lezione iii - la sicurezza nell'aministrazione digitale 1 · byte: un chicco di riso ... uno,...
Post on 25-Feb-2019
216 Views
Preview:
TRANSCRIPT
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 1
Master Breve
Il responsabile per la transizione al digitale Responsabile scientifico
Ernesto Belisario
Cagliari, 2018
27-28 settembre
4-5 ottobre
11-12 ottobre
Organizzazione
CAD
Servizi in rete
Dematerializzazione Piano
Triennale
Sicurezza
Privacy
COME GARANTIRE LA SICUREZZA
NELL'AMMINISTRAZIONE DIGITALE
Lezione III – 4 ottobre
www.lapadigitale.it
Docente
Corrado Giustozzi
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
PREMESSA: CHI SONO
membro del Permanent Stakeholders’ Group di ENISA
(2010-13, 2013-15, 2015-17, 2017-20)
«esperto di sicurezza cibernetica» presso l’Agenzia
per l’Italia Digitale per lo sviluppo del CERT-PA
componente del Consiglio Direttivo di Clusit
membro del consiglio didattico-scientifico del Master
di II livello in «Sicurezza», Sapienza Università di Roma
docente nel master di II livello in «Homeland Security»,
Università Campus Biomedico di Roma
consulente tecnico del ROS, lecturer all’Istituto Superiore di
Tecniche Investigative dei Carabinieri
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 2
LA SICUREZZA DELLE INFORMAZIONI Concetti di base
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IL BENE SUPREMO DELLA SOCIETÀ
La nostra è la “società dell’informazione”
L’informazione “tradizionale” è:
materiale e coincidente col suo supporto fisico
facilmente proteggibile con mezzi fisici
L’informazione “moderna” è:
immateriale e svincolata dal suo supporto fisico
difficilmente proteggibile con metodi tradizionali
L’informazione digitale può facilmente essere:
intercettata, copiata, trasportata, spostata, diffusa
modificata, contraffatta, falsificata, alterata
distrutta
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IL VALORE DELLE INFORMAZIONI
La più grande azienda di taxi al mondo non possiede neppure
un’automobile 62,5 G$ 15 × Hertz
Il social media più popolare al mondo non crea alcun contenuto 267 G$ 130 × NYTimes
Il più grande fornitore di ospitalità al mondo non possiede neanche
un immobile 25 G$ 8 G$ > Hilton (745.000 camere in 4.500 hotel)
La più grande azienda di commercio al dettaglio al mondo non
possiede nemmeno un negozio 268 G$ 69 G$ > Wall Mart (10 mila negozi)
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 3
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IMPATTI NON PROPORZIONALI…
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
…E IMPREVEDIBILI TRIANGOLAZIONI
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
UBIQUITÀ DELL’INFORMAZIONE
Oggi la maggior parte delle informazioni di valore viene elaborata ed
archiviata su sistemi informativi, personali o non, generalmente connessi tra
loro in modo sempre meno estemporaneo e sempre più integrato grazie alla
crescente pervasività delle reti
Gli apparati hanno assunto una dimensione anche personale (palmari,
PDA), con grande capacità di comunicazione e di integrazione di reti diverse
(bluetooth, cellulare, Internet, …)
La convergenza fra informatica e telefonia ha reso assai comune anche
l’utilizzo delle reti cellulari (GSM, GPRS, UMTS) per il trasporto di dati e
informazioni multimediali integrate
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 4
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
RISCHI E PERICOLI DELLE RETI DIGITALI
Ogni sistema informativo in Rete:
è soggetto ad attacchi vandalici
è potenziale obiettivo di intrusioni mirate
Ogni sistema di comunicazione in Rete:
è soggetto ad intercettazione dei messaggi
può consentire di falsificare o alterare i messaggi
Ogni azione compiuta in Rete:
lascia tracce, volute o non volute
può fornire informazioni sensibili
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
LE PROPRIETÀ FONDAMENTALI
Riservatezza:
avere la certezza che una certa informazione possa essere conosciuta solo da chi ha il
diritto a farlo
Integrità:
avere la certezza che una certa informazione possa essere modificata solo da chi ha
diritto a farlo e solo attraverso modalità note e verificabili
Disponibilità:
avere la certezza che una certa informazione possa essere prontamente reperita ed
utilizzata tutte le volte che si ha necessità di farlo
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
DI QUANTA SICUREZZA HO BISOGNO?
La sicurezza totale non esiste!
L’unico computer sicuro è quello non connesso ad alcuna rete, chiuso in un caveau
blindato, con una guardia armata alla porta, e... spento!
La sicurezza è un asintoto:
avvicinandosi ad esso i costi aumentano sempre di più, mentre la sicurezza aumenta
sempre meno
La sicurezza è un compromesso:
ragionevole bilanciamento fra costi e benefici
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 5
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
DI QUALE SICUREZZA HO BISOGNO?
Oltre l’80% dei problemi di sicurezza viene tuttora dall’interno delle
organizzazioni:
ingresso di virus, worm, Cavalli di Troia, ...
fuga di dati riservati, vere e proprie truffe
disastri ed incidenti colposi (incuria, errori, …)
sabotaggi, minacce, ritorsioni, estorsioni, ...
