Gli organismi Cinesi per la sicurezza nazionale. Europa, quando iniziamo a pensarci seriamente?

Da Red Hot Cyber.

Spesso parliamo di “autonomia tecnologica”, di guardare oltre il periodo storico imminente per prevenire le minacce future e i rischi informatici che verranno introdotti da nuove guerre asimmetriche, dove la cyberwarfare sarà sempre più protagonista.

Con questo articolo vogliamo fare una panoramica del mondo Cinese relativamente alla Sicurezza Nazionale, alle istituzioni create all’interno della Repubblica Popolare e come queste siano state strutturate.

Oltre all’importanza di un database delle vulnerabilità nazionali che in Cina viene chiamato China National Vulnerability Database (CNVD), noteremo l’importanza strategica dei “laboratori” di analisi delle vulnerabilità. Dei centri di eccellenza che hanno il compito di alimentare 100.000 professionisti cinesi nella cybersecurity, oltre ad effettuare valutazioni su prodotti di ogni tipo con test di sicurezza invasivi e attività di bug hunting.

Inoltre, noteremo delle istituzioni che si sono specializzate su argomenti specifici, come la National Industrial Information Security Vulnerability Library (CICSVD) che ha come obiettivo il monitoraggio e la classificazione delle vulnerabilità industriali oltre alla China Anti-Network Virus Alliance (ANVA), specializzata nella prevenzione dei malware.

Spesso non parliamo di quello che succede in Cina, sia per evitare di “pensare al dragone”, e sia per limiti di linguaggio. Ma oltre a comprendere il funzionamento dell’apparato governativo statunitense, è importante più che mai oggi comprendere come si sono organizzate le altre potenze tecnologiche, per prendere spunti utili che ci possano far riflettere su come costruire una Europa sempre migliore.

China National Vulnerability Database (CNVD)

Il China National Vulnerability Database (abbreviato in CNVD) è il repository ufficiale cinese, delle vulnerabilità del software o dell’hardware, gestito congiuntamente dal National Computer Network Emergency Technology Coordination Center e dal Ministero cinese della sicurezza dello Stato in collaborazione con importanti unità di sistemi informativi nazionali, operatori di telecomunicazioni di base, produttori di sicurezza di rete, software produttori e società Internet.

Il database viene alimentato costantemente dalle vulnerabilità di sicurezza rilevate da fornitori di software, ricercatori di sicurezza e società che lavorano su Internet e la prima voce è stata creata il primo gennaio del 2010.

L’obiettivo principale della creazione di CNVD è stabilire congiuntamente un sistema unificato di raccolta e verifica, rilascio e di allerta precoce e risposta alle emergenze per le vulnerabilità di sicurezza del software. Questo avviene con i dipartimenti governativi nazionali, importanti utenti del sistema informativo, operatori, fornitori di sicurezza, fornitori di software, istituti di ricerca scientifica, e utenti pubblici di Internet.

Tutto questo per migliorare il livello generale di ricerca nel paese e la capacità di prevenzione tempestiva in termini di vulnerabilità di sicurezza, migliorando così la sicurezza dei sistemi informativi e del software nazionale del paese, guidando lo sviluppo di prodotti di sicurezza nazionali.

Sito ufficiale: https://www.cnvd.org.cn/

Centro Nazionale di Emergenza Internet (CNCERT)

Si tratta di un ufficio tecnico di risposta alle emergenze della rete informatica nazionale, fondato nell’agosto del 2001. E’ un centro tecnologico per la sicurezza della rete non governativo e senza scopo di lucro ed è l’unità leader nel sistema di risposta alle emergenze della rete di computer in Cina.

È anche un’istituzione direttamente sotto l’Ufficio del Comitato Centrale per la Sicurezza e l’Informatizzazione della Rete del Partito Comunista Cinese e svolge le funzioni di supporto tecnico e garanzia della gestione della sicurezza delle informazioni della rete nazionale.

In qualità di centro di emergenza nazionale, le principali responsabilità di CNCERT/CC sono:

  • La prevenzione attiva;
  • Il rilevamento tempestivo;
  • La risposta rapida e garanzia di ripristino;
  • Attività di prevenzione;
  • Rilevamento;
  • Allerta precoce;
  • Ripristino coordinato della sicurezza della rete Internet negli incidenti.

Inoltre gestisce la National Information Security Vulnerability Sharing Platform, mantiene la sicurezza di Internet e garantisce il funzionamento sicuro dell’infrastruttura delle informazioni critiche.

CNCERT/CC ha voluto avviare la creazione della China Anti-Network Virus Alliance (ANVA) e della China Internet Network Security Threat Governance Alliance (CCTGA).

