La risposta agli incidenti: una questione aperta
Il 30 agosto scorso l’European Union Agency for Network and Information Security[i] (ENISA) ha pubblicato il rapporto annuale sugli incidenti rilevati nel 2017 dalle imprese fornitrici di servizi di comunicazione elettroniche[ii]. Il rapporto trova il suo fondamento giuridico nell’art. 13 bis della direttiva UE 140/2009[iii] che ha introdotto importanti elementi di novità nel quadro normativo europeo, rispetto alle reti ed ai servizi di comunicazione elettronica.
L’art. 13 bis della direttiva 140 è stato attuato, in Italia, dal Dlgs. 70 del 2012[iv] che ha introdotto gli articoli 16 bis e 16 ter nel Codice delle comunicazioni elettroniche[v]. A norma dell’articolo 16 bis, dunque, esiste un obbligo per gli operatori che gestiscono reti pubbliche di comunicazione di:
- adottare le misure individuate dal Ministero dello Sviluppo Economico al fine di conseguire un livello di sicurezza delle reti adeguato al rischio esistente e di garantire la continuità della fornitura dei servizi su tali reti;
- comunicare al Ministero ogni significativa violazione della sicurezza o perdita dell’integrità.
A sua volta, nel caso di violazioni della sicurezza significative, il Ministero dello Sviluppo Economico ha l’obbligo di:
- informare le altre autorità nazionali competenti (per esempio, il Garante per la Protezione dei Dati Personali);
- informare le autorità di altri Paesi Membri;
- informare, direttamente o indirettamente (tramite lo stesso operatore interessato) gli utenti;
- informare l’ENISA.
Incidente di sicurezza: quando è significativo?
L’ENISA, quindi, riceve dall’Italia e dagli altri Paesi Membri le informazioni relative agli incidenti di sicurezza che riguardano le reti di comunicazione.
Per agevolare l’efficacia e l’efficienza dei meccanismi di analisi e reporting, l’ENISA e le autorità competenti degli Stati Membri hanno stabilito le soglie di significatività degli incidenti di sicurezza che la stessa ENISA ha formalizzato nelle “Linee Guida per il Reporting degli Incidenti”[vi] e nelle “Linee Guida per le Misure di Sicurezza”[vii]. Le soglie sono definite in base a parametri di:
- durata degli effetti dell’incidente;
- rapporto percentuale tra la platea degli utenti che subiscono gli effetti dell’incidente ed il numero di utenti totali dell’operatore per l’ambito di riferimento (telefonia mobile, telefonia fissa, accesso ad Internet da mobile, accesso ad Internet da fisso, ecc.).
Un incidente è considerato significativo e, quindi, da segnalare all’ENISA, quando:
- la durata è maggiore di un’ora e la percentuale di utenti coinvolti è superiore al 15%;
- la durata è maggiore di due ore e la percentuale di utenti coinvolti è superiore al 10%;
- la durata è maggiore di quattro ore e la percentuale di utenti coinvolti è superiore al 5%;
- la durata è maggiore di sei ore e la percentuale di utenti coinvolti è superiore al 2%;
- la durata è maggiore di otto ore e la percentuale di utenti coinvolti è superiore all’1%.
In ogni caso, l’incidente deve essere comunicato all’ENISA se il prodotto tra numero di utenti coinvolti e durata degli effetti è superiore a un milione (di ore‑utente).
I contenuti del rapporto
Il rapporto riguarda 169 incidenti segnalati, nel 2017, da 22 dei 28 paesi UE e da 2 paesi EFTA e propone alcuni elementi significativi:
- gli incidenti hanno riguardato soprattutto i servizi mobili (telefonia e internet); in particolare, il 51% degli incidenti ha interessato la telefonia mobile ed il 49% ha interessato l’accesso mobile ad Internet (tenendo presente che un incidente può interessare più di un servizio);
- gli incidenti sui servizi mobili, oltre ad essere più frequenti, hanno interessato, in media, un numero maggiore di utenti; in media, infatti, ogni incidente di questo tipo ha coinvolto circa mezzo milioni di utenti;
- la causa più frequente è stata il malfunzionamento di infrastrutture dovuto a guasti hardware o bug software; il 62% degli incidenti è derivato da questo tipo di problemi;
- l’errore umano è stato la causa che incidenti che hanno coinvolto, in media, il maggior numero di utenti; l’incidente causato dall’uomo ha avuto impatto, in media, su 1,2 milioni di utenti;
- gli incidenti causati da malintenzionati esterni sono stati rari e hanno registrato una frequenza pari al 2,5% del totale;
- sono aumentati, rispetto agli anni precedenti, gli incidenti causati da fenomeni naturali; la percentuale di questi incidenti, nel 2017, è stata pari al 18% mentre, nel periodo 2014‑2016, si era mantenuta stabile intorno al 5%.