Attenzione ad entrambi i fronti:
esterno (hacker, cyberterroristi, tecnovandali, …)
interno (utenti curiosi, insoddisfatti, vendicativi, …)
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
LA SICUREZZA NON È UN PRODOTTO
La sicurezza è una cultura aziendale
va maturata con un’adeguata educazione
La sicurezza è un processo globale
impatto trasversale sulle attività dell’organizzazione
La sicurezza è un servizio specializzato
deve essere erogato da apposite strutture
La sicurezza è una risorsa da gestire
complesso mix di competenze, risorse, prodotti
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
LA SICUREZZA NON È (PIÙ) OPZIONALE
Il D.Lgs. 196/2003 (T.U. sulla “privacy”) e il GDPR:
impongono una forte tutela dei dati personali
obbligano ad adottare rigorose misure di sicurezza
prevedono anche dure sanzioni!
La legge 48/2008 (Convenzione di Budapest):
ha introdotto i reati informatici nell’elenco di quelli per cui un’azienda può essere chiamata a rispondere per responsabilità oggettiva ai sensi della L. 231/2001
Il Codice dell’Amministrazione Digitale:
spinge verso il progressivo abbandono della carta a favore delle tecnologie digitali (fatture elettroniche, firme digitali, posta certificata, conservazione sostitutiva…) che richiedono adeguate ed obbligatorie misure di sicurezza
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 6
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
UNA “NUOVA” RESPONSABILITÀ AZIENDALE
Le aziende e le organizzazioni moderne non si identificano più solo coi suoi
asset fisici, anzi il loro vero valore è nelle informazioni che gestiscono
Accanto alla responsabilità della “sicurezza industriale” e della “sicurezza
sul lavoro” (safety), deve quindi esservi quella della sicurezza delle
informazioni
La sicurezza delle informazioni è qualcosa di più della sicurezza informatica,
così come un sistema informativo è qualcosa di più di un sistema informatico
Così come per la sicurezza sul lavoro, anche la sicurezza delle informazioni
è una responsabilità di tutti, perché ottenerla o non ottenerla dipende dal
comportamento di ciascuno
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
NON SOLO TECNOLOGIA
La sicurezza delle informazioni si fa a livello:
fisico
logico
organizzativo
La sicurezza delle informazioni riguarda:
dispositivi
processi
informazioni
persone
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
SICUREZZA ED ERRORE UMANO
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 7
IL CYBERSPACE, OVVERO INTERNET Una nuova realtà o semplicemente un
nuovo paradigma?
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CRESCITA DI INTERNET (1981-2000)
Fo
nte
: In
tern
et S
ocie
ty
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ESPANSIONE DI INTERNET (08/1992)
Fo
nte
: In
tern
et S
ocie
ty
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 8
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ESPANSIONE DI INTERNET (06/1997)
Fo
nte
: In
tern
et S
ocie
ty
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
DIFFUSIONE VERTIGINOSA
Da 0 a 50 milioni di utenti in quattro anni
considerando il 1992 come “anno zero” di Internet
Per avere 50 milioni di utenti ci sono voluti:
~50 anni per il telefono
38 anni per la radio
13 anni per la televisione
4 anni per Internet
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CRESCITA DEGLI HOST 2000-2010
Fo
nte
: In
tern
et S
yste
ms C
on
so
rtiu
m
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 9
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CRESCITA DEL TRAFFICO, 1990-2020
Anno TB/giorno F1990
1990 0,03 1
1995 6 2,0 · 102
2000 2.800 9,3 · 104
2005 81.000 2,7 · 106
2010 672.000 2,2 · 107
2015 2.680.000 8,9 · 107
2020 5.000.000 1,7 · 108 1,00E-02
1,00E-01
1,00E+00
1,00E+01
1,00E+02
1,00E+03
1,00E+04
1,00E+05
1,00E+06
1,00E+07
1990
1995
2000
2005
2010
2015
2020
TB/day
Fo
nte
: C
isco
VN
I, 2
011
, 2
01
5
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
UN MINUTO SU INTERNET (OGGI…)
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
AUMENTO DELLA SUPERFICIE D’ATTACCO
Fonte
: M
cA
fee L
abs, 2015
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 10
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
BIG DATA
Byte: un chicco di riso
Kilobyte (103 byte): una tazza di riso
Megabyte (106 byte): otto sacchi di riso
Gigabyte (109 byte): tre TIR di riso
Terabyte (1012 byte): due navi portacontainer di riso
Petabyte (1015 byte): copre la superficie di Manhattan
Exabyte (1018 byte): copre gli stati della west coast
Zettabyte (1021 byte): riempie l’oceano Pacifico
Yottabyte (1024 byte): il volume della Terra in riso
L’IDENTITÀ DIGITALE Chi è chi al tempo della Rete
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
COS’È L’IDENTITÀ?
