La direttiva NIS2, l’Unione Europea e le organizzazioni italiane: a che punto siamo?

 

Tratto da www.lineaedp.it – 05/12/2023

Autore: Redazione LineaEDP

 

Gli Stati membri dell’UE devono recepire la direttiva NIS2 entro il 17 ottobre 2024 e le misure inizieranno a entrare in vigore il 18 ottobre 2024: uno sguardo a un futuro ormai prossimo

 

 

Considerando l’aumento delle minacce informatiche come phishing, software dannosi e attacchi DoS, i governi di tutto il mondo hanno creato normative sulla sicurezza informatica. Nell’agosto 2016 l’UE ha introdotto la direttiva NIS, un regolamento volto a migliorare la capacità degli Stati membri di gestire gli attacchi informatici, oggi superata dalla direttiva NIS2. Dove stiamo andando, quali sfide devono affrontare le organizzazioni italiane e come possono essere aiutate? Una risposta arriva da Sangfor Technologies.

La direttiva NIS originale ha incontrato numerosi ostacoli nel suo obiettivo di migliorare gli standard di sicurezza informatica delle nazioni dell’UE. La recente digitalizzazione ha alimentato la crescita delle minacce informatiche, pertanto, per affrontare meglio tali attacchi e garantire una cybersicurezza uniforme in tutti gli Stati dell’UE, è emersa la richiesta di migliorare la direttiva NIS.

NIS2 è l’acronimo di Network and Information Security 2 Directive, ufficialmente nota come Direttiva (UE) 2022/2555. La Commissione Europea ha proposto che la NIS2 si basi sulla direttiva NIS originaria, o direttiva (UE) 2016/1148, correggendone le carenze. La direttiva NIS2 mira a migliorare la sicurezza informatica nell’UE e prepara le organizzazioni a essere pronte per qualsiasi potenziale minaccia informatica.

Gli Stati membri dell’UE devono recepire la direttiva NIS2 entro il 17 ottobre 2024 e le misure inizieranno a entrare in vigore il 18 ottobre 2024.

Cosa c’è di nuovo nella direttiva NIS2?

Per preparare meglio gli Stati dell’UE contro le minacce informatiche, la direttiva NIS2 ha incluso requisiti organizzativi più severi, estesi in quattro aree: la gestione del rischio, la responsabilità aziendale, gli obblighi di rendicontazione e la continuità aziendale.

La direttiva NIS contemplava 7 settori considerati infrastrutture critiche, ma la nuova direttiva ne include altri 8, per un totale di 15. NIS2 divide i settori in due entità: Essential Entity (EE) e Important Entity (IE).

Oltre ai requisiti severi, NIS2 richiede che le organizzazioni dispongano di misure minime di sicurezza informatica. Ciò include l’esecuzione di risk assesment, l’esecuzione di backup, la formazione per la sicurezza informatica, l’utilizzo dell’autenticazione a più fattori, l’utilizzo della crittografia e dell’encryption.

Per promuovere sanzioni coerenti in tutti gli Stati membri dell’UE, la NIS2 ha introdotto nuove norme uniformi. Le organizzazioni dell’UE che non rispettano la direttiva NIS2 possono essere soggette a tre tipi di sanzioni che includono rimedi non monetari, sanzioni amministrative e sanzioni penali.

Le entità essenziali (Essential Entities – EE) possono incorrere in sanzioni amministrative fino a 10 milioni di euro o al 2% del loro fatturato annuo globale, a seconda di quale sia il valore più alto. Le entità importanti (Important Entities – IE) possono incorrere in una multa fino a 7 milioni di euro o all’1,4% delle loro entrate annuali, a seconda di quale sia il valore più alto.

A chi si applica la NIS2?

NIS2 classifica 8 categorie come Entità Essenziali. Si tratta di Energia, Trasporti, Finanza, Pubblica Amministrazione, Sanità, Spazio, Approvvigionamento idrico e Infrastrutture digitali. NIS2 è applicabile alle organizzazioni di questi settori con oltre 250 dipendenti, un fatturato annuo di almeno 50 milioni di euro o uno stato patrimoniale di almeno 43 milioni di euro.

