L'analisi

Cybersicurezza e privacy oltre le certificazioni ISO. Il caso del MIX

di Dario Centofanti, consulente indipendente di cybersecurity certificato come Systems Security Certified Practitioner (SSCP) da (ISC)2 |

In un recente comunicato il MIX annuncia la certificazione ISO/IEC 27001:2013 nei settori della “Tecnologia dell’informazione” (IAF33) e di “Altri servizi” (IAF35).

Come è noto, il MIX — in qualità di IXP neutrale — consente agli Internet Service Provider (ISP) e a diversi fornitori di contenuti di scambiare traffico fra di loro, interconnettendo i propri Autonomous System (AS) attraverso accordi di mutuo scambio di dati (peering) al fine di guadagnare in velocità, efficienza e costi di interconnessione.

Nel comunicato stampa viene riportato che MIX è “…consapevole del suo ruolo di infrastruttura essenziale nel tessuto di internet in Italia” e che “intende mantenere alto il livello di vigilanza su tutti gli aspetti di affidabilità e di sicurezza”. Obiettivi sicuramente condivisibili da parte di chiunque operi in questo settore e che cercheremo di analizzare iniziando con le ragioni che hanno portato il MIX a questo percorso di certificazione “…in risposta alle raccomandazioni che il Garante della Privacy aveva rivolto agli IXP italiani a seguito di una indagine avviata nel 2014”.

Le nuove normative GDPR e NIS

Il panorama italiano mostra un sistema industriale e normativo che inizia oggi a considerare la cybersecurity come un obiettivo primario su cui investire nei prossimi anni per proteggere gli assets aziendali e l’intera sicurezza nazionale.

In Europa il Parlamento ha emanato nel luglio 2016 una direttiva sulla cybersecurity dei Network and Information Systems [UE 2016/1148], nota come Direttiva NIS. Essa rappresenta il primo insieme di regole sulla sicurezza informatica univoco a livello dell’Unione Europea.

L’obiettivo è raggiungere nei prossimi anni un livello elevato di sicurezza comune a tutti i Paesi membri in materia di sistemi informatici, di reti e di informazioni. La direttiva imporrà ai fornitori di servizi essenziali e digitali alcuni specifici obblighi di sicurezza.

A questo si aggiunge l’imminente entrata in vigore del regolamento generale sulla protezione dei dati General Data Protection Regulation [UE 2016/679] (GDPR) con il quale la Commissione Europea intende rafforzare e unificare la protezione dei dati personali entro i confini comunitari.

Non per ultimo, il 13 aprile 2017 è stato pubblicato sulla Gazzetta Ufficiale n. 87 il decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 relativo alla protezione cibernetica e alla sicurezza informatica nazionale. Questo decreto — di cui è stato riportato un ampio stralcio nel post dal titolo “DPCM del 17–02-2017“ — definisce i meccanismi e le procedure che le infrastrutture essenziali e i fornitori di servizi digitali dovranno seguire ai fini della riduzione delle vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi.

In merito a queste nuove normative il MIX è in attesa delle linee guida che dovrebbero essere emanate dal Garante della Privacy e non è quindi ancora possibile circoscrivere per gli IXP un ambito specifico di applicazione della Direttiva NIS entrata in vigore nell’agosto 2016, il cui termine ultimo di applicazione sarà il 9 maggio 2018.

Per quanto attiene il GDPR, il MIX ha come clienti solo aziende e non persone fisiche e quindi non gestisce dati sensibili di alcun tipo, di conseguenza il nuovo regolamento europeo sulla protezione dei dati personali lo riguarda solo marginalmente.

Nonostante la consapevolezza del suo ruolo di infrastruttura essenziale nel tessuto di internet in Italia, non sembra quindi necessaria per il MIX l’introduzione nell’immediato della figura professionale del Data Protection Officer (DPO) come responsabile per la protezione dei dati o del Chief Information Security Officer (CISO) come dirigente a garanzia della corretta applicazione delle policy di sicurezza aziendali.

Questo grazie anche ad un grande vuoto normativo che dovrà essere colmato se consideriamo che la maggior parte dell’internet italiana transita proprio attraverso i data center degli IXP e che, per citare le parole del Presidente Soro “…dalla sicurezza di queste infrastrutture dipende non solo la riservatezza delle nostre comunicazioni ma anche la stessa sicurezza cibernetica, che è una delle principali componenti della sicurezza nazionale”.