In termini concettuali:
l’insieme di tutte le caratteristiche del singolo individuo, e quindi delle caratteristiche fisiche tangibili, etiche, comportamentali, morali e spirituali; nonché della proiezione del singolo nella vita sociale, ossia della percezione che ciascuno dà di sé stesso all’esterno
In termini giuridici:
l’insieme delle caratteristiche della persona che dà luogo ad una combinazione irripetibile: quando si parla di identità, dal punto di vista giuridico si intende parlare di individui unici e dalle caratteristiche irripetibili
In termini tecnici:
l’insieme delle informazioni e delle risorse concesse da un sistema informatico ad un suo utilizzatore
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 11
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
L’IDENTITÀ COME FATTO TECNICO
Problema dell’identità in termini ingegneristici:
come faccio ad essere sicuro che un soggetto sia davvero colui che dice di essere?
Soluzione generale: l’identità di un soggetto può essere oggettivamente accertata verificando:
qualcosa che sa:
• frase convenzionale, parola d’ordine, PIN, …
qualcosa che ha:
• lettera credenziale, documento d’identità, smart card, …
qualcosa che è:
• tratti somatici, segni particolari, impronte digitali, …
O meglio ancora due o tre fattori assieme!
cosiddetta autenticazione forte
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
PICCOLA PARENTESI LESSICALE
In informatica il termine «autenticazione» assume un significato diverso da quello che ha in ambito giuridico:
il che crea da sempre infinite ambiguità e incomprensioni!
In termini giuridici:
la «autenticazione» la fa il notaio, e si riferisce solo a documenti e non a persone!
il riconoscimento dell’identità personale, ad esempio da parte di un pubblico ufficiale, si chiama «identificazione»
In informatica con «autenticazione» si intende invece generalmente il complesso di due operazioni differenti:
identificazione: accertare l’identità di un soggetto
autorizzazione: accertare il diritto di un soggetto identificato ad usufruire di servizi o ad accedere a risorse secondo determinate modalità e con eventuali limiti
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IL CONCETTO DI IDENTITÀ DIGITALE
Nel moderno mondo in Rete è indispensabile poter identificare, da remoto e in
modo automatico, i soggetti che richiedono l’accesso a servizi telematici
Facile a farsi se l’utente è noto in anticipo al sistema:
di norma ciò implica che ogni soggetto possieda le opportune credenziali di accesso
rilasciategli da ciascun servizio
ognuna di queste credenziali costituisce l’«identità digitale» del soggetto rispetto a ciascuno
dei servizi di cui vuole usufruire
Oggi è invece sempre più spesso necessario che un soggetto possa dimostrare la
propria identità a servizi o sistemi che non lo conoscono a priori
In casi più rari il soggetto deve anche poter dimostrare il suo effettivo diritto ad
usufruire di determinati servizi
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 12
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
UNO, NESSUNO E CENTOMILA…
Nella vita quotidiana a fronte di una sola identità personale esercitiamo una grande varietà di ruoli
Ciascun soggetto nella vita reale è sempre lo stesso, ma ciò che può fare e il valore di ciò che fa dipendono dal ruolo che di volta in volta egli ricopre:
lavoratore
genitore
proprietario di un immobile, di un’auto, …
iscritto ad una società sportiva, associazione culturale, …
contribuente
assistito dal servizio sanitario nazionale
utente di un social network
…
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
SCHIZOFRENIA DIGITALE
Purtroppo l’identità digitale molto spesso non è in grado di tenere conto della differenza tra l’identità di un soggetto («chi sono») e i suoi attributi nell’ambito in cui essa si manifesta («cosa posso fare, quando e come»)
L’identità digitale di solito:
è univocamente associata ad un solo specifico ambito di applicazione ed ai suoi particolari ruoli
in tale ambito essa rappresenta contemporaneamente ciò che tale soggetto è e ciò che esso può fare
è congelata in un eterno presente privo di storia pregressa
Ognuno di noi è quindi generalmente condannato a possedere più identità digitali, una per ciascuno degli ambiti nei quali di volta in volta operiamo
UMANI E ALTRE INTELLIGENZE Breve inciso: come distinguere le persone
dagli agenti software
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 13
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CERTEZZA DELL’IDENTITÀ IN RETE?
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
OLTRE L’IDENTITÀ: LA NATURA DELL’AGENTE
Sempre più frequentemente si ha la necessità di poter distinguere
automaticamente tra ampie classi o tipologie omogenee di utenti
Ad esempio, per richieste di legge o di altro tipo, occorre talvolta poter
distinguere:
minorenni da maggiorenni
maschi da femmine
umani da automi
Questo non sempre è possibile in modo totalmente automatico, ma la ricerca
su come fare è aperta (e la sfida tecnologica è appassionante!)
