L'organizzazione della sicurezza ICT delle...
Transcript of L'organizzazione della sicurezza ICT delle...
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 1 di 28
Claudio Manganelli Componente del Collegio CNIPA – Presidente del Comitato
tecnico nazionale per la sicurezza ICT nella PA
L'organizzazione della sicurezza ICT delle P.A.
ForumPA, Roma – 8 maggio 2006
Convegno
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 2 di 28
Stato della sicurezza ICT nella PAC*
Protezione fisica dell'infr.
24%
0%
9%67%
Scarso Basso
Medio Alto
Organizzazione per la sicurezza
76%
21%0% 3%
Scarso Basso
Medio Alto
* dati da rilevamento CNIPA su PAC, in corso di elaborazione finale
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 3 di 28
I rischi per lo sviluppo dell’e-government
� Le informazioni acquisite o elaborate possono essere raccolte, memorizzate, analizzate, relazionate ed utilizzate in diversi modi, in posti geograficamente remoti, senza che i soggetti interessati ne siano consci
� Lo sviluppo dell’e-government è accompagnato dal sorgere di nuovi problemi� furto d’identità� spamming� prodotti di pubblicità indesiderati (adware)
� Dopo l’entusiasmo per le nuove tecnologie, si rischia il “rigetto” per l’assenza di garanzie di sicurezza
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 4 di 28
La sicurezza ICT del settore pubblico
� Nella precedente legislatura sono state indicate nella promozione della Società dell’informazione e nella realizzazione di un nuovo modello di Stato digitalizzato due priorità per lo sviluppo economico, sociale e culturale del Paese
� La straordinaria efficienza dei nuovi strumenti da un lato moltiplica le opportunità di sviluppo del Paese, dall’altro incrementa i fattori di rischio ed offre nuove opportunità di uso non etico e criminoso
� La digitalizzazione dello Stato incrementa la dipendenza dai sistemi informativi e quindi l’importanza della loro sicurezza
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 5 di 28
Prime risposte al bisogno di sicurezza ICT
� Direttiva del Presidente del Consiglio dei Ministri del 16 gennaio 2002 sulla “Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali”
� "Linee guida del Governo per lo sviluppo della Società dell'Informazione nella legislatura” (28 maggio 2002)
� Istituzione del Comitato tecnico nazionale sulla sicurezza ICT nelle PA (DM MIC-MIT 24 luglio 2002 e 6 agosto 2004)
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 6 di 28
Le indicazioni del Comitato tecnico
“Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione“ (marzo 2004)
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 7 di 28
Il Codice dell’amministrazione digitale
� Normativa dedicata all’ICT� Il codice ed i provvedimenti ad esso collegati� Decreto legislativo 28 febbraio 2005, n. 42 recante istituzione del sistema pubblico di connettività
� Decreto del Presidente della Repubblica 11 febbraio 2005, recante posta elettronica certificata
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 8 di 28
La sicurezza ICT nel Codice
� Una parte rilevante dei contenuti del Codice è dedicata agli aspetti della sicurezza delle informazioni � Modulistica (art. 58)� Firma digitale (art. 21)� CIE e CNS (art. 67)� Sicurezza dei dati (art. 54)� Pagamenti informatici (art. 5)� Segretezza della corrispondenza telematica (art.52)
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 9 di 28
Iniziative promosse dal Comitato tecnico per la sicurezza ICT delle PA
� Redazione delle linee guida per il Piano Nazionale e del Modello Organizzativo –CNIPA e Ministero delle Comunicazioni
� GovCERT - CNIPA
� Formazione sulla sicurezza ICT delle PA –Ministero delle Comunicazioni
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 10 di 28
Redazione delle linee guida per il Piano Nazionale e il Modello Organizzativo
•Il Piano Nazionale della sicurezza ICT e il Modello Organizzativo della sicurezza ICT per la Pubblica Amministrazione sono stati previsti nelle “Linee guida del Governo per lo sviluppo della Società dell’Informazione nella legislatura”
•Il risultato del Gruppo di lavoro è stato pubblicato nel Quaderno 23 del CNIPA
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 11 di 28
Le indicazioni del Comitato tecnico
“Linee guida per la sicurezza ICT delle pubbliche amministrazioni:
• Piano Nazionale della sicurezza delle ICT per la PA
• Modello organizzativo nazionale di sicurezza ICT per la PA”
