In GU n.198 del 19-8-2021 è stato pubblicato il DPCM del 15 giugno 2021 recante l’individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica, in attuazione dell’articolo 1, comma 6, lettera a), del decreto-legge n 105/2019.
I soggetti inclusi nel perimetro di sicurezza cibernetica già sono tenuti a predisporre annualmente l’elenco degli asset ritenuti “strategici” per la fornitura dei servizi essenziali e funzioni essenziali di rispettiva pertinenza e, con riferimento a tali asset, ad adottare misure nell’ottica di assicurare elevati livelli di sicurezza e a notificare eventuali incidenti al CSIRT (Computer Security Incident Response Team) attivo presso la Presidenza del Consiglio.
Inoltre, tali soggetti sono tenuti a comunicare al CVCN l’intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset “strategici” e appartenenti a determinate categorie individuate sulla base di specifici criteri tecnici.
Il decreto individua appunto le categorie in relazione alle quali i soggetti inclusi nel perimetro di sicurezza cibernetica che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, devono effettuare la comunicazione al Centro di valutazione e certificazione nazionale (CVCN)
Entro quarantacinque giorni dalla ricezione della comunicazione, il CVCN puo’ effettuare verifiche preliminari ed imporre condizioni e test di hardware e software da compiere.
Decorso il termine di cui al precedente periodo senza che
il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento.
Quindi è un sub-procedimento che mira, nei procedimenti di acquisti di beni e servizi, a tutelare la cybersecurity nazionale.
La ratio è la stessa che ha portato gli USA a includere in una black list il famoso produttore Huawei.
Ma qual è la differenza con il procedimento italiano?
Sostanzialmente la Entity List ha due dimensioni: il produttore e il prodotto.
Da noi non c’è nessuna blacklist, ma solo un procedimento di controllo su alcune tipologie di prodotti, per cui tutti gli enti inclusi nel perimetro di cibernetica nazionale dovranno chiedere l’ok prima di procedere all’acquisto.
Quali sono? Vediamoli
– componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (es.:Router x Switch );
– componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati (es. Firewall, Security Gateway, VPN);
-componenti hardware e software per acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali;
– applicativi software per l’implementazione di meccanismi di sicurezza (es. Applicazioni informatiche per la sicurezza o Public Key Infrastructure (PKI) o Single Sign-On (SSO) o Controllo Accessi x Moduli software che implementano Web Service mediante API, per protocolli di comunicazione.
Si tratta di software e hardware che attengono all’infrastruttura informatica.
Dall’elenco, a ben guardare, mancano infatti tutti i “terminali”, cioè quelli posti a valle dell’infrastruttura. Per fare degli esempi: cellulari, videocamere, computers.
Immaginate, per esempio, delle videocamere o dei cellulari che consentano in modo nascosto a una potenza ostile di monitorate a distanza le immagini o le comunicazioni dei ministri o dei generali dell’Esercito.
A parere del sottoscritto tale mancanza è veramente incomprensibile.
Inoltre l’elemento soggettivo è importante, infatti una tecnologia di per sé neutra (p.es. mail server open source) in mano a un fornitore infedele potrebbe comunque essere configurata per esfiltrare dati sulla sicurezza nazionale.
Speriamo che in un modo o in un altro tale mancanza non pregiudichi la sicurezza nazionale e non abbiamo a scoprire nel futuro di importanti uomini politici intercettati o di dati “rubati”mediante backdoor nascoste (come avvenuto nel recente passato