L’opinione di Stormshield sul lavoro svolto dalle agenzie di cybersecurity nazionali per i sistemi informatici e l’esempio dell’operato di ANSSI. In quest’ultimo periodo si è parlato molto di “made in Europe” riferito alla sicurezza informatica. Sottolineando il lavoro svolto dalle agenzie di sicurezza nazionale per i sistemi informatici e annoverando l’operato della ANSSI francese e del BSI tedesco. Esempi da seguire nei Paesi privi di un’authority di questo tipo.
Certificazione e qualifica: il codice va consegnato
Stormshield si vanta della qualifica ANSSI per le sue soluzioni. Attraverso con le parole di Marco Genovese, Presales Specialist Industrial Business Line, fa luce su alcuni punti poco chiari, per chi non sa esattamente cosa implichi essere qualificati ANSSI.
La differenza tra qualifica e certificazione
Innanzi tutto, esiste una differenza abissale tra certificazione (che ANSSI chiama CSPN, ovvero certificazione di sicurezza di primo livello) e qualifica. Nel caso della certificazione CSPN, infatti, il prodotto viene visto come una black box. Non si entra nel merito del codice o dei processi produttivi ma si verifica che quanto riportato sul manuale utente corrisponda al vero. Ad esempio, porte aperte che in realtà dovrebbero essere chiuse e simili incongruenze
Le agenzie di cybersecurity e sovranità digitale europea
La qualifica di un prodotto di cybersecurity, invece, entra nel merito delle sue funzioni, del suo codice e del suo intero processo produttivo. ANSSI non solo analizza il prodotto, ma impone al vendor lo sviluppo di particolari funzionalità che ritiene indispensabili per garantire la sicurezza di reti sensibili. Come l’adozione di particolari algoritmi di cifratura. Inoltre, impone la rimozione, o per lo meno la possibilità, di bloccare funzionalità o algoritmi obsoleti che potrebbero essere utilizzati accidentalmente o in maniera fraudolenta
L’importanza del codice della soluzione
Il codice della soluzione va consegnato all’agenzia. Motivo per cui molti vendor sono reticenti a procedere con la qualifica. Se parti di codice risultano vulnerabili, ANSSI cerca una soluzione insieme al vendor. Questa interazione ha luogo anche in presenza di parti di codice che secondo ANSSI potrebbero essere scritte meglio. ANSSI analizza quindi anche il processo di produzione della soluzione. Suggerisce buone prassi in merito alle modalità con cui il vendor verifica la correttezza e la qualità del codice sviluppato. Infine ANSSI può revocare la qualifica in qualsiasi momento.
Un processo con pesanti implicazioni per i vendor
Pur tracciato a grandi linee, questo processo ha implicazioni non di poco conto per un vendor. L’analisi del codice di una soluzione richiede almeno un anno di lavoro. Prendendo ad esempio i nostri apparati, il solo wizard di configurazione della versione 3 del nostro firmware consta di 10.000 linee di codice. Durante l’analisi, ANSSI può richiedere di modificare una parte di questo codice per renderlo più sicuro. Quindi sottoporlo a nuovo esame, incrementando ulteriormente le tempistiche di verifica
Il lavoro svolto dalle agenzie di cybersecurity nazionali e sovranità digitale europea
Un’altra caratteristica della qualifica è che la stessa è legata all’hardware e al firmware verificato da ANSSI. Si qualifica quindi il modello hardware A con la versione firmware X.Y.Z. Se si esegue un upgrade alla versione X.Y+1.0 il prodotto non è più qualificato Tutto ciò implica che un vendor deve adattare l’intero processo produttivo, il suo Product Life Cycle e addirittura logistica e stock. In modo da supportare piattaforme specifiche su tempi più lunghi dei normali cicli di vita di un prodotto di sicurezza non qualificato.
Un processo complesso e costoso
L’intero processo è estremamente oneroso e impone anche delle modifiche alla propria roadmap. Il processo non è compatibile con le tipiche gare in cui il prezzo al ribasso la fa da padrone. Tantomeno con buzz-word imposte da astrusi quadranti, spirali o triangoli magici. Come vendor sei vincolato ad investire risorse in funzionalità di sicurezza che di primo acchito non paiono highlight. Fino a quando non occorrono improvvisamente soluzioni di grado militare come la nostra. Oppure non viene scoperta una grave falla nel prodotto di un competitor e tu ringrazi di avere investito più risorse in hardening e meno in ‘cyberfuffa in salsa marketing’.
Un valore aggiunto da divulgare
Malgrado questi aspetti, il processo di qualifica da parte di una authority nazionale in materia di sicurezza, se fatto bene, rappresenta un indubbio valore aggiunto. Soprattutto se l’oggetto di discussione è la vera cybersecurity. Quindi ben venga una authority nazionale che impone linee guida come l’ANSSI o il BSI. Occorre tuttavia che la clientela percepisca il valore aggiunto di tale qualifica. <altrimenti le aziende che si imbarcano in tale processo perderanno competitività.
Cybersecurity e sovranità digitale europea
Anche in Francia, nonostante l’enorme lavoro dell’ANSSI, sono ancora numerose le aziende che prestano più attenzione a prezzo e “cotillon” che ai contenuti. Bisognerebbe invece essere capaci di seguire le linee guida dell’authority di certificazione e saper riconoscere il valore della mole di lavoro che ne deriva.
Conclusione
Le attività sopra menzionate da Genovese sono solo una piccola parte dei compiti di ANSSI. In termini di evangelizzazione, ad esempio, ANSSI pubblica anche whitepaper sull’utilizzo corretto delle tecnologie qualificate Perché – come conclude Genovese – si può acquistare la soluzione più sicura al mondo. Ma se la si configura con superficialità, l’investimento non vale la candela.