|
|
I
Cert di tutta Europa cooperano per la sicurezza informatica
Ne
parliamo con
Gianluigi
Moxedano - direttore del GovCERT del CNIPA
|
|
Iniziamo
con una domanda un po' banale: perché spendere dei soldi
pubblici per la sicurezza informatica?
|
|
|
|
|
Considerando
gli innumerevoli incidenti informatici avvenuti nel corso degli ultimi
anni ed alla luce dei risultati delle indagini e degli studi pubblicati
sull'argomento, delle iniziative dell'Unione europea e delle raccomandazioni
dell'OCSE non credo che possano esserci ancora dubbi sull'importanza da
attribuire alla sicurezza dei sistemi informatici e delle reti telematiche.
La motivazione di fondo che giustifica gli investimenti nella sicurezza
ICT è estremamente semplice ed immediatamente comprensibile, senza
dover ricorrere al catastrofismo o fare leva sulla paura di attentati
terroristici che pur costituiscono una preoccupazione. La nostra società
fa sempre più uso di strumenti informatici e delle reti; non esiste
quasi più attività produttiva in cui non vengano impiegati;
l'informatica è entrata e sarà sempre più presente
nelle case e nella vita di tutti i giorni ad esempio con la domotica e
l'utilizzo dei PDA e degli smart phone. Le tecnologie ICT sono ormai onnipresenti
ed aiutano a lavorare ed a produrre meglio e, se ne facciamo un uso intelligente,
anche a vivere meglio; questa pervasività ha però portato
come conseguenza una dipendenza dalla quale non possiamo più sfuggire.
È quindi evidente che i sistemi informatici e le reti nel loro
complesso siano una delle infrastrutture critiche del sistema paese al
pari dell'energia, dei trasporti, della sanità, delle telecomunicazioni,
dei circuiti bancari e finanziari tanto per citarne alcune. La criticità
dei sistemi informativi e delle reti assume inoltre maggior rilievo quando
consideriamo che anche le interdipendenze fra le stesse infrastrutture
critiche dipendono in larga misura dai sistemi ICT. Se concordiamo che
non si possano lasciare incustodite le reti di trasporto e le cabine di
distribuzione dell'energia elettrica o il sistema di distribuzione idrico
o una rete ferroviaria o un aeroporto non si vede come si possano avere
dubbi sulla necessità di proteggere i sistemi ICT e, poiché
quelli della pubblica amministrazione sono in buona parte da considerare
critici, gli investimenti per la loro sicurezza appaiono del tutto giustificati.
|
|
Dunque gli incidenti informatici sono realmente un danno per cui
vale la pena stanziare investimenti?
|
|
|
|
|
Per
quanto concerne lo specifico tema degli incidenti, ormai da alcuni anni
si è compreso che le misure di protezione ne riducono il numero
ma non possono evitarli del tutto anche perché le forme di attacco
divengono di giorno in giorno più sofisticate e complesse e potenzialmente
più virulente e dirompenti. Più fonti concordano nell'aver
riscontrato nel corso dello scorso anno più di 2500 nuove vulnerabilità
nei sistemi e nelle applicazioni commerciali, delle quali il 90% con gravità
media o alta, e 20.000 nuovi malicious code o varianti di quelli conosciuti,
dei quali 11.000 in ambiente MS-Windows. La gestione degli incidenti,
nelle sue fasi di prevenzione, rilevazione e reazione, è quindi
diventato elemento essenziale di un sistema di gestione della sicurezza
completo ed efficace.
|
|
Ma volendo fare una quantificazione dei danni provocati a un'amministrazione
da violazioni e incidenti informatici, quali riscontri esistono?
Si tratta principalmente di conseguenze di tipo economico?
