Per le aziende coinvolte nel commercio internazionale, assicurare la protezione dei sistemi informatici rappresenta un elemento fondamentale per ottenere l’autorizzazione AEOS (Sicurezza), il massimo riconoscimento in termini di affidabilità nella supply chain. L’Agenzia delle Dogane richiede il rispetto di controlli tecnici rigorosi, con particolare attenzione alla difesa contro le intrusioni.
Prove anti-intrusione: la domanda 3.7.1.b del QAV
Il Questionario di Autovalutazione (QAV), documento obbligatorio per i richiedenti AEOS, contiene nella sezione 3.7 una domanda specifica: la 3.7.1.b (Sotto-sezione 3.7) richiede di indicare se siano state svolte prove anti-intrusione, quali ne siano stati i risultati e se siano stati adottati correttivi. Questo quesito nasce dall’articolo 25, paragrafo 1, lettera j) del RE, che obbliga l’operatore a garantire che il sistema informatico sia protetto da manipolazioni non autorizzate.
Simulare il rischio reale: oltre la difesa passiva
La sola presenza di un firewall non risponde più ai criteri di sicurezza delle attuali linee guida doganali, che prevedono una protezione attiva contro l’accesso o la perdita intenzionale di informazioni critiche. Il Network Penetration Testing si configura come lo strumento idoneo per simulare attacchi reali e:
- Identificare falle nel perimetro esterno e nei servizi esposti su Internet.
- Verificare la resilienza contro malware e intrusioni che potrebbero compromettere i dati doganali.
- Valutare la sicurezza di dispositivi mobili e connessioni remote utilizzate dal personale.
Documentazione e audit: l’importanza delle evidenze
Durante l’audit, i funzionari doganali verificano che quanto dichiarato nel QAV corrisponda alle reali condizioni dell’infrastruttura. È necessario che l’operatore possa presentare:
- Registrazione dei risultati: Conservare e rendere disponibili i report dei test di penetrazione.
- Azioni correttive: In caso di vulnerabilità riscontrate, documentare le misure prese per risolverle.
- Traccia di audit: Dimostrare la capacità di monitorare continuamente le proprie debolezze tecniche.
FAQ – Network Penetration Test per lo Status AEOS
- Il QAV richiede esplicitamente prove anti-intrusione di rete? Sì. Alla domanda 3.7.1.b del QAV, il richiedente deve dichiarare se sono state effettuate prove anti-intrusione e descriverne i risultati. La mancata esecuzione di tali test può essere vista come una carenza negli standard di sicurezza richiesti.
- Con quale frequenza devono essere eseguiti i Network Penetration Test? Sebbene la normativa non fissi un intervallo rigido, il QAV chiede di indicare la frequenza dei test condotti. Le buone pratiche di settore suggeriscono una periodicità basata sul rischio, tipicamente annuale o ogni volta che avvengono modifiche significative all’infrastruttura di rete.
- Cosa accade se durante i test emergono criticità? L’emergere di vulnerabilità non preclude l’autorizzazione, purché l’operatore dimostri di aver implementato azioni correttive documentate per risolvere i problemi rilevati e prevenire il loro ripetersi.
- I test devono coprire solo la rete interna? No. Le misure di sicurezza devono proteggere il sistema informatico da ogni accesso non autorizzato. Ciò include il perimetro esterno, i server che gestiscono i dati aziendali e i dispositivi mobili (laptop, smartphone) che accedono alla rete aziendale.
- I risultati dei test vengono controllati durante la visita in loco? Sì. Tutte le procedure e i risultati dichiarati nel QAV devono essere messi a disposizione delle autorità doganali durante l’audit e saranno controllati fisicamente presso la sede dell’operatore.
Le aziende che intendono ottenere o mantenere l’autorizzazione AEOS devono poter documentare in modo dettagliato tutte le attività di Network Penetration Testing, fornendo risultati, dettagli sulle azioni correttive adottate e dimostrando una vigilanza costante sulle vulnerabilità tecniche rilevate.