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
UNA SOLUZIONE: I CAPTCHA
Per discriminare automaticamente tra utenti umani e non-umani sono stati sviluppati test specifici:
CAPTCHA: Completely Automated Public Turing-test to tell Computers and Humans Apart (2000, Carnegie-Mellon e IBM)
invenzione: Altavista (Andrei Broder et al.), 1997
Tali test consistono nel proporre all’utente la risoluzione di compiti che risultano “facili” per un soggetto umano ma “difficili” per un soggetto non-umano
Tipicamente si tratta di prove legate a (semplici) attività della sfera cognitiva:
dimostrare di saper leggere un testo distorto
dimostrare di saper comprendere un testo parlato
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 14
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
UN ESEMPIO NOTO A TUTTI
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ALCUNI CAPTCHA DI USO COMUNE
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
PROBLEMI DEI CAPTCHA
I CAPTCHA sono una tecnica interessante ma non sono sempre applicabili con successo
Sono soggetti a due principali classi di problemi:
non risultano necessariamente facili per tutti gli umani:
• ipovedenti, daltonici
• iposenzienti
• dislessici, disgrafici, …
sono state sviluppate tecniche per imbrogliarli
In generale, inoltre, il progredire delle tecniche di intelligenza artificiale rende sempre più possibile alle macchine risolverli “onestamente”
si sta innescando una perversa “corsa agli armamenti” tra inventori e solutori di CAPTCHA…
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 15
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ALCUNI CAPTCHA A PROVA DI IA!
MINACCE ALL’IDENTITÀ DIGITALE IN RETE Nel cyberspazio nessuno può sentirti urlare…
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
SICUREZZA DELL’IDENTITÀ DIGITALE?
Il principale crimine del cyberspace è e sempre
più sarà il furto d’identità
Gli ultimi anni vedono un crescendo di data breach:
JP Morgan Chase: 83 milioni di record personali di
clienti
Home Depot: 56 milioni di numeri di carte di credito,
53 milioni di indirizzi di e-mail
Yahoo: 1,5 miliardi di account
Uber: 57 milioni di acount
…
…per non parlare delle campagne di phishing!
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 16
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
NUOVE FORME DI GARANZIA
Per fornire le necessarie garanzie alle identità digitali si usano tecniche di
validazione (firma digitale) ottenute come effetto collaterale delle moderne
tecniche di protezione delle informazioni
La crittografia a chiave pubblica, nata per proteggere le comunicazioni di
massa, consente anche di attribuire certezze ad un documento digitale, ed in
particolare ad un documento di identità (credenziale)
La mutua certezza dell’identità digitale è fondamentale soprattutto nelle
interazioni «machine-to-machine» in cui un client accede ad un server
remoto per ottenere servizi “trusted” (lettura di email, transazioni finanziarie,
servizi di e-Health e di e-governement, …)
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
L’ANELLO DEBOLE DEL SISTEMA
Affinché tutto funzioni occorre stabilire:
chi e come gestisce l’elenco delle chiavi pubbliche
chi e come garantisce la validità dell’elenco
chi e come garantisce l’effettiva corrispondenza fra identità dei soggetti e relative chiavi pubbliche
Queste certezze fondamentali vengono fornite da un sistema cosiddetto di “certificazione” il quale fornisce adeguate garanzie sulla reale identità degli utenti e sulla validità ed integrità delle rispettive chiavi pubbliche
La certificazione si attua mediante:
entità garanti autorità di certificazione
strumenti tecnologici certificati digitali
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CATENA DI FIDUCIA SECONDO X.509
A B C D E F G H I
Root
CA
CA1 CA2 CA3
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 17
CASO DI STUDIO: DIGINOTAR Colpire chirurgicamente una CA mettendo in
ginocchio un intero Paese
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
INFRASTRUTTURA DI TRUST PER L’E-GOV
DigiNotar è (anzi, era…) una CA olandese:
fondata nel 1997 dal notaio Dick Batenburg e dal Notariato olandese, per fornire ai notai servizi di TTP
acquistata nel 2010 da VASCO Data Security Int., posta in liquidazione volontaria il 20/09/2011 a seguito della scoperta di un’ampia compromissione dei propri sistemi
DigiNotar forniva al Governo olandese certificati per l’infrastruttura di firma digitale del programma nazionale di e-government (PKIoverheid)
In particolare era la Root CA per:
"Staat der Nederlanden"
DigiD, piattaforma centralizzata di autenticazione e-government
Rijksdienst voor het Wegverkeer (registro automobilistico)
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CRONISTORIA DELL’INCIDENTE (1/2)
27/08/2011: uno studente iraniano segnala su un forum di Google che il suo browser Chrome gli indica come non valido il certificato SSL usato dal server di Gmail
appare presto chiaro che si tratta di un certificato fraudolento emesso da DigiNotar il 10 luglio in seguito ad un’intrusione
29/08/2011: su pressioni del GOVCERT-NL, DigiNotar revoca quel certificato
nei giorni successivi tuttavia si scoprono “in the wild” molti altri certificati analoghi emessi fraudolentemente da DigiNotar
30/08/2011: DigiNotar rivela di essersi accorta sin dal 19 luglio di un’intrusione, ma afferma che l’infrastruttura PKIoverheid non è stata compromessa
commissiona però alla società Fox-IT un audit approfondito su tutti i propri sistemi
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 18
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CRONISTORIA DELL’INCIDENTE (2/2)
02/09/2011: il Governo olandese ritira la fiducia a DigiNotar ma non revoca i
certificati di PKIoverheid
afferma però di non poter garantire l’affidabilità della piattaforma di e-government ed invita
