Cyber-Nachrichten: DPCM 17 Februar 2017 freigegeben

(Di Alessandro Rugolo)
24 / 06 / 17

Die neue "Richtlinie mit Hinweisen auf kybernetischen Schutz und nationale IT-Sicherheit" wurde kürzlich veröffentlicht.

War ein neues Gesetz notwendig?

Ich würde ja sagen.

Lassen Sie uns versuchen zu verstehen, was neu ist und einige persönliche Überlegungen allgemeiner Natur machen.

Die „Richtlinie über die Leitlinien für Cyber-Sicherheit und die nationale Sicherheit“ ist jetzt das Dekret des Vorsitzes des Ministerrats, erteilt am Februar 17 2017 und im Amtsblatt, allgemeine Reihe in der Anzahl der 87 13 2017 April veröffentlicht.

Was ist der Zweck?

Aktualisieren Sie zunächst die vor vier Jahren bestehende Gesetzgebung (DPCM 24 Januar 2013), dann "die unterschiedlichen Fähigkeiten zur Bewältigung der Krisensituation in das System und die Einheit zurückbringen ...„In cyber, dessen Mangel (die Einheit!) Ist offensichtlich Ursprung der Schwierigkeit einen möglichen Cyber-Angriff gegen eine oder mehr nationale kritische Infrastrukturen zu reagieren.

Der 1-Artikel führt uns in das Thema ein, das den Gegenstand der Richtlinie angibt (institutionelle Architektur zum Schutz der nationalen Sicherheit in Bezug auf kritische materielle und immaterielle Infrastrukturen ...) und die wichtigsten Interessengruppen (hauptsächlich Ministerium für wirtschaftliche Entwicklung, Agentur für Digital Italien, Verteidigungsministerium und Innenministerium).

Der 2-Artikel ist interessant, in dem wir die wichtigsten Definitionen für das Cyber-Feld sammeln. Notwendig, ohne jeden Zweifel, auch wenn nicht alle von ihnen geteilt werden können. Ich spreche insbesondere von der Definition des "kybernetischen Raums" und von den Konsequenzen, die dies für die Analyse des Cyber-Risikos haben kann.

Beginnen wir mit der Definition der DPCM.

"Kybernetischer Raum: die Menge der miteinander verbundenen IT-Infrastrukturen, einschließlich Hardware, Software, Daten und Benutzern, sowie die logischen Beziehungen zwischen den beiden, auch wenn sie hergestellt wurden".

Nehmen wir nun einige der Definitionen des Cyberspace, die von den fortschrittlichsten Nationen des Sektors übernommen wurden: USA und Russland.

- USA: Die fiktive Umgebung, in der die Kommunikation über Computernetzwerke stattfindet;

- Russland: Ein Tätigkeitsbereich Innerhalb des Informationsraums, durch eine Reihe von Kommunikationskanälen des Internets und anderer Telekommunikationsnetze gebildet, die technologische Infrastruktur, deren Funktion und jede Form menschlicher Tätigkeit auf ihnen (individuelle, organisatorische, Zustand) Stellen Sie sicher,;

Diese Definitionen stammen aus der Website des NATO Cooperative Cyber ​​Defence Center of Excellence in Tallin, Estland (https://ccdcoe.org/cyber-definitions.html).

Betrachten wir nun die Definition von Russland: Es ist leicht einzusehen, dass es sich nicht nur um Internet und Kommunikationskanäle handelt, sondern auch um "technische Infrastrukturen, die das Funktionieren von Kommunikationsnetzen ermöglichen", Infrastrukturen, die nicht in der Definition der USA oder in den USA enthalten sind der italienische.

Meiner Meinung nach könnte das Fehlen dieses Hinweises diejenigen irreführen, die an der Entwicklung der Cyber-Risikoanalyse einer kritischen Infrastruktur interessiert sind, indem sie beispielsweise das Kraftwerk, das ein kritisches Datenzentrum speist, nicht berücksichtigen.

Sicherlich ist dies nur ein triviales Beispiel, aber manchmal können die Banalitäten den Unterschied ausmachen!

