Lezione III - La sicurezza nell'aministrazione digitale 1 · Byte: un chicco di riso ... UNO,...

Corrado Giustozzi 04/10/2018

Lezione III - La sicurezza

nell'aministrazione digitale 1

Master Breve

Il responsabile per la transizione al digitale Responsabile scientifico

Ernesto Belisario

Cagliari, 2018

27-28 settembre

4-5 ottobre

11-12 ottobre

Organizzazione

CAD

Servizi in rete

Dematerializzazione Piano

Triennale

Sicurezza

Privacy

COME GARANTIRE LA SICUREZZA

NELL'AMMINISTRAZIONE DIGITALE

Lezione III – 4 ottobre

www.lapadigitale.it

Docente

Corrado Giustozzi

COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE

PREMESSA: CHI SONO

membro del Permanent Stakeholders’ Group di ENISA

(2010-13, 2013-15, 2015-17, 2017-20)

«esperto di sicurezza cibernetica» presso l’Agenzia

per l’Italia Digitale per lo sviluppo del CERT-PA

componente del Consiglio Direttivo di Clusit

membro del consiglio didattico-scientifico del Master

di II livello in «Sicurezza», Sapienza Università di Roma

docente nel master di II livello in «Homeland Security»,

Università Campus Biomedico di Roma

consulente tecnico del ROS, lecturer all’Istituto Superiore di

Tecniche Investigative dei Carabinieri




LA SICUREZZA DELLE INFORMAZIONI Concetti di base


IL BENE SUPREMO DELLA SOCIETÀ

La nostra è la “società dell’informazione”

L’informazione “tradizionale” è:

materiale e coincidente col suo supporto fisico

facilmente proteggibile con mezzi fisici

L’informazione “moderna” è:

immateriale e svincolata dal suo supporto fisico

difficilmente proteggibile con metodi tradizionali

L’informazione digitale può facilmente essere:

intercettata, copiata, trasportata, spostata, diffusa

modificata, contraffatta, falsificata, alterata

distrutta


IL VALORE DELLE INFORMAZIONI

La più grande azienda di taxi al mondo non possiede neppure

un’automobile 62,5 G$ 15 × Hertz

Il social media più popolare al mondo non crea alcun contenuto 267 G$ 130 × NYTimes

Il più grande fornitore di ospitalità al mondo non possiede neanche

un immobile 25 G$ 8 G$ > Hilton (745.000 camere in 4.500 hotel)

La più grande azienda di commercio al dettaglio al mondo non

possiede nemmeno un negozio 268 G$ 69 G$ > Wall Mart (10 mila negozi)





IMPATTI NON PROPORZIONALI…


…E IMPREVEDIBILI TRIANGOLAZIONI


UBIQUITÀ DELL’INFORMAZIONE

Oggi la maggior parte delle informazioni di valore viene elaborata ed

archiviata su sistemi informativi, personali o non, generalmente connessi tra

loro in modo sempre meno estemporaneo e sempre più integrato grazie alla

crescente pervasività delle reti

Gli apparati hanno assunto una dimensione anche personale (palmari,

PDA), con grande capacità di comunicazione e di integrazione di reti diverse

(bluetooth, cellulare, Internet, …)

La convergenza fra informatica e telefonia ha reso assai comune anche

l’utilizzo delle reti cellulari (GSM, GPRS, UMTS) per il trasporto di dati e

informazioni multimediali integrate





RISCHI E PERICOLI DELLE RETI DIGITALI

Ogni sistema informativo in Rete:

è soggetto ad attacchi vandalici

è potenziale obiettivo di intrusioni mirate

Ogni sistema di comunicazione in Rete:

è soggetto ad intercettazione dei messaggi

può consentire di falsificare o alterare i messaggi

Ogni azione compiuta in Rete:

lascia tracce, volute o non volute

può fornire informazioni sensibili


LE PROPRIETÀ FONDAMENTALI

Riservatezza:

avere la certezza che una certa informazione possa essere conosciuta solo da chi ha il

diritto a farlo

Integrità:

avere la certezza che una certa informazione possa essere modificata solo da chi ha

diritto a farlo e solo attraverso modalità note e verificabili

Disponibilità:

avere la certezza che una certa informazione possa essere prontamente reperita ed

utilizzata tutte le volte che si ha necessità di farlo


DI QUANTA SICUREZZA HO BISOGNO?

La sicurezza totale non esiste!

L’unico computer sicuro è quello non connesso ad alcuna rete, chiuso in un caveau

blindato, con una guardia armata alla porta, e... spento!

La sicurezza è un asintoto:

avvicinandosi ad esso i costi aumentano sempre di più, mentre la sicurezza aumenta

sempre meno

La sicurezza è un compromesso:

ragionevole bilanciamento fra costi e benefici





DI QUALE SICUREZZA HO BISOGNO?

Oltre l’80% dei problemi di sicurezza viene tuttora dall’interno delle

organizzazioni:

ingresso di virus, worm, Cavalli di Troia, ...

fuga di dati riservati, vere e proprie truffe

disastri ed incidenti colposi (incuria, errori, …)

sabotaggi, minacce, ritorsioni, estorsioni, ...