Sette settori rientrano tra gli Enti Importanti. Sono i servizi postali, la gestione dei rifiuti, i prodotti chimici, la ricerca, gli alimenti, la produzione e i fornitori digitali. La NIS2 si applica alle imprese di questi settori con un numero di dipendenti compreso tra 50 e 250 e un fatturato annuo non superiore a 50 milioni di euro o uno stato patrimoniale non superiore a 43 milioni di euro.

Come l’Italia prevede di implementare la NIS2: un breve studio

L’Italia punta a raggiungere l’autonomia strategica nazionale ed europea puntando sul dominio digitale. Il Paese ha lanciato la National Cybersecurity Strategy (NCS), che mira ad attuare 82 misure entro il 2026, attraverso tre obiettivi chiave: protezione, risposta, sviluppo.

Il quadro del National Cyber Crisis Management è suddiviso in tre livelli: politico, operativo e tecnico. Ciascuno di questi livelli ha un organo di governo che è responsabile della supervisione dei problemi e dell’implementazione. Ad esempio, a livello tecnico, CSIRT Italia è responsabile delle crisi rilevanti. Il paese seguirà un approccio graduale alle misure di gestione del rischio e agli obblighi di segnalazione.

Sangfor può aiutare le organizzazioni con la conformità NIS2

Sangfor Technologies è leader nelle soluzioni di sicurezza informatica e infrastruttura cloud con oltre 23 anni di esperienza. Sangfor supporta le organizzazioni nell’adesione alla direttiva NIS2 offrendo una suite completa di soluzioni di sicurezza che includono: · Network Secure: un firewall di nuova generazione progettato per salvaguardare le reti. · Endpoint Secure: una piattaforma di protezione degli endpoint che garantisce la sicurezza dei dispositivi. · Internet Access Gateway: un gateway web sicuro per un accesso sicuro a Internet. · Cyber Command: una soluzione di Network Detection and Response (NDR) focalizzata sul rile-vamento delle minacce di rete avanzate sotto forma di comportamenti anomali.

· Access Secure: una soluzione SASE (Secure Access Service Edge) per l’accesso remoto sicuro alle risorse di rete e cloud.

· Servizi Cyber Guardian: una gamma di servizi, tra cui Managed Detection and Response (MDR), Incident Response e Security Risk Assessment, per una maggiore sicurezza.

L’integrazione di questi prodotti nel framework XDDR (eXtended Detection, Defense, and Response) fornisce un solido ecosistema di sicurezza. Questa integrazione è in linea con i requisiti della direttiva NIS2 per una gestione completa del rischio. Essa aiuta le organizzazioni a ottenere informazioni in tempo reale su potenziali rischi come vulnerabilità, errori di configurazione e password deboli, che sono obiettivi primari per le minacce informatiche.

Utilizzando l’intelligenza artificiale (IA) e l’apprendimento automatico (Machine Learning), le soluzioni Sangfor offrono un rilevamento preciso e rapido delle minacce. La natura interconnessa di questi prodotti consente una risposta automatizzata e coordinata, riducendo significativamente l’impatto degli incidenti di sicurezza e supportando l’enfasi posta dalla direttiva NIS2 sulle strategie di sicurezza proattive e reattive.

Le tecnologie di Sangfor migliorano anche il rilevamento delle minacce correlando i dati tra diversi livelli di sicurezza, fornendo un contesto dettagliato per gli eventi della rete. Questa funzione è anche fondamentale per adempiere agli obblighi di comunicazione completi della direttiva NIS2, mentre gli strumenti di segnalazione integrati di Sangfor aiutano a generare i report necessari per la conformità normativa.

