scommesse illegali.
al sempre maggiore utilizzo dello spazio Si registra, inoltre, un crescente coin-
cibernetico per attività finanziarie, econo- volgimento dei gruppi criminali che opera-
miche e commerciali, rendono gli attacchi no nel cyber-space in attività di spionaggio
cibernetici potenzialmente assai lucrativi industriale nell’ambito delle quali, anche
esponendo l’attaccante, per giunta, ad un su mandato di imprese concorrenti, sot-
rischio relativamente basso. traggono (o concorrono a sottrarre) bre-
I danni economici generati dal crimi- vetti industriali, piani aziendali, studi e ri-
ne informatico sono elevati. In partico- cerche di mercato, analisi e descrizioni dei
lar modo nei Sistemi-Paese come l’Italia, processi produttivi, ecc.
per i quali il furto del know-how scientifi-
co, tecnologico ed aziendale comporta
un danno diretto e grave alla capacità di
Il ruolo degli Stati
Benché lo spazio cibernetico sia una
rimanere innovativi e dunque di essere
realtà che trascende, sotto molti punti
competitivi nei mercati internazionali.
di vista, le frontiere nazionali, gli Stati ne
Inoltre, una parte dell’ingente quantità
sono, certamente, gli attori più rilevanti
di capitali illecitamente ottenuti trami-
nella misura in cui hanno la primaria re-
te i crimini informatici viene reinvestita
sponsabilità per la protezione di reti ed
nella ricerca di nuove vulnerabilità dei
infrastrutture collocate sul proprio terri-
sistemi da attaccare e nello sviluppo
torio, pur se detenute ed operate in massi-
di strumenti più sofisticati ed efficien-
ma parte dal settore privato.
ti, rendendo il crimine cibernetico una

13
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

Gli Stati, infatti, dispongono di ade- siderazione la necessità d’assicurare un


guate risorse umane e finanziarie, oltre adeguato livello di cyber-defence agli as-
che della capacità di organizzare e gestire setti critici nazionali.
per lungo tempo organizzazioni comples-
se. In quanto tali, quindi, essi sono gli at-
tori maggiormente in grado di sviluppare Spionaggio, sabotaggio, guerra, supply
una robusta capacità operativa nello spa- chain threat
zio cibernetico. La difesa delle proprie reti implica lo
Se l’assicurare la protezione, la resi- sviluppo di un’efficiente e continua ca-
lienza e la piena operatività delle proprie pacità di monitoraggio e di analisi degli
reti di comunicazione e controllo militari attacchi. Si tratta di strumenti che alcu-
è, da sempre, un’esigenza vitale per ogni ni Stati stanno sviluppando, attraverso
Stato, la creazione dello spazio ciberneti- proprie strutture o mediante il ricorso a
co (che supporta oggigiorno il funziona- strutture para-statali, con intenti anche
mento di pressoché ogni infrastruttura offensivi. Attualmente, diversi Governi si
critica nazionale, oltre che dei processi sono dotati delle necessarie capabilities per
produttivi dell’industria e della fornitura penetrare le reti nazionali degli altri Stati
di servizi al cittadino) ha imposto la ne- (in uso sia alle autorità pubbliche che ai
cessità d’ampliare tale capacità alla difesa privati) a fini di spionaggio o per mappa-
delle reti critiche nazionali. re i sistemi potenzialmente oggetto di un
Gli attacchi cibernetici più sofistica- futuro attacco.
ti, infatti, non solo sono potenzialmente In tal senso è necessario segnalare
in grado di danneggiare o paralizzare il come appaia concreto il rischio che al-
funzionamento di gangli vitali dell’ap- cuni Paesi mobilitino la propria industria
parato statale e la fornitura di servizi nazionale al fine di alterare componen-
essenziali ai cittadini, ma possono avere ti hardware da essa prodotte acquisendo
anche effetti potenzialmente distruttivi così la capacità di superare in maniera
(soprattutto in prospettiva) se impiega- pressoché irrilevabile ogni difesa posta in
ti per indurre il malfunzionamento delle essere dall’utilizzatore dell’assetto finito.
infrastrutture critiche (ad esempio reti
di controllo del traffico aereo, dighe, Hacktivism
impianti energetici, ecc.), generando Vi sono diverse tipologie di attacco
danni materiali ingenti e la potenziale motivate ideologicamente, con intento
perdita di vite umane. sostanzialmente dimostrativo, che mirano
Il vantaggio strategico derivante principalmente a creare un danno d’imma-
dalla possibilità d’infliggere un rilevan- gine e/o alla funzionalità temporanea di
te danno ad assetti nazionali critici del sistemi e reti: si tratta di attacchi, come i
nemico operando a distanza fa ritenere Distributed Denial of Service (DDoS), che, at-
probabile che i futuri conflitti interna- traverso il coordinato utilizzo in remoto di
zionali comprenderanno anche lo spa- reti di computer inconsapevoli (botnets),
zio cibernetico. Non sorprende, dunque, causano l’intenzionale sovraccarico dei ser-
che la pianificazione delle forze, presso- ver che ospitano un determinato servizio,
ché ovunque nel mondo, prenda in con- o i Web Defacements, che alterano i dati di

14
Profili e tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale

un determinato sito internet per disinfor- razziale, scambiare materiale illegale (ad
mazione, calunnia o semplice dileggio. In esempio pedopornografico) o pianificare
altri casi, attivisti fanno uso di malware non crimini, atti eversivi ed attentati terrori-
dissimili da quelli utilizzati da hackers e cri- stici. Benché non si possa dire che si sia
minali informatici per sottrarre surrettizia- in presenza di una minaccia cibernetica
mente dati di proprietà dei Governi, delle secondo la definizione sopra abbozzata,
aziende o degli individui al fine di esporli in quanto in questo caso la rete digitale
pubblicamente, o anche solo per dimostra- viene utilizzata solo quale strumento di
re le proprie capacità informatiche. comunicazione, è evidente che la natu-
ra stessa dello spazio cibernetico rende
Uso illegale della rete la minaccia particolarmente insidiosa.
L’arena digitale è uno straordinario Occorre pertanto affermare chiaramente
strumento per mettere in contatto tra che nel dominio cibernetico valgono le
loro, a livello globale, le persone. Esiste regole della convivenza civile e del rispet-
però anche il concreto rischio che que- to reciproco che già vigono nella società.
sta piattaforma e l’ampio anonimato La sfida che si pone è dunque quella di
da essa consentito siano sfruttati da chi preservare la libertà di espressione all’in-
vuole utilizzare la rete per diffondere odio terno della rete, assicurando, al pari di