Attenzione ad entrambi i fronti:

esterno (hacker, cyberterroristi, tecnovandali, …)

interno (utenti curiosi, insoddisfatti, vendicativi, …)


LA SICUREZZA NON È UN PRODOTTO

La sicurezza è una cultura aziendale

va maturata con un’adeguata educazione

La sicurezza è un processo globale

impatto trasversale sulle attività dell’organizzazione

La sicurezza è un servizio specializzato

deve essere erogato da apposite strutture

La sicurezza è una risorsa da gestire

complesso mix di competenze, risorse, prodotti


LA SICUREZZA NON È (PIÙ) OPZIONALE

Il D.Lgs. 196/2003 (T.U. sulla “privacy”) e il GDPR:

impongono una forte tutela dei dati personali

obbligano ad adottare rigorose misure di sicurezza

prevedono anche dure sanzioni!

La legge 48/2008 (Convenzione di Budapest):

ha introdotto i reati informatici nell’elenco di quelli per cui un’azienda può essere chiamata a rispondere per responsabilità oggettiva ai sensi della L. 231/2001

Il Codice dell’Amministrazione Digitale:

spinge verso il progressivo abbandono della carta a favore delle tecnologie digitali (fatture elettroniche, firme digitali, posta certificata, conservazione sostitutiva…) che richiedono adeguate ed obbligatorie misure di sicurezza





UNA “NUOVA” RESPONSABILITÀ AZIENDALE

Le aziende e le organizzazioni moderne non si identificano più solo coi suoi

asset fisici, anzi il loro vero valore è nelle informazioni che gestiscono

Accanto alla responsabilità della “sicurezza industriale” e della “sicurezza

sul lavoro” (safety), deve quindi esservi quella della sicurezza delle

informazioni

La sicurezza delle informazioni è qualcosa di più della sicurezza informatica,

così come un sistema informativo è qualcosa di più di un sistema informatico

Così come per la sicurezza sul lavoro, anche la sicurezza delle informazioni

è una responsabilità di tutti, perché ottenerla o non ottenerla dipende dal

comportamento di ciascuno


NON SOLO TECNOLOGIA

La sicurezza delle informazioni si fa a livello:

fisico

logico

organizzativo

La sicurezza delle informazioni riguarda:

dispositivi

processi

informazioni

persone


SICUREZZA ED ERRORE UMANO




IL CYBERSPACE, OVVERO INTERNET Una nuova realtà o semplicemente un

nuovo paradigma?


CRESCITA DI INTERNET (1981-2000)

Fo

nte

: In

tern

et S

ocie

ty


ESPANSIONE DI INTERNET (08/1992)

Fo

nte

: In

tern

et S

ocie

ty





ESPANSIONE DI INTERNET (06/1997)

Fo

nte

: In

tern

et S

ocie

ty


DIFFUSIONE VERTIGINOSA

Da 0 a 50 milioni di utenti in quattro anni

considerando il 1992 come “anno zero” di Internet

Per avere 50 milioni di utenti ci sono voluti:

~50 anni per il telefono

38 anni per la radio

13 anni per la televisione

4 anni per Internet


CRESCITA DEGLI HOST 2000-2010

Fo

nte

: In

tern

et S

yste

ms C

on

so

rtiu

m





CRESCITA DEL TRAFFICO, 1990-2020

Anno TB/giorno F1990

1990 0,03 1

1995 6 2,0 · 102

2000 2.800 9,3 · 104

2005 81.000 2,7 · 106

2010 672.000 2,2 · 107

2015 2.680.000 8,9 · 107

2020 5.000.000 1,7 · 108 1,00E-02

1,00E-01

1,00E+00

1,00E+01

1,00E+02

1,00E+03

1,00E+04

1,00E+05

1,00E+06

1,00E+07

1990

1995

2000

2005

2010

2015

2020

TB/day

Fo

nte

: C

isco

VN

I, 2

011

, 2

01

5


UN MINUTO SU INTERNET (OGGI…)


AUMENTO DELLA SUPERFICIE D’ATTACCO

Fonte

: M

cA

fee L

abs, 2015





BIG DATA

Byte: un chicco di riso

Kilobyte (103 byte): una tazza di riso

Megabyte (106 byte): otto sacchi di riso

Gigabyte (109 byte): tre TIR di riso

Terabyte (1012 byte): due navi portacontainer di riso

Petabyte (1015 byte): copre la superficie di Manhattan

Exabyte (1018 byte): copre gli stati della west coast

Zettabyte (1021 byte): riempie l’oceano Pacifico

Yottabyte (1024 byte): il volume della Terra in riso

L’IDENTITÀ DIGITALE Chi è chi al tempo della Rete


COS’È L’IDENTITÀ?

In termini concettuali:

l’insieme di tutte le caratteristiche del singolo individuo, e quindi delle caratteristiche fisiche tangibili, etiche, comportamentali, morali e spirituali; nonché della proiezione del singolo nella vita sociale, ossia della percezione che ciascuno dà di sé stesso all’esterno

In termini giuridici:

l’insieme delle caratteristiche della persona che dà luogo ad una combinazione irripetibile: quando si parla di identità, dal punto di vista giuridico si intende parlare di individui unici e dalle caratteristiche irripetibili

In termini tecnici:

l’insieme delle informazioni e delle risorse concesse da un sistema informatico ad un suo utilizzatore





L’IDENTITÀ COME FATTO TECNICO

Problema dell’identità in termini ingegneristici:

come faccio ad essere sicuro che un soggetto sia davvero colui che dice di essere?