|
|
|
|
|
Purtroppo
non possediamo al momento dati che ci permettano di quantificare i danni
causati dagli incidenti informatici nelle pubbliche amministrazioni ed
è questo uno dei punti in cui ci sentiamo maggiormente impegnati,
perché la loro misura è un elemento chiave per avere il
polso della situazione e quindi poter valutare tendenze, bisogni ed orientare
gli investimenti. Se restringiamo il campo ai soli danni economici possiamo
farci un idea della loro entità basandoci su dati rilevati in altri
paesi tenendo sempre presente che, come tutti i dati statistici, vanno
presi con cautela ed interpretati in base alla metodologia di rilevazione
adottata. Ne cito alcuni. Gli ultimi dati dell'indagine CSI/FBI su un
ampio e composito campione di aziende ed enti USA mostrano una perdita
economica media per i soli incidenti causati dal malware e da attacchi
di Denial of Service di $ 300.000; nel report del 2004 non sono riportati
i valori massimi che invece troviamo nel report precedente relativo al
2003 in cui un solo incidente dovuto alla diffusione di malware causò
una perdita economica di 6 milioni di dollari. Recentemente la NHTCU (National
High Tech Crime Unit) inglese ha pubblicato un rapporto sull'impatto dei
crimini informatici sulle imprese che indica nel 89% la percentuale delle
aziende intervistate che ha dichiarato di aver subito almeno un incidente
informatico nel 2004. Nel rapporto si afferma che il costo complessivo
degli incidenti in tutte le aziende con più di 1000 dipendenti
operanti in UK è stato di 2.4 miliardi di sterline equivalenti
a 3.6 miliardi di euro mentre, per quelle fra i 100 ed i 1000 dipendenti,
ammonta a 177 milioni di sterline equivalenti a 270 milioni di euro. Nel
caso della pubblica amministrazione bisogna però considerare un
danno grave, che va oltre la pura perdita economica, individuabile nella
ricaduta sociale di un incidente informatico e quindi nei possibili disagi
causati alla collettività; ricordiamo in proposito il caso eclatante
del worm Slammer che colpì 14.000 uffici postali nel gennaio del
2003. Consideriamo inoltre che la pubblica amministrazione italiana è
impegnata a realizzare il programma di e-government e che incidenti informatici,
che causano problemi soprattutto nei servizi online, possono costituire
un serio freno allo sviluppo del programma.
|
|
Quale è la necessità di istituire un Comitato per
la sicurezza informatica nel nostro paese? Con quali enti coopera
a livello nazionale?
|
|
|
|
|
Il
Comitato tecnico nazionale per la sicurezza ICT nelle pubbliche amministrazioni,
presieduto dall'ing. Claudio Manganelli, è stato già istituito
con decreto interministeriale (Innovazione e tecnologie e Comunicazioni)
nel luglio 2002 con funzioni di indirizzo e coordinamento delle iniziative
in materia di sicurezza nelle tecnologie dell'informazione e della comunicazione
nelle pubbliche amministrazioni secondo quanto stabilito dalla direttiva
ministeriale del 2002.
Il Comitato però è attualmente un organismo senza struttura
e con mandato a tempo limitato. Proprio nel primo documento prodotto dal
Comitato "Proposte concernenti le strategie in materia di sicurezza
informatica e delle telecomunicazioni (ICT) per la Pubblica Amministrazione",
i membri auspicavano la costituzione di un Centro Nazionale per la Sicurezza
Informatica, organismo di cui tutti gli operatori del settore, ed in particolare
quelli della pubblica amministrazione, proprio per la necessità
per poter agire in un quadro ben definito e coordinato.
|
|
In
questo quadro come si colloca il GovCERT?
|
|
|
|
|
Si
può dire che il CERT governativo sia figlio del Comitato
in quanto nasce da una sua iniziativa successivamente approvata dal Consiglio
dei Ministri per la società dell'informazione insieme ad altri
progetti di carattere innovativo. L'ente attuatore è il CNIPA.
|
|
Da
quanto è attivo il GovCERT e quali sono le azioni verso cui
si è orientato immediatamente?
|
|
|
|
|
I
finanziamenti del progetto sono stati resi disponibili nel settembre 2004
e sono immediatamente iniziate le attività preparatorie. Volendo
usare un gergo in voga potremmo dire che è iniziato lo start-up
con tutto l'entusiasmo e le difficoltà che questa fase implica.
Al momento il progetto è stato completamente pianificato ed alcuni
obiettivi sono già stati raggiunti. In particolare sono state inserite
nel gruppo le persone con i profili essenziali; è stata formata
la constituency - cioè la comunità di riferimento
attualmente costituita da 27 amministrazioni centrali che hanno già
aderito all'iniziativa- cui il GovCERT erogherà i suoi servizi;
è stata pressoché consolidata la nostra rete informativa
e sono iniziati gran parte dei contatti con i maggiori fornitori di tecnologia,
con operatori di telecomunicazione e con organismi investigativi. Stiamo
già erogando il nostro servizio più importante l'Early
Warning che consiste nella comunicazione tempestiva di segnalazioni
ed allarmi concernenti la scoperta di nuove vulnerabilità o la
presenza di minacce imminenti. Dall'inizio dell'anno abbiamo già
inviato 31 segnalazioni sulle vulnerabilità e tre avvisi di minacce.
