È ormai opinione diffusa che una maggiore standardizzazione rappresenti una delle principali chiavi per supportare l’affidabilità e la cybersicurezza dei prodotti e servizi ICT. A dimostrazione di questo crescente interesse, negli ultimi cinque anni il numero delle certificazioni di cybersicurezza rilasciate a livello globale è pressoché raddoppiato, passando dalle sole 717 registrate nel 2018 alle oltre 1350 del 2022.
Ad ogni modo, si tratta di un percorso che, quantomeno nel contesto europeo, rivede gli esordi nel 1990, anno in cui è stato redatto lo standard ITSEC (Information Technology Security Evaluation Criteria). Successivamente (1996), sulla base dell’ITSEC sono stati creati i Common Criteria, che nel 1999, grazie all’International Organization for Standardization (ISO), sono divenuti standard internazionale ISO/IEC 15408, imponendosi come punto di riferimento globale per la valutazione della cybersicurezza. Nel 2019, l’ENISA (European Union Agency for Cybersecurity) ha istituito il gruppo di lavoro “EUCC Ad Hoc Working Group” (EUCC-AHWG) per supportare la stesura dei Common Criteria Europei (EUCC). Ebbene, lo scorso 31 gennaio la Commissione europea ha adottato il regolamento di esecuzione (“Implementing Act”) con cui gli EUCC possono diventare ufficialmente parte della legislazione europea e supportare la certificazione di un numero maggiore di prodotti e sistemi ICT.
IL LIVELLO DI ADOZIONE DEI COMMON CRITERIA
A livello tecnico, i Common Criteria (CC) hanno la funzione di definire dei criteri per rendere misurabili, e quindi comparabili in maniera oggettiva e incondizionata, le proprietà legate alla sicurezza di un prodotto o di un sistema informatico. Più nel dettaglio, per ottenere la certificazione è necessario identificare tre elementi fondamentali in relazione al TOE (Target of Evaluation) sotto esame: i) obiettivi di sicurezza, che definiscono l’intenzione per cui si intende operare la valutazione (“sicuro per cosa”); ii) ambiente di sicurezza (“sicuro in quale contesto”); iii) requisiti funzionali (“sicuro a fronte di quali verifiche”).
Ciò detto, ci sono sia vantaggi che criticità nell’utilizzo dei CC. Tra i primi, rileva sicuramente la competitività sul mercato: difatti, il prodotto ICT certificato gode di maggiore fiducia da parte dei consumatori e pertanto di maggiore domanda rispetto ai prodotti non certificati. Inoltre, in presenza di uno standard comune di valutazione, i consumatori operano facilmente confronti tra i prodotti, riponendo maggiore fiducia nei fornitori che hanno ottenuto certificazioni e che hanno dunque ricevuto un riconoscimento ufficiale per le loro competenze. Tra le criticità, invece, si evidenziano i costi elevati del processo di certificazione poiché – oltre al tempo impiegato – la valutazione richiede l’utilizzo di risorse specializzate, costituendo una potenziale barriera all’ingresso (o alla permanenza) nel mercato per gli operatori di piccole-medie dimensioni. Altro elemento di difficoltà è rappresentato dai lunghi tempi di esecuzione della valutazione e per il rilascio delle certificazioni, ritenuti non conformi al dinamismo e alla velocità di evoluzione del settore digitale. Inoltre, le rigidità alla base dei CC non permettono – se non in ipotesi limitate – di mantenere la certificazione per prodotti/sistemi su cui vengono installate nuove patch per aggiornamenti.
Difatti, il grafico successivo mostra come il numero di prodotti ICT certificati con CC a livello globale ha subito un rallentamento nell’anno dell’ultima rilevazione (2022), dopo aver registrato una crescita costante nel periodo precedente (da 318 nel 2018 a 382 nel 2021).
Similmente, in UE il numero di CC rilasciati ha dapprima subito un picco nel 2020 con 277 prodotti ICT certificati, per poi registrare una contrazione nell’anno successivo (216) e una lieve risalita nel 2022 (222).
GLI EUROPEAN COMMON CRITERIA E LA PERCEZIONE DELLE IMPRESE
Ciò premesso, appare evidente lo scopo e l’importanza dei succitati EUCC, come emerge fra l’altro da un’indagine condotta da I-Com, che si è avvalsa anche del sostegno di alcune delle principali associazioni di categoria, coinvolgendo 145 imprese appartenenti a vari settori (tra cui utilities, trasporti e tlc/digitale), i cui risultati sono stati resi noti di recente in occasione della presentazione del Rapporto annuale dell’Osservatorio sulla Cibersicurezza. In particolare, sul tema delle certificazioni volontarie di cybersicurezza si è potuto registrare che, indipendentemente dal fatto che l’impresa avesse adottato o intendesse adottare una certificazione di cybersicurezza, il 70% dei rispondenti si è mostrato parzialmente o totalmente d’accordo in merito al fatto che standard comunitari (come, appunto, gli EUCC) possano incentivare il ricorso a tali strumenti. Sul punto, tra le motivazioni pervenute viene sottolineato che tali standard, condividendo una base comune di requisiti, possono comportare una serie di vantaggi inerenti, fra l’altro, una più corretta gestione delle scelte aziendali, che passa anche per una maggiore proceduralizzazione dei processi interni, oltre a uniformare e chiarire in modo trasparente e pubblicamente accessibile i requisiti di sicurezza comuni.
