Univ. Salerno – 30/11/05 Lo stato dellarte della sicurezza ICT nelle PA - C. Manganelli 1 di 20...

Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli1 di 20

ing. Claudio Manganelli

Componente Collegio CNIPA - Presidente del Comitato tecnico nazionale sulla sicurezza ICT nella PA

Aula Magna dell’Università di Salerno30 novembre 2005

Sviluppi della Tecnologia Informatica e della Sicurezza ICT:sinergie tra Università, Industria e Pubblica Amministrazione

Lo stato dell’arte della sicurezza ICT nelle pubbliche amministrazioni


Alcuni dati sulla sicurezza ICT

Anno 2004

58%19%

8%

4%

3%6% 2%

Sistemi operativi WebNetwork security DatabaseApparati di rete Applicazioni lato clientApplicazioni lato server

263

576

64

126

50

28

12

54

21

15

34

24

9

18

0 100 200 300 400 500 600

1° s

emest

re 2

004

1° s

emest

re 2

005

Sistemi operativi WebNetwork security DatabaseApparati di rete Applicazioni lato clientApplicazioni lato server

Le vulnerabilità informatiche per classi di tecnologia



9941.702

4.496

7.360

10.866

1701711641841410

2000

4000

6000

8000

10000

12000

Gen - Giu2003

Lug - Dic2003

Gen - Giu2004

Lug - Dic2004

Gen - Giu2005

Totale Virus e Worm Famiglie virali

Malware: virus e worm(fonte Symantec)



Andamento dei fenomeni di attacco (virus e worm)

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1999 2000 2001 2002 2003 2004

macro boot worm file

Dal 2002 non sono piùprodotti macro virus,

virus di boot, e per file

I tipi (famiglie) di viruscircolanti in Italia

sono network worm

4238

29

52

49

50

28

20

40

60

1998 1999 2000 2001 2002 2003 2400

Fonte: SECURITYNET® -Servizio Antivirus e Prevenzione Computer Crime- OASI SpA



Phishing

Il numero di aziende colpite da questo tipo di attacco è in aumentato

Fonte:

Un sito specializzato ha censito – ad agosto 2004 – 1.474 casi che hanno interessato 39 servizi bancari.

400 casi fino a marzo 2004; 1.100 casi fino ad aprile 2004; 2.626 a febbraio 2005.

http://antiphishing.org/APWG_Phishing_Activity_Report_Feb05.pdf



Dati sugli interventi

0%

20%

40%

60%

80%

100%

meno di 1 h da 1h a 8h oltre 8h

Tempo necessario per il ripristino del funzionamento

Server Workstation

57% 43%

0%

20%

40%

60%

80%

100%

solo personaleinterno

personale interno edesterno

Chi ha risolto gli incidenti

ApprofondimentiSecurityNet

su alcune aziende


I rischi per lo sviluppo dell’e-government

Le informazioni acquisite o elaborate possono essere raccolte, memorizzate, analizzate, relazionate ed utilizzate in diversi modi, in posti geograficamente remoti, senza che i soggetti interessati ne siano consci

Lo sviluppo dell’e-government è accompagnato dal sorgere di nuovi problemi furto d’identità spamming prodotti di pubblicità indesiderati (adware)

Dopo l’entusiasmo per le nuove tecnologie, si rischia il “rigetto” per l’assenza di garanzie di sicurezza


La sicurezza ICT del settore pubblico

Il Governo ha indicato nella promozione della Società dell’informazione e nella realizzazione di un nuovo modello di Stato digitalizzato due priorità per lo sviluppo economico, sociale e culturale del Paese

La straordinaria efficienza dei nuovi strumenti da un lato moltiplica le opportunità di sviluppo del Paese, dall’altro incrementa i fattori di rischio ed offre nuove opportunità di uso non etico e criminoso

La digitalizzazione dello Stato incrementa la dipendenza dai sistemi informativi e quindi l’importanza della loro sicurezza


Prime risposte al bisogno di sicurezza ICT

Direttiva del Presidente del Consiglio dei Ministri del 16 gennaio 2002 sulla “Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali”

"Linee guida del Governo per lo sviluppo della Società dell'Informazione nella legislatura” (28 maggio 2002)

Istituzione del Comitato tecnico nazionale sulla sicurezza ICT nelle PA (DM MIC-MIT 24 luglio 2002 e 6 agosto 2004)


Le indicazioni del Comitato tecnico

“Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione“ (marzo 2004)


Il Codice dell’amministrazione digitale

Normativa dedicata all’ICT Il codice ed i provvedimenti ad esso collegati

Decreto legislativo 28 febbraio 2005, n. 42 recante istituzione del sistema pubblico di connettività