formalmente i cittadini a non usarla
03/09/2011: il Governo assume il controllo diretto delle operazioni di DigiNotar,
revoca i certificati di DigiD e PKIoverheid e li rimpiazza con certificati di un’altra CA
05/09/2011: il Governo pubblica il report preliminare di Fox-IT il quale dimostra
come la compromissione dei sistemi della CA sia molto più ampia del previsto
Fra il 2 e il 9 settembre 2011 Windows e tutti i browser vengono aggiornati
eliminando DigiNotar dalla lista delle Root CA riconosciute
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ANALISI DELL’INCIDENTE (1/2)
Non è stato possibile determinare il numero esatto di certificati emessi fraudolentemente:
vi sono indicazioni che siano certamente più di 531
DigiNotar non ha potuto garantire che tutti siano stati effettivamente revocati
soltanto Google ne ha posti in blacklist ben 247
I certificati erano intestati ad oltre 300 domini tra cui:
aziende e provider: Aol, Android, Google, Microsoft, Mozilla, Skype, Twitter, Yahoo, Facebook, Torproject
servizi: Windows Update e Wordpress
altre CA: Digicert, GlobalSign, Thawte, Comodo, VeriSign, CyberTrust
enti governativi: Mossad, Cia, MI5
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ANALISI DELL’INCIDENTE (2/2)
Il report di Fox-IT dipinge uno scenario drammatico di incuria ed inadeguatezza nella gestione della CA
Tra le principali carenze riscontrate:
assenza di separazione tra le componenti della CA
tutti i server, benché posti in locali anti-tempest, erano accessibili tramite la (unica) LAN di management
tutti i server erano nello stesso dominio Windows ed usavano un’unica coppia userid/password
• la password era assai debole e quindi facilmente craccabile
mancava un sistema di raccolta ed analisi dei log
sui server non erano installati antivirus/antimalware
sui server critici erano presenti molteplici malware
i prodotti di front-end sui server Web non erano aggiornati alle ultime release né “patchati”
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 19
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
…MA PERCHÉ?
L’analisi delle richieste di uso dei certificati (log del server OCSP) ha
mostrato che l’area del loro utilizzo era concentrata soprattutto in Iran:
fra il 4 ed il 29 agosto il certificato intestato a Google è stato acceduto da oltre 300.000
IP diversi, di cui oltre il 99% di provenienza iraniana
Ciò porta a ritenere che si sia trattata di una azione governativa finalizzata a
costruire un gigantesco sistema «man-in-the-middle» per l’intercettazione
sistematica della posta scambiata su Gmail:
è verosimile che in seguito all’attacco siano state compromesse oltre 300.000 caselle di
posta di Gmail appartenenti a cittadini iraniani
DALLE CERTIFICATION AUTHORITY AGLI IDENTITY
PROVIDER I modelli di identità digitale prossimi venturi:
eIDAS, SPID e le identità federate
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
VERSO UNA IDENTITÀ “PORTABILE”
È già una pratica diffusa sul Web quella di autenticare indirettamente utenti non noti, chiedendo informazioni a qualcuno che li conosce e fidandosi della sua risposta
Questo è il concetto di identità federata: accetto un utente che io non conosco se mi fido di qualcuno che lo conosce e che mi garantisce della sua identità
Nasce così la nuova figura dell’identity provider
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 20
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IL MODELLO DELL’IDENTITÀ FEDERATA
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IDENTITÀ FEDERATA EUROPEA: EIDAS
Regolamento (UE) 910/2014: “Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno”
Introduce la figura dei «prestatori di servizi fiduciari» (in inglese: «trust service provider») come entità garanti delle informazioni di identità delle persone fisiche
in pratica una versione “light” delle Certification Authority
I TSP non emettono certificati digitali ma erogano, su richiesta, affermazioni affidabili in merito all’identità o ad altri attributi dei soggetti da loro conosciuti
Il regolamento impone loro rigide misure di sicurezza, verificate dal mercato (certificazione ISO 27001), e l’obbligo di denuncia delle violazioni subite (DBN, data breach notification)
MOTORI DI RICERCA E INFERENZA NEI DATABASE Una combinazione micidiale
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 21
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
INFERENZA NEI DATABASE (1/2)
Un tipico database “protetto”:
Lo STIPENDIO è legato al
LIVELLO
Per motivi di privacy, nessuna
query può accedere ai campi
COGNOME e STIPENDIO
contemporaneamente
COGNOME LIVELLO STIPENDIO ANNI
Fantozzi Impiegato 34.000 5
Filini Impiegato 34.000 3
Barambani Direttore 125.000 3
Fracchia Impiegato 34.000 3
Calboni Funzionario 42.000 6
Silvani Segretaria 28.000 8
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
INFERENZA NEI DATABASE (2/2)
Query 1: elenca LIVELLO e
STIPENDIO di tutto il personale
con 3 ANNI di anzianità
LIVELLO STIPENDIO
Impiegato 34.000
Direttore 125.000
COGNOME LIVELLO
Fantozzi Impiegato
Query 2: elenca COGNOME e
LIVELLO di tutto il personale con
5 ANNI di anzianità
Inferenza:
FantozziImpiegato34.000
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ESPERIMENTO SWEENEY (2001) (1/2)
Dataset 1: record sanitari resi
disponibili agli istituti di ricerca dalla
“US National Association of the
Health Data Organizations”, ritenuti
perfettamente anonimi
Dataset 2: liste elettorali della contea
di Cambridge, Massachusetts (54.805
elettori), liberamente acquistabili
Campi in comune: data di nascita,
sesso, ZIP code
Medical data
Ethnicity
Visit date
Diagnosis
Medication
Total charge
ZIP
Birth date
Sex
Name
Address
Date registered
Party affiliation
Date last voted
87% unique US-wide with ZIP, date and sex!