Eine andere unvollständige Definition ist die, die von "kybernetischem Ereignis" spricht.

Gemäß der Richtlinie eine kybernetische Veranstaltung ist ein „bedeutendes Ereignis, freiwillig oder Zufälligkeit, die aus dem Erwerb und der in unangemessenen Übertragung von Daten, in deren Änderung oder rechtswidrige Zerstörung oder in unangemessene Kontrolle, Beschädigung, Zerstörung oder reguläre Block-Betrieb Netze und Informationssysteme oder ihre Bestandteile ".

Auch hier fehlt meiner Meinung nach etwas: Wie könnten wir ein Ereignis wie das als "Stuxnet" bezeichnete Ereignis einrahmen, mit dem die Vereinigten Staaten und Israel (soweit wir wissen) das iranische Kernkraftwerk in Natanz sabotiert haben?

In diesem Fall hat das Virus die Zentrifugen beschädigt, dh es hat gegen ein Element gewirkt, das in keinem Computernetzwerk enthalten ist, aber wir können dieses Ereignis nicht als "Cyber-Angriff" betrachten.

Hier zwei Beispiele, die deutlich machen, wie wichtig es ist, geeignete Gesetze und korrekte Definitionen zu verabschieden. Es ist klar, dass dies Gesichtspunkte sind und dass das Hervorheben ausschließlich dazu dient, Bewusstsein zu schaffen und Wissen zu verbreiten.

Willkommen in der DPCM, die noch Klarheit schafft!

Aber lass uns weiter gehen.

Der 3-Artikel skizziert die Aufgaben, die dem Präsidenten des Ministerrates übertragen wurden, "verantwortlich für die allgemeine Politik der Regierung und Gipfel des Informationssystems für die Sicherheit der Republik, um die nationale Sicherheit auch im Cyberspace zu schützen".

Der Ratspräsident bedient sich des Interministeriellen Ausschusses für die Sicherheit der Republik (CISR) für die Festlegung des nationalen strategischen Rahmens für die Sicherheit des Cyberraums.

In diesem Zusammenhang ist der Verweis auf den nationalen strategischen Rahmen interessant, der die "evolutionären Tendenzen der Bedrohungen und Verwundbarkeiten der Systeme und Netze von nationalem Interesse, die Definition von Rollen und Aufgaben der verschiedenen öffentlichen und privaten Subjekte und die nationalen, die außerhalb des Territoriums des Landes tätig sind, [...] Werkzeuge und Verfahren, um die Kapazität des Landes zur Prävention und Reaktion auf Ereignisse im Cyberraum zu erhöhen, auch im Hinblick auf die Verbreitung der Kultur der Sicherheit. "

Es ist immer der PCM (basierend auf der CISR-Resolution), der den "Nationalen Plan für kybernetischen Schutz und Cyber-Sicherheit" verabschiedet, der Ziele und Aktionslinien enthält, die mit dem nationalen strategischen Rahmen in Einklang stehen.

Der 4-Artikel behandelt CISR, insbesondere Absatz f. liest: "übt eine hohe Überwachung der Umsetzung des nationalen Raumfahrtplans für Cybersicherheit aus".

Der Artikel stellt die technische 5 CISR, als Körper Unterstützung der CISR, das Department of General Manager für Informationssicherheit (DIS) unter dem Vorsitz, und schließlich geht live! Genau hier liegen die großen Neuigkeiten.

Die spezifischen Attribute der DIS sind im 6-Artikel besser spezifiziert. tatsächlich

nur der DIS, in der Abbildung seines Generaldirektors, wird vom DPCM als derjenige identifiziert, der "geeignete Initiativen ergreifen, um die erforderlichen Aktionslinien von allgemeinem Interesse festzulegen".

Der Zweck der Aktionslinien ist, "das Sicherheitsniveau von Systemen und Netzwerken zu erhöhen und zu verbessern ...", in Erwartung der notwendigen Aktionen von Kontrast und Reaktion auf eine mögliche"kybernetische Krise durch öffentliche Verwaltungen und Körperschaften und private Betreiber ...".

