Pubblicata in Gazzetta la circolare dell’Agenzia per la Cybersicurezza nazionale. Le PA dovranno sostituire i prodotti e servizi tecnologici di sicurezza informatica legati alla Russia.
La circolare contiene sei raccomandazioni desinate alle amministrazioni pubbliche, con l’obiettivo di diversificare prodotti e servizi tecnologici di sicurezza informatica per la Cybersicurezza nazionale. In modo da contrastare l’incremento di rischi determinato dall’attuale contesto di crisi internazionale, venutosi a determinare dopo lo scoppio del conflitto in Ucraina.
Ci riferiamo all’articolo 29 comma 3 del decreto legislativo 21 marzo 2022, n. 21 (“Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina”). I fornitori legati alla Russia potrebbero non riuscire a “fornire servizi e aggiornamenti ai propri prodotti”. Nel dettaglio si citano i prodotti di Kaspersky Lab, Group IB di Positive Technologies.
Le raccomandazioni alle PA
- Censire prodotti e servizi indicati nella circolare e analizzare “gli impatti degli aggiornamenti degli stessi sull’operatività, quali i tempi di manutenzione necessari”;
- Individuare nuovi servizi e prodotti e farne una valutazione, considerando sia che siano compatibili con i propri asset e la “complessità di gestione operativa delle strutture di supporto in essere”;
- Occuparsi della definizione, condivisione e comunicazione dei piani di migrazione;
- Validare le modalità di eseguimento del piano di migrazione “su asset di test significativi, assicurandosi di procedere con la migrazione dei servizi e prodotti sugli asset più critici soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani di ripristino a breve termine al fine di garantire la necessaria continuità operativa”, spiega la circolare. Si chiarisce anche che il piano di migrazione “dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione”;
- Condurre analisi e validazione delle funzioni e integrazioni dei nuovi prodotti e servizi scelti, “assicurando l’applicazione di regole e configurazioni di sicurezza proporzionate a scenari di rischio elevati”. Tra questi rientrano autenticazione multi fattore per ogni accesso privilegiato, attivare solo funzioni necessarie e adottare principi di zero-trust;
- Garantire il monitoraggio dei nuovi prodotti, con la previsione di un adeguato sostegno per gli aggiornamenti e le revisioni delle configurazioni.
Maria Antonietta Ferraro