Come prevenire gli incidenti e le minacce informatiche
(0 voti, media 0 su 5)
Sabato 21 Giugno 2008 12:29

DAL CERT SPC DEL CNIPA LE AZIONI PER TUTELARE LA PUBBLICA AMMINISTRAZIONE

Il settore della sicurezza informatica non sembra conoscere periodi di tregua, neppure durante il periodo estivo. Lo sanno bene coloro che sono impegnati costantemente nell’attività di prevenzione degli incidenti e di contrasto alle minacce che incombono sui propri sistemi informativi.
I dati che si desumono dai report realizzati continuamente dalle società che producono le principali tecnologie di protezione logica e di antivirus, infatti, hanno messo in evi-denza un costante aumento del pericolo derivante dalla scoperta di nuove vulnerabilità e dall’efficacia delle ultime tipologie di attacco informatico. E questo scenario non ri-guarda solo la pubblica amministrazione, ma anche e soprattutto i sistemi informatici impiegati nel settore privato e commerciale, a partire da quello delle imprese, comprese le piccole e medie.

Nel corso del 2007, sono stati identificati oltre 500 mila nuovi malware (fonte: Syman-tec) e scoperte 6437 nuove vulnerabilità (fonte: X-Force), di cui il 60% relativo a web application. Il 43% dei worm diffusi è stato originato presumibilmente in Europa ed in Medio Oriente.
In questo contesto spicca un dato su tutti: il settore governativo è, a livello mondiale, il più esposto ad attacchi informatici. Si tratta deI 60% del totale rispetto ad altri settori oggetto di osservazione.
Quali sono allora le contromisure organizzative e tecnologiche messe in campo, a parti-re dal CNIPA, a tutela della complessa macchina burocratica pubblica per cercare di contrastare il verificarsi di eventi dannosi che colpiscano l’infrastruttura ed il rilevante, se non strategico, patrimonio informativo della pubblica amministrazione italiana?
Dallo scorso 30 novembre è divenuto realtà il Sistema Pubblico di Connettività-SPC, la maggiore infrastruttura telematica pubblica d’Europa, che realizza l’interconnessione e l’integrazione tra amministrazioni centrali e locali; un network costituito da servizi di base e da servizi di interoperabilità evoluta e cooperazione applicativa, che consentono a questo modello architetturale di porsi all’avanguardia per lo sviluppo del processo di e-Government in atto.
Le Regole tecniche per il funzionamento e la sicurezza del’ SPC - diventate dalla prima-vera scorsa legge dello Stato (DPCM 001.04.2008) - prevedono per la prima volta che ogni amministrazione centrale aderente all’SPC si doti di una Unità Locale di Sicurezza (ULS), cui è affidata sia la responsabilità di porre in atto tutte le fasi di prevenzione degli incidenti ICT, sia la gestione operativa degli eventuali incedenti informatici. A coordinare il flusso informativo necessario per le attività di prevenzione e gestione degli incidenti delle ULS di ben 60 Amministrazioni (ad oggi solo quelle centrali), le citate Regole tecniche prevedono l’istituzione del CERT-SPC, il Computer Emergency Response Team del Sistema Pubblico di Connettività, la struttura già istituita presso il CNIPA ed operativa dall’inizio 2008 sul modello adottato a livello internazionale; al CERT_SPC sono attribuite le funzioni di referente centrale nazionale per la prevenzione, il monitoraggio, il coordinamento informativo e l’analisi degli incidenti di sicurezza in SPC.
Questo modello basato su di una componente centrale e tante equivalenti componenti distribuite, in ognuna delle amministrazioni presenti in SPC, rappresenta la soluzione organizzativa adottata per la prevenzione ed il contenimento delle conseguenze degli incidenti informatici, e consiste in una complessa serie di attività che richiede la crea-zione di una buona capacità di reazione e risposta attraverso una significativa pianifica-zione di risorse umane e tecnologiche.
Se, infatti, le soluzioni informatiche hardware e software messe a disposizione dai pro-duttori di sistemi di sicurezza presentano continuamente nuove funzionalità, dal punto di vista organizzativo, invece, la scelta di dotarsi di team dedicati alla prevenzione ed alla reazione agli incidenti appare ormai politica consolidata, sia a livello delle istituzioni governative che del mondo aziendale.
Le più diffuse ed efficaci strategie di sicurezza adottate a livello mondiale, pertanto, prevedono l’istituzione di team di risposta agli incidenti in grado di:

 