Per la continuità operativa, Sangfor incorpora funzionalità di ripristino all’interno delle proprie soluzioni. Ad esempio, Endpoint Secure include funzionalità di ripristino ransomware, che consentono il ripristino dei dati in caso di attacco. Inoltre, il servizio Cyber Guardian Incident Response (IR) offre assistenza esperta per una risposta tempestiva agli incidenti di sicurezza, per aiutare le aziende a tornare alle operazioni in totale sicurezza.

Per ulteriori informazioni sulle soluzioni di Sangfor Technologies: dircom@argonavis.it

11 Dicembre 2023

Certificato SSL e siti HTTPS: come funzionano

 
 
 
 
 
Autore: Redazione ArgonavisLAB – 03/02/2022
 
 

Un certificato SSL è un certificato digitale che autentica l’identità di un sito web e consente di instaurare una connessione crittografata. SSL è acronimo di Secure Sockets Layer, un protocollo di sicurezza che crea un link crittografato fra un server web e un browser web.

SSL assicura che tutti i dati scambiati fra un client (il browser dell’utente) e un server web (o altro servizio, come ftp, ecc.), in generale fra due sistemi, rimangano impossibili da leggere. Utilizza algoritmi di crittografia allo scopo di rendere irriconoscibili i dati in transito, per impedire agli hacker di leggerli mentre vengono trasmessi sulla connessione.

Per stabilire una sessione tra client e server in modalità https , viene prima eseguita la fase di “handshake SSL” , che prevede

  • Scambio dei certificati pubblici
  • Scambio delle sequenze di byte necessarie per costruire la master secret
  • Verifica dell’autenticità dei certificati
  • Creazione della chiave “master secret” , univoca per ogni sessione e comune a entrambi i sistemi, e che verrà usata per crittografare tutta la sessione di navigazione del client sul server.
  • Messaggio di fine handshake, in cui viene verificato che tutto il processo sia stato regolare e la master secret sia utilizzabile.

Da questo momento può iniziare lo scambio dati tra client e server , tutto il traffico verrà crittografato , impedendo che un intruso sia in grado di leggere il traffico (sniffare), e possa introdursi nella sessione sostituendosi ad uno dei sistemi o di rubare delle informazioni.

Pertanto il certificato SSL assolve a tre funzioni

  • Autenticità: assicura che il server sia chi dice di essere , e non un clone falso.
  • Confidenzialità: definisce una chiave segreta comune ed unica per sessione , usata per crittografare il contenuto del messaggio.
  • Integrità: garantisce che i messaggi tra server e client sia integri e non modificati da un intruso.

La comunicazione SSL tra client e server avviene su quattro fasi

  1. Fase di hello : server e client si scambiano i certificati pubblici e delle sequenze di byte casuali ; il client verifica l’autenticità del certificato inviato dal server.
  2. Processo di costruzione della master secret , la chiave comune unica per ogni sessione, che sarà usata per cifrare il traffico.
  3. Fase di finished : client e server si scambiano il primo messaggio usando la master secret , verificano l’esito positivo e concludono la fase di handshake.
  4. Inizio trasmissione cifrata tra server e client , tramite protocollo SSL.

In conclusione:

Il canale definito durante la fase di SSL handshake è immune da attacchi attivi man-in-the-middle poiché il sistema Server viene autenticato con un certificato digitale.
Il client può comunicare la pre-master secret al sistema server in modo sicuro attraverso la chiave pubblica presente nel certificato del server.

Solo il client e il server , tra cui è iniziata la fase di handshake (tramite il meccanismo chiave pubblica-chiave privata) , possono costruire la stessa master secret, su cui poi si fonda la costruzione di tutte le chiavi segrete adottate nelle comunicazioni successive.

La sequenza corrispondente al pre-master secret viene generata dal client e comunicata per via cifrata al server.  La non predicibilità di questa sequenza è cruciale per la sicurezza del canale SSL.