Questi risultati ci dicono che la sicurezza delle infrastrutture di telecomunicazione è ampiamente migliorabile.
Occorre lavorare, in particolare:
- sull’affidabilità dei sistemi hardware e software per ridurre drasticamente gli incidenti;
- sulla progettazione di sistemi di backup che funzionino realmente e che, auspicabilmente, vengano testati periodicamente;
- sulla robustezza dei sistemi per resistere agli errori umani;
- sulla capacità dei sistemi di gestione di predire, prima di dare definitività ad ogni azione, le conseguenze di un errore umano, in termini di utenti coinvolti e di durata degli effetti;
- sulla riduzione della vulnerabilità dei sistemi agli eventi naturali; una recente ricerca[viii] dell’Università dell’Oregon ha dimostrato, ad esempio, che tra 15 anni potrebbero essere sott’acqua, nei soli Stati Uniti, 2.000 km di fibra ottica a lungo raggio, 4.000 km di fibra ottica a corto raggio e 1.100 nodi di scambio.
Incidenti e violazioni
Esiste, inoltre, una significativa sovrapposizione tra alcune definizioni presenti nella normativa europea (poi applicata a livello nazionale):
- l’ENISA, nell’applicare la Direttiva UE 140/2009, definisce incidente di sicurezza una violazione di sicurezza o una perdita di integrità che potrebbe avere un impatto sull’operatività delle reti e dei servizi di comunicazione elettronica;
- il Regolamento UE 679/2016[ix] (la regolamentazione generale per la protezione dei dati personali) definisce violazione dei dati personali una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
- la Direttiva UE 1148/2009[x] (la direttiva NIS poi applicata in Italia dal Dlgs. 65/2018[xi]) definisce incidente ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi.
Basterebbero queste sovrapposizioni lessicali per stimolare una riflessione allargata sull’effetto domino che un incidente di sicurezza nelle comunicazioni elettroniche genera e, quindi, sulla necessità di costruire meccanismi di riduzione dei rischi e di reazione (auspicabilmente coordinata) che siano il frutto di un’approfondita analisi da parte di tutte le autorità governative coinvolte (Agid, Agcom, Garante per la Protezione dei Dati Personali, CSIRT).
Cosa cambia con il nuovo codice delle comunicazioni
Questo aspetto corale è sottolineato dal nuovo Codice Europeo per le Comunicazioni Elettroniche[xii], che vedrà definitivamente la luce il prossimo novembre: all’art. 40 (sostitutivo dell’art. 13 bis della Direttiva UE 140/2009, cioè l’articolo che disciplina la comunicazione degli incidenti di sicurezza nelle reti e servizi di comunicazione elettronica) il Codice indica con precisione quali dovranno essere i parametri da valutare per determinare la rilevanza dell’impatto di un incidente di sicurezza:
- il numero di utenti interessati dalla violazione;
- la durata della violazione;
- la diffusione geografica della zona interessata dalla violazione;
- la misura in cui il funzionamento del servizio è perturbato;
- l’incidenza sulle attività economiche e sociali.
Se i primi due parametri sono già considerati nell’attuale attività di reporting a cura dell’ENISA, per gli altri sarà necessaria un’attività coordinata di definizione delle soglie ma, prima ancora, di prevenzione diffusa affinché gli incidenti di sicurezza non rimangano una questione aperta.
Note
- [i] https://www.enisa.europa.eu/
- [ii] https://www.enisa.europa.eu/publications/annual-report-telecom-security-incidents-2017/at_download/fullReport
- [iv] http://www.normattiva.it/atto/caricaDettaglioAtto?atto.dataPubblicazioneGazzetta=2012-05-31&atto.codiceRedazionale=012G0091&queryString=%3FmeseProvvedimento%3D%26formType%3Dricerca_semplice%26numeroArticolo%3D%26numeroProvvedimento%3D70%26testo%3D%26annoProvvedimento%3D2012%26giornoProvvedimento%3D¤tPage=1
- [v] http://www.normattiva.it/atto/vediMenuHTML?atto.dataPubblicazioneGazzetta=2003-09-15&atto.codiceRedazionale=003G0280¤tSearch=ricerca_semplice
- [vi] https://resilience.enisa.europa.eu/article-13/guideline-for-incident-reporting/Article_13a_ENISA_Technical_Guideline_On_Incident_Reporting_v2_1.pdf
- [vii] https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf
- [viii] http://ix.cs.uoregon.edu/~ram/papers/ANRW-2018.pdf
- [ix] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=EN
- [x] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=EN
- [xi] https://www.csirt-ita.it/files/dlgs_18_maggio_2018_n65.pdf
- [xii] https://eur-lex.europa.eu/resource.html?uri=cellar:c5ee8d55-7a56-11e6-b076-01aa75ed71a1.0015.02/DOC_1&format=PDF
Articolo a cura di Francesco Maldera
Francesco Maldera è Data Protection Officer e Data Scientist.
Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.
Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it