Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Dicembre 2013
Presidenza del Consiglio dei Ministri
Dicembre 2013
Lista delle sigle e delle abbreviazioni
2
INDICE
Prefazione............................................................................ 4
Executive Summary.............................................................. 8
Allegato 2 – Glossario......................................................... 39
3
PREFAZIONE
4
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
5
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
tecipato con il mondo del privato, che in molti casi è al contempo proprietario
e gestore degli assetti critici da tutelare, oltre che l’urgenza d’incorporare la
dimensione informatica dei moderni conflitti nella dottrina strategica e nella
pianificazione delle forze.
L’interdipendenza delle reti, l’asimmetricità della minaccia e la perva-
sività dello spazio cibernetico nella vita di ogni giorno rendono impossibile
assicurare un accettabile livello di sicurezza online in assenza di un ap-
proccio olistico e di una forte unitarietà d’intenti. L’obiettivo non può che
essere quello di potenziare a livello sistemico le nostre capacità di prevedere
e prevenire un attacco, individuarlo nel momento in cui accade, reagire
ad esso e mitigarne gli effetti, risalire ai responsabili, oltre che di ristabilire
rapidamente la funzionalità originaria ed apprendere le lezioni del caso.
A livello internazionale, l’Italia è impegnata tanto nei maggiori consessi
multilaterali, in primis l’Unione Europea e la NATO, quanto a livello bi-
laterale, con i nostri principali partner, per favorire l’affermazione ed il
rispetto di regole di comportamento nell’arena digitale coerenti con i nostri
valori, oltre che per facilitare l’emergere di una governance condivisa a li-
vello globale, indispensabile per far fronte alle grandi sfide della rivoluzione
digitale in atto. A livello nazionale, è imperativo sviluppare un approccio
coordinato e multi-dimensionale, che garantisca la più ampia convergenza
dell’azione delle diverse Amministrazioni dello Stato attorno ad obiettivi
pienamente condivisi e ampiamente partecipati con il mondo del privato,
accademico e della ricerca scientifica.
6
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
7
EXECUTIVE SUMMARY
8
Executive summary
9
CAPITOLO 1
PROFILI E TENDENZE EVOLUTIVE
DELLE MINACCE E DELLE
VULNERABILITÀ DEI SISTEMI E DELLE
RETI DI INTERESSE NAZIONALE
10
Profili e tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale
alla privacy e dell’integrità dei sistemi op- tivi. La minaccia si sostanzia nei c.d. at-
pure, sempre a titolo di esempio, come tacchi cibernetici: azioni più o meno au-
possa essere complesso ricercare il giu- tomatizzate sulle reti da parte di singoli
sto equilibrio tra il diritto alla privacy e la individui o organizzazioni, statuali e non,
necessaria azione di contrasto a crimini finalizzate a distruggere, danneggiare o
come l’uso della rete per lo scambio di ostacolare il regolare funzionamento dei
materiale pedopornografico, lo spaccio sistemi, delle reti o dei sistemi attuatori
di stupefacenti, l’incitamento all’odio di processo da essi controllati ovvero a
o la pianificazione di atti di terrorismo. compromettere l’autenticità, l’integrità,
Reati che, oltre a ledere specifici diritti, la disponibilità e la riservatezza dei dati ivi
rappresentano un attacco all’idea stessa custoditi o che vi transitano.
di un dominio cibernetico libero, demo- Attualmente gli attacchi più sofisticati
cratico ed aperto. possono essere realizzati attraverso l’uso
di c.d. “armi cibernetiche” – ossia software
malevoli appositamente sviluppati (defi-
Finalità niti “malware”), o un insieme di istruzioni
Il Quadro Strategico Nazionale ed informatiche – posti in essere con lo spe-
il Piano Nazionale previsti dal DPCM cifico intento di danneggiare o alterare un
del 24 gennaio 2013 mirano ad accre- sistema informatico anche al fine di pro-
scere la capacità di risposta del Paese durre danni fisici.
alle presenti e future sfide riguardanti il
cyber-space, indirizzando gli sforzi nazio-
nali verso obiettivi comuni e soluzioni Una minaccia insidiosa
condivise, nella consapevolezza che la Una caratteristica saliente della mi-
protezione dello spazio cibernetico è un naccia cibernetica è la sua asimmetricità.
processo più che un fine, che la continua L’attaccante infatti:
innovazione tecnologica introduce ine- • può colpire a grandissima distanza,
vitabilmente nuove vulnerabilità, e che da dovunque nel mondo esista un ac-
le caratteristiche stesse della minaccia cesso alla rete;
cibernetica rendono la difesa, per ora, • potenzialmente può attaccare siste-
di tipo prevalentemente – anche se non mi particolarmente sofisticati e pro-
esclusivamente – reattivo. tetti sfruttandone anche una sola vul-
nerabilità;
• può agire con tempi tali da non con-
La minaccia cibernetica ed i suoi sentire un’efficace reazione difensiva;
attori • può rimanere anonimo o comunque
non facilmente individuabile renden-
do in tal modo estremamente com-
Definizione plessa e difficile una corretta risposta
Con minaccia cibernetica intendiamo da parte dell’attaccato.
