Le certificazioni di sicurezza svolgono un ruolo centrale nel garantire che i prodotti e i sistemi informatici soddisfino standard elevati e riconosciuti a livello internazionale. I Common Criteria (CC) rappresentano uno degli strumenti più importanti per valutare e certificare le proprietà di sicurezza dei prodotti IT, in quanto la loro adozione e applicazione a livello globale favorisce la protezione delle informazioni e agevola fortemente il commercio internazionale di tecnologie, facendo leva sulla creazione di un linguaggio comune e standardizzato tra le diverse giurisdizioni. Va specificato che una spiccata sensibilità sul tema a livello internazionale ha caratterizzato, per prime, le scelte degli Stati Uniti, dove nel 1983 si diede vita al Trusted Computer System Evaluation Criteria – TCSEC (c.d. Orange Book), mentre in Europa è stato necessario aspettare fino al 1990, anno in cui venne redatto l’Information Technology Security Evaluation Criteria (ITSEC), sulla base del quale nel 1996 hanno avuto origine i Common Criteria. Questi ultimi, grazie alla certificazione dell’ISO, l’Organizzazione internazionale per la normazione (International Organization for Standardization), sono divenuti nel 1999 standard internazionale ISO/IEC 15408, affermandosi come punto di riferimento mondiale per la valutazione della sicurezza informatica.
CARATTERISTICHE TECNICHE E OPERATIVE DEI COMMON CRITERIA
I Common Criteria hanno la funzione di definire criteri per rendere misurabili in maniera oggettiva le proprietà legate alla sicurezza di un prodotto o di un sistema informatico sottoposto a valutazione, il cosiddetto “Target of Evaluation” (TOE). In particolare, il loro scopo è di garantire affidabilità, efficacia e correttezza della documentazione prodotta rispettando specifici requisiti fondamentali: l’imparzialità dell’ente di riferimento, la ripetibilità della procedura mediante l’ottenimento del medesimo risultato anche da parte di un terzo ente valutante (riproducibilità) e l’obiettività, intesa come assenza di stime soggettive. Al fine di ottenere la certificazione il TOE esaminato deve presentare tre elementi fondamentali: 1) gli obiettivi di sicurezza, che chiarificano la ragione che spinge a scegliere di eseguire la valutazione in corso; 2) l’ambiente di sicurezza, ossia il contesto di impiego del sistema o prodotto, definito attraverso il suo uso, l’ambiente di utilizzo e le minacce da contrastare; 3) i requisiti funzionali, che identificano le verifiche di sicurezza e il corrispondente livello di assurance garantito da queste.
Da un punto di vista operativo il processo di certificazione dei Common Criteria si fonda sull’esecuzione del Vulnerability Assessment, e fa leva su due documenti specifici con cui verrà qualificato il TOE, ossia il Protection Profile e il Security Target. Il primo, descrive gli obiettivi di sicurezza, le minacce, l’ambiente e i requisiti funzionali e di garanzia per una certa categoria di prodotto/sistema ICT; il secondo, rappresenta di fatto il risultato finale del processo di valutazione ed è costituito da numerosi elementi, tra cui i requisiti di sicurezza (SFR) e di garanzia (SAR), fondamentali nella misurazione quantitativa del grado di sicurezza del TOE. Quest’ultima avviene ricorrendo agli Evaluation Assurance Level (EAL), 7 livelli di sicurezza ciascuno dei quali corrisponde ad un pacchetto di requisiti (SFR e SAR). Il primo, EAL1 (TOE testato funzionalmente), è applicato quando è richiesto un livello di fiducia minimo e si è in presenza di minacce poco rilevanti, seguono l’EAL2 (TOE testato strutturalmente), EAL3 (testato e verificato metodicamente), EAL4 (progettato, testato e riveduto metodicamente), EAL5 (progettato e testato in modo semi-formale), EAL6 (verifica del progetto e testing semi-formali) ed EAL7 (verifica del progetto e testing formali).
LE TENDENZE DEI CERTIFICATI COMMON CRITERIA NEL 2023
Per comprendere quali sono state le statistiche dei Common Criteria nel 2023 possiamo fare riferimento a quanto reso noto all’interno dell’ultimo resoconto di Jtsec, ossia il “2023 CC Statistics Report”. Dal documento emerge che in tale arco temporale sono stati certificati 470 prodotti, 83 in più rispetto al 2022. Si tratta di numeri differenti da quelli dichiarati sull’apposito portale dei Common Criteria, in quanto vengono inclusi anche i prodotti resi pubblici dai siti web dei singoli organismi di certificazione (specificamente 37 prodotti su 470 sono stati riportati in questi siti e non su CommonCriteriaportal.org).
Negli ultimi anni si è riscontrato un incremento rispetto alle tendenze dei CC, per cui, soffermandosi su un’analisi quinquennale, si evince una crescita del 52,5% dal 2019 al 2023, anno in cui si è registrato il numero più alto di certificati rilasciati, ben 83 in più confronto al 2022.