Soluzione generale: l’identità di un soggetto può essere oggettivamente accertata verificando:

qualcosa che sa:

• frase convenzionale, parola d’ordine, PIN, …

qualcosa che ha:

• lettera credenziale, documento d’identità, smart card, …

qualcosa che è:

• tratti somatici, segni particolari, impronte digitali, …

O meglio ancora due o tre fattori assieme!

cosiddetta autenticazione forte


PICCOLA PARENTESI LESSICALE

In informatica il termine «autenticazione» assume un significato diverso da quello che ha in ambito giuridico:

il che crea da sempre infinite ambiguità e incomprensioni!

In termini giuridici:

la «autenticazione» la fa il notaio, e si riferisce solo a documenti e non a persone!

il riconoscimento dell’identità personale, ad esempio da parte di un pubblico ufficiale, si chiama «identificazione»

In informatica con «autenticazione» si intende invece generalmente il complesso di due operazioni differenti:

identificazione: accertare l’identità di un soggetto

autorizzazione: accertare il diritto di un soggetto identificato ad usufruire di servizi o ad accedere a risorse secondo determinate modalità e con eventuali limiti


IL CONCETTO DI IDENTITÀ DIGITALE

Nel moderno mondo in Rete è indispensabile poter identificare, da remoto e in

modo automatico, i soggetti che richiedono l’accesso a servizi telematici

Facile a farsi se l’utente è noto in anticipo al sistema:

di norma ciò implica che ogni soggetto possieda le opportune credenziali di accesso

rilasciategli da ciascun servizio

ognuna di queste credenziali costituisce l’«identità digitale» del soggetto rispetto a ciascuno

dei servizi di cui vuole usufruire

Oggi è invece sempre più spesso necessario che un soggetto possa dimostrare la

propria identità a servizi o sistemi che non lo conoscono a priori

In casi più rari il soggetto deve anche poter dimostrare il suo effettivo diritto ad

usufruire di determinati servizi





UNO, NESSUNO E CENTOMILA…

Nella vita quotidiana a fronte di una sola identità personale esercitiamo una grande varietà di ruoli

Ciascun soggetto nella vita reale è sempre lo stesso, ma ciò che può fare e il valore di ciò che fa dipendono dal ruolo che di volta in volta egli ricopre:

lavoratore

genitore

proprietario di un immobile, di un’auto, …

iscritto ad una società sportiva, associazione culturale, …

contribuente

assistito dal servizio sanitario nazionale

utente di un social network

…


SCHIZOFRENIA DIGITALE

Purtroppo l’identità digitale molto spesso non è in grado di tenere conto della differenza tra l’identità di un soggetto («chi sono») e i suoi attributi nell’ambito in cui essa si manifesta («cosa posso fare, quando e come»)

L’identità digitale di solito:

è univocamente associata ad un solo specifico ambito di applicazione ed ai suoi particolari ruoli

in tale ambito essa rappresenta contemporaneamente ciò che tale soggetto è e ciò che esso può fare

è congelata in un eterno presente privo di storia pregressa

Ognuno di noi è quindi generalmente condannato a possedere più identità digitali, una per ciascuno degli ambiti nei quali di volta in volta operiamo

UMANI E ALTRE INTELLIGENZE Breve inciso: come distinguere le persone

dagli agenti software





CERTEZZA DELL’IDENTITÀ IN RETE?


OLTRE L’IDENTITÀ: LA NATURA DELL’AGENTE

Sempre più frequentemente si ha la necessità di poter distinguere

automaticamente tra ampie classi o tipologie omogenee di utenti

Ad esempio, per richieste di legge o di altro tipo, occorre talvolta poter

distinguere:

minorenni da maggiorenni

maschi da femmine

umani da automi

Questo non sempre è possibile in modo totalmente automatico, ma la ricerca

su come fare è aperta (e la sfida tecnologica è appassionante!)


UNA SOLUZIONE: I CAPTCHA

Per discriminare automaticamente tra utenti umani e non-umani sono stati sviluppati test specifici:

CAPTCHA: Completely Automated Public Turing-test to tell Computers and Humans Apart (2000, Carnegie-Mellon e IBM)

invenzione: Altavista (Andrei Broder et al.), 1997

Tali test consistono nel proporre all’utente la risoluzione di compiti che risultano “facili” per un soggetto umano ma “difficili” per un soggetto non-umano

Tipicamente si tratta di prove legate a (semplici) attività della sfera cognitiva:

dimostrare di saper leggere un testo distorto

dimostrare di saper comprendere un testo parlato





UN ESEMPIO NOTO A TUTTI


ALCUNI CAPTCHA DI USO COMUNE


PROBLEMI DEI CAPTCHA

I CAPTCHA sono una tecnica interessante ma non sono sempre applicabili con successo

Sono soggetti a due principali classi di problemi:

non risultano necessariamente facili per tutti gli umani:

• ipovedenti, daltonici

• iposenzienti

• dislessici, disgrafici, …

sono state sviluppate tecniche per imbrogliarli

In generale, inoltre, il progredire delle tecniche di intelligenza artificiale rende sempre più possibile alle macchine risolverli “onestamente”

si sta innescando una perversa “corsa agli armamenti” tra inventori e solutori di CAPTCHA…





ALCUNI CAPTCHA A PROVA DI IA!

MINACCE ALL’IDENTITÀ DIGITALE IN RETE Nel cyberspazio nessuno può sentirti urlare…


SICUREZZA DELL’IDENTITÀ DIGITALE?

