Attacchi informatici: la PA deve sostituire i software di provenienza russa.
La Circolare 21 aprile 2022 n. 4336 dell'Agenzia per la cybersicurezza nazionale (https://www.gazzettaufficiale.it/eli/id/2022/04/26/22A02611/sg) specifica i prodotti software di società di provenienza russa da sostituire e le raccomandazioni da seguire.
Prodotti e servizi tecnologici:
a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) della società “Kaspersky Lab” e della società “Group-IB”, anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità “on-premise” o “da remoto”;
b) “web application firewall” (WAF) della società “Positive Technologies”, anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità “on-premise” o “da remoto”.
Raccomandazioni procedurali:
Prodotti e servizi tecnologici:
a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) della società “Kaspersky Lab” e della società “Group-IB”, anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità “on-premise” o “da remoto”;
b) “web application firewall” (WAF) della società “Positive Technologies”, anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità “on-premise” o “da remoto”.
Raccomandazioni procedurali:
- censire dettagliatamente i servizi e prodotti , analizzando gli impatti degli aggiornamenti degli stessi sull'operatività, quali i tempi di manutenzione necessari;
- identificare e valutare i nuovi servizi e prodotti, validandone la compatibilità con i propri asset, nonché la complessità di gestione operativa delle strutture di supporto in essere;
- definire, condividere e comunicare i piani di migrazione con tutti i soggetti interessati a titolo diretto o indiretto, quali organizzazioni interne alle amministrazioni e soggetti terzi;
- validare le modalità di esecuzione del piano di migrazione su asset di test significativi, assicurandosi di procedere con la migrazione dei servizi e prodotti sugli asset più critici soltanto dopo la validazione di alcune migrazioni e con l'ausilio di piani di ripristino a breve termine al fine di garantire la necessaria continuità operativa. Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione;
- analizzare e validare le funzionalità e integrazioni dei nuovi servizi e prodotti, assicurando l'applicazione di regole e configurazioni di sicurezza proporzionate a scenari di rischio elevati (quali, ad esempio, autenticazione multi-fattore per tutti gli accessi privilegiati, attivazione dei soli servizi e funzioni strettamente necessari, adozione di principi di “zero-trust”);
- assicurare adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevedendo adeguato supporto per l'aggiornamento e la revisione delle configurazioni in linea.