Con Determina del 3 gennaio 2023, pubblicata nella Gazzetta Ufficiale n. 7 del 10 gennaio 2023, l’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha individuato la tassonomia di incidenti riguardanti beni diversi dai beni ICT identificati dalle norme costituenti il perimetro di sicurezza nazionale, che sono oggetto di notifica obbligatoria all’Agenzia stessa.
La Delibera è frutto dell’attuazione dell’articolo 3-bis del c.d. Decreto Perimetro (Decreto-legge n. 105 del 21 settembre 2019 convertito con modificazioni dalla Legge 18 novembre 2019, n. 133), con il quale è stato attribuito all’ACN il compito di stabilire la tassonomia degli incidenti di sicurezza.
A seguito dell’entrata in vigore della Determina, i soggetti inclusi nel perimetro di sicurezza nazionale dovranno notificare all’ACN gli incidenti di sicurezza relativi a beni ICT non inclusi nel perimento entro il termine di 72 ore. Si ricorda che il suddetto termine decorre dal momento in cui i soggetti destinatari degli obblighi sono venuti a conoscenza di un incidente di sicurezza. La notifica deve essere effettuata tramite appositi canali di comunicazione e secondo le modalità stabilite dal Computer Security Incident Response Team (CSIRT Italia) e disponibili al sito https://www.csirt.gov.it.
La Determina consta di soli quattro articoli che rinviano ad un Allegato (Allegato A) ove sono descritti la categoria dell’incidente, la relativa descrizione ed il codice identificativo utile per la notifica. Inoltre, nella sezione 2 dell’Allegato A sono indicati gli eventi che i soggetti inclusi nel perimetro di sicurezza nazionale potranno notificare con le medesime modalità di previste dall’art. 1, comma 3-bis, del Decreto Perimetro.
Ai sensi della Determina, per incidente si intende: “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”.
Le categorie indicate dalla Determina sono indicate di seguito e accompagnate da una sintetica descrizione della narrativa, rinviandosi alla lettura del testo ufficiale per dettagli:
- Accesso iniziale (Initial exploitation)
Il soggetto ha evidenza di un accesso non autorizzato ai sistemi della rete aziendale.
Il soggetto ha evidenza dell’effettiva esecuzione non autorizzata di codice o malware all'interno della rete.
- Installazione (Establish persistence)
Il soggetto ha evidenza dell’ottenimento illecito di privilegi di natura superiore oppure dell’impiego di pratiche non autorizzate volte ad (a)ottenere privilegi di livello superiore; (b) mantenere codice malevolo o malware nella rete o garantire l’accesso non autorizzato; (c) evitare il rilevamento durante un tentativo di compromissione.
- Movimenti laterali (Lateral Movement)
Il soggetto ha evidenza dell’impiego di pratiche non autorizzate volte ad: (a) effettuare attività̀ di ricognizione per acquisire conoscenze sul sistema e sulla rete interna; (b) acquisire, dall'interno della rete, credenziali valide per l’autenticazione alle risorse di rete o ne rinviene copie non autorizzate; (c) accedere, controllare o eseguire codice tra le risorse interne della rete.
- Azioni sugli obiettivi (Actions on objectives)
Il soggetto ha evidenza dell’impiego di pratiche non autorizzate volte ad: (a) a ricercare e/o raccogliere, dall'interno della rete, dati riservati e/o sensibili ovvero ne rilevi la presenza al di fuori dei sistemi autorizzati alla trattazione degli stessi; (b) esfiltrare dati dall'interno della rete verso risorse esterne; (c) inibire l’intervento delle funzioni di sicurezza, di protezione e di “quality assurance” dei sistemi di controllo industriale predisposte per rispondere a un disservizio o a uno stato anomalo; (d) manipolare, disabilitare o danneggiare i processi di controllo fisico di sistemi di controllo industriale; (e) a manipolare, degradare, interrompere o distruggere i sistemi, i servizi o i dati (es. Denial of Services o Distributed Denial of Services).
- Ricognizione (Reconnaissance) riferita ad attività di spearphishing
Tecniche volte a raccogliere, attivamente o passivamente, informazioni potenzialmente sfruttabili per successive attività̀ (es. campagne di spearphishing).
La Determina entra in vigore il 25 gennaio 2023, resta quindi poco tempo agli operatori, direttamente o indirettamente impattati, per aggiornare i processi interni al fine di far fronte agli obblighi di notifica.
_840x420.jpg?v=3)
I cookie dei social media raccolgono informazioni sulla condivisione, da parte tua, di contenuti presenti sul nostro sito web, tramite i social media, o analytics per analizzare la tua navigazione tra i vari strumenti presenti sui sociali media o tra le nostre campagne sui social media e i nostri siti web. In questo modo ottimizziamo il mix di canali tramite il quale forniamo i nostri contenuti. I dettagli relativi agli strumenti in uso sono riportati nella nostra privacy policy.