Il principale crimine del cyberspace è e sempre

più sarà il furto d’identità

Gli ultimi anni vedono un crescendo di data breach:

JP Morgan Chase: 83 milioni di record personali di

clienti

Home Depot: 56 milioni di numeri di carte di credito,

53 milioni di indirizzi di e-mail

Yahoo: 1,5 miliardi di account

Uber: 57 milioni di acount

…

…per non parlare delle campagne di phishing!





NUOVE FORME DI GARANZIA

Per fornire le necessarie garanzie alle identità digitali si usano tecniche di

validazione (firma digitale) ottenute come effetto collaterale delle moderne

tecniche di protezione delle informazioni

La crittografia a chiave pubblica, nata per proteggere le comunicazioni di

massa, consente anche di attribuire certezze ad un documento digitale, ed in

particolare ad un documento di identità (credenziale)

La mutua certezza dell’identità digitale è fondamentale soprattutto nelle

interazioni «machine-to-machine» in cui un client accede ad un server

remoto per ottenere servizi “trusted” (lettura di email, transazioni finanziarie,

servizi di e-Health e di e-governement, …)


L’ANELLO DEBOLE DEL SISTEMA

Affinché tutto funzioni occorre stabilire:

chi e come gestisce l’elenco delle chiavi pubbliche

chi e come garantisce la validità dell’elenco

chi e come garantisce l’effettiva corrispondenza fra identità dei soggetti e relative chiavi pubbliche

Queste certezze fondamentali vengono fornite da un sistema cosiddetto di “certificazione” il quale fornisce adeguate garanzie sulla reale identità degli utenti e sulla validità ed integrità delle rispettive chiavi pubbliche

La certificazione si attua mediante:

entità garanti autorità di certificazione

strumenti tecnologici certificati digitali


CATENA DI FIDUCIA SECONDO X.509

A B C D E F G H I

Root

CA

CA1 CA2 CA3




CASO DI STUDIO: DIGINOTAR Colpire chirurgicamente una CA mettendo in

ginocchio un intero Paese


INFRASTRUTTURA DI TRUST PER L’E-GOV

DigiNotar è (anzi, era…) una CA olandese:

fondata nel 1997 dal notaio Dick Batenburg e dal Notariato olandese, per fornire ai notai servizi di TTP

acquistata nel 2010 da VASCO Data Security Int., posta in liquidazione volontaria il 20/09/2011 a seguito della scoperta di un’ampia compromissione dei propri sistemi

DigiNotar forniva al Governo olandese certificati per l’infrastruttura di firma digitale del programma nazionale di e-government (PKIoverheid)

In particolare era la Root CA per:

"Staat der Nederlanden"

DigiD, piattaforma centralizzata di autenticazione e-government

Rijksdienst voor het Wegverkeer (registro automobilistico)


CRONISTORIA DELL’INCIDENTE (1/2)

27/08/2011: uno studente iraniano segnala su un forum di Google che il suo browser Chrome gli indica come non valido il certificato SSL usato dal server di Gmail

appare presto chiaro che si tratta di un certificato fraudolento emesso da DigiNotar il 10 luglio in seguito ad un’intrusione

29/08/2011: su pressioni del GOVCERT-NL, DigiNotar revoca quel certificato

nei giorni successivi tuttavia si scoprono “in the wild” molti altri certificati analoghi emessi fraudolentemente da DigiNotar

30/08/2011: DigiNotar rivela di essersi accorta sin dal 19 luglio di un’intrusione, ma afferma che l’infrastruttura PKIoverheid non è stata compromessa

commissiona però alla società Fox-IT un audit approfondito su tutti i propri sistemi





CRONISTORIA DELL’INCIDENTE (2/2)

02/09/2011: il Governo olandese ritira la fiducia a DigiNotar ma non revoca i

certificati di PKIoverheid

afferma però di non poter garantire l’affidabilità della piattaforma di e-government ed invita

formalmente i cittadini a non usarla

03/09/2011: il Governo assume il controllo diretto delle operazioni di DigiNotar,

revoca i certificati di DigiD e PKIoverheid e li rimpiazza con certificati di un’altra CA

05/09/2011: il Governo pubblica il report preliminare di Fox-IT il quale dimostra

come la compromissione dei sistemi della CA sia molto più ampia del previsto

Fra il 2 e il 9 settembre 2011 Windows e tutti i browser vengono aggiornati

eliminando DigiNotar dalla lista delle Root CA riconosciute


ANALISI DELL’INCIDENTE (1/2)

Non è stato possibile determinare il numero esatto di certificati emessi fraudolentemente:

vi sono indicazioni che siano certamente più di 531

DigiNotar non ha potuto garantire che tutti siano stati effettivamente revocati

soltanto Google ne ha posti in blacklist ben 247

I certificati erano intestati ad oltre 300 domini tra cui:

aziende e provider: Aol, Android, Google, Microsoft, Mozilla, Skype, Twitter, Yahoo, Facebook, Torproject

servizi: Windows Update e Wordpress

altre CA: Digicert, GlobalSign, Thawte, Comodo, VeriSign, CyberTrust

enti governativi: Mossad, Cia, MI5


ANALISI DELL’INCIDENTE (2/2)

Il report di Fox-IT dipinge uno scenario drammatico di incuria ed inadeguatezza nella gestione della CA

Tra le principali carenze riscontrate:

assenza di separazione tra le componenti della CA

tutti i server, benché posti in locali anti-tempest, erano accessibili tramite la (unica) LAN di management

tutti i server erano nello stesso dominio Windows ed usavano un’unica coppia userid/password

• la password era assai debole e quindi facilmente craccabile

mancava un sistema di raccolta ed analisi dei log

sui server non erano installati antivirus/antimalware

sui server critici erano presenti molteplici malware

i prodotti di front-end sui server Web non erano aggiornati alle ultime release né “patchati”





…MA PERCHÉ?

