Cyber-Nachrichten: DPCM 17 Februar 2017 freigegeben

(Di Alessandro Rugolo)
24/06/17

Die neue „Richtlinie mit Hinweisen zum nationalen Cyberschutz und zur Informationssicherheit“ wurde kürzlich veröffentlicht.

War ein neuer Standard nötig?

Ich würde ja sagen.

Versuchen wir zu verstehen, was es Neues gibt, und einige persönliche Überlegungen allgemeiner Natur anzustellen.

Die „Richtlinie mit Leitlinien für den nationalen Cyberschutz und die IT-Sicherheit“ ist nun ein Erlass des Präsidiums des Ministerrats, erlassen am 17. Februar 2017 und veröffentlicht im Amtsblatt, Allgemeine Reihe Nr. 87 vom 13. April 2017.

Was ist der Zweck?

Aktualisieren Sie zunächst die bereits bestehende Gesetzgebung von vor vier Jahren (DPCM 24. Januar 2013), dann „die verschiedenen Kompetenzen zur Bewältigung der Krisensituation wieder in ein System und eine Einheit zu bringen...„im Cyber-Bereich, dessen Mangel (an Einheit!) offensichtlich die Ursache für die Schwierigkeit ist, auf einen möglichen Cyber-Angriff auf eine oder mehrere kritische nationale Infrastrukturen zu reagieren.

Artikel 1 führt uns in das Thema ein, indem er den Gegenstand der Richtlinie angibt (institutionelle Architektur, die für den Schutz der nationalen Sicherheit in Bezug auf kritische materielle und immaterielle Infrastrukturen verantwortlich ist...) und die wichtigsten Interessenträger (hauptsächlich das Ministerium für wirtschaftliche Entwicklung, die Agentur für digitales Italien, das Verteidigungsministerium und das Innenministerium).

Interessant ist Artikel 2, in dem die wichtigsten Definitionen für den Cyber-Bereich gesammelt sind. Ohne den geringsten Zweifel notwendig, wenn auch nicht für alle persönlich akzeptabel. Ich spreche insbesondere über die Definition des „kybernetischen Raums“ und die Konsequenzen, die dies für die Analyse von Cyberrisiken haben kann.

Beginnen wir mit der Definition des DPCM. 

"Cyberspace: der Satz miteinander verbundener IT-Infrastrukturen, einschließlich Hardware, Software, Daten und Benutzer, sowie die logischen Beziehungen zwischen ihnen, wie auch immer sie hergestellt sind".

Nehmen wir nun einige Definitionen des Cyberspace, die von den fortschrittlichsten Nationen der Branche übernommen wurden: den USA und Russland.

- USA: Die fiktive Umgebung, in der die Kommunikation über Computernetzwerke stattfindet;

- Russland: Ein Tätigkeitsbereich innerhalb des Informationsraums, der aus einer Reihe von Kommunikationskanälen des Internets und anderer Telekommunikationsnetze, der technologischen Infrastruktur zur Gewährleistung ihres Funktionierens und jeglicher Form menschlicher Aktivität auf ihnen (individuell, organisatorisch, staatlich) besteht.;

Diese Definitionen stammen von der Website des NATO Cooperative Cyber ​​​​Defense Centre of Excellence in Tallinn, Estland (https://ccdcoe.org/cyber-definitions.html).

Betrachten wir nun die Definition von Russland: Es ist leicht zu erkennen, dass es sich neben dem Internet und den Kommunikationskanälen auch auf die „technologischen Infrastrukturen, die das Funktionieren von Kommunikationsnetzen ermöglichen“ bezieht, Infrastrukturen, die weder in der US-amerikanischen noch in der italienischen Definition enthalten sind.

Meiner Meinung nach könnte das Fehlen dieses Hinweises diejenigen, die an der Entwicklung einer Cyber-Risikoanalyse einer kritischen Infrastruktur interessiert sind, in die Irre führen, indem sie beispielsweise dazu verleitet werden, das Kraftwerk, das ein kritisches Rechenzentrum speist, nicht in Betracht zu ziehen.

Natürlich ist dies nur ein triviales Beispiel, aber manchmal können Kleinigkeiten den entscheidenden Unterschied machen!

Eine weitere meiner Meinung nach unvollständige Definition ist diejenige, die von einem „kybernetischen Ereignis“ spricht.