  • disporre di una rete informativa, focalizzata principalmente sulla raccolta di dati ed in-formazioni necessari al coordinamento proattivo nel proprio contesto di riferimento;
  • utilizzare strumenti evoluti per il monitoraggio delle vulnerabilità e l’osservazione dei comportamenti ostili registrati in Rete;
  • predisporre un sistema articolato di comunicazione mediante avvisi e segnalazioni delle emergenze, da destinare al personale ed alle strutture impegnate nella gestione operativa dei propri sistemi;
  • impiegare procedure standardizzate di reazione e coordinamento in occasione del veri-ficarsi di incidenti informatici;
  • interagire con una pluralità di interlocutori esterni al proprio dominio ma omologhi per funzioni, tali da consentire un’idonea attività di verifica e correlazione delle indicazioni e dei dati ottenuti.;
  • migliorare i meccanismi e le misure di protezione sulla base dell'analisi degli incidenti avvenuti.
La prima esperienza in tal senso si deve ad un’iniziativa del governo statunitense in oc-casione della diffusione del primo “Internet worm”, nel  novembre del 1988. Quella unità, istituita per affrontare un’emergenza in corso, divenne un organismo stabile con il nome di Computer Emergency Response Team (CERT™). Nel tempo, tale organismo ha assunto il ruolo di organismo internazionale di coordinamento dei CERT con il nome di “CERT Coordination Center” (CERT-CC), che opera anche con finalità di condivisione e divulgazione di linee guida sulla creazione e la gestione di analoghi gruppi di risposta agli incidenti informatici.
La denominazione CERT è un marchio registrato, è per questa ragione che a partire dal 1988 i nomi e gli acronimi utilizzati per identificare le unità di risposta sorte sulla base e con le finalità del modello organizzativo sperimentato dal governo americano, sono differenti.
Si sente parlare, infatti, di:
  • IRT – Incident Response Team;
  • CIRT – Computer Incident Response Team;
  • CSIRT – Computer Security Incident Response Team;
  • SIRT – Security Incident Response Team;
  • SERT – Security Emergency Response Team;
  • CSERT – Computer Security Emergency Response Team.
I CERT riconosciuti nel mondo sono circa 170 e l’accreditamento ufficiale deriva dall’affiliazione all’organismo statunitense FIRST (Forum of Incident Response and Secu-rity Teams). Di questi, 46 appartengono ad entità governative e gli altri ad aziende e ad enti di ricerca ed accademici.
Nell’ambito dell’organismo denominato TERENA (Trans European Research and Educa-tion Networking Association) è inoltre attiva una struttura denominata TF-CSIRT (Task Force CSIRT) per il supporto ed il coordinamento dei CSIRT europei che conta attual-mente 42 aderenti, alcuni dei quali affiliati anche al FIRST.
I CERT governativi in Europa sono attualmente 19 di cui 16 in rappresentanza dei paesi che hanno già aderito all’Unione Europea.
Ciò che in estrema sintesi, l’acronimo CERT vuole identificare è un singolo punto di con-tatto per la segnalazione di problemi ed incidenti di sicurezza informatica, destinato a servire una determinata e circoscritta comunità di utenti. Un CERT è, quindi, caratteriz-zato da:
  • una comunità di riferimento (la cosiddetta: constituency);
  • un modello organizzativo tipico;
  • servizi di prevenzione e reazione erogati alla propria constituency;
  • relazioni con entità ed organismi interni ed esterni all'organizzazione di cui è parte.
Il CERT-SPC non è estraneo a questa impostazione e la disposizione normativa che ne ha previsto l’istituzione e riconosciuto modello, compiti e funzioni è assolutamente coe-rente con le caratteristiche appena delineate.
L’impianto disegnato dalle citate Regole Tecniche, infatti, attribuisce al CERT-SPC - nell’ambito dell’architettura complessiva del Sistema pubblico di connettività - un ruolo di coordinamento informativo tra tutte le componenti (la constituency) del Sistema medesimo, rappresentate dalle “infrastrutture condivise”, dalle Unità Locali di Sicurezza delle Amministrazioni dai CERT-SPC-R (le omologhe realtà da istituirsi a presidio delle reti regionali) nonché dai fornitori qualificati che garantiscono la connettività.
Tale ruolo corrisponde al modello proprio di un CERT di coordinamento, ovvero la strut-tura tipicamente deputata a facilitare l’attività di governo delle vulnerabilità e di pre-venzione e gestione informativa degli incidenti informatici, relativi a contesti differen-ziati ed esterni rispetto al proprio dominio. Nella richiamata letteratura di settore è uti-lizzata anche la denominazione CSIRT, ad identificare proprio la funzione di un gruppo di risposta e reazione agli incidenti, con simili caratteristiche.
Le attribuzioni funzionali del CERT-SPC-C, pertanto, possono così essere articolate:
  • attività preventiva: consiste nell’organizzazione e monitoraggio delle fonti informative, nella realizzazione di bollettini informativi per la constituency (early warning) e nella predisposizione di strumenti operativi di gestione delle informazioni;
  • attività operativa: è l’attività di coordinamento e supporto informativo in occasione del verificarsi di incidenti informatici;
  • attività strategica: consiste nella capacità di utilizzare i dati raccolti e per produrre do-cumentazione di analisi a supporto delle decisioni della Commissione e necessarie per migliorare il livello complessivo in materia di sicurezza del Sistema.
Tali compiti e funzioni sono stati concepiti con una logica distribuita, dove le attività specifiche della prevenzione e quella operativa sono erogate in modo sinergico tra l’organismo centrale, il CERT-SPC, e le strutture interne alle singole amministrazioni connesse al Sistema: le citate Unità Locali della Sicurezza.
Queste ultime (U.L.S.), rappresentando la componente distribuita dell’intera architettu-ra di sicurezza definita dalle Regole tecniche, sono strutture di ampiezza e complessità variabile in relazione alle specifiche esigenze e dimensioni della singola amministrazio-ne: a loro è attribuito il compito di dare attuazione alle azioni di prevenzione e gestione degli incidenti che si dovessero verificare sui sistemi informativi di propria pertinenza; propria iniziativa ovvero a seguito delle indicazioni e del supporto fornito dal CERT-SPC.
Ne consegue che le attribuzioni funzionali delle ULS possono parimenti essere articolate in:
  • attività preventiva: consiste nel reperimento e nella valutazione di pertinenza ed even-tuale impatto delle informazioni del CERT-SPC circa vulnerabilità e malware;
  • attività operativa: è rappresentata dall’individuazione e dalla distribuzione delle attività a garanzia del mantenimento dei livelli di sicurezza stabiliti e di contenimento degli e-ventuali incidenti occorsi;
  • attività strategica: consiste nelle attività volte ad aumentare l’efficacia e l’efficienza dei processi legati alla prevenzione e gestione degli incidenti informatici.
In quest’architettura di sicurezza distribuita tra “centro e periferia”, viene ad assumere un ruolo di centrale importanza l’attività di prevenzione degli incidenti informatici, ali-mentata da un flusso informativo constante tra le diverse componenti coinvolte, attuato in modo da valorizzare al massimo le capacità di condivisione delle informazioni e la tempestività delle comunicazioni.
Le attività presupposte all’erogazione di questo servizio da parte del CERT-SPC, dipana-no dalle operazioni di monitoraggio delle fonti, di raccolta ed elaborazione delle infor-mazioni, per arrivare alla realizzazione di differenti bollettini informativi sulle emergenze di sicurezza in ambito SPC: tutto quell’insieme di attività generalmente noto con l’espressione early warning.
Il CERT-SPC è proprio la componente responsabile di questo servizio informativo, erogato a beneficio delle singole Unità Locali di Sicurezza. A tal fine, nel corso dell’ultimo anno il CERT-SPC ha inviato alla comunità della sicurezza in SPC 105 bolletti-ni di sicurezza, 50 segnalazioni ed ha fornito supporto nella gestione di 6 incidenti di sicurezza.