L’analisi delle richieste di uso dei certificati (log del server OCSP) ha

mostrato che l’area del loro utilizzo era concentrata soprattutto in Iran:

fra il 4 ed il 29 agosto il certificato intestato a Google è stato acceduto da oltre 300.000

IP diversi, di cui oltre il 99% di provenienza iraniana

Ciò porta a ritenere che si sia trattata di una azione governativa finalizzata a

costruire un gigantesco sistema «man-in-the-middle» per l’intercettazione

sistematica della posta scambiata su Gmail:

è verosimile che in seguito all’attacco siano state compromesse oltre 300.000 caselle di

posta di Gmail appartenenti a cittadini iraniani

DALLE CERTIFICATION AUTHORITY AGLI IDENTITY

PROVIDER I modelli di identità digitale prossimi venturi:

eIDAS, SPID e le identità federate


VERSO UNA IDENTITÀ “PORTABILE”

È già una pratica diffusa sul Web quella di autenticare indirettamente utenti non noti, chiedendo informazioni a qualcuno che li conosce e fidandosi della sua risposta

Questo è il concetto di identità federata: accetto un utente che io non conosco se mi fido di qualcuno che lo conosce e che mi garantisce della sua identità

Nasce così la nuova figura dell’identity provider





IL MODELLO DELL’IDENTITÀ FEDERATA


IDENTITÀ FEDERATA EUROPEA: EIDAS

Regolamento (UE) 910/2014: “Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno”

Introduce la figura dei «prestatori di servizi fiduciari» (in inglese: «trust service provider») come entità garanti delle informazioni di identità delle persone fisiche

in pratica una versione “light” delle Certification Authority

I TSP non emettono certificati digitali ma erogano, su richiesta, affermazioni affidabili in merito all’identità o ad altri attributi dei soggetti da loro conosciuti

Il regolamento impone loro rigide misure di sicurezza, verificate dal mercato (certificazione ISO 27001), e l’obbligo di denuncia delle violazioni subite (DBN, data breach notification)

MOTORI DI RICERCA E INFERENZA NEI DATABASE Una combinazione micidiale





INFERENZA NEI DATABASE (1/2)

Un tipico database “protetto”:

Lo STIPENDIO è legato al

LIVELLO

Per motivi di privacy, nessuna

query può accedere ai campi

COGNOME e STIPENDIO

contemporaneamente

COGNOME LIVELLO STIPENDIO ANNI

Fantozzi Impiegato 34.000 5

Filini Impiegato 34.000 3

Barambani Direttore 125.000 3

Fracchia Impiegato 34.000 3

Calboni Funzionario 42.000 6

Silvani Segretaria 28.000 8


INFERENZA NEI DATABASE (2/2)

Query 1: elenca LIVELLO e

STIPENDIO di tutto il personale

con 3 ANNI di anzianità

LIVELLO STIPENDIO

Impiegato 34.000

Direttore 125.000

COGNOME LIVELLO

Fantozzi Impiegato

Query 2: elenca COGNOME e

LIVELLO di tutto il personale con

5 ANNI di anzianità

Inferenza:

FantozziImpiegato34.000


ESPERIMENTO SWEENEY (2001) (1/2)

Dataset 1: record sanitari resi

disponibili agli istituti di ricerca dalla

“US National Association of the

Health Data Organizations”, ritenuti

perfettamente anonimi

Dataset 2: liste elettorali della contea

di Cambridge, Massachusetts (54.805

elettori), liberamente acquistabili

Campi in comune: data di nascita,

sesso, ZIP code

Medical data

Ethnicity

Visit date

Diagnosis

Medication

Total charge

ZIP

Birth date

Sex

Name

Address

Date registered

Party affiliation

Date last voted

87% unique US-wide with ZIP, date and sex!

Voter list





ESPERIMENTO SWEENEY (2001) (2/2)

Latanya Sweeney (Harward) ha utilizzato i due dataset anonimi

precedentemente descritti, correlandone i dati sulla base di quelli in comune

Per fare ciò ha preso in esame pochi dati personali pubblicamente noti

relativi al governatore dello Stato del Massachusetts:

solo sei persone avevano la sua stessa data di nascita

solo tre di questi erano maschi

solo uno di questi risiedeva nella stessa area (ZIP code)

I dati clinici del governatore nel dataset sanitario perdevano così il loro

(presunto) anonimato, attingendo a fonti legalmente accessibili!


RE-IDENTIFICATION IN WA STATE (2013)

Step 1: accoppiamento tra notizie locali e dati pubblici per identificare i pazienti ospedalizzati nel 2011 nello stato di Washington

Step 2: accoppiamento tra i dati dei pazienti ospedalizzati e i database sanitari anonimi (costo 50$) per identificare i singoli record contenenti tutti i dettagli (anche economici) del trattamento e cura

L’identificazione si è verificata corretta per 35 degli 81 casi identificati (43%)

Public Records News Story

Phone numbers

Addresses

ZIP

Age

Resi-

dence

Name

Sex

Hospital

Admit month

Diagnosis

News+Public Hospital Data

Residence

Name

Sex

Age

Hosp.

