L’Agenzia per la Cybersicurezza Nazionale (ACN), ha pubblicato delle Linee Guida, che rappresentano un documento di riferimento per contrastare il rischio di accessi abusivi alle banche dati, sia da parte di insider (insider threats) sia da minacce esterne.
In particolare, offrono un quadro completo delle misure normative esistenti a contrasto del rischio di accessi abusivi alle banche dati degli enti, come quelle definite dal D.L. 105/2019 sul Perimetro di sicurezza nazionale cibernetica, integrato da esempi pratici per l’implementazione operativa, con particolare attenzione:
alla gestione dei rischi connessi alla supply chain
- al controllo degli accessi privilegiati
- alla formazione del personale amministrativo
- alle attività di monitoraggio e auditing interno.
Negli ultimi mesi sono emersi infatti diversi casi di utilizzo improprio di banche dati di rilevanza nazionale da parte di soggetti o organizzazioni che, con differenti tecniche e finalità, sono riusciti ad ottenere l’accesso alle informazioni in esse contenute senza averne titolo: tali organizzazioni realizzavano, su mandato dei propri clienti o su richiesta di affiliati, report e dossier contenenti le informazioni abusivamente raccolte.
Le tecniche utilizzate per le attività illecite sarebbero sintetizzabili in 3 modalità principali:
- ottenimento di informazioni tramite presunte attività corruttive riferibili a pubblici ufficiali infedeli
- installazione di software per il controllo remoto (RAT) in particolare di server utilizzati per erogare i servizi verosimilmente in esito alla possibilità di operare sugli stessi, da parte di persone collegate alle aziende coinvolte, in forza di un contratto di manutenzione in essere o similari
- installazione di software per il controllo remoto (RAT) su postazioni di lavoro aziendali e private con la complicità dei gestori dei sistemi informatici delle aziende clienti
L’analisi di tali eventi ha consentito di identificare alcuni punti di sovrapposizione tra le stesse:
- la gran parte delle azioni malevole è stata perpetrata, o quantomeno agevolata, dalla possibilità di accesso alle informazioni grazie a permessi assegnati ai protagonisti delle vicende in esito alle loro specifiche attività lavorative
- limitato utilizzo delle classiche tecniche di compromissione di infrastrutture informatiche, ad esempio, attraverso lo sfruttamento di vulnerabilità software nei sistemi
- movimento all’interno delle reti e dei sistemi mediante comportamenti ritenuti leciti dai comuni sistemi di protezione (es. AV, EDR, Firewall, ecc.) che pertanto risultano inefficaci nella fase di rilevamento
- limitata efficacia dei sistemi di alerting predisposti per il rilevamento di comportamenti impropri nell’accesso alle informazioni in particolare in ottica preventiva.
Tali considerazioni hanno quindi consentito di identificare criticità non solo di carattere prettamente tecnico, ma legate ad aspetti organizzativi e di governance delle informazioni, come:
- eccessiva “ampiezza” dei permessi consentiti agli utenti abilitati all’accesso alle informazioni
- utilizzo di banche dati realizzate anteriormente alla diffusione dei principi di security-by-design, privacy-by-design, zero-trust
- limitata governance del ciclo di vita dei sistemi e delle applicazioni utilizzate in particolare per la gestione di informazioni sensibili
- limitata gestione dei processi di sicurezza nella gestione della supply chain
- ridotta capacità di monitoraggio e auditing di comportamenti impropri da parte di dipendenti infedeli in chiave preventiva;
- limitata disponibilità di personale adeguatamente formato nelle attività di verifica e identificazione di azioni improprie di questa tipologia.
In tale ambito, il D. Lgs. 138/2024, di recepimento della Direttiva (UE) 2022/2555 (cd. direttiva NIS), prevede un ampio catalogo di obblighi, con punti specifici relativi alla sicurezza della catena di approvvigionamento, alla manutenzione dei sistemi informativi e di rete, nonché alla sicurezza e all’affidabilità del personale.
L’ACN ricorda che l’adozione delle misure di sicurezza e delle raccomandazioni di cui alle linee guida non esenta, tuttavia, dall’implementazione delle restanti misure previste dal DPCM 81/2021, dal Regolamento Cloud e dalla normativa NIS2, ove queste ultime discipline siano applicabili: con le linee guida si intende fornire un’ulteriore loro declinazione rafforzativa sotto il profilo tecnico, organizzativo e procedurale allo scopo di rafforzare la mitigazione dei rischi connessi alle criticità individuate nel capitolo.
In particolare, per ciascun ambito di intervento sono indicate le misure di sicurezza che possono essere considerate come base di riferimento, per potenziare le capacità di mitigazione dei rischi promananti anche dall’utilizzo improprio delle credenziali di accesso alle banche dati.