Ad ogni modo, gli EUCC puntano a stabilire uno schema di certificazione uniforme in grado di raggiungere i due livelli di garanzia di sicurezza più alti previsti dal Cybersecurity Act (CSA), ovverosia quello “sostanziale” e quello “alto” – escludendo il livello di base basato su un meccanismo di autovalutazione – coinvolgendo autorità nazionali e prendendo in considerazione valutazioni di terze parti indipendenti. È importante evidenziare che gli EUCC, differentemente dai tradizionali CC, tentano di superare determinati aspetti che possono collidere con le dinamiche di mercato, soprattutto l’allungamento dei tempi e l’incremento dei costi. In particolare, essi prevedono il “testing once principle”, per cui al produttore è consentito includere un previo meccanismo di gestione delle patch già ad origine, da analizzare durante le procedure di certificazione del prodotto.
Il regolamento di esecuzione (Implementing Act) prevede che il titolare di un certificato EUCC possa apporre un marchio e un’etichetta sul prodotto ICT che ha completato con successo il processo di certificazione, al fine di dimostrare la conformità al succitato regolamento e ciò costituirà certamente un ulteriore elemento di garanzia e fiducia nei confronti di partner, clienti e consumatori finali. Quanto al periodo di validità di un certificato EUCC, è previsto che questo non possa superare i cinque anni, a meno che non venga stabilito diversamente da parte dell’autorità nazionale di certificazione della cybersicurezza (in Italia, l’ACN). Altro aspetto di rilievo concerne la gestione e la divulgazione delle vulnerabilità dei prodotti che abbiano ottenuto un certificato EUCC. Più nel dettaglio, viene prescritto al rispettivo titolare di istituire e mantenere una serie di procedure per la gestione delle vulnerabilità, nonché metodi per ricevere informazioni sulle stesse da fonti esterne (compresi gli utenti), organismi di certificazione e ricercatori nel settore della cybersicurezza. In aggiunta, nel caso in cui si rilevi una potenziale vulnerabilità, essa deve essere appositamente registrata e, contestualmente, va effettuata un’analisi di impatto ad hoc.
In ogni caso, una piena attuazione del sistema EUCC richiederà probabilmente nuove discussioni in sede comunitaria e la stesura di linee guida per facilitare il periodo di transizione (12 mesi, che aumentano a 24 se il processo di certificazione prende inizio entro i 12 mesi dall’entrata in vigore dell’Implementing Act), al termine del quale le certificazioni nazionali dovrebbero cessare di operare per lasciare definitivamente spazio agli EUCC.
GLI ALTRI SCHEMI DI CERTIFICAZIONE SULLA CYBERSICUREZZA IN DISCUSSIONE
Accanto allo schema sin qui descritto, l’ENISA sta lavorando anche a due ulteriori certificazioni di cybersicurezza, denominate EUCS (dedicata ai servizi cloud) ed EU5G (specifica per la connettività 5G). Allo stato attuale, gli schemi di riferimento, quantomeno in ambito europeo, sono – rispettivamente – l’EU Cloud Code of Conduct (EU CoC) e il NESAS (Network Equipment Security Assurance Scheme). In particolare, quest’ultimo è stato sviluppato direttamente dall’associazione degli operatori di rete mobile e delle industrie adiacenti (GSMA) con l’obiettivo di definire un quadro di garanzia della sicurezza condiviso nell’ambito delle reti mobili. Essendo in gran parte realizzato dagli stessi operatori che compongono la filiera, il NESAS appare avere caratteristiche che tengono fortemente conto delle esigenze del settore. Quanto all’adozione dell’EU CoC, il grafico successivo mostra numeri piuttosto contenuti, con soli 2 servizi aderenti nel 2018, mentre negli anni dal 2019 al 2021 non si è registrata nessuna adesione, che poi è stata recuperata nel 2022, anno in cui ben 17 servizi di cloud computing hanno presa parte al codice di condotta europeo dedicato.
Con riguardo allo standard NESAS (rilasciato nel 2019), la figura che segue mostra che nel 2020 sono stati certificati 15 prodotti a livello globale, aumentati a 20 l’anno successivo, per poi registrare un netto calo nel 2022, con appena 6 certificati rilasciati.
Pertanto, dato il (basso) livello di adozione di queste due tipologie di certificazioni, uno schema europeo non può che essere accolto con favore. In ultimo, è opportuno evidenziare che l’ENISA sta valutando la possibilità di una certificazione sulla cybersicurezza che possa applicarsi all’intelligenza artificiale, così da essere pronta in caso di richiesta formale da parte delle istituzioni europee.
CONCLUSIONI
È auspicabile che l’iter giunto al termine di recente sulla creazione degli European Common Criteria (EUCC) possa stimolare e incentivare le organizzazioni e i laboratori nazionali a certificare un numero maggiore di prodotti e sistemi ICT, dato che tali standard puntano a garantire livelli di sicurezza elevati e un’adeguata snellezza dei processi di certificazione in termini di tempi di conseguimento dei certificati e di mantenimento degli stessi anche in seguito agli aggiornamenti software, consentendo di affrontare in maniera più efficace la dinamicità tipica della minaccia cibernetica. Naturalmente, ciò non può prescindere da un lavoro di costante confronto e collaborazione a livello europeo e nazionale per guidare al meglio tutti i soggetti coinvolti nella transizione verso questo nuovo paradigma, puntando innanzitutto sulla chiarezza per quanto riguarda il rapporto costi/benefici di tali certificazioni, avendo il fine ultimo di rafforzare la postura di cybersicurezza nazionale.
[…] a partire dal Cybersecurity Act (Reg. 2019/881), passando per la recente adozione del primo schemo europeo di certificazione della cibersicurezza (EUCC) e alla preparazione di ulteriori due schemi (EUCS per i servizi cloud ed EU5G), fino a giungere […]