Il ruolo della certificazione di sicurezza dei prodotti ICT

La certificazione di sicurezza dei prodotti ICT è un’esigenza sentita da tempo, ma l’incremento esponenziale degli attacchi cyber l’hanno resa molto attuale. Non a caso la UE, con il Cyber Security Act, ha introdotto uno schema europeo di certificazione della sicurezza

La certificazione di sicurezza dei prodotti è un’esigenza sentita da tempo. È nata infatti nella seconda metà degli Anni 80 con l’emissione, da parte del National Computer Security Center (NCSC) americano, dello standard Trusted Computer System Evaluation Criteria (TCSEC), conosciuto con il nome di “Orange Book”. Questo standard ha introdotto dei concetti innovativi (valutazione di terza parte, assurance e valutazione probabilistica) che saranno ripresi da quasi tutti i moderni standard. All’Orange Book, sono seguiti vari standard che hanno ripreso questi concetti e, in particolare, lo standard denominato Information Technology Security Evaluation Criteria (ITSEC) che rappresenta la risposta europea al TCSEC. Attualmente, lo standard internazionale di riferimento per la valutazione di sicurezza dei prodotti ICT sono i Common Criteria, recepiti dall’ISO nelle norme ISO 15408.

Questi rappresentano una evoluzione e integrazione dei precedenti standard e sono nati da una collaborazione internazionale che era finalizzata a definire dei criteri comuni per le valutazioni di sicurezza dei prodotti ICT. In seguito, è nata l’iniziativa Common Criteria Recognition Arrangement (CCRA) per il mutuo riconoscimento dei certificati emessi ai sensi dei CC alla quale partecipano più di 30 paesi. Il CCRA, insieme al Senior Official Group Information System Security (SOG-IS) sottoscritto da circa 17 paesi europei, rendono i Common Criteria lo standard con la maggior base di mutuo riconoscimento internazionale per le valutazioni di sicurezza dei prodotti ICT effettuate dai diversi Schemi Nazionali di Certificazione della Sicurezza.

La certificazione ai sensi dei CC è volontaria, ma diventa obbligatoria in settori considerati critici (es. in USA per tutti i prodotti forniti al Dipartimento della Difesa (DoD) e in Europa per smartcards, HSM per la finanza e devices per firma digitale). Negli ultimi tempi, l’incremento esponenziale degli attacchi cyber – unito al sempre più diffuso utilizzo di soluzioni cloud e IoT – ha reso la cyber security una emergenza mondiale all’attenzione delle Autorità di tutti i Paesi e della Comunità Europea. Le valutazioni e le certificazioni della sicurezza di prodotti ICT possono giocare un ruolo importante in tale settore perché assicurano agli utilizzatori di tali prodotti che questi hanno implementato le necessarie misure di sicurezza e che sono stati testati per determinare l’utilizzo di tali misure contro vulnerabilità note.

Leggi anche:  Una violazione all'agenzia fiscale della Bulgaria espone i dati personali dei cittadini

Non sorprende quindi che la Comunità Europea, con il Cyber Security Act, stia cercando di realizzare uno schema di certificazione europeo della sicurezza dei processi, servizi e prodotti ICT il quale, pur mantenendo una metodologia rigorosa, sia in grado di ridurre i rischi cyber, aumentando la resilienza delle infrastrutture tecniche e la “fiducia” degli utilizzatori dei servizi digitali. Il Cyber Security Act definisce i principali attori, stabilendo le regole di funzionamento che devono essere seguite. Lo scherma di certificazione introdotto dal Cyber Security Act prevede tre livelli di affidabilità (base, sostanziale ed elevato) e l’adesione sarà volontaria a meno di processi, servizi e prodotti ICT operanti in ambiti considerati critici (come le infrastrutture critiche e gli apparati che gestiscono dati personali) per i quali potrà essere richiesta l’obbligatorietà. Il Cyber Security Act richiede che gli schemi nazionali e commerciali debbano basare le certificazioni di sicurezza sui migliori standard/pratiche di mercato esistenti, dando di fatto allo standard CC un ruolo guida nella definizione e utilizzo per le valutazioni e certificazione europea dei prodotti ICT.


Garibaldi Conte – Comitato scientifico CLUSIT