l’insieme delle condotte controindicate La natura stessa della minaccia ci-
che possono essere realizzate nel e tramite bernetica, quindi, limita la deterrenza, fa
lo spazio cibernetico ovvero in danno di prevalere tendenzialmente l’attacco sul-
quest’ultimo e dei suoi elementi costitu-
11
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
12
Profili e tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale
13
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
14
Profili e tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale
un determinato sito internet per disinfor- razziale, scambiare materiale illegale (ad
mazione, calunnia o semplice dileggio. In esempio pedopornografico) o pianificare
altri casi, attivisti fanno uso di malware non crimini, atti eversivi ed attentati terrori-
dissimili da quelli utilizzati da hackers e cri- stici. Benché non si possa dire che si sia
minali informatici per sottrarre surrettizia- in presenza di una minaccia cibernetica
mente dati di proprietà dei Governi, delle secondo la definizione sopra abbozzata,
aziende o degli individui al fine di esporli in quanto in questo caso la rete digitale
pubblicamente, o anche solo per dimostra- viene utilizzata solo quale strumento di
re le proprie capacità informatiche. comunicazione, è evidente che la natu-
ra stessa dello spazio cibernetico rende
Uso illegale della rete la minaccia particolarmente insidiosa.
L’arena digitale è uno straordinario Occorre pertanto affermare chiaramente
strumento per mettere in contatto tra che nel dominio cibernetico valgono le
loro, a livello globale, le persone. Esiste regole della convivenza civile e del rispet-
però anche il concreto rischio che que- to reciproco che già vigono nella società.
sta piattaforma e l’ampio anonimato La sfida che si pone è dunque quella di
da essa consentito siano sfruttati da chi preservare la libertà di espressione all’in-
vuole utilizzare la rete per diffondere odio terno della rete, assicurando, al pari di
15
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
16
Profili e tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale
CYBER SECURITY
FORMAZIONE, SENSIBILIZZAZIONE
E RESPONSABILIZZAZIONE
DEGLI UTENTI
FISICHE
LOGICHE MISURE
PROCEDURALI
ANALISI
RISCHIO
GESTIONE
MITIGAZIONE
17
CAPITOLO 2
STRUMENTI E PROCEDURE
PER POTENZIARE LE CAPACITÀ
CIBERNETICHE DEL PAESE
Indirizzi strategici
Al fine di garantire al Paese i benefi- traverso uno sforzo nazionale che veda
ci sociali ed economici derivanti da uno agire, in maniera sinergica e nell’ambito
spazio cibernetico sicuro ed allo scopo delle rispettive competenze, tutti gli attori
di rafforzare le capacità nazionali di pre- che il DPCM 24 gennaio 2013 individua
venzione, reazione e ripristino, il presente come nodi primari dell’architettura nazio-
Quadro Strategico fissa gli indirizzi stra- nale cyber, con un ruolo di raccordo e im-
tegici che dovranno essere conseguiti at- pulso del CISR. Essi sono così riassumibili:
18
Strumenti e procedure per potenziare le capacità cibernetiche del Paese
Al fine di conseguire tali sei indirizzi strategici sono stati identificati 11 indirizzi
operativi.
19
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
Indirizzi operativi
Sviluppo delle capacità del Siste- zione ed informazione e, di conse-
ma di informazione per la sicurezza guenza, sulla società civile e sui beni
della Repubblica, delle Forze di Poli- e servizi a questa forniti.
zia, delle Forze Armate e delle Auto- Incremento delle capacità di
rità preposte alla Protezione ed alla monitoraggio e analisi preventiva
Difesa Civile ai fini di una efficace al fine di anticipare le potenzialità
prevenzione, identificazione, repres- e i rischi connessi alle innovazioni
sione, reazione, contrasto, neutra- tecnologiche.
lizzazione e mitigazione degli eventi
Sviluppo delle capacità di piani-
nello spazio cibernetico, delle cause
ficazione e condotta delle operazio-
e degli effetti che questi hanno in
ni militari nello spazio cibernetico.
particolare sui sistemi di comunica-
20
Strumenti e procedure per potenziare le capacità cibernetiche del Paese
21
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
22
Strumenti e procedure per potenziare le capacità cibernetiche del Paese
23
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
24
Strumenti e procedure per potenziare le capacità cibernetiche del Paese
Il DPCM 24 gennaio 2013 include tra • collaborare alla gestione delle crisi ci-
gli attori dell’architettura nazionale pre- bernetiche contribuendo al ripristino
posta a garantire la protezione cibernetica della funzionalità dei sistemi e delle
e la sicurezza informatica nazionale, oltre reti da essi gestiti.