Un’ulteriore importante attività che il CERT-SPC ha avviato nell’ultimo anno, è stata la collaborazione con la CONSIP, l’organismo del Ministero dell’Economia e Finanze che sovraintende agli acquisti nella Pubblica amministrazione (segnatamente con la ULS MEF/CONSIP), al fine di individuare mettere a fattor comune le esperienze e le compe-tenze delle due componenti - centrale e periferica - ed avviare le iniziative necessarie per il miglioramento dei processi interni e della complessiva interazione tra tutti i sog-getti coinvolti.
L’iniziativa ha avuto origine dalla necessità di realizzare una prima sperimentazione del servizio con una sola amministrazione; e la scelta dell’Unità locale di Sicurezza MEF/Consip è derivata dal fatto che è rappresentativa di una realtà particolarmente articolata e complessa per dotazioni tecnologiche ed è stata la prima realtà della specie ad essere istituita nell’SPC ed in grado di operare con il CERT-SPC-C.
In particolare, partendo da un’attenta analisi delle criticità e dei punti di forza delle re-lative esperienze, il gruppo di lavoro misto CNIPA/Consip ha individuato una serie di o-biettivi di miglioramento da realizzare nel contesto di SPC, tra di essi spicca la realizza-zione di uno specifico DVD, da mettere a disposizione di tutte le PA aderenti a SPC, con-tenente una suite di strumenti a sostegno dell’attività delle ULS costituita da applica-zioni di tipo Open Source personalizzate e integrate con la tecnologie dei “Virtual Ap-pliance”.
Su quest’ultimo impegno assunto nell’ambito della collaborazione, dopo un anno di at-tività congiunta, il CNIPA e la CONSIP hanno presentato nel giugno scorso ai responsabi-li dei servizi informativi automatizzati delle principali Pubbliche Amministrazioni centrali il risultato del progetto pilota per la sicurezza informatica, condotto dal CERT-SPC e dall’ULS MEF/CONSIP.
In quella sede, sono state presentate e distribuite alle amministrazioni le “RIM-Risorse per l’Incident Management”, ovvero un insieme di applicazioni (suite) composta da programmi nativi open source, che consente di supportare rapidamente e in modo evo-luto e semplificato le complesse attività di monitoraggio, protezione, assistenza e ripri-stino svolte delle varie ULS in caso di attacchi e, soprattutto, di incidenti informatici.
La suite “RIM” rientra nelle iniziative volte a realizzare applicazioni ad alto valore ag-giunto nell’ambito del programma di e-Government ed è stata progettata mettendo a fattor comune le specifiche esperienze di CNIPA e CONSIP. Lo scopo è quello di far agire l’intero sistema informatico pubblico come un’unica squadra, non solo condividendo informazioni, strategie e strumenti di sicurezza, ma anche implemen-tando a loro volta le applicazioni per adeguarle a nuovi scenari. L’utilizzo di licenza d’uso di tipo open source, infatti, prevede espressamente la possibilità di modificare il codice del programma, di copiarlo, distribuirlo e di evolverlo, ma anche di sviluppare e condividere specifiche funzionalità di backup e restore delle applicazioni e informazioni per garantire una corretta ripartenza dei sistemi a fronte di eventuali “cadute” per incidenti e attacchi.
Per consentire una totale portabilità delle soluzioni, a prescindere dall’hardware e dai sistemi applicativi usati dagli utenti, la suite “RIM” è stata realizzata con la tecnica della “virtual appliance”, ossia della “virtualizzazione” di un ambiente pre-configurato (sistema operativo ed applicazioni) per l’immediato impiego nel singolo ambiente di esercizio. In questo modo è stato possibile realizzare un dvd che contiene tutto l’ambiente virtuale realizzato e utilizzabile semplicemente su qualunque server.