Voter list
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 22
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ESPERIMENTO SWEENEY (2001) (2/2)
Latanya Sweeney (Harward) ha utilizzato i due dataset anonimi
precedentemente descritti, correlandone i dati sulla base di quelli in comune
Per fare ciò ha preso in esame pochi dati personali pubblicamente noti
relativi al governatore dello Stato del Massachusetts:
solo sei persone avevano la sua stessa data di nascita
solo tre di questi erano maschi
solo uno di questi risiedeva nella stessa area (ZIP code)
I dati clinici del governatore nel dataset sanitario perdevano così il loro
(presunto) anonimato, attingendo a fonti legalmente accessibili!
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
RE-IDENTIFICATION IN WA STATE (2013)
Step 1: accoppiamento tra notizie locali e dati pubblici per identificare i pazienti ospedalizzati nel 2011 nello stato di Washington
Step 2: accoppiamento tra i dati dei pazienti ospedalizzati e i database sanitari anonimi (costo 50$) per identificare i singoli record contenenti tutti i dettagli (anche economici) del trattamento e cura
L’identificazione si è verificata corretta per 35 degli 81 casi identificati (43%)
Public Records News Story
Phone numbers
Addresses
ZIP
Age
Resi-
dence
Name
Sex
Hospital
Admit month
Diagnosis
News+Public Hospital Data
Residence
Name
Sex
Age
Hosp.
Month
ZIP
Race
Ethnicity
Procedures
Physicians
Costs
Payment
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
POTENZA DEI MOTORI DI RICERCA…
Fo
nte
: R
ep
ub
blic
a.it, 1
3 m
arz
o 2
00
6
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 23
UN MONDO DI DATI E METADATI NASCOSTI Attenzione alle informazioni che divulghiamo
inconsapevolmente coi nostri documenti
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
DATI E METADATI
Metadato: un dato che descrive un altro dato:
in passato i file contenevano solo dati, ossia contenuto informativo “puro”; i (pochi)
metadati appartenevano al sistema operativo che li usava per gestire i file (posizione,
dimensione, date di modifica, ecc.)
oggi si tende a organizzare i documenti informatici in strutture complesse, che accanto
ai dati conservano molti metadati contenenti informazioni supplementari quali: autore,
revisione, statistiche, informazioni tecniche, storico delle modifiche, informazioni di
georeferenziazione, ecc. ecc.
Molti metadati sono gestibili dall’utente, ma altri sono generati
automaticamente e a volte “nascosti”
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ESEMPIO: I DATI EXIF DELLE IMMAGINI
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 24
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
COSA C’È IN UN DOCUMENTO WORD?
Un documento Word contiene una quantità enorme di metadati relativi non solo al documento in sé ma anche all’autore, ai revisori, e perfino agli ambienti operativi nei quali il documento è stato elaborato:
ad esempio: nomi dei computer, nomi delle directory locali, nomi e posizioni delle stampanti, indirizzo della scheda di rete!
La funzione «track changes» mantiene inoltre lo stato di tutte le precedenti revisioni del documento
Questi metadati:
non sempre sono controllabili e/o eliminabili dall’utente
costituiscono un pericoloso veicolo di divulgazione involontaria di informazioni riservate
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CONTRO LA STUPIDITÀ… (1/2)
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CONTRO LA STUPIDITÀ… (2/2)
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 25
LA SITUAZIONE IN ITALIA L’architettura per la protezione dello spazio
cibernetico nazionale
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
LA STRATEGIA CYBER ITALIANA
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IL QUADRO STRATEGICO NAZIONALE (QSN)
Articolato su sei indirizzi strategici:
1. Miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali
interessati
2. Potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli
attori di rilevanza strategica per il sistema-Paese
3. Incentivazione della cooperazione tra istituzioni ed imprese nazionali
4. Promozione e diffusione della cultura della sicurezza cibernetica
5. Rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali
on-line
6. Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 26
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IL PIANO NAZIONALE (PN) 2013
Articolato su undici indirizzi operativi:
1. Potenziamento delle capacità di intelligence, di Polizia e di difesa civile e militare
2. Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati
3. Promozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento
4. Cooperazione internazionale ed esercitazioni
5. Operatività del CERT nazionale, del CERT-PA e dei CERT dicasteriali
6. Interventi legislativi e compliance con obblighi internazionali
7. Compliance a standard e protocolli di sicurezza
8. Supporto allo sviluppo industriale e tecnologico
9. Comunicazione strategica
10. Risorse
11. Implementazione di un sistema di information risk management nazionale
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
NSC Strategia e
coordinamento
Prevenzione
e risposta
Monitoraggio
e indagine
PROTEZIONE DELLO SPAZIO CIBERNETICO (2013)
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IL PIANO NAZIONALE (PN) 2017
Articolato su undici indirizzi operativi:
1. Potenziamento delle capacità di intelligence, di Polizia e di difesa civile e militare