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 12 di 28
GovCERT.it - obiettivi
� Assicurare un presidio informativo sugli eventi che possono colpire le infrastrutture, i servizi e gli utenti finali della PA
� Fornire le informazioni ed il supporto idonei a prevenire e gestire gli incidenti e le emergenze relativi alla sicurezza ICT nella PA
� Emanare linee guida di tipo tecnico ed organizzativo per favorire ed uniformare la capacità di risposta agli incidenti e lo sviluppo e la cultura della sicurezza nelle PA
� Collaborare con altri Organi dello Stato che hanno competenza inmateria e favorirne l’interazione
� Raccogliere dati relativi alla sicurezza ICT nella PA per analisi statistiche e individuare eventuali tendenze
� Costituire per la PA un punto di riferimento per la sicurezza informatica
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 13 di 28
GovCERT.it
� Proposto dal “Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni”
� Approvato dal Comitato dei ministri per la società dell’informazione
� Attuato dal CNIPA attraverso la creazione di una � “Unità di gestione degli attacchi informatici“ -maggio 2004
� Finanziamenti resi disponibili - fine 2004� Nucleo operativo attualmente costituito da 4 (+1) risorse
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 14 di 28
I CERT-AM
Estratti della Direttiva 16/1/2002
� “Assume priorità la predisposizione di una procedura per la Gestione degli Incidenti e l’approntamento di uno specifico presidio organizzativo denominato CERT-AM: Computer Emergency Response Team dell’Amministrazione.”
� “Deve essere costituita una squadra di intervento per gli incidenti, in modo da poterli limitare e prevenire in maniera efficace ed economica.”
� “La squadra di intervento deve essere preparata a rilevare ed areagire agli incidenti garantendo:
� Risposta efficace e preparata
� Centralizzazione e non duplicazione degli sforzi� Incremento della consapevolezza degli utenti rispetto le
minacce.”
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 15 di 28
DIRETTIVA 16/1/2002
CERT-AM ED UNITÀ LOCALI NELLE PA
CENTRALI
PA CENTRALE
Il tassello mancante
CERT-AM
CERT-AM
CERT-AM
CERT-AM
CERT-AM
CERT-AM
CERT-AM
CERT-AM
ISTITUZIONE DEL GovCERT.it
CERT GOVERNATIVO DI COORDINAMENTO
CERTCoordinamento
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 16 di 28
CERT governativi in EUROPA
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 17 di 28
GovCERT.it
Tipologia e missione
Constituency* & autorità
Modello organizzativo
CERT interno
CERT coordinamento
PA CentraleNessuna autorità
* Constituency, termine utilizzato per indicare
la comunità di riferimento di un CERT
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 18 di 28
Linee di azione prioritarie
Creazione e stabilizzazione delle relazioni con la Constituency
Progettazione, sviluppo ed erogazione alla Constituency dei servizi di maggiore utilità,
efficacia ed economicità di sistema
Definizione di accordi di collaborazione con altri Organi dello Stato, con istituzioni analoghe anche internazionali, con fornitori di prodotti e serviz i
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 19 di 28
GovCERT.it - Constituency
� Relazioni stabili e già operative con 32 Amministrazioni (su 59)più alcune adesioni a titolo volontaristico
� Per ogni Amministrazione gli interlocutori del GovCERT.it sono stati classificati in:� ISTITUZIONALI
� Consiglieri tecnici per la sicurezza ICT� Comitati Sicurezza ICT� Responsabili sistemi informativi
� DI RIFERIMENTO� Responsabili sicurezza ICT
� OPERATIVI� Gli appartenenti ai gruppi CERT-AM/unità locali o ai security team
� In corso la costituzione di un Gruppo di Lavoro ristretto per ladefinizione di linee guida per i CERT-AM e della disciplina delle relazioni fra questi ed il GovCERT.it; il gruppo fungerà da anche da gruppo di contatto con le Amministrazioni.
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 20 di 28
GovCERT.it - servizi
REATTIVIREATTIVI
Gestione incidenti
Supporto alla risposta
Coordinamento della risposta
Early warning
Gestione codici pericolosi
Coordinamento della risposta
PROATTIVIPROATTIVI QUALITÀ QUALITÀ SICUREZZASICUREZZASensibilizzazioneCooperazione e condivisione informazioni
Osservatorio tecnologico
Valutazioni/verifiche
Definizione di regole e linee guida
Raccolta e analisi informazioni
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 21 di 28
GovCERT.it - relazioni
GovCERT.itFF.OO.