Può essere di interesse il fatto che le nostre informative sono
inviate tramite allegati alle email firmati digitalmente e quindi di provenienza
certa e verificabile. Inoltre abbiamo da poco formalizzato l'attività
di verifica e comunicazione di web defacement nell'ambito dei siti della
pubblica amministrazione centrale e delle più importanti amministrazioni
locali.
È importante sottolineare che il CERT governativo è un CERT
di coordinamento dei gruppi di gestione degli incidenti presenti nelle
singole pubbliche amministrazioni centrali, la cui costituzione era stata
raccomandata dalla Direttiva Stanca che li ha denominati CERT-AM.
In considerazione del ruolo centrale i servizi erogati dal GovCERT rispondono
a criteri di economicità, nel senso di non moltiplicazione delle
medesime attività nell'ambito della PA, di completezza di visione
e di capacità di coordinamento.
|
|
Esiste
un timing sugli obbiettivi più immediati?
|
|
|
|
|
Nel
mese di ottobre, una volta avuta la disponibilità delle applicazioni
che stiamo acquisendo, contiamo di attivare un piccolo Contact Center
per dare ai CERT-AM un supporto tecnico relativo alle comunicazioni
che inviamo e per assisterli in caso di incidente fornendo anche indicazioni
di carattere legale.
Dopo il periodo estivo abbiamo pianificato di dare vita ad un osservatorio
tecnologico, utilizzando come veicolo di diffusione delle informazioni
anche il nostro sito web, che è attualmente in fase di progettazione.
A breve istituiremo un Gruppo di Lavoro in ambito CNIPA, cui parteciperanno
rappresentanti della nostra constituency, con l'obiettivo principale di
definire politiche e procedure di gestione degli incidenti quanto più
possibile comuni ed uniformi nell'ambito della pubblica amministrazione
centrale.
|
|
Lo schema delle relazioni che bisogna tenere sotto controllo è
abbastanza complesso e coinvolge Pubbliche Amministrazioni, altri
CERT, forze dell'ordine, produttori etc. Come è organizzata
da questo punto di vista la vostra struttura? Quali sono le vostre
risorse?
|
|
|
|
|
La
struttura è composta attualmente da quattro persone con diversi
profili professionali in grado nel loro insieme di gestire tutte le relazioni
che man a mano stiamo costruendo. Tutte le attività sono portate
avanti con lo spirito del lavoro di gruppo e della collaborazione e devo
confessare che di questo sono particolarmente lieto ed anche un po' orgoglioso.
|
|
La rete ormai ha eliminato ogni frontiera, ma occorre comunque un'unione
di intenti e di indirizzi. Come si stanno muovendo gli altri Paesi
Europei? Esiste un coordinamento unico?
|
|
|
|
|
Per
quanto riguarda i CERT non esiste ancora un coordinamento unico nei Paesi
Europei. Esiste solo una forma di aggregazione lasca costituito dal TF-CSIRT
(CSIRT Task Force) in ambito TERENA (Trans-European Research
and Networking Association).
Una positiva novità in tal senso viene però dalla creazione
in ambito comunitario di ENISA (European Network and Information
Security Agency) il cui direttore è l'italiano ing. Andrea
Pirotti. ENISA sta muovendo i primi passi e dall'inizio del prossimo settembre
la struttura si trasferirà da Bruxelles alla sede definitiva di
Iraclion (Creta-Grecia).
ENISA nasce come centro di competenza sui temi della sicurezza delle reti
e delle informazioni per gli Stati Membri e le Istituzioni comunitarie
e si prefigge l'obiettivo di assicurare un alto ed efficace livello di
sicurezza all'interno della comunità europea, contribuendo quindi
allo sviluppo della cultura della sicurezza delle reti e delle informazioni
a beneficio dei cittadini, delle imprese e delle pubbliche amministrazioni.
Tornando al nostro tema, fra le prime iniziative intraprese da ENISA c'è
la costituzione di tre gruppi di lavoro ristretti mirati rispettivamente
alla cooperazione dei CERT, alla analisi dei rischi ed alla loro gestione,
alla crescita della consapevolezza e della sensibilizzazione.
Lo scorso 20 giugno si è tenuta la prima riunione del gruppo di
lavoro sulla cooperazione dei CERT cui ho partecipato, tornando a casa
con la sensazione che svolgeremo un lavoro utile e che la ritrosia degli
stati a condividere informazioni e programmi sulla sicurezza ICT si stia
attenuando, aprendo le porte ad una reale volontà di cooperazione.
|