2. Potenziamento dell´organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati
3. Promozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento
4. Cooperazione internazionale ed esercitazioni
5. Operatività delle strutture nazionali di incident prevention, response e remediation
6. Interventi legislativi e compliance con obblighi internazionali
7. Compliance a standard e protocolli di sicurezza
8. Supporto allo sviluppo industriale e tecnologico
9. Comunicazione strategica e operativa
10. Risorse
11. Implementazione di un sistema di cyber risk management nazionale
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 27
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ARCHITETTURA NAZIONALE CYBER (2017)
IL RUOLO DI AGID La cybersecurity per la PA
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
Regole tecniche e linee guida
Protezione del patrimonio informativo
Razionalizzazione dei CED
Servizi erogati dalle Pubbliche Amministrazioni
Formazione
CERT-PA
IL RUOLO DI AGID NEL QSN
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 28
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
I RAZIONALI: LA SITUAZIONE NELLA PA
• Sicurezza basata sulle tecnologie
• Mancanza di strutture organizzative in
grado di gestire gli eventi e rispondere agli
attacchi
• Superficie d’attacco eccessiva
• Mancanza di una baseline comune di
riferimento
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
UNA PUBBLICA AMMINISTRAZIONE VULNERABILE
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
monitoraggio
• norme
• regole tecniche e
misure minime
• risk assessment
• linee guida
CS - KDB
CE
RT
PA
early warning
risposta ripristino
verifiche
Elementi strategici
• Sicurezza applicativa by design
• Analisi del rischio
• Linee guida
• Profili di sicurezza
• Servizi essenziali gestiti come
«infrastrutture critiche»
• Riduzione data center
• Misure minime di sicurezza
• Regole tecniche
LA CYBERSECURITY NEL MODELLO ICT PER LA PA
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 29
IL CERT-PA Struttura di prevenzione e risposta
agli incidenti nella PA
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
NSC
CERT-PA
MINISTERI 17
ENTI PUBBLICI
4
REGIONI 20
CERT NAZIONALE
CERT DIFESA
ENISA
CERT DICASTERO
Constituency CERT-PA
CERT ULS/SOC
CNAIPIC CERT GARR
CERT LOCALE
NCIRC
CITTÀ METROPOLITANE
8
AGENZIE 3
Altre strutture
Monitoraggio Allertamento
Supporto Coordinamento
Operazione
Segnalazione
Community CERT-PA
IL RUOLO DEL CERT-PA (PRE-2017)
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
IL CERT-PA IN BREVE
Creato nel 2013 (dalle ceneri del precedente CERT-SPC)
A regime dal 2015
Opera all’interno dell’Agenzia per l’Italia Digitale
Constituency iniziale: Pubbliche Amministrazioni Centrali, Regioni, Città
Metropolitane (~70 Amministrazioni)
Constituency de facto: ~22.000 Amministrazioni (modalità best effort)
Monitoraggio dell’intero spazio di domini *.gov.it
Fornisce servizi proattivi e reattivi alle Amministrazioni accreditate
Fornisce supporto agli incidenti laddove richiesto
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 30
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
• Registrato nell’Indice degli CSIRT europei mantenuto da ENISA
• Accreditato da Trusted Introducer
• Riconosciuto dal CERT/CC (CMU)
ACCREDITAMENTI INTERNAZIONALI
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
Reactive Services Proactive Services Security Quality Management
Services
• Alerts and Warnings
• Incident Handling • Incident analysis • Incident response on site • Incident response support • Incident response coordination
• Vulnerability Handling
• Vulnerability analysis • Vulnerability response • Vulnerability response coordination
• Artifact Handling
• Artifact analysis • Artifact response • Artifact response coordination
• Announcements
• Technology Watch
• Security Audits or Assessments
• Configuration and Maintenance of Security Tools, Applications, and Infrastructures
• Development of Security Tools
• Intrusion Detection Services
• Security-Related Information Dissemination
• Risk Analysis
• Business Continuity and Disaster Recovery Planning
• Security Consulting
• Awareness Building
• Education/Training
• Product Evaluation or Certification
SERVIZI DEL CERT-PA
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
THREAT INTELLIGENCE AND ANALYSIS
Analisi svolte autonomamente su fonti qualificate aperte e semiaperte (nessuna informazione acquisita da fonti commerciali e/o a pagamento):
acquisiti ed elaborati in 20 mesi ~4.500.000 IoC
Attività di verifica, validazione degli IoC, trasformazione in IoC qualificati e loro pubblicazione:
emessi ~21.000 IoC qualificati (~8.800 IP, ~12.000 URL)
analizzati ~7.500 malware
Trasmissione automatizzata ad un primo gruppo sperimentale di soggetti qualificati (~15) mediante piattaforma integrata con i tool del CERT-PA, basata su protocolli standard (STIX-TAXII) e piattaforme open (sviluppo a cura del CERT-PA)
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 31
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
INFOSHARING
Scambio continuo di informazioni «actionable» (ossia: immediatamente
utilizzabili in ambito operativo) su:
minacce e agenti di minaccia
campagne in corso
vulnerabilità
exploit
indicatori di compromissione (IoC)
Le informazioni analizzate provengono sia dalle attività di monitoraggio e
analisi svolte direttamente dal CERT-PA, sia da scambi informativi con
soggetti qualificati della Community
