"Arahan baru yang berisi indikasi untuk perlindungan cyber nasional dan keamanan komputer" baru-baru ini telah diterbitkan.
Apakah standar baru dibutuhkan?
Saya akan mengatakan ya.
Mari kita coba memahami apa yang baru dan membuat pertimbangan pribadi yang bersifat umum.
"Arahan yang meletakkan pedoman untuk perlindungan siber nasional dan keamanan siber" sekarang menjadi Keputusan Kepresidenan Dewan Menteri, yang dikeluarkan pada tanggal 17 Februari 2017 dan diterbitkan dalam Lembaran Resmi, seri umum nomor 87 tanggal 13 April 2017.
Apa tujuannya?
Pertama-tama, perbarui undang-undang yang sudah ada sejak empat tahun lalu (DPCM 24 Januari 2013), oleh karena itu "membawa berbagai keterampilan yang terlibat dalam pengelolaan krisis kembali ke sistem dan kesatuan ...“di bidang siber, yang ketiadaan (persatuan!) ternyata menjadi asal muasal sulitnya memberikan jawaban atas kemungkinan serangan siber terhadap satu atau lebih infrastruktur kritis nasional.
Artikel 1 memperkenalkan kita pada subjek dengan menunjukkan subjek Arahan (arsitektur kelembagaan untuk perlindungan keamanan nasional dalam kaitannya dengan infrastruktur kritis material dan tidak berwujud ...) dan pemangku kepentingan utama (terutama Kementerian Pembangunan Ekonomi, Badan Digital Italia, Kementerian Pertahanan dan Kementerian Dalam Negeri).
Artikel 2 menarik di mana definisi paling penting untuk bidang cyber dikumpulkan. Diperlukan, tanpa bayangan keraguan, meskipun tidak semuanya dapat dibagikan secara pribadi. Saya berbicara secara khusus tentang definisi "ruang cyber" dan konsekuensi yang dapat ditimbulkannya dalam analisis risiko cyber.
Mari kita mulai dengan definisi DPCM.
"Ruang siber: sekumpulan infrastruktur TI yang saling berhubungan, termasuk perangkat keras, perangkat lunak, data dan pengguna, serta hubungan logis, betapapun mapannya, di antara mereka".
Sekarang mari kita lihat beberapa definisi Cyberspace yang diadopsi oleh negara-negara paling maju di sektor ini: AS dan Rusia.
- AS: Lingkungan nosional di mana komunikasi melalui jaringan komputer terjadi;
- Rusia: Lingkungan aktivitas dalam ruang informasi, yang dibentuk oleh serangkaian saluran komunikasi internet dan jaringan telekomunikasi lainnya, infrastruktur teknologi untuk memastikan fungsinya, dan segala bentuk aktivitas manusia di dalamnya (individu, organisasi, negara);
Definisi ini diambil dari situs web NATO Cooperative Cyber Defense Center of Excellence yang berlokasi di Tallin, Estonia (https://ccdcoe.org/cyber-definitions.html).
Sekarang, mari kita pertimbangkan definisi Rusia: mudah untuk diperhatikan bahwa, selain berbicara tentang jaringan internet dan saluran komunikasi, ini mengacu pada "infrastruktur teknologi yang memungkinkan jaringan komunikasi berfungsi", infrastruktur yang tidak termasuk dalam definisi AS atau di yang Italia.
Menurut saya, kurangnya referensi ini dapat menyesatkan mereka yang tertarik untuk mengembangkan analisis risiko dunia maya dari infrastruktur kritis, misalnya dengan menyebabkan mereka tidak mempertimbangkan pembangkit listrik yang menggerakkan pusat data kritis.
Tentu ini hanya contoh sepele, tapi terkadang hal-hal sepele bisa membuat perbedaan!
Definisi lain yang tidak lengkap menurut saya adalah definisi yang berbicara tentang "peristiwa cybernetic".
Menurut arahan tersebut, peristiwa cybernetic adalah "peristiwa signifikan, yang bersifat sukarela atau tidak disengaja, yang terdiri dari akuisisi dan transfer data yang tidak tepat, dalam modifikasi atau penghancuran yang tidak sah, atau dalam kontrol yang tidak tepat, kerusakan, penghancuran, atau pemblokiran fungsi reguler jaringan dan sistem informasi atau elemen pembentuknya ".
Juga dalam kasus ini, menurut pendapat saya, ada sesuatu yang hilang: bagaimana sebenarnya kita bisa membingkai peristiwa seperti yang dikenal sebagai "Stuxnet", yang dengannya Amerika Serikat dan Israel (sejauh yang kita tahu) menyabotase pembangkit listrik tenaga nuklir Iran di Natanz?
Dalam kasus ini, virus telah merusak sentrifugal, yaitu, telah bertindak melawan elemen yang bukan bagian dari jaringan komputer mana pun, namun seseorang tidak dapat tidak menganggap peristiwa ini sebagai "serangan cyber".
Berikut dua contoh yang menunjukkan pentingnya mengadopsi undang-undang yang sesuai dan definisi yang benar. Jelas bahwa ini adalah sudut pandang dan menyorotinya hanya berfungsi untuk menciptakan kesadaran dan menyebarkan pengetahuan.
Jadi, selamat datang di DPCM, yang masih menyoroti!
Tapi mari kita melangkah lebih jauh.
Pasal 3 menggambarkan tugas yang diberikan kepada Presiden Dewan Menteri, "bertanggung jawab atas kebijakan umum Pemerintah dan kepala Sistem Informasi untuk keamanan Republik, untuk tujuan melindungi keamanan nasional juga di ruang cyber".
Presiden dewan tersebut menggunakan Komite Antar Kementerian untuk Keamanan Republik (CISR) untuk definisi kerangka strategis nasional untuk keamanan ruang siber.
