È stata pubblicata in Gazzetta Ufficiale la circolare n. 4336 dell’Agenzia di Cybersecurity Nazionale (ACN), attesa da giorni, con i dettagli e indicazioni procedurali sulla “diversificazione” dei prodotti e servizi di sicurezza informatica legati alla Federazione Russa prescritta dal Decreto Legge n. 21 del 21 marzo scorso.

Il decreto (art. 29) prevede infatti che “al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche […], derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedano tempestivamente alla diversificazione dei prodotti in uso”.

Più nello specifico, il decreto prevede che i prodotti da diversificare appartengano alle categorie che secondo l’ACN assicurano le seguenti funzioni di sicurezza: a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed Endpoint Detection & Response (EDR); b) web application firewall (WAF).

Cosa si intende per “diversificazione”

Rispetto a queste premesse, dalla circolare appena pubblicata sulla Gazzetta Ufficiale si deduce che per “diversificazione” si intende la sostituzione dei prodotti e servizi in oggetto con altri prodotti e servizi delle stesse categorie, con un piano di migrazione pensato in modo che “in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione”.

Da notare che le indicazioni del Decreto, e quindi della Circolare, sono obbligatorie per gli enti pubblici, ma si possono considerare delle best practice anche per le organizzazioni private.

Il concetto di base del Decreto e della Circolare è che la guerra in Ucraina impone una rivalutazione dei rischi connessi alla sicurezza informativa. Né il Decreto né la Circolare fanno riferimento a eventuali rischi di utilizzi impropri o criminosi dei prodotti e servizi da diversificare, ma si limitano a considerare solo i rischi che tali prodotti e servizi possano non essere aggiornati, manutenuti e assistiti tecnicamente in modo adeguato a causa della crisi in Ucraina.

I prodotti da diversificare

Venendo specificamente ai contenuti della circolare, l’ACN prescrive che i prodotti e servizi di IT Security che le pubbliche amministrazioni sono tenute a diversificare sono quelli di Kaspersky Lab e Group-IB per la categoria endpoint security, e quelli di Positive Technologies per la categoria WAF (Web Application Firewall), il tutto “anche se commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità on-premise o da remoto”.

La circolare prosegue poi con alcune indicazioni procedurali raccomandate per gli enti pubblici che devono procedere alla diversificazione, nell’ambito delle best practice definite nel Framework nazionale per la cybersecurity e la data protection, edizione 2019.

Le 6 fasi raccomandate per la migrazione

In particolare l’ACN raccomanda di:

1) censire dettagliatamente i prodotti e servizi utilizzati nelle categorie endpoint security e WAF analizzando gli impatti degli aggiornamenti degli stessi sull’operatività (tempi di manutenzione necessari);

2) identificare e valutare i nuovi servizi e prodotti (da adottare al posto di quelli da diversificare, ndr) validandone la compatibilità con i propri asset, nonchè la complessità di gestione operativa delle strutture di supporto in essere;

3) definire, condividere e comunicare i piani di migrazione (ai nuovi prodotti e servizi, ndr) con tutti i soggetti interessati a titolo diretto o indiretto, quali organizzazioni interne alle amministrazioni e soggetti terzi;

4) validare le modalità di esecuzione del piano di migrazione su asset di test significativi, assicurandosi di procedere con la migrazione dei servizi e prodotti sugli asset più critici soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani di ripristino a breve termine al fine di garantire la necessaria continuità operativa. Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione;

5) analizzare e validare le funzionalità e integrazioni dei nuovi servizi e prodotti, assicurando l’applicazione di regole e configurazioni di sicurezza proporzionate a scenari di rischio elevati (es. autenticazione multi-fattore per tutti gli accessi privilegiati, attivazione dei soli servizi e funzioni strettamente necessari, adozione di principi zero-trust);

6) assicurare adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevedendo adeguato supporto per l’aggiornamento e la revisione delle configurazioni in linea.

L’ACN raccomanda comunque di procedere applicando principi generali di gestione del rischio, e controllare costantemente i canali di comunicazione della stessa ACN.