15
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

quanto avviene nei domini classici, che Analisi delle vulnerabilità


essa non venga utilizzata per attività che
sarebbero illegali al di fuori della stessa. Gli attacchi cyber minano la fiducia
degli internauti nelle tecnologie ICT e la
business continuity sfruttando vulnerabilità
Terrorismo sia organizzative, sia di processo, sia tec-
È possibile ipotizzare che nel pros-
niche, spesso in combinazione tra loro.
simo futuro gruppi terroristici o singoli
Le vulnerabilità organizzative e di
individui possano impiegare strumenti
processo sono riconducibili non solo alla
cibernetici offensivi ed utilizzarli contro
mancata implementazione di misure per
obiettivi militari e civili. I malware potreb-
garantire la protezione da malware – attra-
bero essere loro venduti già “pronti per
verso, ad esempio, l’adozione di best-prac-
l’uso” dalle organizzazioni criminali che
tices e di applicativi anti-virus e anti-spam
operano nel computer crime market o esse-
aggiornati – ma anche all’assenza o alla
re sviluppati autonomamente, magari a
non corretta attuazione di misure di sicu-
partire dall’analisi di quelli già immessi
rezza fisica che contemplino, ad esempio,
nello spazio cibernetico (processi di re-
la continuità del servizio e minimizzino
verse engineering). Si tratta di una minac-
l’impatto di eventi, anche naturali, dan-
cia per ora solo ipotetica, ma occorre
nosi sull’infrastruttura fisica.
vigilare affinché tali strumenti distruttivi
Le vulnerabilità tecniche, invece,
rimangano fuori dalla portata di poten-
sono dovute a falle di sicurezza del sof-
ziali utilizzatori.
tware applicativo, ovvero dei protocolli di
comunicazione. Tra queste ultime, parti-
Evento inatteso, incidente colare rilievo assumono quelle che inte-
Il resoconto delle minacce che proma- ressano il Domain Name System (DNS), il
nano dallo spazio cibernetico non sareb- cui sfruttamento può avere ripercussioni
be completo se non tenesse in considera- sia sugli utenti che usufruiscono dei ser-
zione che, in un dominio caratterizzato da vizi di comunicazione elettronica sia sui
una continua evoluzione tecnologica, non gestori di infrastrutture critiche informa-
si possono escludere eventi inattesi che tizzate. Tali vulnerabilità possono por-
pongono sfide tecnologiche o di governan- tare ad una indisponibilità del servizio
ce e che richiedono uno sforzo collettivo ovvero possono avere effetti sull’integri-
mirato e sistemico. tà delle informazioni restituite dal server
È necessario sottolineare come lo dei nomi di dominio. In entrambi i casi
spazio cibernetico sia un dominio creato lo sfruttamento di tali vulnerabilità può
dall’uomo e, in quanto tale, potenzial- determinare conseguenze estremamente
mente fallibile. Occorre, quindi, svilup- serie in quanto l’impatto determinato
pare capacità per anticipare e prevenire dall’impossibilità di raggiungere un fon-
eventi rari e inattesi assicurando la conti- damentale nodo di controllo dell’infra-
nuità di reti e sistemi per quei servizi che struttura potrebbe determinare un grave
sono essenziali alla sicurezza ed alla stabi- malfunzionamento della stessa.
lità del Paese. Ne deriva, quindi, l’esigenza di limita-
re le sunnotate vulnerabilità, innanzitutto

16
Profili e tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale

attraverso un adeguato piano di preven- viare al problema degli approvvigiona-


zione che faccia dell’analisi del rischio e menti di prodotti e servizi tecnologici
della gestione e mitigazione del medesi- da fornitori esteri “a rischio”, software
mo le fondamenta di una serie di misure di antivirus aggiornato, sistemi di cifra-
sicurezza fisica, logica e procedurale, che tura e di firma digitale, identificazione
non possono prescindere da un’adeguata e autenticazione degli utenti, moni-
formazione, sensibilizzazione e responsa- toraggio e tracciabilità degli accessi e
bilizzazione del personale nell’adozione e delle funzioni svolte in rete da ciascun
nell’osservanza di tali misure. utente (misure di tipo logico);
Tali misure, funzionali ad una politica • norme e procedure dirette a discipli-
di sicurezza delle informazioni, si basano, nare gli aspetti organizzativi del pro-
in linea di principio, su: cesso della sicurezza, definizione di
• controllo degli accessi al fine di circo- ruoli, compiti e responsabilità per la
scrivere gli stessi al solo personale auto- gestione di tutte le fasi del processo di
rizzato e tracciabilità degli spostamenti sicurezza, adozione di specifiche pro-
dello stesso all’interno dell’ambiente di cedure che completino e rafforzino le
lavoro in modo da proteggere gli appa- contromisure tecnologiche adottate,
rati da danneggiamenti, manomissioni controlli sulla consistenza e sull’affi-
o furti (misure di tipo fisico); dabilità degli apparati (misure di tipo
• impiego di prodotti certificati per ov- procedurale).

CYBER SECURITY

FORMAZIONE, SENSIBILIZZAZIONE
E RESPONSABILIZZAZIONE
DEGLI UTENTI

FISICHE
LOGICHE MISURE
PROCEDURALI

ANALISI
RISCHIO
GESTIONE
MITIGAZIONE

17
CAPITOLO 2
STRUMENTI E PROCEDURE
PER POTENZIARE LE CAPACITÀ
CIBERNETICHE DEL PAESE

Indirizzi strategici

Al fine di garantire al Paese i benefi- traverso uno sforzo nazionale che veda
ci sociali ed economici derivanti da uno agire, in maniera sinergica e nell’ambito
spazio cibernetico sicuro ed allo scopo delle rispettive competenze, tutti gli attori
di rafforzare le capacità nazionali di pre- che il DPCM 24 gennaio 2013 individua
venzione, reazione e ripristino, il presente come nodi primari dell’architettura nazio-
Quadro Strategico fissa gli indirizzi stra- nale cyber, con un ruolo di raccordo e im-
tegici che dovranno essere conseguiti at- pulso del CISR. Essi sono così riassumibili:

18
Strumenti e procedure per potenziare le capacità cibernetiche del Paese

miglioramento, secondo un ap- promozione e diffusione della


proccio integrato, delle capaci- cultura della sicurezza ciber-
tà tecnologiche, operative e di netica sia tra i cittadini che
analisi degli attori istituzionali all’interno delle istituzioni, an-
interessati per consentire agli stessi che attraverso un sempre maggiore
la messa a punto di azioni idonee ad coinvolgimento del mondo della ri-
analizzare, prevenire, mitigare e con- cerca e delle università, al fine di ac-
trastare efficacemente i rischi di una crescere il livello di consapevolezza e
minaccia multi-dimensionale; di conoscenza della minaccia e dei
relativi rischi;

potenziamento delle capacità


di difesa delle Infrastrutture rafforzamento delle capacità
Critiche nazionali e degli atto- di contrasto alla diffusione di
ri di rilevanza strategica per il attività e contenuti illegali on-
sistema-Paese assicurando la business line affinché siano rispettate le
continuity e, al contempo, la compliance normative nazionali e internazionali;
con standard e protocolli di sicurezza
internazionali;
rafforzamento della coopera-
zione internazionale in materia
incentivazione della coopera- di sicurezza cibernetica nell’am-
zione tra istituzioni ed impre- bito delle Organizzazioni di cui
se nazionali al fine di tutelare l’Italia è membro e con i Paesi alleati;
la proprietà intellettuale e di
preservare le capacità di innovazione
tecnologica del Paese;

Al fine di conseguire tali sei indirizzi strategici sono stati identificati 11 indirizzi
operativi.