Dalam konteks ini, menarik untuk merujuk pada kerangka strategis nasional yang memuat "kecenderungan evolusioner dari ancaman dan kerentanan sistem dan jaringan kepentingan nasional, definisi peran dan tugas berbagai mata pelajaran, publik dan swasta, dan yang beroperasi di luar wilayah negara, [..] alat dan prosedur yang digunakan untuk mengejar pertumbuhan kemampuan negara untuk mencegah dan menanggapi peristiwa di ruang cyber, juga dengan tujuan untuk menyebarkan budaya keamanan".
Masih PCM (berdasarkan resolusi CISR) yang mengadopsi "Rencana nasional untuk perlindungan dunia maya dan keamanan informasi" yang berisi tujuan dan jalur tindakan yang konsisten dengan kerangka strategis nasional.
Pasal 4 mengatur tentang CISR, khususnya paragraf f. berbunyi: "melaksanakan pengawasan yang tinggi terhadap pelaksanaan Rencana Nasional keamanan ruang siber".
Pasal 5 memperkenalkan CISR teknis, sebagai badan pendukung CISR, yang diketuai oleh Direktur Jenderal Departemen Informasi Keamanan (DIS), dan akhirnya kita sampai ke hati! Di sinilah letak berita besarnya.
Atribusi khusus untuk DIS lebih baik ditentukan dalam pasal 6. Memang
hanya DIS, dalam sosok manajer umumnya, yang diidentifikasi oleh DPCM sebagai orang yang "mengadopsi inisiatif yang sesuai untuk menentukan garis tindakan yang diperlukan untuk kepentingan umum".
Tujuan dari baris tindakan adalah untuk "menaikkan dan meningkatkan tingkat keamanan sistem dan jaringan ...", untuk mengantisipasi tindakan balasan yang diperlukan dan respons terhadap kemungkinan"krisis dunia maya di pihak administrasi dan badan publik dan operator swasta ...".
Dalam praktiknya, DIS diberi mandat untuk mengoordinasikan tindakan untuk memerangi dan menanggapi serangan dunia maya di Italia. Konsep jelas tertuang dalam pasal 7 ayat 2, yang menyatakan bahwa Direktur DIS mengurusi koordinasi kegiatan penelitian informasi yang bertujuan untuk memperkuat perlindungan siber dan keamanan TI di Italia.
Pasal 8 memperkenalkan "inti untuk keamanan cyber", didirikan secara permanen di DIS untuk aspek pencegahan dan persiapan untuk situasi krisis dan"untuk aktivasi prosedur peringatan". Nukleus ini diketuai oleh wakil direktur jenderal DIS dan terdiri dari penasihat militer dan perwakilan dari:
- DIS;
- AIS;
- AISI;
- Departemen Luar Negeri;
- Kementerian Dalam Negeri;
- Kementerian Pertahanan;
- Kementerian Kehakiman;
- Kementerian Pembangunan Ekonomi;
- Kementerian Ekonomi dan Keuangan;
- Departemen perlindungan sipil;
- Badan digital Italia;
- Kantor pusat untuk kerahasiaan.
Inti, sesuai dengan Pasal 9, menjalankan fungsi "koneksi antara berbagai komponen arsitektur kelembagaan yang mengintervensi berbagai kapasitas di bidang keamanan cyber", secara khusus membuat unit untuk waspada dan merespon situasi krisis aktif, sebuah unit aktif 24 jam sehari, 7 hari seminggu.
Pasal 10 mengatur komposisi dan tugas Inti dalam keadaan darurat dunia maya, dengan referensi khusus pada koordinasi yang harus dilakukan untuk reaksi dan stabilisasi. Dalam paragraf 3 disebutkan bahwa ia menggunakan, untuk kegiatan teknisnya, CERT nasional Kementerian Pembangunan Ekonomi dan CERT PA dari Agency for Digital Italy. Dan dalam kasus ini, saya setuju sepenuhnya tentang perlunya menggabungkan kekuatan (dan sumber daya!).
Pasal 11 memberlakukan sejumlah aturan pada operator swasta. Ini termasuk kewajiban untuk mengomunikasikan "setiap pelanggaran signifikan terhadap keamanan dan integritas sistem TI mereka" dan kewajiban untuk bekerja sama dalam pengelolaan krisis dunia maya, yang berkontribusi pada pemulihan fungsionalitas sistem dan jaringan yang mereka kelola. Tidak ada hal substansial yang mungkin terjadi pada pelaporan pelanggaran karena "signifikansi" peristiwa cybernetic tidak didefinisikan dengan cara apa pun, ini berarti bahwa setiap orang mengevaluasi apa yang mereka inginkan, sebaliknya sangat penting bahwa operator swasta harus bekerja sama, bahkan menempatkan perusahaan "Pusat Operasi Keamanan" tersedia.
Pasal 11, paragraf 2, juga menunjukkan bahwa Kementerian Pembangunan Ekonomi bertanggung jawab untuk mempromosikan "pembentukan pusat penilaian dan sertifikasi nasional untuk verifikasi kondisi keamanan dan tidak adanya kerentanan ...“, tugas menurut saya lebih cocok untuk Kementerian Universitas dan Riset, di bawah pengawasan DIS.
Terakhir, mari kita lihat Pasal 13, ketentuan transisi dan final.
Paragraf 1 memberikan gambaran yang jelas tentang bagaimana problem cyber dirasakan di tingkat pemerintah, bahkan pada paragraf 1 berbunyi: "Keputusan ini tidak menimbulkan pungutan baru bagi anggaran negara".
Saya ragu: apakah itu semua lelucon?
Sebenarnya saya tidak percaya bahwa pasal 13 ayat 1 itu cocok dengan semua yang dikatakan di atas!