In der Praxis wird der DIS ein Mandat erteilt, um Aktionen zur Bekämpfung und Reaktion auf Cyberangriffe in Italien zu koordinieren. Das Konzept wurde im 7-Artikel 2-Absatz klar zum Ausdruck gebracht, in dem es heißt, dass der Direktor des DIS für die Koordinierung von Informationsforschungsaktivitäten sorgt, die auf die Stärkung des kybernetischen Schutzes und der IT-Sicherheit in Italien abzielen.

Der 8-Artikel stellt die "Kern für Cyber-Sicherheit", dauerhaft im DIS für Aspekte der Prävention und Vorbereitung auf Krisensituationen"für die Aktivierung der Alarmierungsverfahren"Diese Gruppe wird von einem stellvertretenden Generaldirektor der DIS geleitet und besteht aus dem Militärberater und den Vertretern von:

- DIS;

- AISE;

- AISI;

- Außenministerium;

- Innenministerium;

- Verteidigungsministerium;

- Justizministerium;

- Ministerium für wirtschaftliche Entwicklung;

- Ministerium für Wirtschaft und Finanzen;

- Abteilung für Zivilschutz

- Italienische Digitalagentur;

- Zentralstelle für die Geheimhaltung.

Der Kern, im Sinne des 9-Artikels, erfüllt Funktionen von "Verbindung zwischen den verschiedenen Komponenten der institutionellen Architektur, die auf verschiedene Arten im Bereich der Cyber-Sicherheit eingreifen", insbesondere hält das Gerät aktiv für die Alarmierung und Reaktion auf Krisensituationen, aktive Einheit h24, 7 Tage auf 7.

Der Artikel 10 stellt die Zusammensetzung und die Aufgaben des Kerns in einem Notfall Cyber, insbesondere in Bezug auf die Abstimmung, die an Ort und Stelle für das Feedback und die Stabilisierung gestellt werden muß. Im 3 Absatz heißt es, dass verläßt sich für seine technischen Aktivitäten, die National CERT des Ministeriums für wirtschaftliche Entwicklung und die PA CERT Agentur für digitales Italien. Und in diesem Fall stimme ich voll und ganz der Notwendigkeit zu, Kräfte (und Ressourcen!) Zu bündeln.

Der 11-Artikel enthält eine Reihe von Regeln für private Operatoren. Unter diesen ist die Verpflichtung, „eine wesentliche Verletzung der Sicherheit und Integrität ihrer Informationssysteme“ offen zu legen und die Verpflichtung, in der Cyber-Krisenmanagement zusammenzuarbeiten, indem sie helfen, die Funktionalität der Systeme wiederherzustellen und Netzwerke, die sie verwalten. Auf die Beschwerde von Verletzungen nicht wahrscheinlich nichts Wesentliches geschehen, da es nicht in irgendeiner Weise definiert ist, die „Bedeutung“ eines Cyber-Ereignis, bedeutet dies, dass jede Währung, wie es will, aber es ist sehr wichtig, die Tatsache, dass private Betreiber zusammen arbeiten, unter anderem durch verfügbar für die Firma "Security Operation Centers".

Der 11-Artikel unter dem 2-Absatz weist darauf hin, dass das Ministerium für wirtschaftliche Entwicklung "die Einrichtung eines nationalen Bewertungs- und Zertifizierungszentrums für die Überprüfung der Sicherheitsbedingungen und das Fehlen von Schwachstellen ...", meiner Meinung nach am geeignetsten Aufgabe für das Ministerium für Universität und Forschung, unter der Aufsicht der DIS.

Zum Schluss noch einen Blick auf den 13-Artikel, die Übergangs- und Schlussbestimmungen.

Der Absatz 1 gibt eine klare Vorstellung davon, wie das Cyber-Problem auf der Regierungsebene zu spüren ist, tatsächlich besagt der Absatz 1: "Das vorliegende Dekret leitet keine neuen Kosten aus dem Staatshaushalt ab".

Ich habe einen Zweifel: Ist das alles ein Witz?

Ich glaube nicht, dass der 13-Artikel Absatz 1 mit all den oben genannten kompatibel ist!