19
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

Indirizzi operativi
Sviluppo delle capacità del Siste- zione ed informazione e, di conse-
ma di informazione per la sicurezza guenza, sulla società civile e sui beni
della Repubblica, delle Forze di Poli- e servizi a questa forniti.
zia, delle Forze Armate e delle Auto- Incremento delle capacità di
rità preposte alla Protezione ed alla monitoraggio e analisi preventiva
Difesa Civile ai fini di una efficace al fine di anticipare le potenzialità
prevenzione, identificazione, repres- e i rischi connessi alle innovazioni
sione, reazione, contrasto, neutra- tecnologiche.
lizzazione e mitigazione degli eventi
Sviluppo delle capacità di piani-
nello spazio cibernetico, delle cause
ficazione e condotta delle operazio-
e degli effetti che questi hanno in
ni militari nello spazio cibernetico.
particolare sui sistemi di comunica-

Identificazione di un’Autorità sicurezza dei sistemi informativi


nazionale NIS (Network and Infor- e delle reti di comunicazione do-
mation Security) che cooperi con le vrà prescindere da logiche con-
omologhe Autorità degli altri Pae- correnziali;
si membri della UE e con la Com- • l’organizzazione di periodiche
missione Europea, anche tramite esercitazioni a livello naziona-
la condivisione di informazioni, per le che coinvolgano, accanto ai
contrastare rischi e incidenti relativi diversi attori pubblici, specifici
a reti e sistemi. operatori privati;
Potenziamento delle partnership • l’obbligatorietà della segnala-
pubblico-privato anche per realizza- zione di incidenti informatici nei
re un continuo, affidabile e sicuro settori strategici alle Autorità
scambio di informazioni tramite il competenti;
quale gli operatori privati possano
• la definizione di procedure ope-
fornire informazioni sugli attacchi
rative e template per lo scambio
subìti e su anomalie registrate e rice-
informativo.
vere, a loro volta, assessment sui rischi
e sulle vulnerabilità sulla cui base, Scambio di esperienze tra privato
poi, adeguare i livelli di sicurezza. e pubblico, allo scopo di implemen-
tare la reciproca conoscenza, anche
La partnership pubblico-privato
attraverso l’istituzione di periodi
dovrà essere agevolata anche attra-
formativi del personale interessato
verso:
presso singole strutture aziendali o
• la creazione di tavoli istituzio- presso le Amministrazioni chiamate
nali congiunti con operatori del a tutelarne la sicurezza.
settore, nell’ambito dei quali la

20
Strumenti e procedure per potenziare le capacità cibernetiche del Paese

Definizione di un linguaggio di cibernetiche di competenza dei vari


riferimento unico, chiaro e condivi- attori con strumenti di simulazio-
so – da impiegare nei vari ambiti di ne, addestramento e training on the
applicazione – al fine di potenziare job, accentrando tali funzioni nei
l’interoperabilità interministeriale e poli formativi e specialistici esistenti
internazionale. all’interno della Pubblica Ammini-
Predisposizione di questionari strazione (quali, ad esempio, quel-
atti ad individuare il livello di com- li delle F.A.), per evitare fenomeni
petenza e consapevolezza (security come quello degli "insider inconsa-
awareness) di tutti gli attori coinvolti pevoli" e mitigare fattori di vulne-
nella sicurezza cibernetica naziona- rabilità come quelli legati a modelli
le, al fine di individuare punti di for- organizzativi BYOD.
za e di debolezza e di predisporre, Introduzione di moduli di forma-
laddove necessario, adeguati inter- zione nelle scuole di ogni grado per
venti formativi e di sensibilizzazione. promuovere una cultura della sicu-
Realizzazione di campagne di rezza cibernetica.
formazione, addestramento, infor- Predisposizione, con il contri-
mazione e sensibilizzazione a bene- buto della comunità accademico-
ficio del personale della Pubblica scientifica, di ipotesi di intervento
Amministrazione, di quello delle volte a migliorare gli standard ed i
imprese e della cittadinanza sulla livelli di sicurezza dei sistemi e delle
minaccia, attuale e potenziale, sui reti, identificando anche i necessari
rischi ad essa connessi e sull’impie- supporti di simulazione tecnica di-
go responsabile delle ICT. stribuita utili allo sviluppo di una
Miglioramento e sperimenta- capacità di formazione e addestra-
zione di attività formative e adde- mento collettiva.
strative al fine di validare le attività

Rafforzamento dei rapporti di legittimità internazionale;


cooperazione e collaborazione con • a livello europeo, la tutela de-
le Organizzazioni internazionali gli interessi vitali, strategici e
delle quali l’Italia è parte, con i Pa- contingenti dell’UE, dei flussi
esi alleati e con le Nazioni amiche; e degli scambi informatici le-
partecipazione attiva del Paese alle gati al Mercato Unico; il rag-
iniziative e ai fora internazionali di giungimento di una capacità
trattazione della materia al fine di di resilienza cibernetica comu-
perseguire: ne; una drastica riduzione del
• a livello globale, la definizione di cyber crime; lo sviluppo di una
regole comuni e di un quadro di politica di difesa cibernetica e

21
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

delle relative capacità operati- contingenti dello Stato e della


ve in armonia con la Common NATO;
Security and Defence Policy; lo svi- • a livello bilaterale, con quei Paesi
luppo delle risorse tecnologiche di interesse strategico o poten-
e industriali per la sicurezza ci- ziali destinatari di iniziative mul-
bernetica e la condivisione dei tilaterali di assistenza tecnica o
princìpi di cui alla Strategia di capacity-building.
sicurezza cibernetica dell’UE,
Partecipazione alle esercitazioni
nonché nel rispetto degli impe-
di cyber security organizzate dall’ENI-
gni assunti in sede di Consiglio
SA e dalla NATO al fine di verificare
d’Europa e OSCE;
e migliorare l’efficacia degli asset-
• a livello atlantico, per preservare ti nazionali anche nell’ambito dei
l’efficienza e l’interoperabilità rapporti di cooperazione con altri
dei dispositivi di difesa comune Paesi.
al fine soprattutto di incorpora-
La partecipazione al dibattito in-
re nel processo di pianificazione
ternazionale deve essere proiettata
della difesa in ambito NATO
anche ad un efficace posizionamen-
un’efficace postura contro at-
to strategico del relativo comparto
tacchi cibernetici, a tutela de-
industriale italiano.
gli interessi vitali, strategici e/o

Realizzazione della piena opera- Sviluppo del CERT nazionale sul-


tività del CERT nazionale (già indi- la base di un modello cooperativo
viduato nell’ambito del Ministero pubblico-privato finalizzato a sup-
dello Sviluppo Economico ai sensi portare cittadini e imprese tramite
dell’art. 16 bis del Decreto Legislati- azioni di sensibilizzazione, di pre-
vo 1 agosto 2003, n. 259) al fine di venzione e di coordinamento della
potenziare gli strumenti di rilevazione risposta ad eventi cibernetici su va-
e contrasto delle minacce ed i mec- sta scala.
canismi di risposta agli incidenti, tra- Attivazione di meccanismi di co-
mite un sistema sicuro e riservato di operazione in ambito nazionale e in-
condivisione delle informazioni. ternazionale, individuando nel CERT
Tale struttura definisce un mo- nazionale le funzioni di collegamen-
dello di comunicazione condiviso to con altri CERT pubblici e privati
con gli altri CERT ed uno schema operanti sul territorio e di interfaccia
di accreditamento al fine di indivi- verso il CERT europeo e verso i CERT
duare ruoli, domini di competenza di altri Stati.
e punti di contatto supportando la Sviluppo di una piattaforma di
costruzione di un’adeguata commu- coordinamento tecnico e funzionale
nity per la sicurezza nazionale. tra tutti i CERT esistenti che permet-

22
Strumenti e procedure per potenziare le capacità cibernetiche del Paese

ta il flusso informativo necessario rie. Esso collabora con i CERT della


all’attività di prevenzione e risposta. pubblica amministrazione a livello
Sviluppo e piena operatività europeo ed internazionale, attraver-
del CERT-PA, quale evoluzione del so scambi informativi e procedure
CERT-SPC previsto dal DPCM re- concordate.
cante regole tecniche e di sicurezza Il CERT della Difesa segue le
SPC dell’1 aprile 2008. Il CERT-PA evoluzioni tecnico-funzionali e pro-
è il punto di riferimento delle pub- cedurali del NCIRC e il suo impiego
bliche amministrazioni attivando dovrà essere previsto nei piani di
l’escalation verso il CERT Nazionale operazione.
secondo modelli e procedure unita-

Garantire, attraverso proposte adattando la legislazione all’evo-


di intervento normativo ed orga- luzione della tecnologia e dei suoi
nizzativo, la continua efficacia del- nuovi utilizzi.
le misure di sicurezza cibernetica

Individuazione di standard per la Elaborazione ed adozione di


sicurezza di prodotti e sistemi che norme tecniche che garantiscano
implementano protocolli di sicu- la sicurezza delle informazioni (in-
rezza. Introduzione di processi di tegrità, disponibilità e riservatezza)
certificazione di conformità a tali attraverso l’introduzione di meto-
standard e, ove necessario, imple- dologie di progettazione sicura dei
mentazione di nuovi processi di prodotti e dei sistemi.
approvvigionamento dei prodotti Miglioramento del supporto agli
IT in ambito nazionale garantendo utenti, anche attraverso l’introdu-
l’interoperabilità internazionale so- zione di opportuni incentivi di mer-
prattutto con gli alleati della NATO cato al fine di promuovere la sicu-
e dell’UE. rezza dei prodotti disponibili.

