Le azioni della Pubblica Amministrazione.

Il settore della sicurezza informatica non sembra conoscere periodi di vacanza, neanche in queste calde giornate di inizio estate. Lo sanno bene tutti coloro che si trovano impegnati costantemente nell’attività di prevenzione degli incidenti e di contrasto alle minacce che incombono sui propri sistemi informativi. I dati che si desumono dai report realizzati continuamente dalle società che producono le principali tecnologie di protezione logica e di antivirus, evidenziano, infatti, un costante aumento del pericolo derivante dalla scoperta di nuove vulnerabilità e dall’efficacia delle ultime tipologie di attacco informatico.

In questo scenario spicca un dato su tutti: il settore governativo è, a livello mondiale, il più esposto ad attacchi informatici: il 60% del totale rispetto ad altri settori oggetto di osservazione.
Quali sono allora le contromisure organizzative e tecnologiche messe in campo per cercare di contrastare il verificarsi di eventi dannosi che colpiscano l’infrastruttura ed il patrimonio informativo della pubblica amministrazione italiana.
Dallo scorso 30 novembre è divenuto realtà il Sistema Pubblico di Connettività, la maggiore infrastruttura telematica pubblica d’Europa, che realizza l’interconnessione e l’integrazione tra amministrazioni centrali e locali; un network costituito da servizi di base e da servizi di interoperabilità evoluta e cooperazione applicativa, che consentono a questo modello architetturale di porsi all’avanguardia per lo sviluppo del processo di e-Government in atto.

Le Regole tecniche per il funzionamento e la sicurezza del’ SPC - recentemente diventate legge dello Stato (DPCM 001.04.2008) - prevedono per la prima volta che ogni amministrazione centrale aderente all’SPC si doti di una Unità Locale di Sicurezza, cui è affidata sia la responsabilità di porre in atto tutte le fasi di prevenzione degli incidenti ICT, sia la gestione operativa degli eventuali incedenti informatici. A coordinare il flusso informativo necessario per le attività di prevenzione e gestione degli incidenti delle ULS di 60 amministrazioni (ad oggi solo quelle centrali), le citate Regole tecniche prevedono l’istituzione del CERT-SPC, il Computer Emergency Response Team del Sistema Pubblico di Connettività, la struttura già istituita presso il CNIPA ed operativa dall’inizio 2008 sul modello adottato a livello internazionale; al CERT_SPC sono attribuite le funzioni di referente centrale nazionale per la prevenzione, il monitoraggio, il coordinamento informativo e l’analisi degli incidenti di sicurezza in SPC.
Questo modello basato su di una componente centrale e tante equivalenti componenti distribuite, in ognuna delle amministrazioni presenti in SPC, rappresenta la soluzione organizzativa adottata per la prevenzione ed il contenimento delle conseguenze degli incidenti informatici, e consiste in una complessa serie di attività che richiede la creazione di una buona capacità di reazione e risposta attraverso una significativa pianificazione di risorse umane e tecnologiche.
Se, infatti, le soluzioni informatiche hardware e software messe a disposizione dai produttori di sistemi di sicurezza presentano continuamente nuove funzionalità, dal punto di vista organizzativo, invece, la scelta di dotarsi di team dedicati alla prevenzione ed alla reazione agli incidenti appare ormai politica consolidata, sia a livello delle istituzioni governative che del mondo aziendale.
Le più diffuse ed efficaci strategie di sicurezza adottate a livello mondiale, pertanto, prevedono l’istituzione di team di risposta agli incidenti in grado di:

• disporre di una rete informativa, focalizzata principalmente sulla raccolta di dati ed informazioni necessari al coordinamento proattivo nel proprio contesto di riferimento;
• utilizzare strumenti evoluti per il monitoraggio delle vulnerabilità e l’osservazione dei comportamenti ostili registrati in Rete;
• predisporre un sistema articolato di comunicazione mediante avvisi e segnalazioni delle emergenze, da destinare al personale ed alle strutture impegnate nella gestione operativa dei propri sistemi;
• impiegare procedure standardizzate di reazione e coordinamento in occasione del verificarsi di incidenti informatici;
• interagire con una pluralità di interlocutori esterni al proprio dominio ma omologhi per funzioni, tali da consentire un’idonea attività di verifica e correlazione delle indicazioni e dei dati ottenuti.;
• migliorare i meccanismi e le misure di protezione sulla base dell'analisi degli incidenti avvenuti.

