"ההוראה החדשה עם אינדיקציות להגנה קיברנטית ואבטחת IT לאומית" פורסמה לאחרונה.
האם היה צורך בחוק חדש?
הייתי אומר כן.
בואו ננסה להבין מה חדש ולבצע כמה שיקולים אישיים בעלי אופי כללי.
"ההוראה על הנחיות אבטחת סייבר וביטחון לאומי" הוא עכשיו צו של נשיאות מועצת השרים, הוציא בפברואר 17 2017 ופורסם ברשומות, סדרה כללית במספר 87 13 2017 אפריל.
מהי מטרתו?
ראשית לעדכן את החקיקה הקיימת מראש לפני ארבע שנים (DPCM 24 ינואר 2013), ואז "להחזיר את המערכת ואת האחדות הכישורים השונים המעורבים בניהול מצב המשבר ..."בתחום הסייבר, שחסרונו (באחדות!) הוא ככל הנראה מקור הקושי להגיב על מתקפת סייבר אפשרית על תשתית לאומית קריטית אחת או יותר.
מאמר 1 מציג לנו את הנושא המציין את מטרת ההוראה (ארכיטקטורה מוסדית המוקדשת להגנה על הביטחון הלאומי ביחס לחומר קריטי ולתשתיות לא מהותיות ...) ובעלי העניין העיקריים (בעיקר המשרד לפיתוח כלכלי, הסוכנות לאיטליה הדיגיטלית, משרד הביטחון ומשרד הפנים).
המאמר 2 מעניין שבו אנו אוספים את ההגדרות החשובות ביותר בתחום הקיברנטי. הכרחי, ללא צל של ספק, גם אם לא כולם יכולים להיות משותפים. אני מדבר במיוחד על ההגדרה של "מרחב cybernetic" ואת ההשלכות כי זה יכול להיות בניתוח הסיכון הקיברנטי.
נתחיל עם ההגדרה של DPCM.
"מרחב קיברנטי: מערכת תשתיות ה- IT המחוברות, כולל חומרה, תוכנה, נתונים ומשתמשים, כמו גם היחסים הלוגיים,".
עכשיו בואו ניקח חלק מההגדרות של הסייברספייס שאומצו על ידי המדינות המתקדמות ביותר בתחום: ארה"ב ורוסיה.
- ארה"ב: הסביבה הרעיונית שבה מתרחשת תקשורת ברשתות מחשבים;
- רוסיה: תחום פעילות במרחב המידע, שנוצר על ידי מערכת ערוצי התקשורת של האינטרנט ורשתות תקשורת אחרות, התשתית הטכנולוגית כדי להבטיח את תפקודם, וכל צורה של פעילות אנושית (הפרט, הארגון, המדינה);
הגדרות אלה נלקחו מתוך נאט"ו שיתופי פעולה מרכז סייבר של מצוינות האתר ממוקם בטאלין, אסטוניה (https://ccdcoe.org/cyber-definitions.html).
כעת, הבה נבחן את הגדרתה של רוסיה: קל לראות כי בנוסף לדבר על ערוצי האינטרנט והתקשורת, היא מתייחסת ל"תשתיות טכנולוגיות שמאפשרות את תפקודן של רשתות תקשורת ", תשתיות שאינן נכללות בהגדרה האמריקנית או ב האיטלקי.
לדעתי, העדר התייחסות זו עלול להטעות את המעוניינים לפתח את ניתוח הסיכון הקיברנטי של תשתית קריטית, למשל על ידי כך שלא יביא בחשבון את תחנת הכוח שמזינה מרכז נתונים קריטי.
אין ספק שזה רק דוגמה טריוויאלית, אבל לפעמים בנאלי יכול לעשות את ההבדל!
הגדרה אחרת לדעתי אינה שלמה היא זו המדברת על "אירוע קיברנטי".
על פי הנחיית אירוע הקיברנטי הוא בעל אופי "אירוע משמעותי, מרצון או בשוגג, המורכב של רכישת וב העברה מיותרת של נתונים, בשינוי שלהם או הרס בלתי חוקי, או בשליטה מופרזת, נזק, הרס או מבצע בלוק קבוע של רשתות ומערכות מידע או יסודות המרכיבים שלהם ".
שוב, לדעתי, משהו חסר: איך נוכל לנסח אירוע כמו זה המכונה "Stuxnet", שבה ארה"ב וישראל (כפי שאתה יודע) חיבלו צמח הגרעין של איראן בנתאנז?
במקרה זה הנגיף פגום בצנטריפוגות, כלומר פעל נגד אלמנט שאינו חלק מרשת מחשבים כלשהי, ובכל זאת איננו יכולים להתייחס לאירוע כאל "מתקפת סייבר".
להלן שתי דוגמאות המראות את החשיבות של אימוץ חקיקה מתאימה והגדרות נכונות. ברור שמדובר בנקודות מבט וכי הדגשתן רק משמשת ליצירת מודעות ולהפצת ידע.
אז, ברוכים הבאים DPCM שעדיין עושה בהירות!
אבל בואו נמשיך הלאה.
מאמר 3 מתאר את המשימות שהוקצו לנשיא מועצת השרים "האחראי על המדיניות הכללית של הממשלה ופסגה של מערכת מידע על הביטחון של הרפובליקה, על מנת להגן על הביטחון הלאומי גם במרחב הקיברנטי".
נשיא המועצה נעזר בוועדה הבין-משרדית לביטחון הרפובליקה (CISR) להגדרת המסגרת האסטרטגית הלאומית לביטחון המרחב הקיברנטי.