In particolare, dal grafico sottostante è possibile osservare che durante l’anno appena terminato sono state effettuate 234 valutazioni ad affidabilità EAL4-EAL7, tra cui 104 EAL4, 88 EAL5, 40 EAL6 e 2 EAL7, dato che mostra come circa il 50% delle certificazioni abbia presentato un livello di garanzia elevato. Di converso, 68 prodotti (il 14%) sono stati certificati con valutazioni a bassa garanzia, tra cui il livello più frequente si riscontra nell’EAL2. Peraltro, ben 168 TOE, pari circa al 36% del totale, sono stati certificati mediante Protection Profile escludendo l’assegnazione di EAL.
Tra le prime 10 nazioni al mondo che hanno certificato prodotti con standard Common Criteria durante il corso del 2023 al primo posto troviamo i Paesi Bassi in cui si è giunti a quota 105, a seguire la Francia e gli Stati Uniti, entrambe con 87 prodotti. Nelle posizioni immediatamente successive è possibile individuare la Germania (49), il Giappone (34), il Canada (27), la Svezia (19) e la Spagna (18). L’Italia e la Corea del Sud restano in ultima posizione con 11 e 10 certificazioni rilasciate.
Nel periodo di analisi il laboratorio che ha valutato il maggior numero di prodotti è svizzero, SGS Brightsight, conquistando il primato con una quota di 80, al secondo posto vi è CEA-LETI (58), seguito da TÜV che completa il podio con 39 certificazioni. Applus+ Laboratories e Gossamer (38) sono al quarto posto, affiancati da Intertek (23), ITSEC (22), ATSEC (19), LEIDOS (17) e Thales (15) che completano la top 10. Per quanto concerne, invece, la classifica dei migliori produttori, Idemia è in vetta con 44 prodotti certificati, NXP segue mantenendo la stessa collocazione del 2022 (41 prodotti certificati). Infine, in ordine di successione troviamo: Infineon (30), Samsung (25), Huawei (22), Cisco e Ricoh con rispettivamente 19 e 17 prodotti certificati.
VANTAGGI E CRITICITÀ DEI CC
Come evidenziato anche all’interno dell’ultimo Rapporto Annuale dell’Osservatorio sulla Cibersicurezza di I-Com, i Common Criteria presentano vantaggi significativi e al contempo una serie di criticità da non sottovalutare. Tra i primi rientra sicuramente la loro capacità di fornire una metodologia standardizzata che facilita il commercio internazionale, eliminando le barriere tecniche tra nazioni diverse e aumentando la fiducia degli utenti finali rispetto ai prodotti certificati. Peraltro, il rilascio di un riconoscimento ufficiale di garanzia permette l’accesso a mercati chiusi o specializzati che prevedono requisiti minimi per i singoli prodotti, si pensi, ad esempio, al mercato bancario. Un ulteriore vantaggio di rilievo si sostanzia nella promozione della cooperazione internazionale. Le certificazioni riconosciute a livello globale favoriscono una collaborazione più solida tra paesi, enti regolatori e organizzazioni, rafforzando la resilienza collettiva contro attacchi derivanti da soggetti malevoli che sfruttano in maniera sempre più raffinata e pericolosa le tecniche e i vantaggi offerti dal ciberspazio. Questo è particolarmente rilevante nell’attuale contesto di crescente interconnessione e globalizzazione, dove le minacce alla sicurezza informatica possono avere ripercussioni transnazionali. Tuttavia, uno svantaggio è rappresentato dalla complessità e dal costo del processo di certificazione, che può risultare oneroso soprattutto per le piccole e medie imprese. Inoltre, il tempo necessario per ottenere la certificazione può rallentare l’innovazione, fattore critico in un settore caratterizzato da rapidi sviluppi tecnologici. Anche la rigidità dei criteri potrebbe essere vista come un limite, poiché potrebbe non adattarsi rapidamente alle esigenze e ai pericoli emergenti, oltre che alle tecnologie in evoluzione.
CONCLUSIONI
I Common Criteria giocano un ruolo essenziale a tutela della cibersicurezza, fondando una base solida a livello internazionale. Accanto a questi standard vi sono quelli eurounitari, come gli European Common Criteria (EUCC) che, a seguito dell’adozione avvenuta il 31 gennaio da parte della Commissione europea del Regolamento di esecuzione (UE) 2024/482, sono stati definitivamente integrati nella legislazione comunitaria, potendo incentivare la certificazione volontaria di un numero superiore di prodotti e sistemi ICT. Perdipiù, sono in discussione ulteriori due certificazioni in materia di servizi cloud, gli EUCS, e sulla connettività 5G, gli EU5G, a cui l’ENISA sta attualmente lavorando.