Cooperazione con il comparto Predisposizione di servizi pubbli-


industriale per la definizione di pia- ci di assistenza e collaborazione a
ni per la sicurezza di reti e sistemi supporto, in particolare, delle pic-
nonché per la tutela delle alte tec- cole e medie imprese (PMI).
nologie.

23
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

Creazione di una supply chain vir- Previsione di incentivi volti a


tuosa attraverso una metodologia stimolare la competitività indu-
predefinita e con il ricorso a mec- striale nazionale e tecnologica in
canismi di audit sui sistemi e sui for- particolare: potenziando le atti-
nitori per incentivarne la verifica di vità di R&S da destinare a settori
affidabilità. strategici delle F.A. ed ai centri di
Sviluppo, all’interno della Pubbli- eccellenza nazionale per la realiz-
ca Amministrazione, di un processo zazione di strumenti ed applicazio-
flessibile e celere di acquisizione, va- ni maggiormente resilienti e sicuri,
lidazione, verifica e certificazione dei nonché atti a garantire efficaci ca-
prodotti in armonia con la rapida pacità operative.
evoluzione tecnologica del settore.

Mantenimento di una stretta coe- Una strategia di dissuasione nei


renza tra le comunicazioni strategiche confronti di potenziali avversari o
e le attività condotte nell’ambiente criminali può trovare supporto in
cibernetico (che è nel contempo sog- una oculata comunicazione istitu-
getto e oggetto di comunicazioni stra- zionale sulle capacità nazionali di
tegiche) affinché il sistema-Paese ab- dissuasione e deterrenza nello spa-
bia maggiori strumenti di prevenzione zio cibernetico.
e risposta agli eventi di tale natura.

Attribuzione, ai settori strate- per un effettivo ed efficace perse-


gici della P.A. di adeguate risorse guimento degli obiettivi indicati nel
umane, finanziarie, tecnologiche e Quadro Strategico.
logistiche per il conseguimento de-
gli obiettivi programmatici, a breve
e medio termine e, di conseguenza,

Implementazione di un sistema • identificare ed individuare po-


integrato di Information Risk Manage- tenziali rischi di carattere nazio-
ment nazionale in grado di: nale;
• realizzare una struttura efficace • produrre politiche di riferimento
per la prevenzione e la gestione per la gestione del rischio.
del rischio nazionale;

24
Strumenti e procedure per potenziare le capacità cibernetiche del Paese

La centralità della partnership pubblico-privato (PPP)

Il DPCM 24 gennaio 2013 include tra • collaborare alla gestione delle crisi ci-
gli attori dell’architettura nazionale pre- bernetiche contribuendo al ripristino
posta a garantire la protezione cibernetica della funzionalità dei sistemi e delle
e la sicurezza informatica nazionale, oltre reti da essi gestiti.
ai soggetti pubblici, anche gli operatori Il partenariato pubblico-privato co-
privati che “forniscono reti pubbliche di stituisce, pertanto, un principio impre-
comunicazione o servizi di comunicazione scindibile per il successo di ogni strate-
elettronica accessibili al pubblico, quelli gia di sicurezza cibernetica. Nei sistemi
che gestiscono infrastrutture critiche di economico-istituzionali moderni, infatti,
rilievo nazionale ed europeo, il cui funzio- gran parte delle infrastrutture che gesti-
namento è condizionato dall’operatività scono servizi pubblici essenziali e quelle di
di sistemi informatici e telematici”. rilevanza strategica per il sistema-Paese,
Ai sensi del citato provvedimento, tali sono affidate all’iniziativa di operatori
soggetti sono tenuti a: economici privati. La necessaria colla-
• comunicare al Nucleo per la Sicurezza borazione con questi ultimi ha dato vita
Cibernetica (NSC) ogni significativa ad appositi accordi finalizzati a rendere
violazione della sicurezza o dell’inte- ancor più strutturata la cooperazione in
grità dei propri sistemi informatici; tale ambito. Nell’ottica di un suo ulteriore
• adottare le best practices e le misure rafforzamento, da conseguire attraverso
finalizzate a conseguire la sicurezza ci- un processo incrementale, le sinergie da
bernetica; sviluppare dovranno interessare, accanto
• fornire informazioni agli organismi di ai soggetti menzionati, anche altre realtà
informazione per la sicurezza, consen- nazionali che, al di là delle dimensioni,
tendo anche l’accesso alle banche dati rappresentano segmenti di punta per lo
d’interesse ai fini della sicurezza ciber- sviluppo scientifico, tecnologico, indu-
netica; striale ed economico del Paese.

25
ALLEGATO 1
RUOLI E COMPITI DEI SOGGETTI
PUBBLICI

Il DPCM del 24 gennaio 2013 ha de- delle misure previste dal Piano Nazionale
lineato un assetto istituzionale preposto per la sicurezza dello spazio cibernetico,
alla protezione cibernetica ed alla sicurez- quale emanazione del presente Quadro
za informatica, nel quale i diversi attori in- Strategico Nazionale, spetta ad un appo-
teressati, sia pubblici sia privati, agiscono sito “organismo collegiale di coordina-
in maniera integrata allo scopo di ridurre mento” (cd. CISR tecnico).
le vulnerabilità dello spazio cibernetico, A supporto del vertice politico ope-
identificare le minacce, prevenire i rischi ra il Comparto intelligence, che conduce
ed accrescere le capacità di risposta a si- attività di ricerca informativa, nonché
tuazioni di crisi. provvede alla formulazione di analisi, va-
Al vertice dell’architettura si colloca lutazioni e previsioni sulla minaccia ciber-
il Presidente del Consiglio dei Ministri, netica, alla promozione della cultura della
che adotta il Quadro Strategico ed il sicurezza cibernetica, ed alla trasmissione
Piano Nazionale per la sicurezza dello di informazioni rilevanti al Nucleo per la
spazio cibernetico, per la cui attuazione Sicurezza Cibernetica, oltre che ad altri
emana apposite direttive, supportato in soggetti – pubblici e privati – interessati
ciò dal Comitato Interministeriale per la all’acquisizione di informazioni.
Sicurezza della Repubblica (CISR), il qua- Il Nucleo per la Sicurezza Cibernetica
le, oltre a elaborare proposte di intervento (NSC), istituito nell’ambito dell’Ufficio del
normativo, approva le linee di indirizzo di- Consigliere Militare presso la Presidenza
rette a favorire la collaborazione pubbli- del Consiglio dei Ministri, coordinando,
co-privati nonché una politica di condivi- nel rispetto delle rispettive competenze, i
sione delle informazioni e per l’adozione diversi attori che compongono l’architet-
di best practices e di misure per la sicurez- tura istituzionale, provvede alla prevenzio-
za cibernetica. La verifica dell’attuazione ne e preparazione ad eventuali situazioni