Month

ZIP

Race

Ethnicity

Procedures

Physicians

Costs

Payment


POTENZA DEI MOTORI DI RICERCA…

Fo

nte

: R

ep

ub

blic

a.it, 1

3 m

arz

o 2

00

6




UN MONDO DI DATI E METADATI NASCOSTI Attenzione alle informazioni che divulghiamo

inconsapevolmente coi nostri documenti


DATI E METADATI

Metadato: un dato che descrive un altro dato:

in passato i file contenevano solo dati, ossia contenuto informativo “puro”; i (pochi)

metadati appartenevano al sistema operativo che li usava per gestire i file (posizione,

dimensione, date di modifica, ecc.)

oggi si tende a organizzare i documenti informatici in strutture complesse, che accanto

ai dati conservano molti metadati contenenti informazioni supplementari quali: autore,

revisione, statistiche, informazioni tecniche, storico delle modifiche, informazioni di

georeferenziazione, ecc. ecc.

Molti metadati sono gestibili dall’utente, ma altri sono generati

automaticamente e a volte “nascosti”


ESEMPIO: I DATI EXIF DELLE IMMAGINI





COSA C’È IN UN DOCUMENTO WORD?

Un documento Word contiene una quantità enorme di metadati relativi non solo al documento in sé ma anche all’autore, ai revisori, e perfino agli ambienti operativi nei quali il documento è stato elaborato:

ad esempio: nomi dei computer, nomi delle directory locali, nomi e posizioni delle stampanti, indirizzo della scheda di rete!

La funzione «track changes» mantiene inoltre lo stato di tutte le precedenti revisioni del documento

Questi metadati:

non sempre sono controllabili e/o eliminabili dall’utente

costituiscono un pericoloso veicolo di divulgazione involontaria di informazioni riservate


CONTRO LA STUPIDITÀ… (1/2)


CONTRO LA STUPIDITÀ… (2/2)




LA SITUAZIONE IN ITALIA L’architettura per la protezione dello spazio

cibernetico nazionale


LA STRATEGIA CYBER ITALIANA


IL QUADRO STRATEGICO NAZIONALE (QSN)

Articolato su sei indirizzi strategici:

1. Miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali

interessati

2. Potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli

attori di rilevanza strategica per il sistema-Paese

3. Incentivazione della cooperazione tra istituzioni ed imprese nazionali

4. Promozione e diffusione della cultura della sicurezza cibernetica

5. Rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali

on-line

6. Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica





IL PIANO NAZIONALE (PN) 2013

Articolato su undici indirizzi operativi:

1. Potenziamento delle capacità di intelligence, di Polizia e di difesa civile e militare

2. Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati

3. Promozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento

4. Cooperazione internazionale ed esercitazioni

5. Operatività del CERT nazionale, del CERT-PA e dei CERT dicasteriali

6. Interventi legislativi e compliance con obblighi internazionali

7. Compliance a standard e protocolli di sicurezza

8. Supporto allo sviluppo industriale e tecnologico

9. Comunicazione strategica

10. Risorse

11. Implementazione di un sistema di information risk management nazionale


NSC Strategia e

coordinamento

Prevenzione

e risposta

Monitoraggio

e indagine

PROTEZIONE DELLO SPAZIO CIBERNETICO (2013)


IL PIANO NAZIONALE (PN) 2017

Articolato su undici indirizzi operativi:

1. Potenziamento delle capacità di intelligence, di Polizia e di difesa civile e militare

2. Potenziamento dell´organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati

3. Promozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento

4. Cooperazione internazionale ed esercitazioni

5. Operatività delle strutture nazionali di incident prevention, response e remediation

6. Interventi legislativi e compliance con obblighi internazionali

7. Compliance a standard e protocolli di sicurezza

8. Supporto allo sviluppo industriale e tecnologico

9. Comunicazione strategica e operativa

10. Risorse

11. Implementazione di un sistema di cyber risk management nazionale





ARCHITETTURA NAZIONALE CYBER (2017)

IL RUOLO DI AGID La cybersecurity per la PA


Regole tecniche e linee guida

Protezione del patrimonio informativo

Razionalizzazione dei CED

Servizi erogati dalle Pubbliche Amministrazioni

Formazione

CERT-PA

IL RUOLO DI AGID NEL QSN





I RAZIONALI: LA SITUAZIONE NELLA PA

• Sicurezza basata sulle tecnologie

• Mancanza di strutture organizzative in

grado di gestire gli eventi e rispondere agli

attacchi

• Superficie d’attacco eccessiva

• Mancanza di una baseline comune di

riferimento


UNA PUBBLICA AMMINISTRAZIONE VULNERABILE


monitoraggio

• norme

• regole tecniche e

misure minime

• risk assessment

• linee guida

CS - KDB

CE

RT

PA

early warning

risposta ripristino

verifiche

Elementi strategici

• Sicurezza applicativa by design

• Analisi del rischio

• Linee guida

• Profili di sicurezza

• Servizi essenziali gestiti come

«infrastrutture critiche»