Gemäß der Richtlinie ist ein Cyber-Ereignis ein „bedeutendes Ereignis, ob freiwillig oder zufällig, das in der unrechtmäßigen Erfassung und Übertragung von Daten, in ihrer unrechtmäßigen Änderung oder Zerstörung oder in der unrechtmäßigen Kontrolle, Beschädigung, Zerstörung oder Blockierung des ordnungsgemäßen Funktionierens von Netzwerken und Informationssystemen oder ihren Bestandteilen besteht“.

Auch in diesem Fall fehlt meiner Meinung nach etwas: Wie könnten wir tatsächlich ein Ereignis wie das sogenannte „Stuxnet“ darstellen, mit dem die Vereinigten Staaten und Israel (soweit wir wissen) das iranische Atomkraftwerk in Natanz sabotierten?

In diesem Fall hat der Virus die Zentrifugen beschädigt, d. h. er hat gegen ein Element vorgegangen, das nicht Teil eines Computernetzwerks ist. Dennoch kann dieses Ereignis nicht als „Cyber-Angriff“ betrachtet werden.

Hier sind zwei Beispiele, die zeigen, wie wichtig die Verabschiedung geeigneter Rechtsvorschriften und korrekter Definitionen ist. Es ist klar, dass es sich hierbei um Standpunkte handelt und dass ihre Hervorhebung nur dazu dient, Bewusstsein zu schaffen und Wissen zu verbreiten.

Willkommen beim DPCM, das noch Klarheit schafft!

Aber gehen wir weiter.

Artikel 3 erläutert die dem Präsidenten des Ministerrats übertragenen Aufgaben: „Verantwortlich für die allgemeine Politik der Regierung und Leiter des Informationssystems für die Sicherheit der Republik, um die nationale Sicherheit auch im Cyberspace zu schützen".

Der Premierminister nutzt das Interministerielle Komitee für die Sicherheit der Republik (CISR) zur Festlegung des nationalen strategischen Rahmens für die Sicherheit des Cyberraums.

In diesem Zusammenhang ist es interessant, auf den nationalen strategischen Rahmen zu verweisen, der die „Entwicklungstendenzen der Bedrohungen und Schwachstellen von Systemen und Netzwerken von nationalem Interesse, die Definition der Rollen und Aufgaben der verschiedenen öffentlichen und privaten Subjekte sowie der nationalen Subjekte, die außerhalb des Landesgebiets tätig sind, […] Instrumente und Verfahren enthält, mit denen die Steigerung der Kapazität des Landes zur Prävention und Reaktion auf Ereignisse im Cyberspace vorangetrieben werden soll, auch im Hinblick auf die Verbreitung der Kultur der Sicherheit“.

Es ist wiederum das PCM (auf Beschluss des CISR), das den „Nationalen Plan für Cyberschutz und Informationssicherheit“ verabschiedet, der Ziele und Aktionslinien im Einklang mit dem nationalen strategischen Rahmen enthält.

Artikel 4 befasst sich mit dem CISR, insbesondere Unterabsatz f. lautet: „übt eine strenge Überwachung der Umsetzung des Nationalen Plans für die Sicherheit des Cyberspace aus".

Artikel 5 führt das technische CISR als Unterstützungsgremium des CISR unter dem Vorsitz des Generaldirektors der Abteilung für Informationssicherheit (DIS) ein, und endlich kommen wir zum Kern! Hier liegt die große Neuigkeit.

Die konkreten Zuschreibungen an die DIS werden in Artikel 6 besser spezifiziert. Tatsächlich

Die DIS, in der Figur ihres Generaldirektors, wird vom DPCM als derjenige identifiziert, der „ergreift geeignete Initiativen, um die notwendigen Handlungslinien von allgemeinem Interesse festzulegen".

Der Zweck der Aktionslinien besteht darin, „das Sicherheitsniveau von Systemen und Netzwerken erhöhen und verbessern...„, im Vorgriff auf die notwendigen Gegenmaßnahmen und Reaktion auf ein mögliches“kybernetische Krise durch Verwaltungen, öffentliche Einrichtungen und private Betreiber...".

In der Praxis erhält die DIS den Auftrag, Maßnahmen zur Bekämpfung und Reaktion auf Cyberangriffe in Italien zu koordinieren. Das Konzept wird in Artikel 7 Absatz 2 klar zum Ausdruck gebracht und besagt, dass der Direktor des DIS für die Koordinierung der Informationsforschungsaktivitäten zur Stärkung des Cyberschutzes und der Informationssicherheit in Italien verantwortlich ist.