מעניין בהקשר זה את ההתייחסות למסגרת האסטרטגית הלאומית שמכילה את "המגמות האבולוציוניות של האיומים והפגיעות של המערכות והרשתות של האינטרס הלאומי, הגדרת תפקידים ומשימות של הנושאים הציבוריים והפרטיים השונים, ושל הלאומיים הפועלים מחוץ לשטחה של המדינה, [...] כלים ונהלים שאיתם ניתן להמשיך ולהגביר את יכולתה של המדינה למניעה ותגובה ביחס לאירועים במרחב הקיברנטי, גם כדי להפיץ את התרבות של ביטחון. "
זה תמיד ה- PCM (המבוסס על החלטת CISR) אשר מאמצת את "התוכנית הלאומית להגנה קיברנטית ואבטחת סייבר" המכילה יעדים וקווי פעולה בהתאם למסגרת האסטרטגית הלאומית.
המאמר 4 עוסק CISR, בפרט סעיף ו. "מתרגל מעקב גבוה על יישום של תוכנית הביטחון הקיברנטי הלאומי".
מאמר ה- 5 מציג את ה- CISR הטכני, כגוף תמיכה ל- CISR, בראשות המנהל הכללי של מחלקת המידע לביטחון (SEC), ולבסוף אנו מגיעים אל הלב! דווקא הנה החדשות הגדולות.
הייחוסים הספציפיים ל- DIS מפורטים יותר במאמר 6. למעשה
רק ה- DIS, בדמות מנכ"ליתו, מזוהה על ידי ה- DPCM כ"מי ש"לאמץ יוזמות מתאימות כדי להגדיר את קווי הפעולה הדרושים של עניין כללי".
מטרת קווי הפעולה היא "להעלות ולשפר את רמות האבטחה של מערכות ורשתות ...", לקראת הפעולות הנדרשות של ניגוד ותגובה"משבר קיברנטי על ידי ממשלים ציבוריים וגופים ומפעילים פרטיים ...".
בפועל, ל- DIS ניתן מנדט לתאם פעולות למאבק ולהגיב להתקפות סייבר באיטליה. המושג בא לידי ביטוי בבירור במאמר 7, סעיף 2, בו נאמר כי מנהל ה- DIS דואג לתיאום פעילויות מחקר המידע שמטרתן לחזק את הגנת הסייבר ואבטחת ה- IT באיטליה.
המאמר 8 מציג את "ליבה עבור אבטחה הקיברנטי", שהוקמה באופן קבוע ב- DIS עבור היבטים של מניעה והכנה למצבי משבר"להפעלת הליכי ההתראה"בראש קבוצה זו עומד סגן מנכ"ל די.אס.אי ומורכב מהיועצת הצבאית ומהנציגים הבאים:
- DIS
- AISE;
- AISI;
- משרד החוץ;
- משרד הפנים;
- משרד הביטחון;
- משרד המשפטים;
- משרד הפיתוח הכלכלי;
- משרד הכלכלה והכלכלה;
- המחלקה להגנה אזרחית;
- סוכנות דיגיטליות איטלקית;
- המשרד המרכזי לסודיות.
הליבה, במוחו של המאמר 9, מבצעת פונקציות של "בין המרכיבים השונים של האדריכלות המוסדית המתערבים בדרכים שונות בתחום הביטחון הקיברנטי", בפרט שומר על היחידה פעיל להתריע להגיב למצבי משבר, יחידה פעילה h24, 7 ימים על 7.
מאמר 10 קובע את ההרכב ואת המשימות של היחידה במקרה של חירום סייבר, עם התייחסות מיוחדת לתיאום כי יש לשים לתגובה וייצוב. בתת סעיף 3 נאמר כי משתמשת, על פעילות טכנית שלה, CERT הלאומי של משרד הפיתוח הכלכלי ואת הרשות CERT של הסוכנות עבור איטליה הדיגיטלית. ובמקרה זה אני מסכים לחלוטין על הצורך להצטרף כוחות (ומשאבים!).
המאמר של 11 מטיל על הכללים הפרטיים שורה של כללים. אלה כוללים את החובה לתקשר "כל הפרה משמעותית של האבטחה והשלמות של מערכות ה- IT שלהם" ואת החובה לשתף פעולה בניהול המשבר הקיברנטי, ותורמת לשיקום הפונקציונליות של המערכות והרשתות המנוהלות על-ידם. על התלונה של פרות כנראה לא יקרו שום דבר מהותי כפי שהוא אינו מוגדר בשום צורה את "משמעות" של אירוע סייבר, זה אומר שכל מטבע כפי שהוא רוצה, אבל זה מאוד חשוב העובדה מפעילים פרטיים צריכים לעבוד יחד, לרבות באמצעות זמין לחברה "מבצע מרכזי אבטחה".
המאמר 11, תחת סעיף 2, מציין כי משרד הפיתוח הכלכלי צריך לקדם "הקמת הערכה לאומית מרכז הסמכה לאימות תנאי האבטחה ואת היעדר פגיעויות ...", לדעתי המשימה המתאימה ביותר למשרד האוניברסיטה והמחקר, תחת פיקוח של ה- DIS.
לבסוף, בואו נסתכל על המאמר 13, הוראות המעבר הסופי.
סעיף 1 נותן מושג ברור על איך את הבעיה הקיברנטי הוא הרגיש על הממשלה ברמה, למעשה את סעיף 1 קובע: "הצו הנוכחי אינו נגזר חיובים חדשים מתקציב המדינה".
יש לי ספק: האם הכל בדיחה?
אני לא מאמין, למעשה, כי המאמר 13, סעיף 1, תואם את כל האמור לעיל!