• Riduzione data center

• Misure minime di sicurezza

• Regole tecniche

LA CYBERSECURITY NEL MODELLO ICT PER LA PA




IL CERT-PA Struttura di prevenzione e risposta

agli incidenti nella PA


NSC

CERT-PA

MINISTERI 17

ENTI PUBBLICI

4

REGIONI 20

CERT NAZIONALE

CERT DIFESA

ENISA

CERT DICASTERO

Constituency CERT-PA

CERT ULS/SOC

CNAIPIC CERT GARR

CERT LOCALE

NCIRC

CITTÀ METROPOLITANE

8

AGENZIE 3

Altre strutture

Monitoraggio Allertamento

Supporto Coordinamento

Operazione

Segnalazione

Community CERT-PA

IL RUOLO DEL CERT-PA (PRE-2017)


IL CERT-PA IN BREVE

Creato nel 2013 (dalle ceneri del precedente CERT-SPC)

A regime dal 2015

Opera all’interno dell’Agenzia per l’Italia Digitale

Constituency iniziale: Pubbliche Amministrazioni Centrali, Regioni, Città

Metropolitane (~70 Amministrazioni)

Constituency de facto: ~22.000 Amministrazioni (modalità best effort)

Monitoraggio dell’intero spazio di domini *.gov.it

Fornisce servizi proattivi e reattivi alle Amministrazioni accreditate

Fornisce supporto agli incidenti laddove richiesto





• Registrato nell’Indice degli CSIRT europei mantenuto da ENISA

• Accreditato da Trusted Introducer

• Riconosciuto dal CERT/CC (CMU)

ACCREDITAMENTI INTERNAZIONALI


Reactive Services Proactive Services Security Quality Management

Services

• Alerts and Warnings

• Incident Handling • Incident analysis • Incident response on site • Incident response support • Incident response coordination

• Vulnerability Handling

• Vulnerability analysis • Vulnerability response • Vulnerability response coordination

• Artifact Handling

• Artifact analysis • Artifact response • Artifact response coordination

• Announcements

• Technology Watch

• Security Audits or Assessments

• Configuration and Maintenance of Security Tools, Applications, and Infrastructures

• Development of Security Tools

• Intrusion Detection Services

• Security-Related Information Dissemination

• Risk Analysis

• Business Continuity and Disaster Recovery Planning

• Security Consulting

• Awareness Building

• Education/Training

• Product Evaluation or Certification

SERVIZI DEL CERT-PA


THREAT INTELLIGENCE AND ANALYSIS

Analisi svolte autonomamente su fonti qualificate aperte e semiaperte (nessuna informazione acquisita da fonti commerciali e/o a pagamento):

acquisiti ed elaborati in 20 mesi ~4.500.000 IoC

Attività di verifica, validazione degli IoC, trasformazione in IoC qualificati e loro pubblicazione:

emessi ~21.000 IoC qualificati (~8.800 IP, ~12.000 URL)

analizzati ~7.500 malware

Trasmissione automatizzata ad un primo gruppo sperimentale di soggetti qualificati (~15) mediante piattaforma integrata con i tool del CERT-PA, basata su protocolli standard (STIX-TAXII) e piattaforme open (sviluppo a cura del CERT-PA)





INFOSHARING

Scambio continuo di informazioni «actionable» (ossia: immediatamente

utilizzabili in ambito operativo) su:

minacce e agenti di minaccia

campagne in corso

vulnerabilità

exploit

indicatori di compromissione (IoC)

Le informazioni analizzate provengono sia dalle attività di monitoraggio e

analisi svolte direttamente dal CERT-PA, sia da scambi informativi con

soggetti qualificati della Community


SVILUPPI IN CORSO

Acquisizione di ulteriori risorse (obiettivo: ~30 FTE)

Analisti

Operatori

Sistemisti

Integrazione di un motore semantico ai motori di analisi sviluppati

internamente

Spostamento in una nuova sede (a tendere, fusione col CERT Nazionale per

costituire lo CSIRT Italiano)

Ottenimento della certificazione FIRST

LE MISURE MINIME Uno strumento pratico pensato per

le esigenze della PA





LE MISURE MINIME DI SICUREZZA

Emesse con circolare

18 aprile 2017, n. 2/2017

Gazzetta Ufficiale (SG)

n.103 del 5/5/2017

Adozione obbligatoria

entro il 31/12/2017

Dovere d’ufficio del Dirigente

responsabile IT (art. 17 CAD)

Già anticipate via Web

sin da settembre 2016


OBIETTIVI

Indirizzare l’esigenza delle Amministrazioni fornendo loro, in particolare a quelle

meno preparate, un riferimento operativo direttamente utilizzabile (checklist)

nell’attesa della pubblicazione di documenti di indirizzo di più ampio respiro (linee

guida, norme tecniche)

Stabilire una baseline comune di misure tecniche ed organizzative irrinunciabili

Fornire alle Amministrazioni uno strumento per poter verificare lo stato corrente di

attuazione delle misure di protezione contro le minacce informatiche, e poter

tracciare un percorso di miglioramento

Responsabilizzare le Amministrazioni sulla necessità di migliorare e mantenere

adeguato il proprio livello di protezione cibernetica ponendo il compito (e la relativa

responsabilità) direttamente in capo al dirigente competente


CONSIDERAZIONI ISPIRATRICI

Non reinventare la ruota ma basarsi su esperienze consolidate (SANS 20 /

CSC)

Indirizzare le caratteristiche e le esigenze specifiche delle nostre PP.AA.