CNIPA eComitato
TF-CSIRT FIRSTEGC
ISP
Altri CSIRT* MEDIA
ORGANISMI EUROPEI
Operatori TLC
Fornitorisoftware
* Computer Security Incident Response Team,
termine generico per indicare i CERT
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 22 di 28
EARLY
WARNING
Piano dei servizi
GEN2005
PROVVISORIO COMPLETO
WEB ASSESSMENT
DIFFUSIONE
INFO
OSSERVATORIO
TECNOLOGICO
RACCOLTA
INFO’S
SUPPORTO
INCIDENTI
LUG2005
OTT2005
DIC2006
GEN2006
PROVVISORIO COMPLETO
WEB
AVANZATO
PROVVISORIO COMPLETO
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 23 di 28
Il servizio di Early Warning
I Bollettini prodotti sono:• in lingua italiana e formati predefiniti;• firmati digitalmente;• creati sulla base di informazioni reperite da fonti private e pubbliche.
Da Gennaio 2005, data di inizio delle attività del GovCERT:• 87 (di cui 21 nel 2006) segnalazioni per nuove vulnerabilità gravi o
importanti• 16 (di cui 3 nel 2006) avvisi di presenza in rete di malware a rischio
medio o elevato• Metriche e profilazione tecnologica delle Amministrazioni (in corso di
definizione)• Ampliamento del dominio tecnologico di osservazione
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 24 di 28
Servizio gestione incidenti
Da gennaio 2005, data di inizio delle attività del GovCERT
• Rilevazione web defacement sui siti web della Constituency, delle Regioni, delle Province di maggiore importanza (Procedure di comunicazione con firma digitale e ove praticabile cifrate)
• 17 (di cui 6 nel 2006) web defacement rilevati e comunicati
• Ricevute alcune segnalazioni di incidenti� una di esse ha richiesto l’analisi del codice virale
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 25 di 28
WG ENISA
� Partecipazione al Gruppo di Lavoro ristretto su “CERT cooperation”, recente iniziativa di ENISA (European Network and Information Security Agency)
� Prima attività: inventario degli CSIRT operanti nei paesi dell’Unione Europea
Il giorno 11 ottobre 2005 si è svolto il primo incontro dei CSIRT Italiani che ha visto la partecipazione di 16 security-team italiani in rappresentanza di quasi tutti i settori della società. L’organizzazione è stata curata in collaborazione con il CERT-IT.
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 26 di 28
Nuovi Servizi 2006
� Nel corso del 2006
� Prossima apertura di un contact center a disposizione della constituency per la segnalazione incidenti
� Rilascio di un rapporto mensile sulle questioni più rilevanti per la sicurezza informatica
� Prossima apertura del sito web www.govcert.it� Attivazione dei servizi a richiesta di scansione delle vulnerabilità dei siti web della constituency
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 27 di 28
Uno sguardo al futuro
� È necessario consolidare le azioni in corso� Vanno rilanciate iniziative di awareness per la PA ma
con lo sguardo rivolto a PMI e utenti finali� Va avviato un programma per la diffusione di buone
pratiche� Va avviato un programma che individui un percorso di
certificazione di ICT security adeguato alla PA� Vanno consolidati i rapporti internazionali� È necessaria l’istituzione di un organismo preposto al
dettare le strategie e il coordinamento delle attività in tema di sicurezza ICT, per evitare sovrapposizioni ed ottenere da ogni azione il massimo dell’efficacia
ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 28 di 28
Gli interventi del convegno
�La certificazione e la formazione sulla sicurezza ICT (L. Franchina –Min. Comunicazioni-ISCOM)�Le linee guida per la sicurezza ICT delle PA (G. Pontevolpe - CNIPA)�La sicurezza delle reti pubbliche (M. Terranova - CNIPA)� Sicurezza e privacy (C. Comella – Garante per la protezione dei dati personali)
�Interventi di fornitori:Rodolfo FalconeCountry Manager Italy Trend Micro Italia S.p.a.Mario NicosiaSecurity & Identity Management Solutions Leader Oracle ItaliaAndrea RigoniSenior Client Service Manager SymantecVincenzo SpagnolettiEnterprise Account Manager American Power Conversion Italia SrlRoberto UgoliniResponsabile Servizi Sicurezza Postecom POSTECOM SPA Gruppo Poste Italiane