Sito ufficiale: https://www.cert.org.cn/

China Anti-Network Virus Alliance (ANVA)

Il 7 luglio 2009, secondo il dispiegamento unificato del Ministero dell’Industria e della Tecnologia dell’Informazione, basandosi su CNCERT/CC, e congiuntamente con operatori Internet di base, produttori di sicurezza di rete, fornitori di servizi a valore aggiunto, motori di ricerca, registrar di nomi di dominio e altre unità, è stata avviata la creazione della “China Anti-Internet Virus Alliance”.

Tale istituzione promuove la prevenzione e la governance relativamente agli incidenti derivanti i malware su tutta la rete Internet attraverso meccanismi di autodisciplina di settore. Inoltre mantiene pulito il cyberspazio e mantiene la sicurezza della rete Internet pubblica.

Sito ufficiale: https://www.anva.org.cn/

China National Vulnerability Database of Information Security (CNNVD)

China National Vulnerability Database of Information Security (CNNVD, China National Vulnerability Database of Information Security)

Istituito il 18 ottobre 2009, il China Information Technology Security Evaluation Center che è responsabile della costruzione, del funzionamento e della manutenzione per lo svolgimento efficace di analisi sulle vulnerabilità e sulla valutazione del rischio.

Il National Information Security Vulnerability Database fornisce servizi sulla sicurezza delle informazioni flessibili e diversificati per tutto il paese. I dati sono pubblici e forniscono servizi di base per la garanzia della sicurezza delle informazioni in Cina.

Con il supporto di fondi nazionali speciali, CNNVD è responsabile della creazione di una piattaforma di gestione dei dati sulle vulnerabilità di sicurezza a livello nazionale, con l’obiettivo di fornire servizi per la garanzia della sicurezza delle informazioni del mio paese.

Sito ufficiale: http://www.cnnvd.org.cn/

China Information Security Evaluation Center (CNITSEC)

Centro di valutazione della sicurezza delle tecnologie dell’informazione in Cina (CNITSEC)

Il China Information Security Evaluation Center (di seguito denominato Evaluation Center) è un’autorevole organizzazione nazionale di valutazione della sicurezza delle informazioni approvata dal governo centrale, con lo scopo di “fornire servizi di valutazione per la sicurezza informatica”.

Secondo l’autorizzazione del governo centrale, le principali funzioni del centro di valutazione comprendono:

  • Svolgere analisi sulle vulnerabilità di sicurezza (bug hunting) e valutazione dei rischi;
  • Eseguire test di sicurezza e valutazione di prodotti informatici, sistemi e costruzioni ingegneristiche;
  • Svolgere valutazioni sulle capacità dei professionisti della sicurezza delle informazioni e revisione delle loro qualifiche;
  • Svolgere servizi di consulenza tecnica sulla sicurezza delle informazioni, supervisione ingegneristica e sviluppo del software;
  • Impegnarsi in ricerca teorica, sviluppo tecnologico e sviluppo di standard di test di valutazione della sicurezza delle informazioni;
  • Pubblicare la rivista “China Information Security”

Il centro di valutazione è una delle infrastrutture più importanti del sistema nazionale di sicurezza dell’informazione.

Con il supporto dell’investimento del progetto speciale nazionale, il centro di valutazione si basa sul database nazionale delle vulnerabilità della sicurezza delle informazioni, con il

  • Laboratorio nazionale di ingegneria per la sicurezza di Internet mobile;
  • Laboratorio nazionale di ingegneria per la sicurezza dei sistemi di controllo industriale;
  • Laboratorio nazionale di ingegneria per la sicurezza collaborativa dei big data.

Basandosi sui “Laboratori di ingegneria”, sono state create dozzine di piattaforme tecniche e ambienti tecnici speciali e sono state formate le capacità tecniche per soddisfare le esigenze dello sviluppo dell’informatizzazione nazionale e della sicurezza della rete .

Dalla sua istituzione nel 1998, il centro di valutazione ha fornito supporto tecnico per il paese nel campo della sicurezza delle informazioni e dei servizi pubblici alla società in conformità con le leggi, i regolamenti e gli standard nazionali. Il centro di valutazione ha successivamente completato i test di sicurezza e l’analisi tecnica di migliaia di prodotti informatici nazionali ed esteri, software mainstream e sistemi applicativi di rete.

Ha intrapreso centinaia di compiti di ispezione speciali per la sicurezza delle informazioni nazionali, formando una massa critica di informazioni sulle parti e organi governativi, infrastrutture chiave nazionali e grandi imprese centrali.

Inoltre, fornisce formazione sulle competenze in materia di sicurezza delle informazioni a più di 100.000 persone in Cina; conduce valutazioni e certificazioni delle qualifiche per migliaia di società di sicurezza delle informazioni; firma “Accordi di cooperazione strategica” con oltre 40 industrie, ministeri e governi locali e fornisce servizi completi a garanzia della sicurezza delle informazioni che integrano il rilevamento della sicurezza, la notifica delle vulnerabilità, la consulenza sulla sicurezza, il monitoraggio delle periferiche e la risposta alle emergenze e il supporto tecnico.