ai soggetti pubblici, anche gli operatori Il partenariato pubblico-privato co-
privati che “forniscono reti pubbliche di stituisce, pertanto, un principio impre-
comunicazione o servizi di comunicazione scindibile per il successo di ogni strate-
elettronica accessibili al pubblico, quelli gia di sicurezza cibernetica. Nei sistemi
che gestiscono infrastrutture critiche di economico-istituzionali moderni, infatti,
rilievo nazionale ed europeo, il cui funzio- gran parte delle infrastrutture che gesti-
namento è condizionato dall’operatività scono servizi pubblici essenziali e quelle di
di sistemi informatici e telematici”. rilevanza strategica per il sistema-Paese,
Ai sensi del citato provvedimento, tali sono affidate all’iniziativa di operatori
soggetti sono tenuti a: economici privati. La necessaria colla-
• comunicare al Nucleo per la Sicurezza borazione con questi ultimi ha dato vita
Cibernetica (NSC) ogni significativa ad appositi accordi finalizzati a rendere
violazione della sicurezza o dell’inte- ancor più strutturata la cooperazione in
grità dei propri sistemi informatici; tale ambito. Nell’ottica di un suo ulteriore
• adottare le best practices e le misure rafforzamento, da conseguire attraverso
finalizzate a conseguire la sicurezza ci- un processo incrementale, le sinergie da
bernetica; sviluppare dovranno interessare, accanto
• fornire informazioni agli organismi di ai soggetti menzionati, anche altre realtà
informazione per la sicurezza, consen- nazionali che, al di là delle dimensioni,
tendo anche l’accesso alle banche dati rappresentano segmenti di punta per lo
d’interesse ai fini della sicurezza ciber- sviluppo scientifico, tecnologico, indu-
netica; striale ed economico del Paese.
25
ALLEGATO 1
RUOLI E COMPITI DEI SOGGETTI
PUBBLICI
Il DPCM del 24 gennaio 2013 ha de- delle misure previste dal Piano Nazionale
lineato un assetto istituzionale preposto per la sicurezza dello spazio cibernetico,
alla protezione cibernetica ed alla sicurez- quale emanazione del presente Quadro
za informatica, nel quale i diversi attori in- Strategico Nazionale, spetta ad un appo-
teressati, sia pubblici sia privati, agiscono sito “organismo collegiale di coordina-
in maniera integrata allo scopo di ridurre mento” (cd. CISR tecnico).
le vulnerabilità dello spazio cibernetico, A supporto del vertice politico ope-
identificare le minacce, prevenire i rischi ra il Comparto intelligence, che conduce
ed accrescere le capacità di risposta a si- attività di ricerca informativa, nonché
tuazioni di crisi. provvede alla formulazione di analisi, va-
Al vertice dell’architettura si colloca lutazioni e previsioni sulla minaccia ciber-
il Presidente del Consiglio dei Ministri, netica, alla promozione della cultura della
che adotta il Quadro Strategico ed il sicurezza cibernetica, ed alla trasmissione
Piano Nazionale per la sicurezza dello di informazioni rilevanti al Nucleo per la
spazio cibernetico, per la cui attuazione Sicurezza Cibernetica, oltre che ad altri
emana apposite direttive, supportato in soggetti – pubblici e privati – interessati
ciò dal Comitato Interministeriale per la all’acquisizione di informazioni.