26
di crisi ed all’attivazione delle procedure • valuta e promuove procedure di con-
di allertamento. Ai fini della prevenzione e divisione delle informazioni per la
della preparazione ad eventuali situazioni di diffusione di allarmi e per la gestione
crisi, ferma restando, in capo alle distinte delle crisi;
Amministrazioni, la responsabilità, la tito- • acquisisce informazioni – anche da
larità, la custodia, tutela ed elaborazione operatori privati che forniscono reti
dei dati e delle informazioni contenute pubbliche di comunicazione o ser-
nelle singole basi di dati e/o archivi tele- vizi di comunicazione elettronica
matici, il Nucleo: accessibili al pubblico, o che gesti-
• promuove la programmazione e la pia- scono infrastrutture critiche di rilie-
nificazione operativa della risposta a vo nazionale ed europeo – in merito
situazioni di crisi cibernetica da parte ad incidenti significativi concernen-
dei soggetti pubblici e degli operatori ti violazioni di sicurezza o perdita
privati interessati, e l’elaborazione delle dell’integrità. I soggetti privati col-
procedure di coordinamento intermi- laborano attivamente alla gestione
nisteriale per la gestione delle crisi; delle crisi e contribuiscono al ripri-
• mantiene attiva (24/7) un’unità di al- stino della funzionalità dei sistemi e
lertamento e risposta; delle reti da essi gestiti;

27
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

• promuove e coordina lo svolgimento singole amministrazioni competenti, ma


di esercitazioni interministeriali e la richieda l’assunzione di decisioni coor-
partecipazione a quelle internazionali; dinate in sede interministeriale, dichiara
• costituisce punto di riferimento na- la situazione di crisi cibernetica e attiva
zionale per i rapporti con l’ONU, la il Nucelo Interministeriale Situazione e
NATO, la UE, altre organizzazioni in- Pianificazione (NISP), quale “Tavolo in-
ternazionali ed altri Stati. terministeriale di crisi cibernetica”. Esso
Ai fini dell’attivazione delle azioni di ri- assicura che le attività di reazione e sta-
sposta e ripristino, invece, il Nucleo riceve bilizzazione di competenza delle diverse
le segnalazioni di evento cibernetico e di- Amministrazioni ed enti vengano esple-
rama i relativi allarmi. Laddove l’evento tate in maniera coordinata, avvalendosi
assuma dimensioni, intensità o natura del Computer Emergency Response Team
tali da incidere sulla sicurezza naziona- (CERT) nazionale, istituito presso il
le o non possa essere fronteggiato dalle Ministero dello Sviluppo Economico.

28
Ruoli e compiti dei soggetti pubblici

RUOLI E COMPITI DEI DIVERSI


SOGGETTI PUBBLICI

AGENZIA PER L’ITALIA DIGITALE

Perseguimento degli obiettivi definiti dall’Agenda Digitale Italiana attraverso il mo-


nitoraggio dei piani di ICT delle pubbliche amministrazioni e la promozione annuale di
nuovi, in linea con l’Agenda digitale europea.

• Svolge attività di progettazione e co- servizi erogati ai cittadini, con livelli


ordinamento delle iniziative strategi- di servizio omogenei sul territorio na-
che per la più efficace erogazione di zionale, provvedendo anche alla loro
servizi in rete della P.A. a cittadini ed piena integrazione a livello europeo.
imprese; In particolare l’attività è riferita alle
basi di dati di interesse nazionale, se-
• detta indirizzi, regole tecniche e linee gnatamente a quelle identificate come
guida in materia di sicurezza infor- critiche (art. 2-bis del D.L. 179/2012
matica e di omogeneità dei linguaggi, come modificato dalla legge di conver-
delle procedure e degli standard, anche sione L. 221/2012);
di tipo aperto, in modo da assicurare,
tra l’altro, la piena interoperabilità e • opera il CERT-SPC, CERT del Sistema
cooperazione applicativa tra i sistemi Pubblico di Connettività, attuandone
informatici della P.A. e tra questi e i la trasformazione in CERT-PA, CERT
sistemi dell’Unione Europea (D.L. 22 della Pubblica Amministrazione, che
giugno 2012, n. 83, art. 20 co. 3 lit b); garantisce la sicurezza cibernetica dei
sistemi informativi della P.A., oltre che
• assicura la qualità tecnica e la sicu- della loro rete di interconnessione,
rezza dei sistemi informativi pubblici provvedendo al coordinamento delle
e della loro rete di interconnessione strutture di gestione della sicurezza
per salvaguardare il patrimonio in- ICT – ULS, SOC e CERT, operanti ne-
formativo della PA e garantire inte- gli ambiti di competenza. Il CERT-PA
grità, disponibilità e riservatezza dei coopera con il CERT Nazionale e con

29
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

il CERT Difesa per il raggiungimento mazione e della comunicazione allo


degli obiettivi di sicurezza nazionale; scopo di favorire l’innovazione e la
crescita economica, anche mediante
• funge da snodo per incrementare la l’accelerazione della diffusione delle
partecipazione italiana ai programmi Reti di nuova generazione;
europei e nazionali finalizzati allo svi-
luppo della società dell’informazione; • cura la promozione e diffusione delle
iniziative di alfabetizzazione informa-
• segue i processi di informatizzazione tica mediante tecnologie didattiche
dei documenti amministrativi, vigila innovative rivolte ai cittadini, ai dipen-
sulla qualità dei servizi e sulla razio- denti pubblici, anche mediante intese
nalizzazione della spesa in materia in- con la Scuola Superiore della P.A. e il
formatica, contribuisce alla diffusione Formez.
dell’utilizzo delle tecnologie dell’infor-

30
Ruoli e compiti dei soggetti pubblici

PRESIDENZA DEL CONSIGLIO DEI MINISTRI


DIS, AISE, AISI

Attività informativa finalizzata a rafforzare la protezione cibernetica e la sicurezza


informatica nazionali.

• Il DIS e le Agenzie svolgono la propria per la sicurezza, dalle F.A. e FF.PP.,


attività nel campo della sicurezza ci- dalle amministrazioni dello Stato
bernetica avvalendosi degli strumenti e da enti di ricerca anche privati, e
e secondo le modalità e le procedu- alla luce delle acquisizioni prove-
re stabilite dalla legge n. 124/2007, nienti dallo scambio informativo
così come modificata dalla legge tra l’AISE, l’AISI e le FF.PP., e dei
133/2012. A tal fine, il Direttore Ge- dati acquisiti da pubbliche ammi-
nerale del DIS, sulla base delle diretti- nistrazioni e dai soggetti erogatori
ve adottate dal Presidente del Consi- di servizi di pubblica utilità, alla
glio dei Ministri – volte a rafforzare le formulazione di analisi, valuta-
attività di informazione per la prote- zioni e previsioni sulla minaccia
zione delle infrastrutture critiche (ma- cibernetica;
teriali e immateriali), con particolare – provvede, in base a quanto di-
riguardo alla protezione cibernetica e sposto dal DPCM 24 gennaio
alla sicurezza informatica nazionali – e 2013, alla trasmissione di infor-
alla luce degli indirizzi generali e degli mazioni rilevanti ai fini della si-
obiettivi fondamentali individuati dal curezza cibernetica al Nucleo per
CISR, cura il coordinamento delle at- la sicurezza cibernetica, alle pub-
tività di ricerca informativa finalizzate bliche amministrazioni e agli altri
a rafforzare la protezione cibernetica e soggetti, anche privati, interessa-
la sicurezza informatica nazionali; ti all’acquisizione di informazioni
per la sicurezza;
• il DIS, attraverso i propri uffici: – definisce, in base a quanto dispo-
– assicura il supporto al Direttore sto dal DPCM 22 luglio 2011, le
generale per l’espletamento delle misure di sicurezza cibernetica che
attività di coordinamento; devono essere adottate a prote-
– provvede, sulla base delle infor- zione dei sistemi e delle infrastrut-
mazioni, analisi e rapporti prove- ture informatiche che trattano
nienti dai servizi di informazione informazioni classificate o coperte