Lo SPOF nazionale di Via Caldera

Il Single Point Of Failure (SPOF) è un singolo punto di vulnerabilità che, qualora compromesso, causa malfunzionamenti o anomalie ad un intero sistema. Nei principi della fault-tolerance e dell’affidabilità, al SPOF si contrappone il concetto di ridondanza che prevede l’irrobustimento di un sistema attraverso la duplicazione dei componenti vitali.

In Italia abbiamo un ciclopico SPOF nazionale localizzato in Via Caldera a Milano dove è presente una abnorme concentrazione — forse unica a livello europeo — di players dell’ICT e dove hanno sede anche entrambi i data centers del MIX. A tale proposito una critica sollevata al MIX riguarda la mancanza di una ridondanza geografica distribuita al di fuori di Via Caldera, attraverso la quale si potrebbe superare il problema con la delocalizzazione delle infrastrutture.

In merito alle scelte di MIX relative ad una possibile diversificazione geografica dei suoi data centers, Joy Marino, a capo del MIX di Milano, ci ha dichiarato che: “…Da molti anni ci siamo attivati per risolvere il nodo della natura “Caldera-centrica” di MIX. Qualche primo passo era già stato fatto negli anni scorsi; bisogna però osservare che l’Italia, anche nella sua punta più avanzata di Milano, è un mercato anomalo e immaturo rispetto agli altri principali paesi europei”.

“Uno dei requisiti per costituire un ecosistema efficiente e sostenibile in cui una molteplicità di operatori interoperino (facciano “peering”) a livello locale è che esistano più data center all’interno dello stesso ambito metropolitano che siano “carrier-neutral”, cioè non vincolati ad un singolo operatore di telecomunicazioni che controlla il data center ed ha interesse a promuovere la propria offerta di connettività. Lo scenario milanese è cominciato a cambiare solo nel 2016 e MIX è stato ed è parte attiva in tutte le iniziative che soddisfano questa caratteristica, investendo in infrastrutture di peering laddove le condizioni sono garantite”.

Relativamente all’individuazione di eventuali facilities che potrebbero divenire complementari a Via Caldera il pensiero di Joy Marino è inequivocabile: “…Il ruolo di MIX è quello di “catalizzatore” o di “facilitatore” del funzionamento dell’Internet italiano, non certo quello di scegliere “quale” deve essere il sito alternativo: sarà il mercato a premiare le soluzioni migliori in termini di qualità di servizio, prezzo, struttura dell’offerta. Tutto quello che potrà fare MIX sarà di verificare ex-post dove il mercato si è meglio sviluppato e rimodulare la propria infrastruttura di interconnessione di conseguenza”.

Le parole di Joy Marino lasciano però prefigurare una sinistra situazione di stallo evolutivo, dove i principali attori coinvolti nello sviluppo delle infrastrutture tendono a rimbalzarsi la palla in una moderna versione del paradosso dell’uovo e della gallina. In mancanza di un visionario first mover che sblocchi questo circolo vizioso la situazione in essere potrebbe perdurare invariata ancora per molti anni. Qualcosa di simile a quanto abbiamo già vissuto nell’ultimo decennio con l’implementazione di IPv6 e che abbiamo descritto nel recente post “Il tramonto di SixXS e la notte buia di IPv6 in Italia”.

Conclusioni

Per concludere torniamo brevemente sulla certificazione ISO 27001 da cui siamo partiti con una ultima considerazione di Joy Marino, che vuole anche essere a mio parere uno stimolo positivo per l’intero ecosistema digitale nazionale: “…La sicurezza dei dati e l’affidabilità delle infrastrutture di MIX erano fuori discussione prima, il rapporto fiduciario con chi usufruisce dei nostri servizi era solido; mancava solo il “bollino”. Ora abbiamo anche quello. Il Garante ci invitò a “seguire un percorso” di continuo adeguamento e su quella linea ci siamo mossi e continueremo a migliorare. Mi auguro che anche altri abbiano la nostra stessa diligenza, in modo che non si dia più spazio a campagne mediatiche che finiscono per nuocere all’intera filiera di Internet in Italia”.

Non mancheremo di seguire anche noi questo percorso per verificare il continuo adeguamento della sicurezza in queste infrastrutture essenziali perché — come anche emerso in un recente incontro alla Camera dei Deputati dal titolo “La Sicurezza del Sistema Paese” — riteniamo che la cybersecurity nazionale è una materia abbastanza complessa da non potersi risolvere con un solo bollino!