L’Agenzia dell’Unione europea per la cybersicurezza pubblica uno studio avente ad oggetto la sicurezza dei prodotti software

Il 15 aprile 2020, l’Agenzia dell’Unione europea per la cybersicurezza (ENISA) ha pubblicato uno studio intitolato “Advancing Software Security in the EU – The Role of the EU Cybersecurity Certification Framework” in cui sottolinea l’importanza della sicurezza sia con riferimento allo sviluppo che alla manutenzione dei software, in particolare alla luce del loro crescente impiego nei prodotti e servizi usati quotidianamente. L’Agenzia ritiene che l’attuale sistema di standard e certificazioni non sia in grado di garantire i livelli di sicurezza necessari, ma che tuttavia il sistema di certificazioni europeo per la sicurezza informatica potrebbe giocare un ruolo essenziale nel suo futuro sviluppo.

L’ENISA ha evidenziato alcune tra le principali lacune dell’attuale sistema con riferimento alla sicurezza dei software. In primo luogo, l’Agenzia sottolinea come vi sia una generale mancanza di garanzie sulla qualità dei software che influisce negativamente sulla fiducia dei consumatori rispetto a questi prodotti. A tal proposito, il consumatore medio non è in grado di riconoscere con immediatezza quale sia il livello di sicurezza garantito con riferimento al software acquistato, anche a causa dell’oggettiva difficoltà nel comprendere il significato delle certificazioni di sicurezza. In secondo luogo, l’attuale sistema di certificazioni risulta eccessivamente rigido e costoso non incentivando i produttori ad aggiornare il loro prodotti software a cause delle lungaggini dovute ad eventuali processi di ri-certificazione. Allo stesso modo, i parametri impiegati per rilasciare gli standard e le certificazioni non sarebbero in grado di valutare efficacemente la fase di processo del software ma solo quella di sviluppo. In ultimo, l’ENISA lamenta una generale frammentazione del sistema dovuta soprattutto ad una mancanza di collaborazione tra le organizzazioni che si occupano di sviluppare gli standard e le certificazioni per la sicurezza dei software.

L’Agenzia per la cybersicurezza suggerisce di affrontare tali mancanze attraverso l’ulteriore sviluppo del sistema di certificazione in materia di sicurezza informatica. Tra le misure suggerite, l’ENISA propone di adottare dei sistemi che prendano in considerazione la sicurezza dei software non solo in quanto prodotti finali ma anche durante l’intero ciclo di sviluppo. In particolare, i sistemi di certificazione europei per la cybersecurity dovrebbero definire delle linee guida volte a regolare le fasi di sviluppo, manutenzione e funzionamento dei software al fine di ridurre la generale frammentazione del panorama attuale. In secondo luogo, anche alla luce dell’adozione del Cybersecurity Act, le organizzazioni che si occupano di sviluppare gli standard e le certificazioni per la sicurezza dei software dovrebbero coordinarsi al fine di individuare i principali settori di intervento al fine di standardizzare i sistemi di certificazione. Infine, i produttori e fornitori di prodotti e servizi certificati dovrebbero mantenere dei depositi dove vengono registrate non solo le vulnerabilità dei prodotti rese pubbliche ma anche gli aspetti di sicurezza condivisi dai prodotti e servizi certificati (e.g., crittografia). Questi depositi potrebbero conservare anche i metadati relativi alla mappatura degli standard esistenti, la cronologia delle revisioni, le eventuali minacce correlate e le istruzioni per l’implementazione.

Il 28 giugno 2020, la Commissione UE pubblicherà l’elenco dei prodotti e servizi che rientreranno nell’ambito di applicazione dei sistemi europei di certificazione per la sicurezza informatica, resta da vedere come verrà affrontato il tema della sicurezza dei software e se gli input dell’ENISA verranno presi in considerazione.