31
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

dal segreto di Stato, provvedendo pubbliche amministrazioni ed i sog-


alle relative omologazioni tecni- getti erogatori di servizi di pubbli-
che e valutando le eventuali vio- ca utilità consentono l’accesso del
lazioni di sicurezza o compromis- DIS e delle Agenzie ai propri archivi
sioni di informazioni classificate informatici secondo le modalità e
conseguenti ad eventi accidentali con le procedure previste dal DPCM
o intenzionali; n. 4/2009;

• le Agenzie, ciascuna nell’ambito delle • il DIS pone in essere ogni iniziativa


rispettive attribuzioni, svolgono, se- volta a promuovere e diffondere la co-
condo gli indirizzi definiti dalle diretti- noscenza e la consapevolezza in me-
ve del Presidente del Consiglio dei Mi- rito ai rischi derivanti dalla minaccia
nistri e le linee di coordinamento delle cibernetica e sulle misure necessarie a
attività di ricerca informativa stabili- prevenirli, anche sulla base delle indi-
te dal Direttore Generale del DIS, le cazioni del comitato scientifico;
attività di ricerca e di elaborazione
informativa rivolte alla protezione ci- • il DIS redige il documento di sicurezza
bernetica e alla sicurezza informatica nazionale concernente le attività rela-
nazionali; tive alla protezione delle infrastrut-
ture critiche, materiali e immateriali,
• il DIS e le Agenzie corrispondono con nonché alla protezione cibernetica e
le pubbliche amministrazioni, i sog- alla sicurezza informatica, da allegare
getti erogatori di servizi di pubblica alla relazione annuale al Parlamento
utilità, le università e con gli enti di sulla politica dell’informazione per la
ricerca, stipulando a tal fine apposite sicurezza.
convenzioni. Per le stesse finalità, le

32
Ruoli e compiti dei soggetti pubblici

MINISTERO DEGLI AFFARI ESTERI

Rappresenta nei massimi consessi politici multilaterali e internazionali la posizione


nazionale.

• Assicura coerenza alla promozione e po dei flussi finanziari, economici e


tutela degli interessi italiani in materia commerciali, ecc.);
nelle sedi e ai vari livelli internazionali • collabora al recepimento interno degli
di trattazione; obblighi internazionalmente assunti
• coordina la partecipazione e l’impe- e dei nuovi orientamenti di disciplina
gno italiano, ivi incluso il contributo della materia in ambito internazionale
del settore privato e dell’accademia, (soft law, CSBM);
presso i diversi fora multilaterali di • coordina e assicura i servizi e le attivi-
trattazione della materia; tà, ivi inclusa l’adeguata sensibilizza-
• negozia, in concorso con gli altri or- zione e formazione del personale, per
gani nazionali competenti, le intese e garantire la protezione, la resilienza e
gli accordi internazionali di disciplina l’efficienza dei sistemi informativi e di
della materia, verificandone la com- comunicazione sicura presso la Farne-
patibilità e l’opportunità rispetto alle sina e la Rete diplomatico-consolare;
linee strategiche di proiezione interna- • partecipa alle community di sicurezza
zionale del Paese negli specifici volet di del Sistema Pubblico di Connettività
declinazione (politiche di sicurezza, (SPC), attraverso la c.d. Unità Loca-
tutela dei diritti umani e della libertà le di Sicurezza (CERT-MAE), ufficial-
fondamentali, contrasto alle minacce mente accreditata presso il CERT-
transnazionali, salvaguardia e svilup- SPC.

33
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

MINISTERO DELL’INTERNO
Autorità nazionale di pubblica sicurezza

Tutela dell’ordine e della sicurezza pubblica, di soccorso pubblico e difesa civile


anche a fronte delle minacce che interessano lo spazio cibernetico o da questo proma-
nano con impatto sulla popolazione, sulle istituzioni, sulle imprese e sulla continuità
dell’attività del governo.

• Assicura, attraverso il Dipartimento mezzi di pagamento e il diritto d’auto-


della Pubblica Sicurezza, la preven- re in tutti i casi in cui l’utilizzo distorto
zione ed il contrasto dei crimini in- dello strumento informatico o delle
formatici; tecnologie di rete rappresenti il modo
esclusivo o assolutamente prevalente
• garantisce, attraverso la Polizia Posta- di perpetrazione degli stessi;
le e delle Comunicazioni, l’integrità
e la funzionalità della rete informa- • concorre alla prevenzione e al contra-
tica, ivi compresa la protezione delle sto delle attività terroristiche e di age-
infrastrutture critiche informatizzate volazione del terrorismo condotte con
(attraverso il Centro Nazionale Anti- mezzi informatici;
crimine Informatico per la Protezione
delle Infrastrutture Critiche - CNAI- • assicura attività di prevenzione e con-
PIC), la prevenzione ed il contrasto trasto a fronte dell’ampia tipologia di
degli attacchi informatici alle struttu- crimini informatici;
re di livello strategico per il Paese, la • opera in proiezione preventiva rispet-
sicurezza e la regolarità dei servizi di to al crimine informatico attraverso
telecomunicazione, il contrasto del- costanti iniziative di sensibilizzazione
la pedopornografia online, nonché il dei cittadini al tema della sicurezza
contrasto degli illeciti concernenti i informatica.

34
Ruoli e compiti dei soggetti pubblici

MINISTERO DELLA DIFESA

Difesa dello Stato, missioni per la realizzazione della pace e sicurezza e concorso alla
salvaguardia delle libere istituzioni.

• Definisce e coordina la politica milita- agevolazione al terrorismo condotte


re, la governance e le capacità militari con mezzi informatici contro le F.A. in
nell’ambiente cibernetico; campo nazionale o in operazioni fuori
dai confini nazionali ai sensi della leg-
• pianifica, conduce e sostiene opera- ge 3 agosto 2007, n. 124 e successive
zioni (Computer Network Operations – modifiche;
CNO) nello spazio cibernetico atte a
prevenire, localizzare, difendere (atti- • assicura tutti quei servizi e quelle at-
vamente e in profondità), contrastare tività necessari a garantire la prote-
e neutralizzare ogni possibile minaccia zione, la resilienza e l’efficienza del Si-
e/o azione avversaria cibernetica, por- stema Militare e concorre alle attività
tata alla reti, ai sistemi ed ai servizi di reazione e stabilizzazione rispetto a
della Difesa sul territorio nazionale o situazioni di crisi di natura ciberneti-
nei teatri operativi fuori dai confini ca nazionale attraverso collegamenti
nazionali, nel quadro della propria funzionali e tecnici del CERT Difesa
missione istituzionale. In tale quadro, con il CERT Nazionale ed il CIRC della
la Difesa negozia le intese e gli accordi NATO;
internazionali di disciplina della ma-
teria, coordina le proprie attività nel • concorre alla prevenzione e al contra-
settore cyber-militare con NATO, EU e sto degli attacchi ai sistemi di comu-
le Difese di altri Paesi amici e alleati; nicazione e informazione di rilevanza
strategica per gli interessi nazionali;
• contribuisce al flusso informativo a
supporto delle operazioni ciberneti- • assicura la formazione e l’addestra-
che delle F.A. oltre i confini naziona- mento del proprio personale e mette a
li ai sensi della legge 3 agosto 2007, disposizione i propri centri di formazio-
n.124 e successive modifiche; ne in favore delle altre Amministrazioni.