Decreto del Presidente della Repubblica 11 febbraio 2005, recante posta elettronica certificata


La sicurezza ICT nel Codice

Una parte rilevante dei contenuti del Codice è dedicata agli aspetti della sicurezza delle informazioni Modulistica (art. 58) Firma digitale (art. 21) CIE e CNS (art. 67) Sicurezza dei dati (art. 54) Pagamenti informatici (art. 5) Segretezza della corrispondenza telematica

(art.52)


Iniziative del CNIPA per la sicurezza ICT delle PA

GovCERT

Gruppo di lavoro per redazione del Piano Nazionale e del Modello Organizzativo

Continuità Operativa

Sistemi di autenticazione e riconoscimento: biometria e RFID


Il GovCERT - obiettivi

• Assicurare un presidio informativo sugli eventi che possono colpire le infrastrutture, i servizi e gli utenti della PA, fornendo dati e informazioni al personale tecnico delle PA di riferimento.

• Emanare linee guida di tipo tecnico ed organizzativo per favorire ed uniformare la capacità di risposta agli incidenti e lo sviluppo della cultura della sicurezza nelle PA.

• Collaborare con altri Organi dello Stato che hanno competenza in materia per favorirne l’interazione.

• Costituire per la PA un punto di riferimento per la sicurezza informatica e la gestione degli incidenti.


Servizio di Early WarningBollettini prodotti in lingua italiana e firmati digitalmente.

Da Gennaio 2005 61 segnalazioni per nuove vulnerabilità gravi o importanti 10 avvisi di presenza in rete di malware a rischio medio o elevato

Supporto alla Gestione degli Incidenti

Da Gennaio 2005 19 web defacement rilevati e comunicati Ricevute segnalazioni di incidenti una di esse ha richiesto l’analisi del codice virale

Il GovCERT – le attività


Gruppo di lavoro per redazione del Piano Nazionale e del Modello Organizzativo

•Il Piano Nazionale della sicurezza ICT e il Modello Organizzativo della sicurezza ICT per la Pubblica Amministrazione sono stati previsti nelle “Linee guida del Governo per lo sviluppo della Società dell’Informazione nella legislatura”

•Il Gruppo di lavoro ha da poco terminato le sue attività e presenterà i risultati al Comitato


Continuità Operativa

istituzione di un centro di competenza per il supporto alle iniziative per il disaster recovery e la business continuity.a questo centro di competenza fanno riferimento le diverse iniziative di volta in volta promosse:

•il progetto Centro Unico di Backup degli istituti di previdenza•il gruppo di lavoro per le linee guida per la Business Continuity nella PA



•Negli ultimi anni si è manifestato un crescente interesse da parte di amministrazioni pubbliche per l’impiego delle tecnologie biometriche in ambiti “civili”

•A partire dal 2003 il CNIPA ha avviato le attività sull’argomento con la costituzione di un centro di competenza sulla biometria e di un gruppo di lavoro per la redazione di linee guida sulle tecnologie biometriche.



•Fra gli obiettivi del centro di competenza sulla biometria:•supporto diretto ai progetti della PA e la condivisione di best practice•monitoraggio del mercato e della normativa •indagini e attività di laboratorio interne ed in collaborazione con laboratori esterni (Ministero dell’Interno e Università di Bologna)

•Sono stati inoltre prodotti due documenti:•Linee guida per l’impiego delle tecnologie biometriche nella PA (2004) •Linee guida per l’impiego delle tecnologie biometriche nella PA - Indicazioni operative (2005)

•E’ stato tenuto il convegno Cnipa “La biometria entra nell’e-government. Roma, 23.11.04”



•Nel gennaio 2005 il Cnipa ha costituito un Gruppo di studio sull’impiego degli RFID con l’obiettivo di individuare e analizzare le applicazioni potenzialmente d’interesse per la PA.

•A seguito delle indagini effettuate anche attraverso audizioni con Amministrazioni Pubbliche, operatori di settore e associazioni di categoria il Gruppo ha individuato le seguenti aree di intervento:

•approfondimento delle tecnologia dell’RFID e delle applicazioni connesse•costituzione di un laboratorio di sperimentazione e accordi con Centri di Ricerca•individuazione di progetti pilota

Univ. Salerno – 30/11/05 Lo stato dellarte della sicurezza ICT nelle PA - C. Manganelli 1 di 20...

Documents

Transcript of Univ. Salerno – 30/11/05 Lo stato dellarte della sicurezza ICT nelle PA - C. Manganelli 1 di 20...