Minimizzare gli impatti implementativi (effort, costi)

Requisiti in linea con le più diffuse e consolidate best practice di settore

Armonizzare il quadro a valle del GDPR e della direttiva NIS





LE FAMIGLIE DI CONTROLLI

ABSC 1 (CSC 1): inventario dei dispositivi autorizzati e non autorizzati

ABSC 2 (CSC 2): inventario dei software autorizzati e non autorizzati

ABSC 3 (CSC 3): proteggere le configurazioni di hardware e software sui

dispositivi mobili, laptop, workstation e server

ABSC 4 (CSC 4): valutazione e correzione continua della vulnerabilità

ABSC 5 (CSC 5): uso appropriato dei privilegi di amministratore

ABSC 8 (CSC 8): difese contro i malware

ABSC 10 (CSC 10): copie di sicurezza

ABSC 13 (CSC 13): protezione dei dati


Standard

Avanzato

Minimo È quello al quale ogni pubblica amministrazione,

indipendentemente dalla sua natura e dimensione,

deve necessariamente essere o rendersi conforme.

Può essere assunto come base di riferimento nella

maggior parte dei casi.

Deve essere adottato dalle organizzazioni

maggiormente esposte a rischi (ad esempio per

la criticità delle informazioni trattate o dei servizi

erogati), ma anche visto come obiettivo di

miglioramento da parte di tutte le altre

organizzazioni.

I LIVELLI DI APPLICAZIONE


LE MODALITÀ DI APPLICAZIONE

Il raggiungimento di elevati livelli di sicurezza, quando è molto elevata la

complessità della struttura e l’eterogeneità dei servizi erogati, può essere

eccessivamente oneroso se applicato in modo generalizzato. Pertanto ogni

Amministrazione dovrà avere cura di individuare al suo interno gli eventuali

sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneità di

requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo

omogeneo le misure adatte al raggiungimento degli obiettivi stessi.





ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON

AUTORIZZATI

Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli,

inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso

sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e

non gestiti siano individuati e sia loro impedito l’accesso

Inventario delle risorse

Logging

Autenticazione di rete


ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON

AUTORIZZATI

Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla

rete in modo che sia installato ed eseguito solo software autorizzato, mentre

il software non autorizzato e non gestito sia individuato e ne venga impedita

l’installazione o l’esecuzione

Inventario dei software autorizzati

Whitelist delle applicazioni autorizzate

Individuazione di software non autorizzato

Isolamento delle reti (air-gap)


ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE

E SOFTWARE SUI DISPOSITIVI

Istituire, implementare e gestire attivamente (tracciare, segnalare,

correggere) la configurazione di sicurezza di laptop, server e workstation

utilizzando una gestione della configurazione e una procedura di controllo

delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici

possano sfruttare le vulnerabilità di servizi e configurazioni.

Configurazioni standard

Accesso amministrativo da connessioni protette

Verifica dell’integrità dei file critici

Gestione delle configurazioni





ABSC 4 (CSC 4): VALUTAZIONE E CORREZIONE CONTINUA DELLA

VULNERABILITÀ

Acquisire, valutare e intraprendere continuamente azioni in relazione a

nuove informazioni allo scopo di individuare vulnerabilità, correggere e

minimizzare la finestra di opportunità per gli attacchi informatici.

Verifica delle vulnerabilità

Aggiornamento dei sistemi


ABSC 5 (CSC 5): USO APPROPRIATO DEI PRIVILEGI DI

AMMINISTRATORE

Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze

privilegiate e dei diritti amministrativi.

Limitazione dei privilegi delle utenze amministrative

Inventario delle utenze amministrative

Gestione delle credenziali delle utenze amministrative


ABSC 8 (CSC 8): DIFESE CONTRO I MALWARE

Controllare l’installazione, la diffusione e l’esecuzione di codice maligno in

diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo

dell’automazione per consentire il rapido aggiornamento delle difese, la

raccolta dei dati e le azioni correttive.

Sistemi di protezione (antivirus, firewall, IPS)

Uso dei dispositivi esterni

Controllo dei contenuti Web, email





ABSC 10 (CSC 10): COPIE DI SICUREZZA

Procedure e strumenti necessari per produrre e mantenere copie di

sicurezza delle informazioni critiche, così da consentirne il ripristino in caso

di necessità.

Backup e verifica del restore

Protezione delle copie di backup


ABSC 13 (CSC 13): PROTEZIONE DEI DATI

Processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione dei

dati, mitigarne gli effetti e garantire la riservatezza e l’integrità delle

informazioni rilevanti

Uso della crittografia

Limitazioni sull’uso di dispositivi removibili

Controlli sulle connessioni di rete/Internet


MODALITÀ DI IMPLEMENTAZIONE

Il Modulo di Implementazione

deve essere firmato

digitalmente con marcatura

temporale dal soggetto di cui

all’art. 2 e dal Responsabile

Legale della struttura.

Dopo la sottoscrizione esso

deve essere conservato e, in

caso di incidente informatico,

trasmesso al CERT-PA

insieme con la segnalazione

dell’incidente stesso.





RISORSE ON-LINE

• Sui siti Web di AgID e del

CERT-PA sono disponibili:

• la normativa

• i moduli in formato

elettronico editabile

• Riferimenti:

• www.agid.gov.it

• www.cert-pa.it

www.lapadigitale.it

GRAZIE PER L’ATTENZIONE

www.lapadigitale.it

[email protected]

@CGIUSTOZZI

Lezione III - La sicurezza nell'aministrazione digitale 1 · Byte: un chicco di riso ... UNO,...

Documents

Transcript of Lezione III - La sicurezza nell'aministrazione digitale 1 · Byte: un chicco di riso ... UNO,...