• concorre alla prevenzione e al con-


trasto delle attività terroristiche e di

35
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

MINISTERO DELL’ECONOMIA E DELLE FINANZE

Tutela il risparmio nazionale nella sua accezione più ampia (dalle regolamentazione
dei mercati finanziari alle società partecipate), essa gestisce inoltre l'accertamento e
riscossione dei tributi, ed in questo ambito l'Anagrafe tributaria.

• Il MEF, nel suo complesso e per il tra- curano il coordinamento delle attività
mite dei propri Dipartimenti, Agenzie di prevenzione e gestione degli inci-
Fiscali e della Guardia di Finanza, è re- denti nell’ambito del SPC;
sponsabile di numerose Infrastrutture
Critiche Informatizzate Nazionali ed è • in ambito MEF sono operativi enti e
dotato di una complessa organizza- strutture organizzative all’interno del-
zione di sicurezza; le quali operano unità preposte a ga-
rantire la sicurezza informatica delle
• partecipa attivamente alle community proprie reti e sistemi, ovvero a svolge-
di sicurezza del Sistema Pubblico di re compiti di prevenzione e repressio-
Connettività (SPC), attraverso le c.d. ne delle frodi di carattere economico/
Unità Locali di Sicurezza, ULS MEF/ finanziario realizzate attraverso le reti
Sogei e ULS DF/Sogei, ufficialmente telematiche e le tecnologie informati-
accreditate presso il CERT-SPC, che che (Guardia di Finanza).

36
Ruoli e compiti dei soggetti pubblici

MINISTERO DELLO SVILUPPO ECONOMICO


Dipartimento per le Comunicazioni

Promuove, sviluppa e disciplina il settore delle comunicazioni elettroniche.

• È l’Autorità nazionale di regolamen- nell’ambito della Agenzia europea


tazione in materia di sicurezza ed in- per la sicurezza delle reti e dell’in-
tegrità delle reti di comunicazione formazione (ENISA);
elettronica, ai sensi dell’art. 16 bis del
d.lvo n. 259 del 2003, relazionandosi • l’ISCOM:
su tali materie con organismi naziona- – è l’Organismo di Certificazione del-
li ed internazionali; la Sicurezza Informatica (OCSI);
– partecipa alle iniziative coordina-
• ai sensi del predetto decreto: te dall’Agenzia ENISA in materia
– individua le misure di natura tec- di protezione delle infrastrutture
nico-organizzativa di sicurezza e critiche informatizzate;
integrità delle reti e verifica il ri- – partecipa ai lavori in diversi con-
spetto delle stesse da parte degli testi internazionali ed europei in
operatori di rete e fornitori di ser- materia di Internet Governance;
vizi di comunicazioni elettroniche; – effettua la vigilanza nell’ambito
– riceve dagli operatori di reti e del Registro Italiano ccTLD“it”;
fornitori di servizi le segnalazioni – è coinvolto nel programma comu-
relative ad incidenti con impatto nitario safer internet;
significativo per il successivo inol- – svolge attività di ricerca in colla-
tro alla Commissione Europea e borazione con Enti di ricerca ed
all’Agenzia ENISA; Università nei diversi settori del-
– svolge le funzioni di CERT nazio- le comunicazioni elettroniche al
nale; fine di individuare azioni concre-
– rappresenta, per il tramite del te per l’attuazione degli obiettivi
Direttore dell’Istituto Superiore perseguiti dall’Agenda Digitale
delle Comunicazioni e delle tec- Europea;
nologie dell’informazione, il Paese

37
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

• l’Osservatorio Permanente per la Si- del repertorio delle prestazioni obbli-


curezza e la Tutela delle Reti e del- gatorie che gli Internet Service Providers
le Comunicazioni – presieduto dal (ISPs) devono mettere a disposizione
Capo del Dipartimento per le Comu- dell’AG, la promozione dell’accesso
nicazioni – cura la formazione della ad Internet, ecc.
cultura della sicurezza, la redazione

38
ALLEGATO 2
GLOSSARIO

AGCOM – Autorità per le Garanzie ccTLD – Country Code Top Level Do-
nelle Comunicazioni main
Autorità indipendente istituita dalla Ultima parte del nome di dominio In-
legge 249 del 1997, avente il duplice ternet usato da uno Stato. È costituito
compito di assicurare, da un lato, la da due lettere: “.it” per l’Italia.
corretta competizione degli operatori
sul mercato e, dall’altro, di tutelare i CERT – Computer Emergency Re-
consumi e le liberta fondamentali dei sponse Team
cittadini. Organizzazione con compiti di pre-
venzione e di coordinamento della
APT – Advanced Persistent Threat risposta ad eventi cibernetici. Diversi
Minaccia consistente in un attacco CERT svolgono anche funzioni di for-
mirato, volto ad installare una serie mazione ed informazione nei confron-
di malware all’interno delle reti del ti degli utenti.
bersaglio al fine di riuscire a mantene-
re attivi dei canali che servono a far CERT-PA – Computer Emergency Re-
uscire informazioni di valore dalle reti sponse Team – Pubblica Ammini-
dell’ente obiettivo. strazione
Evoluzione del CERT-SPC (cfr. voce
BYOD – Bring Your Own Device successiva) con competenza estesa
Politica che permette ai dipendenti di ai sistemi informativi della Pubblica
un’azienda di portare i propri dispo- Amministrazione ed ai servizi erogati
sitivi mobili (pc portatili, smartphone per il loro tramite, oltre che alla rete di
e tablet) sul posto di lavoro e di im- interconnessione. Esso ha il compito
piegarli per accedere ad informazioni di supportare e coordinare la PA nella
e ad applicazioni aziendali come, ad prevenzione, risposta e rientro dagli
esempio, la posta elettronica. incidenti.

39
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

CERT-SPC – Computer Emergency convenzioni con i responsabili delle


Response Team - Sistema Pubbli- strutture interessate.
co di Connettività
CND – Computer Network Defence
Struttura responsabile, a livello nazio-
Azioni intraprese con l’uso di reti di
nale, per la prevenzione, il monitorag-
computer per proteggere, monitorare,
gio, il coordinamento informativo e
analizzare, rilevare e contrastare le at-
l’analisi degli incidenti di sicurezza in
tività non autorizzate condotte verso
ambito SPC. Essa ha anche il compi-
sistemi informatici e reti di computer.
to di assicurare l’applicazione di me-
todologie coerenti ed uniformi per la CNE – Computer Network Exploita-
gestione degli incidenti informatici. tion
Il CERT-SPC è referente delle Unità Operazioni condotte nel cyber-spazio
Locali di Sicurezza (ULS) istituite per al fine di acquisire informazioni da si-
ogni dominio connesso al SPC. stemi informatici o reti target o avver-
CNA – Computer Network Attack sarie. Trattasi di attività di intelligence o
Attività condotte nel e attraverso il di attività prodromica ad un attacco
cyber-spazio allo scopo di manipola- cyber.
re, interrompere il flusso, negare, de- CNO – Computer Network Operations
gradare o distruggere le informazioni Con tale termine si identificano ge-
presenti nei computer o nelle reti di nericamente attività di Computer
computer, ovvero gli stessi computer Network Attack (CNA), Computer
o reti di computer. Network Defence (CND) e Computer
CNAIPIC – Centro Nazionale Anticri- Network Exploitation (CNE).
mine Informatico per la Protezio- CPS – Cyber Physical System
ne delle Infrastrutture Critiche Sistema informatico che gestisce e
Il CNAIPIC, previsto dalla legge 155 controlla entità fisiche in settori quali
del 2005 ed istituito con Decreto del le infrastrutture civili, il settore aero-
Ministro dell’Interno del 9 febbraio spaziale, dei trasporti, sanitario, ener-
2008, è costituito in seno al Servizio getico e dei processi produttivi.
di Polizia Postale e delle Comunica-
zioni, organo per la sicurezza e per CSBM – Confidence and Security
l’integrità dei servizi di telecomunica- Building Measures
zione del Ministero dell’Interno, Au- Misure volte a prevenire o a risolvere
torità Nazionale di Pubblica Sicurez- ostilità fra Stati e ad evitare un loro
za. Il centro, per espressa previsione inasprimento, tramite lo sviluppo del-
normativa, ha il compito di garantire la fiducia reciproca. Tali misure posso-
la prevenzione e la repressione dei no avere natura formale o informale,
crimini informatici rivolti verso le unilaterale, bilaterale o multilaterale,
infrastrutture critiche o di rilevanza militare o politica.
nazionale, anche attraverso rappor-
ti di partnership definiti in apposite