Sicurezza della Repubblica (CISR), il qua- Il Nucleo per la Sicurezza Cibernetica
le, oltre a elaborare proposte di intervento (NSC), istituito nell’ambito dell’Ufficio del
normativo, approva le linee di indirizzo di- Consigliere Militare presso la Presidenza
rette a favorire la collaborazione pubbli- del Consiglio dei Ministri, coordinando,
co-privati nonché una politica di condivi- nel rispetto delle rispettive competenze, i
sione delle informazioni e per l’adozione diversi attori che compongono l’architet-
di best practices e di misure per la sicurez- tura istituzionale, provvede alla prevenzio-
za cibernetica. La verifica dell’attuazione ne e preparazione ad eventuali situazioni
26
di crisi ed all’attivazione delle procedure • valuta e promuove procedure di con-
di allertamento. Ai fini della prevenzione e divisione delle informazioni per la
della preparazione ad eventuali situazioni di diffusione di allarmi e per la gestione
crisi, ferma restando, in capo alle distinte delle crisi;
Amministrazioni, la responsabilità, la tito- • acquisisce informazioni – anche da
larità, la custodia, tutela ed elaborazione operatori privati che forniscono reti
dei dati e delle informazioni contenute pubbliche di comunicazione o ser-
nelle singole basi di dati e/o archivi tele- vizi di comunicazione elettronica
matici, il Nucleo: accessibili al pubblico, o che gesti-
• promuove la programmazione e la pia- scono infrastrutture critiche di rilie-
nificazione operativa della risposta a vo nazionale ed europeo – in merito
situazioni di crisi cibernetica da parte ad incidenti significativi concernen-
dei soggetti pubblici e degli operatori ti violazioni di sicurezza o perdita
privati interessati, e l’elaborazione delle dell’integrità. I soggetti privati col-
procedure di coordinamento intermi- laborano attivamente alla gestione
nisteriale per la gestione delle crisi; delle crisi e contribuiscono al ripri-
• mantiene attiva (24/7) un’unità di al- stino della funzionalità dei sistemi e
lertamento e risposta; delle reti da essi gestiti;
27
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
28
Ruoli e compiti dei soggetti pubblici
29
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
30
Ruoli e compiti dei soggetti pubblici
31
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
32
Ruoli e compiti dei soggetti pubblici
33
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
MINISTERO DELL’INTERNO
Autorità nazionale di pubblica sicurezza
34
Ruoli e compiti dei soggetti pubblici
Difesa dello Stato, missioni per la realizzazione della pace e sicurezza e concorso alla
salvaguardia delle libere istituzioni.
35
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
Tutela il risparmio nazionale nella sua accezione più ampia (dalle regolamentazione
dei mercati finanziari alle società partecipate), essa gestisce inoltre l'accertamento e
riscossione dei tributi, ed in questo ambito l'Anagrafe tributaria.
• Il MEF, nel suo complesso e per il tra- curano il coordinamento delle attività
mite dei propri Dipartimenti, Agenzie di prevenzione e gestione degli inci-
Fiscali e della Guardia di Finanza, è re- denti nell’ambito del SPC;
sponsabile di numerose Infrastrutture
Critiche Informatizzate Nazionali ed è • in ambito MEF sono operativi enti e
dotato di una complessa organizza- strutture organizzative all’interno del-
zione di sicurezza; le quali operano unità preposte a ga-
rantire la sicurezza informatica delle
• partecipa attivamente alle community proprie reti e sistemi, ovvero a svolge-
di sicurezza del Sistema Pubblico di re compiti di prevenzione e repressio-
Connettività (SPC), attraverso le c.d. ne delle frodi di carattere economico/
Unità Locali di Sicurezza, ULS MEF/ finanziario realizzate attraverso le reti
Sogei e ULS DF/Sogei, ufficialmente telematiche e le tecnologie informati-
accreditate presso il CERT-SPC, che che (Guardia di Finanza).
36
Ruoli e compiti dei soggetti pubblici
37
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
38
ALLEGATO 2
GLOSSARIO
AGCOM – Autorità per le Garanzie ccTLD – Country Code Top Level Do-
nelle Comunicazioni main
Autorità indipendente istituita dalla Ultima parte del nome di dominio In-
legge 249 del 1997, avente il duplice ternet usato da uno Stato. È costituito
compito di assicurare, da un lato, la da due lettere: “.it” per l’Italia.
corretta competizione degli operatori
sul mercato e, dall’altro, di tutelare i CERT – Computer Emergency Re-
consumi e le liberta fondamentali dei sponse Team
cittadini. Organizzazione con compiti di pre-
venzione e di coordinamento della
APT – Advanced Persistent Threat risposta ad eventi cibernetici. Diversi
Minaccia consistente in un attacco CERT svolgono anche funzioni di for-
mirato, volto ad installare una serie mazione ed informazione nei confron-
di malware all’interno delle reti del ti degli utenti.
bersaglio al fine di riuscire a mantene-
re attivi dei canali che servono a far CERT-PA – Computer Emergency Re-
uscire informazioni di valore dalle reti sponse Team – Pubblica Ammini-
dell’ente obiettivo. strazione
Evoluzione del CERT-SPC (cfr. voce
BYOD – Bring Your Own Device successiva) con competenza estesa
Politica che permette ai dipendenti di ai sistemi informativi della Pubblica
un’azienda di portare i propri dispo- Amministrazione ed ai servizi erogati
sitivi mobili (pc portatili, smartphone per il loro tramite, oltre che alla rete di
e tablet) sul posto di lavoro e di im- interconnessione. Esso ha il compito
piegarli per accedere ad informazioni di supportare e coordinare la PA nella
e ad applicazioni aziendali come, ad prevenzione, risposta e rientro dagli
esempio, la posta elettronica. incidenti.
39
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
40
Glossario
41
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
42
Glossario
43