La prima esperienza in tal senso si deve ad un’iniziativa del governo statunitense in occasione della diffusione del primo “Internet worm”, nel  novembre del 1988. Quella unità, istituita per affrontare un’emergenza in corso, divenne un organismo stabile con il nome di Computer Emergency Response Team (CERT™). Nel tempo, tale organismo ha assunto il ruolo di organismo internazionale di coordinamento dei CERT con il nome di “CERT Coordination Center” (CERT-CC), che opera anche con finalità di condivisione e divulgazione di linee guida sulla creazione e la gestione di analoghi gruppi di risposta agli incidenti informatici.
La denominazione CERT è un marchio registrato, è per questa ragione che a partire dal 1988 i nomi e gli acronimi utilizzati per identificare le unità di risposta sorte sulla base e con le finalità del modello organizzativo sperimentato dal governo americano, sono differenti.
Si sente parlare, infatti, di:

• IRT – Incident Response Team;
• CIRT – Computer Incident Response Team;
• CSIRT – Computer Security Incident Response Team;
• SIRT – Security Incident Response Team;
• SERT – Security Emergency Response Team;
• CSERT – Computer Security Emergency Response Team.

I CERT riconosciuti nel mondo sono circa 170, ed il riconoscimento deriva dall’affiliazione all’organismo statunitense FIRST (Forum of Incident Response and Security Teams). Di questi, 46 appartengono ad entità governative e gli altri ad aziende e ad enti di ricerca ed accademici.
Nell’ambito dell’organismo denominato TERENA (Trans European Research and Education Networking Association) è inoltre attiva una struttura denominata TF-CSIRT (Task Force CSIRT) per il supporto ed il coordinamento dei CSIRT europei che conta attualmente 42 aderenti, alcuni dei quali affiliati anche al FIRST.
I CERT governativi in Europa sono attualmente 19 di cui 16 in rappresentanza dei paesi che hanno già aderito all’Unione Europea).

Ciò che in estrema sintesi, l’acronimo CERT vuole identificare è un singolo punto di contatto per la segnalazione di problemi ed incidenti di sicurezza informatica, destinato a servire una determinata e circoscritta comunità di utenti. Un CERT è, quindi, caratterizzato da:

• una comunità di riferimento (cd. constituency);
• un modello organizzativo tipico;
• servizi di prevenzione e reazione erogati alla propria constituency;
• relazioni con entità ed organismi interni ed esterni all'organizzazione di cui è parte.

Il CERT-SPC non è estraneo a questa impostazione e la disposizione normativa che ne ha previsto l’istituzione e riconosciuto modello, compiti e funzioni è assolutamente coerente con le caratteristiche appena delineate.
L’impianto disegnato dalle citate Regole Tecniche, infatti, attribuisce al CERT-SPC-C - nell’ambito dell’architettura complessiva del Sistema pubblico di connettività - un ruolo di coordinamento informativo tra tutte le componenti (la cd. constituency) del Sistema medesimo, rappresentate dalle “infrastrutture condivise”, dalle Unità Locali di Sicurezza delle Amministrazioni dai CERT-SPC-R, ovvero le omologhe realtà da istituirsi a presidio delle reti regionali.
Tale ruolo corrisponde al modello proprio di un CERT di coordinamento, ovvero la struttura tipicamente deputata a facilitare l’attività di governo delle vulnerabilità e di prevenzione e gestione informativa degli incidenti informatici, relativi a contesti differenziati ed esterni rispetto al proprio dominio. Nella richiamata letteratura di settore è utilizzata anche la denominazione CSIRT, ad identificare proprio la funzione di un gruppo di risposta e reazione agli incidenti, con simili caratteristiche.

Le attribuzioni funzionali del CERT-SPC-C, pertanto, possono così essere articolate:

•  attività preventiva: consiste nell’organizzazione e monitoraggio delle fonti informative, nella realizzazione di bollettini informativi per la constituency (early warning) e nella predisposizione di strumenti operativi di gestione delle informazioni;
• attività operativa: è l’attività di coordinamento e supporto informativo in occasione del verificarsi di incidenti informatici;
• attività strategica: consiste nella capacità di utilizzare i dati raccolti e per produrre documentazione di analisi a supporto delle decisioni della Commissione e necessarie per migliorare il livello complessivo in materia di sicurezza del Sistema.