40
Glossario

DoS – Denial of Service Exploit


Attacco volto a rendere un sistema Codice che sfrutta un bug o una vul-
informatico o una risorsa non dispo- nerabilità di un sistema informatico.
nibile ai legittimi utenti attraverso la
saturazione delle risorse ed il sovrac- IC – Infrastrutture Critiche
carico delle connessioni di rete dei si- Infrastruttura, ubicata in uno Stato
stemi server. membro dell’Unione Europea, che è
essenziale per il mantenimento delle
DDoS – Distributed Denial of Service funzioni vitali della società, della salu-
Attacco DoS lanciato da un gran nu- te, della sicurezza e del benessere eco-
mero di sistemi compromessi ed infet- nomico e sociale della popolazione ed
ti (BotNet). il cui danneggiamento o la cui distru-
zione avrebbe un impatto significativo
DF – Digital Forensics in quello Stato, a causa dell’impossi-
Disciplina – anche detta computer bilità di mantenere tali funzioni (art. 2
forensics o informatica forense – che lit. b) Direttiva 2008/114/CE);
si occupa dell’identificazione, della
conservazione, dell’analisi e della do- ICE – Infrastrutture Critiche Europee
cumentazione dei reperti informatici Infrastruttura critica ubicata negli
al fine di presentare valide prove digi- Stati membri dell’UE il cui danneg-
tali in sede processuale sia civile che giamento o la cui distruzione avrebbe
penale. un significativo impatto su almeno
due Stati membri. La rilevanza di tale
DNS – Domain Name System impatto è valutata in termini interset-
Sistema di denominazione del domi- toriali. Sono compresi gli effetti deri-
nio consistente in un database distri- vanti da dipendenze intersettoriali in
buito che converte in automatico un relazione ad altri tipi di infrastrutture
indirizzo web in un codice numerico (art. 2 lit. e) Direttiva 2008/114/CE).
di protocollo Internet (indirizzo IP)
che identifica il server web che ospita Ingegneria sociale
il sito. Arte di manipolare psicologicamente
le persone affinché compiano deter-
ENISA – European Network and In- minate azioni o rivelino informazioni
formation Security Agency confidenziali, come le credenziali di
Agenzia dell’Unione Europea volta a accesso a sistemi informatici.
garantire un elevato livello di sicurezza
delle reti e dell’informazione attraverso IoE – Internet of Everything
pareri tecnici alle autorità nazionali e Rete in cui persone, oggetti, dati e
alle istituzioni dell’UE, lo scambio di processi sono connessi tra loro attra-
buone pratiche, lo sviluppo dei contat- verso Internet, e nella quale le infor-
ti tra le istituzioni comunitarie, le au- mazioni vengono trasformate in tem-
torità nazionali e le imprese, e la pro- po reale in azioni, creando così nuove
mozione di una cultura della sicurezza. e ad oggi inimmaginabili opportunità
di business.

41
Quadro strategico nazionale per la sicurezza dello spazio cibernetico

IoT – Internet of Things meri di carte di credito, PIN) con l’invio


Neologismo riferito all’estensione di di false e-mail generiche a un gran nu-
Internet al mondo degli oggetti, i quali mero di indirizzi. Le e-mail sono con-
si rendono riconoscibili e acquisisco- gegnate per convincere i destinatari ad
no intelligenza grazie al fatto di poter aprire un allegato o ad accedere a siti
comunicare dati su se stessi e accede- web falsi. Il phisher utilizza i dati ac-
re ad informazioni aggregate da par- quisiti per acquistare beni, trasferire
te di altri. L’obiettivo è di far sì che il somme di denaro o anche solo come
mondo elettronico tracci una mappa “ponte” per ulteriori attacchi.
di quello reale, dando un’identità elet-
tronica alle cose e ai luoghi dell’am- Reverse engineering
biente fisico. I campi di applicabilità Analisi volta a comprendere il funzio-
sono molteplici: dalle applicazioni namento di prodotti hardware e softwa-
industriali (processi produttivi), alla re al fine di reingegnerizzarli, ad esem-
logistica e all’infomobilità, fino all’ef- pio, per migliorarne il funzionamento
ficienza energetica, all’assistenza re- o per impiegarli per fini diversi e ulte-
mota e alla tutela ambientale. riori rispetto a quelli originari.

ISP – Internet Service Provider SCADA – Supervisory Control and


Società che offre connessione e servi- Data Acquisition
zi Internet a pagamento tramite linea Sistemi impiegati per il monitoraggio
telefonica quali connessioni Dialup e ed il controllo di impianti e dispositivi
ISDN oppure a banda larga come fi- in settori quali il controllo del traffico
bre ottiche o DSL. (aereo, ferroviario, automobilistico),
della gestione dei sistemi di traspor-
Malware to dei fluidi (acquedotti, gasdotti,
Contrazione di malicious software. Pro- oleodotti, ecc.), della distribuzione
gramma inserito in un sistema in- dell’energia elettrica, della gestione
formatico, generalmente in modo delle linee di produzione che realizza-
clandestino, con l’intenzione di com- no i processi industriali, e del telerile-
promettere la riservatezza, l’integrità o vamento ambientale.
la disponibilità dei dati, delle applica-
zioni o dei sistemi operativi dell’obiet- SOC – Security Operations Center
tivo. A tale categoria generica appar- Centro che fornisce servizi finalizzati
tengono in via esemplificativa: virus, alla sicurezza dei sistemi informativi di
worm, trojan horse, backdoor, spywa- un’azienda (SOC interno) o di clien-
re, dialer, hijacker, rootkit, scareware, ti esterni. Un SOC può anche fornire
rabbit, keylogger, bombe logiche, ecc. servizi di incident response: in questo
caso svolge la funzione di Computer
Phishing Security Incident Response Team (CSIRT),
Attacco informatico avente, general- anche se spesso tale funzione fa capo
mente, l’obiettivo di carpire informa- ad un organo separato dell’azienda.
zioni sensibili (userid, password, nu-

42
Glossario

TCP/IP – Transmission Control Pro- tezione da minacce multiple, compo-


tocol/Internet Protocol sto da un firewall, software antivirus, e
Insieme di standard di protocolli svilup- sistemi di filtraggio spam e dei conte-
pato nella seconda metà degli anni ’70 nuti.
dalla Defence Advanced Research Project
Agency (DARPA), al fine di consentire la Web defacement
comunicazione tra diversi tipi di com- Attacco condotto contro un sito web
puter e reti di computer. Il TCP/IP è, e consistente nel modificare i conte-
infatti, impiegato da Internet. nuti dello stesso limitatamente alla
home-page ovvero includendo anche le
UTM – Unified Threat Management sottopagine del sito.
Prodotto di sicurezza integrato a pro-

43