Simili iniziative assumono particolare rilievo soprattutto per favorire la cultura della si-curezza informatica sensibilizzando, così, ogni amministrazione a dotarsi di presidi effi-cienti.
In sostanza, con questa iniziativa La Pubblica Amministrazione ha innalzato ulteriori barricate per proteggere i propri sistemi informatici dagli attacchi e dagli incidenti. E lo ha fatto grazie all’interconnessione e all’integrazione tra amministrazioni centrali e locali, realizzate con l’SPC: questa mega-Intranet pubblica - realizzata in modo dedicato per la PA con il supporto dei maggiori operatori di mercato delle telecomunicazioni - è infatti pienamente operativa e vede l’adesione di 60 amministrazione centrali. Sono stati già stipulati, inoltre, 300 contratti con le amministrazioni locali (Regioni, Province, Comuni, Asl) per la fornitura dei servizi SPC, e siglati tre protocolli d’intesa con le Regioni Emilia Romagna, Toscana e Umbria, le cui reti così entrano a far parte del Sistema trasformandolo gradualmente in una “rete federale”.
Proprio per questo la Community della sicurezza ICT dell’SPC entro l’anno sarà estesa anche alle Amministrazioni territoriali.  A coronamento di queste iniziative, la Commis-sione di Coordinamento dell’SPC ha deliberato l’avvio operativo della Community della sicurezza ICT nel settore pubblico.

Capitano GdiF Gabriele Cicognani
CERT-SPC – CNIPA Centro nazionale per l’informatica nella pubblica amministrazione
 
 
 
Visualizza la scansione dell'articolo PMI Magazine - settembre 2008
Tags:
< Prec.   Succ. >
Ultimo aggiornamento Venerdì 22 Maggio 2009 09:43