Il messaggio di finished contiene tutte le informazioni scambiate nel corso dell’handshake. Lo scopo è effettuare un ulteriore controllo sulle comunicazioni precedenti per garantire che queste siano avvenute correttamente, che il client e il server dispongano della stessa Master Secret e che la comunicazione non sia stata oggetto di un attacco attivo.

Scendendo un poco nel dettaglio , abbiamo :

  1. Client hello
  • Il client manda al server un messaggio di “client hello”
  • richiede la creazione di una connessione SSL
  • specifica le prestazioni di “sicurezza” che desidera siano garantite durante la connessione (l’elenco delle cipher suite che e’ in grado di supportare)
  • invia una sequenza di byte casuali.
  1. Server hello
  • Il server manda al client un messaggio di “server hello”
  • seleziona la cipher suite che desidera
  • invia una sequenza di byte casuali
  • Se il client non riceve il messaggio di server hello , il client interrompe la comunicazione
  1. Invio certificato del server
  • Il server invia il suo certificato pubblico (il crt) e i certificati pubblici della catena di certificazione della CA (Intermedi e di root)
  1. Invio del messaggio server hello done
  • Il server invia il messaggio che definisce la conclusione dei messaggi per la definizione del tipo di protezione e relativi parametri.
  1. Verifica dei certificati
  • Il client verifica la data di validita’ del certificato , che la CA sia trust , che la firma apposta dalla CA sia autentica (controllo con la CA). Se il certificato non è stato emesso da una CA pubblica, viene segnalato l’errore e richiesto se accettare comunque il certificato.
  1. Costruzione della pre-master secret
  • Il client genera una sequenza di byte casuali
  • la cifra con la chiave pubblica del server ricevuta nei passi precedenti
  • spedisce la pre-master secret al server
  1. Server e client : Costruzione della master secret
  • Sia il server che il client conoscono le sequenze di byte casuali scambiate tra server e client durante le fasi di client hello e server hello ; e conoscono la pre-master secret
  • Server e client costruiscono la master secret (che sarà uguale per entrambi)
  • L’uso delle sequenze di byte casuali scambiate durante le fasi di hello , client e server) genera una master secret diversa per ogni sessione SSL ; un intruso non può riutilizzare i messaggi di handshake catturati sul canale per sostituirsi in una successiva comunicazione
  1. Message finished
  • E’ il primo messaggio protetto tramite master secret e cipher suite, che i due sistemi si scambiano
  • Il messaggio viene prima costruito dal client e mandato al server
  • Poi il server usando parte del messaggio inviato dal client , costruisce il proprio finished message e lo invia al client
  • nei due invii la struttura del messaggio è la stessa, ma cambiano le informazioni in esso contenute
  1. Fine della fase handshake
  • A questo punto la master secret è utilizzata dal client e dal server per costruire una propria tripla di dati
  • Le triple del client e del server sono diverse tra loro ma note a entrambi i sistemi: ciascuno usa la propria, il che aumenta la sicurezza delle comunicazioni.
  • Client e server sono pronti al colloquio cifrato e inizia la fase del protocollo SSL record
  1. Protocollo SSL record
  • Il canale sicuro approntato dal protocollo SSL handshake viene realizzato dal protocollo SSL record.
  • I dati sono frammentati in blocchi.
  • Ciascun blocco viene numerato, compresso e autenticato mediante l’aggiunta di un MAC cifrato mediate il cifrario simmetrico su cui client e server si sono accordati , trasmesso dall’SSL record utilizzando il protocollo di trasporto sottostante.
  • Il destinatario esegue un procedimento inverso sui blocchi ricevuti:
  1. decifra e verifica la loro integrità
  2. decomprime e riassembla i blocchi in chiaro
  3. consegna all’applicazione sovrastante.

 

Questo articolo, scritto da ArgonavisLAB , ha liberamente preso spunto da vari autori. Si ringraziano Kaspersky Lab e http://pages.di.unipi.it/bernasconi/CRI/ssl.pdf

3 Febbraio 2022

Blog & News

Categorie