L’obbligo di notifica degli incidenti e la nuova tassonomia ACN
Come discusso nel precedente articolo, la gestione di un evento di sicurezza prevede diversi step e azioni da effettuare. Oltre a riuscire a individuare, circoscrivere e rispondere prontamente all’attacco, un ulteriore passo da compiere è la comunicazione di avvenuto incidente. Come per gli altri step, anche questa procedura deve prevedere azioni e figure ad hoc.
PIANO DI COMUNICAZIONE
Nell’Incident Management Plan, deve essere ben definita la strategia di comunicazione, ovvero devono essere riportate le indicazioni necessarie a capire attori, azioni, canali e modalità di comunicazione da utilizzare a seconda delle situazioni.
Il personale interno, in base al tipo di mansione, deve ricevere una corretta informazione e deve essere formato mediante corsi di formazione ed esercitazioni. Esternamente, l’organizzazione deve procedere a notificare l’avvenuto incidente in conformità a requisiti legali. I principali attori da tenere in considerazione: forze dell’ordine, autorità protezione dati personali, CSIRT Italia, partner istituzionali, fornitori.
La comunicazione di avvenuto incidente deve avvenire sia internamente che esternamente.
OBBLIGO DI NOTIFICA
In base all’impatto dell’incidente, alla tipologia e al livello di compromissione, l’organizzazione provvede alla notifica agli enti specifici. <
>La normativa italiana prevede l’obbligo di notifica al CSIRT secondo quanto predisposto in ambito Perimetro Sicurezza Nazionale Cibernetica (PSNC) [1].Nel dettaglio, bisogna notificare al CSIRT (ACN) tutti gli incidenti che coinvolgono i servizi inclusi nel Perimetro e anche gli incidenti che non colpiscono beni e servizi informatici non espressamente inclusi nel Perimetro.
UN BUON PIANO DI GESTIONE INCIDENTI
Una politica e un piano di gestione degli incidenti è di vitale importanza all’interno di un’organizzazione. I tradizionali strumenti di protezione firewall e antivirus non bastano, se non sono accompagnati da un piano operativo che prevede step da eseguire, best practies, ruoli e responsabilità, formazione del personale. Predisporre un piano operativo significa poter prevenire, limitare i danni e aiutare a rispondere prontamente ad un attacco.
TASSONOMIA DEGLI INCIDENTI
A tal proposito, l’ACN ha predisposto una specifica tassonomia per classificare gli incidenti che coinvolgono i servizi inclusi nel perimetro. La normativa è entrata in vigore a gennaio 2023 con l’obiettivo di fornire un’assistenza rapida ed efficace ai soggetti che fanno parte del Perimetro e prevede sei categorie per classificare l’incidente con le varie fasi di attacco descritte dal MITRE ATT&CK (l’accesso iniziale, l’esecuzione, l’installazione, la persistenza, l’evasione delle difese, il comando e il controllo, i movimenti laterali, la raccolta di credenziali, le azioni sugli obiettivi e l’esfiltrazione.
TEMPI DI NOTIFICA
In base al tipo di impatto grave o meno grave la notifica deve avvenire entro un’ora o sei ore. Per gli incidenti che colpiscono beni e servizi informatici non espressamente inclusi nel Perimetro, la notifica deve avvenire entro 72 ore.
La normativa, oltre ad estendere ulteriormente gli obblighi di comunicazione, si aggiunge agli altri obblighi previsti dalla NIS2 e dal regolamento DORA.
- [1] Con il decreto-legge n. 105 del 2019 è stato definito il Perimetro di sicurezza cibernetica nazionale al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale o la fornitura di un servizio essenziale per lo Stato e dal cui malfunzionamento, interruzione, anche parziali o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.