Artikel 8 führt das „Cyber-Sicherheitskern„, dauerhaft an der DIS angesiedelt für die Aspekte Prävention und Vorbereitung auf Krisensituationen und „für die Aktivierung der Warnverfahren". Dieser Kern wird von einem stellvertretenden Generaldirektor der DIS geleitet und besteht aus dem Militärberater und Vertretern von:

- DIS;

- AISE;

- AISI;

- Ministerium für Auswärtige Angelegenheiten;

- Innenministerium;

- Verteidigungsministerium;

- Justizministerium;

- Ministerium für wirtschaftliche Entwicklung;

- Ministerium für Wirtschaft und Finanzen;

- Katastrophenschutzabteilung;

- Agentur für digitales Italien;

- Zentrales Geheimhaltungsbüro.

Der Kern erfüllt gemäß Artikel 9 die Funktionen „Verbindung zwischen den verschiedenen Komponenten der institutionellen Architektur, die in unterschiedlicher Funktion im Bereich der Cybersicherheit tätig sind„, hält insbesondere die Einheit zur Alarmierung und Reaktion auf Krisensituationen aktiv, eine Einheit, die 24 Stunden am Tag, 7 Tage die Woche aktiv ist.

Artikel 10 legt die Zusammensetzung und Aufgaben der Einheit im Falle eines Cyber-Notfalls fest, insbesondere im Hinblick auf die Koordinierung, die sie für die Reaktion und Stabilisierung durchführen muss. In Absatz 3 heißt es, dass es für seine technischen Aktivitäten das nationale CERT des Ministeriums für wirtschaftliche Entwicklung und das CERT PA der Agentur für digitales Italien nutzt. Und in diesem Fall bin ich mir völlig einig, dass es notwendig ist, Kräfte (und Ressourcen!) zu bündeln.

Artikel 11 schreibt privaten Betreibern eine Reihe von Regeln vor. Dazu gehört die Verpflichtung, „jeden erheblichen Verstoß gegen die Sicherheit und Integrität seiner IT-Systeme“ zu melden und die Verpflichtung, bei der Bewältigung von Cyberkrisen mitzuwirken und zur Wiederherstellung der Funktionsfähigkeit der von ihnen verwalteten Systeme und Netzwerke beizutragen. Bei der Meldung von Verstößen wird sich wahrscheinlich nichts Wesentliches ändern, da die „Bedeutung“ eines kybernetischen Ereignisses in keiner Weise definiert ist, d.

Auch Artikel 11 Absatz 2 weist auf die Zuständigkeit des Ministeriums für wirtschaftliche Entwicklung hin, „die Einrichtung eines nationalen Bewertungs- und Zertifizierungszentrums zur Überprüfung der Sicherheitsbedingungen und der Abwesenheit von Schwachstellen...", eine Aufgabe, die meiner Meinung nach eher für das Ministerium für Universität und Forschung unter der Aufsicht des DIS geeignet ist.

Werfen wir abschließend einen Blick auf Artikel 13, Übergangs- und Schlussbestimmungen.

Absatz 1 vermittelt eine klare Vorstellung davon, wie das Cyberproblem auf Regierungsebene wahrgenommen wird, tatsächlich lautet Absatz 1: „Aus diesem Erlass ergeben sich keine neuen Belastungen für den Staatshaushalt". 

Ich habe Zweifel: Ist das alles ein Witz?

Tatsächlich glaube ich nicht, dass Artikel 13 Absatz 1 mit allem, was zuvor gesagt wurde, vereinbar ist!

Events

Klicken Sie auf die rot hervorgehobenen Tage und finden Sie heraus, was belegt ist.
Geschichten des Militärlebens
Schick uns deine Geschichte
Hommage an die 80. „Roma“-Infanterie, die ehrenvoll Abschied nimmt

Nun ja, wir sind mittlerweile daran gewöhnt, die Schließung der Kasernen mitzuerleben und vielleicht sogar ein wenig daran, die lange Geschichte der Abteilungen zu begraben, ein Phänomen, das die Erinnerungen jedoch nicht löscht. Es berührte auch...

Lesen Sie die Geschichte
"Il Signor Parolini" (XNUMX. Teil)

Das gebackene Hühnchen wurde wie erwartet seinem Ruf gerecht und festigte, wo nötig, die unbestrittene kulinarische Meisterschaft von Gastone, Chef ...

Lesen Sie die Geschichte