Alla luce delle recenti discussioni relative alla sovranità digitale europea in fatto di cybersecurity e dell’improvviso interesse suscitato dall’operato delle agenzie di sicurezza nazionale per i sistemi informatici presenti solo in alcuni Paesi UE, Stormshield porta l’esempio della ANSSI francese riflettendo sui requisiti e la mole di lavoro richiesta ai vendor di sicurezza per ottenere la qualifica e sul significato della stessa
In quest’ultimo periodo si è parlato molto di “made in Europe” riferito alla sicurezza informatica, sottolineando il lavoro svolto dalle agenzie di sicurezza nazionale per i sistemi informatici e annoverando l’operato della ANSSI francese e del BSI tedesco come esempio da seguire nei Paesi privi di un’authority di questo tipo. Stormshield, nota referenza europea nell’ambito della cybersecurity, si fregia della qualifica ANSSI per le sue soluzioni e fa luce, con le parole di Marco Genovese, Presales Specialist Industrial Business Line, su alcuni punti potenzialmente poco chiari, per chi non sa esattamente cosa implichi essere qualificati ANSSI.
Certificazione e qualifica: il codice va consegnato
“Innanzi tutto, esiste una differenza abissale tra certificazione (che ANSSI chiama CSPN, ovvero certificazione di sicurezza di primo livello) e qualifica”, esordisce Genovese. Nel caso della certificazione CSPN, infatti, il prodotto viene visto come una black box. Non si entra nel merito del codice o dei processi produttivi ma si verifica che quanto riportato sul manuale utente corrisponda al vero. Ad esempio, porte aperte che in realtà dovrebbero essere chiuse e simili incongruenze.
La qualifica di un prodotto di cybersecurity, invece, entra nel merito delle sue funzioni, del suo codice e del suo intero processo produttivo. ANSSI non solo analizza il prodotto, ma impone al vendor lo sviluppo di particolari funzionalità che ritiene indispensabili per garantire la sicurezza di reti sensibili, come l’adozione di particolari algoritmi di cifratura. Inoltre, impone la rimozione, o per lo meno la possibilità, di bloccare funzionalità o algoritmi obsoleti che potrebbero essere utilizzati accidentalmente o in maniera fraudolenta.
Ma non solo: “Il codice della soluzione va consegnato all’agenzia, motivo per cui molti vendor sono reticenti a procedere con la qualifica”, spiega Genovese. Se parti di codice risultano vulnerabili, ANSSI cerca una soluzione insieme al vendor. Questa interazione ha luogo anche in presenza di parti di codice che secondo ANSSI potrebbero essere scritte meglio. ANSSI analizza quindi anche il processo di produzione della soluzione e suggerisce buone prassi in merito alle modalità con cui il vendor verifica la correttezza e la qualità del codice sviluppato.
Infine, qualora a posteriori della qualifica le soluzioni dovessero presentare vulnerabilità non risolvibili a breve termine con workaround o fix, ANSSI può revocare la qualifica in qualsiasi momento.
Un processo con pesanti implicazioni per i vendor
Pur tracciato a grandi linee, questo processo ha implicazioni non di poco conto per un vendor.
L’analisi del codice di una soluzione richiede almeno un anno di lavoro. “Prendendo ad esempio i nostri apparati, il solo wizard di configurazione della versione 3 del nostro firmware consta di 10.000 linee di codice”, sostiene Genovese. “Durante l’analisi, ANSSI può richiedere di modificare una parte di questo codice per renderlo più sicuro e quindi di sottoporlo a nuovo esame, incrementando ulteriormente le tempistiche di verifica”.
Un’altra caratteristica della qualifica è che la stessa è legata all’hardware e al firmware verificato da ANSSI. Si qualifica quindi il modello hardware A con la versione firmware X.Y.Z. Se si esegue un upgrade alla versione X.Y.1. il prodotto non è più qualificato.
Tutto ciò implica che un vendor deve adattare l’intero processo produttivo, il suo Product Life Cycle e addirittura logistica e stock per supportare piattaforme specifiche su tempi più lunghi dei normali cicli di vita di un prodotto di sicurezza non qualificato.
Inoltre, l’intero processo è estremamente oneroso e impone anche delle modifiche alla propria roadmap. Genovese ne illustra le conseguenze in tutta chiarezza: “il processo non è compatibile con le tipiche gare in cui il prezzo al ribasso la fa da padrone, né tantomeno con astrusi quadranti, spirali o triangoli magici. Come vendor sei vincolato ad investire risorse in funzionalità di sicurezza che di primo acchito non paiono highlight, fino a quando non occorrono improvvisamente soluzioni di grado militare come la nostra, o non viene scoperta una grave falla nel prodotto di un competitor e tu ringrazi di avere investito più risorse in hardening e meno in ‘cyberfuffa in salsa marketing’”.
Un valore aggiunto da divulgare
Malgrado questi aspetti, il processo di qualifica da parte di una authority nazionale in materia di sicurezza, se fatto bene, rappresenta un indubbio valore aggiunto, soprattutto se l’oggetto di discussione è la vera cybersecurity. Quindi ben venga una authority nazionale che impone linee guida come l’ANSSI o il BSI. Occorre tuttavia che la clientela percepisca il valore aggiunto di tale qualifica, altrimenti le aziende che si imbarcano in tale processo perderanno competitività. Anche in Francia, ad esempio, nonostante l’enorme lavoro di evangelizzazione dell’ANSSI, sono ancora numerose le aziende che prestano più attenzione a prezzo e “cotillon” che ai contenuti. Bisognerebbe invece essere capaci di seguire le linee guida dell’authority di certificazione e saper riconoscere il valore della mole di lavoro che ne deriva.
Le attività menzionate da Genovese sono solo una piccola parte dei compiti di ANSSI. In termini di evangelizzazione, ad esempio, ANSSI pubblica anche whitepaper sull’utilizzo corretto delle tecnologie qualificate, “perché si può acquistare la soluzione più sicura al mondo, ma se la si configura con superficialità, l’investimento non vale la candela”, conclude Genovese.