Sito ufficiale: http://www.itsec.gov.cn/

National Industrial Information Security Vulnerability Library (CICSVD)

Database nazionale cinese delle vulnerabilità della sicurezza informatica industriale (CICSVD)

Fondata a del giugno 2019, è stata avviata dal National Industrial Information Security Development Research Center. È un’organizzazione nazionale, industriale, senza scopo di lucro che si è impegnata a livello nazionale in settori legati alla sicurezza delle informazioni industriali, istruzione, ricerca scientifica e alla costruzione di una piattaforma per la raccolta, l’analisi, lo smaltimento e la divulgazione delle vulnerabilità.

Questa libreria di vulnerabilità è rivolta all’industria delle materie prime, all’industria delle apparecchiature, all’industria dei beni di consumo, alla produzione di informazioni elettroniche, alla difesa nazionale e all’industria militare, all’energia, ai trasporti, alla tutela dell’acqua, all’amministrazione comunale, agli impianti nucleari civili e ad altri settori, concentrandosi sulle vulnerabilità della sicurezza di prodotti e componenti correlati come hardware industriale e software industriale.

Sito ufficiale CICSVD: https://www.cics-vd.org.cn/

National Industrial Information Security Development Research Center (CICS-CERT)

Il National Industrial Information Security Development Research Center, precedentemente noto come Electronic Science and Technology Information Research Institute, è stato fondato nel 1959, è un’istituzione pubblica direttamente sotto il Ministero dell’Industria e della tecnologia dell’informazione e supporta la sicurezza delle informazioni nel settore industriale cinese.

Dopo oltre 60 anni di ricerca e sviluppo, il centro ha stabilito un sistema incentrato su quattro settori principali fattori:

  • Sicurezza delle informazioni industriali;
  • Digitalizzazione industriale;
  • Software e proprietà intellettuale
  • Supporto ai think tank, con l’obiettivo di “sostenere il governo e servire l’industria”.

È un’istituzione di consulenza per la ricerca e il supporto decisionale con un’influenza importante nel campo dell’industria chimica e un istituto di ricerca di intelligence di base nel campo elettronico della tecnologia e nella difesa nazionale e nell’industria delle attrezzature.

Il centro ha un’area di oltre 50.000 metri quadrati e un patrimonio totale di 1,1 miliardi di yuan ed è composto da 16 dipartimenti commerciali e 1 entità economica – Saisheng Holdings (Beijing) Group Co., Ltd.

Attualmente i dipendenti sono 863, di cui il 78% è personale di ricerca scientifica. Dispone di 2 centri nazionali di ispezione della qualità e 5 laboratori chiave del Ministero dell’Industria e dell’Information Technology. Ha guidato e partecipato alla realizzazione di centinaia di importanti piani nazionali di ricerca e sviluppo, progetti speciali per la trasformazione e il potenziamento industriale, progetti speciali per lo sviluppo di alta qualità delle industrie manifatturiere e grandi progetti nella ricerca scientifica di base.

L’ambito dell’attività copre:

  • la sicurezza delle informazioni industriali;
  • l’industrializzazione di Internet;
  • l’industria del software e dell’innovazione;
  • l’economia industriale;
  • l’economia digitale;
  • l’elettronica per la difesa e altri campi.

Fornendo consulenza attraverso think tank, ricerca e sviluppo tecnologico, ispezione e test, verifica, valutazione e valutazione, diritti di proprietà intellettuale, Risorse di dati e altri servizi pubblici e impegno a lungo termine per la raccolta e la produzione di audiovisivi, archivi, riviste scientifiche e tecnologiche, ingegneria, pubblicazione di annuari e altri lavori di supporto alla gestione.

Gli obiettivi del servizio includono il Ministero dell’Industria e della Tecnologia dell’Informazione, l’Ufficio Centrale di Informazione sulla Rete, il Ministero della Scienza e della Tecnologia, la Commissione Nazionale per lo Sviluppo e la Riforma e altri enti governativi, oltre a vari enti come istituti di ricerca scientifica, imprese e istituzioni e istituzioni di istruzione superiore.

Durante il periodo del “14° Piano quinquennale”, il centro sta attuando a fondo il concetto generale di sicurezza nazionale, dove coordinerà lo sviluppo e la sicurezza, si concentrerà sui concetti di responsabilità, evidenzierà le caratteristiche, integrerà le risorse, rafforzerà il supporto alla ricerca per la sicurezza alla catena di approvvigionamento e alla catena industriale.

Promuoverà la trasformazione digitale dell’industria manifatturiera, supporterà l’innovazione tecnologica delle industrie militari e della difesa nazionale, si concentrerà sulla costruzione di un sistema di garanzia completo di sicurezza delle informazioni industriali di prima classe, tra cui il potenziamento dei dati digitali industriali, la promozione di applicazioni software chiave e il ciclo di vita della proprietà intellettuale.

Sito ufficiale: http://www.cics-cert.org.cn/

Indice