I compiti e le funzioni appena descritti sono stati concepiti con una logica distribuita, dove le attività specifiche della prevenzione e quella operativa sono erogate in modo sinergico tra l’organismo centrale, il CERT-SPC, e le strutture interne alle singole amministrazioni connesse al Sistema: le citate Unità Locali della Sicurezza.
Queste ultime (U.L.S.), rappresentando la componente distribuita dell’intera architettura di sicurezza definita dalle Regole tecniche, sono strutture di ampiezza e complessità variabile in relazione alle specifiche esigenze e dimensioni della singola amministrazione: a loro è attribuito il compito di dare attuazione alle azioni di prevenzione e gestione degli incidenti che si dovessero verificare sui sistemi informativi di propria pertinenza; propria iniziativa ovvero a seguito delle indicazioni e del supporto fornito dal CERT-SPC.
Ne consegue che le attribuzioni funzionali delle ULS possono parimenti essere articolate in:

1. attività preventiva: consiste nel reperimento e nella valutazione di pertinenza ed eventuale impatto delle informazioni del CERT-SPC circa vulnerabilità e malware;
2. attività operativa: è rappresentata dall’individuazione e dalla distribuzione delle attività a garanzia del mantenimento dei livelli di sicurezza stabiliti e di contenimento degli eventuali incidenti occorsi;
3. attività strategica: consiste nelle attività volte ad aumentare l’efficacia e l’efficienza dei processi legati alla prevenzione e gestione degli incidenti informatici.

In quest’architettura di sicurezza distribuita tra “centro e periferia”, viene ad assumere un ruolo di centrale importanza l’attività di prevenzione degli incidenti informatici, alimentata da un flusso informativo constante tra le diverse componenti coinvolte.
Il CERT-SPC, a tal fine, è responsabile del servizio informativo sulla prevenzione degli incidenti, che eroga a beneficio delle singole Unità Locali di Sicurezza.
In questo contesto, inoltre, caratterizzato da una forte integrazione di tutte le componenti,  si è cercato di immaginare tale servizio in modo da valorizzare al massimo le capacità di condivisione delle informazioni, privilegiando la tempestività delle comunicazioni.
Le attività presupposte all’erogazione di questo servizio da parte del CERT-SPC, dipanano dalle operazioni di monitoraggio delle fonti, di raccolta ed elaborazione delle informazioni, per arrivare alla realizzazione di differenti bollettini informativi sulle emergenze di sicurezza in ambito SPC: tutto quell’insieme di attività generalmente noto con l’espressione early warning.

Un’ulteriore importante attività che il CERT-SPC ha avviato nell’ultimo anno, è stata la collaborazione con la Consip (segnatamente con la ULS MEF/Consip), al fine di individuare mettere a fattor comune le esperienze e le competenze delle due componenti - centrale e periferica - ed avviare le iniziative necessarie per il miglioramento dei processi interni e della complessiva interazione tra tutti i soggetti coinvolti.
L’iniziativa ha avuto origine dalla necessità di realizzare una prima sperimentazione del servizio con una sola amministrazione; e la scelta della Unità locale di Sicurezza MEF/Consip è derivata dal fatto che è rappresentativa di una realtà particolarmente articolata e complessa per dotazioni tecnologiche ed è stata la prima realtà della specie ad essere istituita nell’SPC ed in grado di operare con il CERT-SPC-C.

In particolare, partendo da un’attenta analisi delle criticità e dei punti di forza delle relative esperienze, il gruppo di lavoro misto CNIPA/Consip ha individuato una serie di obiettivi di miglioramento da realizzare nel contesto di SPC. Tra di essi spiccano:

• il servizio di monitoraggio evoluto che vede un nuovo tipo di bollettini di Segnalazioni sulle vulnerabilità informatiche, basato sul censimento delle tecnologie di interesse delle PA,
• il flusso bidirezionale di Notiziari sulla sicurezza che consente di aumentare in modo significativo il livello di consapevolezza sulle tematiche di sicurezza, completando le informazioni relative a vulnerabilità e malware;
• la realizzazione di un DVD, da mettere a disposizione di tutte le PA aderenti a SPC, contenente una suite di strumenti a sostegno dell’attività delle ULS costituita da applicazioni di tipo Open Source personalizzate e integrate con la tecnologie dei “Virtual Appliance”.

Su quest’ultimo impegno assunto nell’ambito della collaborazione, dopo un anno di attività congiunta, il CNIPA e la CONSIP hanno presentato lo scorso 25 giugno alle Pubbliche Amministrazioni centrali il risultato del progetto pilota per la sicurezza informatica, condotto dal CERT-SPC e dall’ULS MEF/CONSIP
In quella sede, sono state presentate le “RIM-Risorse per l’Incident Management”, ovvero un insieme di applicazioni (suite) composta da programmi nativi open source, che consente di supportare rapidamente e in modo evoluto e semplificato le complesse attività di monitoraggio, protezione, assistenza e ripristino svolte delle varie ULS in caso di attacchi e, soprattutto, di incidenti informatici.
Al termine dell’incontro, le RIM sono state messe a disposizione delle amministrazioni su di un DVD distribuito a tutti i numerosi rappresentanti delle ULS presenti.