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
SVILUPPI IN CORSO
Acquisizione di ulteriori risorse (obiettivo: ~30 FTE)
Analisti
Operatori
Sistemisti
Integrazione di un motore semantico ai motori di analisi sviluppati
internamente
Spostamento in una nuova sede (a tendere, fusione col CERT Nazionale per
costituire lo CSIRT Italiano)
Ottenimento della certificazione FIRST
LE MISURE MINIME Uno strumento pratico pensato per
le esigenze della PA
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 32
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
LE MISURE MINIME DI SICUREZZA
Emesse con circolare
18 aprile 2017, n. 2/2017
Gazzetta Ufficiale (SG)
n.103 del 5/5/2017
Adozione obbligatoria
entro il 31/12/2017
Dovere d’ufficio del Dirigente
responsabile IT (art. 17 CAD)
Già anticipate via Web
sin da settembre 2016
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
OBIETTIVI
Indirizzare l’esigenza delle Amministrazioni fornendo loro, in particolare a quelle
meno preparate, un riferimento operativo direttamente utilizzabile (checklist)
nell’attesa della pubblicazione di documenti di indirizzo di più ampio respiro (linee
guida, norme tecniche)
Stabilire una baseline comune di misure tecniche ed organizzative irrinunciabili
Fornire alle Amministrazioni uno strumento per poter verificare lo stato corrente di
attuazione delle misure di protezione contro le minacce informatiche, e poter
tracciare un percorso di miglioramento
Responsabilizzare le Amministrazioni sulla necessità di migliorare e mantenere
adeguato il proprio livello di protezione cibernetica ponendo il compito (e la relativa
responsabilità) direttamente in capo al dirigente competente
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
CONSIDERAZIONI ISPIRATRICI
Non reinventare la ruota ma basarsi su esperienze consolidate (SANS 20 /
CSC)
Indirizzare le caratteristiche e le esigenze specifiche delle nostre PP.AA.
Minimizzare gli impatti implementativi (effort, costi)
Requisiti in linea con le più diffuse e consolidate best practice di settore
Armonizzare il quadro a valle del GDPR e della direttiva NIS
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 33
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
LE FAMIGLIE DI CONTROLLI
ABSC 1 (CSC 1): inventario dei dispositivi autorizzati e non autorizzati
ABSC 2 (CSC 2): inventario dei software autorizzati e non autorizzati
ABSC 3 (CSC 3): proteggere le configurazioni di hardware e software sui
dispositivi mobili, laptop, workstation e server
ABSC 4 (CSC 4): valutazione e correzione continua della vulnerabilità
ABSC 5 (CSC 5): uso appropriato dei privilegi di amministratore
ABSC 8 (CSC 8): difese contro i malware
ABSC 10 (CSC 10): copie di sicurezza
ABSC 13 (CSC 13): protezione dei dati
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
Standard
Avanzato
Minimo È quello al quale ogni pubblica amministrazione,
indipendentemente dalla sua natura e dimensione,
deve necessariamente essere o rendersi conforme.
Può essere assunto come base di riferimento nella
maggior parte dei casi.
Deve essere adottato dalle organizzazioni
maggiormente esposte a rischi (ad esempio per
la criticità delle informazioni trattate o dei servizi
erogati), ma anche visto come obiettivo di
miglioramento da parte di tutte le altre
organizzazioni.
I LIVELLI DI APPLICAZIONE
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
LE MODALITÀ DI APPLICAZIONE
Il raggiungimento di elevati livelli di sicurezza, quando è molto elevata la
complessità della struttura e l’eterogeneità dei servizi erogati, può essere
eccessivamente oneroso se applicato in modo generalizzato. Pertanto ogni
Amministrazione dovrà avere cura di individuare al suo interno gli eventuali
sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneità di
requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo
omogeneo le misure adatte al raggiungimento degli obiettivi stessi.
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 34
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON
AUTORIZZATI
Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli,
inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso
sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e
non gestiti siano individuati e sia loro impedito l’accesso
Inventario delle risorse
Logging
Autenticazione di rete
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON
AUTORIZZATI
Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla
rete in modo che sia installato ed eseguito solo software autorizzato, mentre
il software non autorizzato e non gestito sia individuato e ne venga impedita
l’installazione o l’esecuzione
Inventario dei software autorizzati
Whitelist delle applicazioni autorizzate
Individuazione di software non autorizzato
Isolamento delle reti (air-gap)
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE
E SOFTWARE SUI DISPOSITIVI
Istituire, implementare e gestire attivamente (tracciare, segnalare,
correggere) la configurazione di sicurezza di laptop, server e workstation
utilizzando una gestione della configurazione e una procedura di controllo
delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici
possano sfruttare le vulnerabilità di servizi e configurazioni.
Configurazioni standard
Accesso amministrativo da connessioni protette
Verifica dell’integrità dei file critici
Gestione delle configurazioni
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 35
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ABSC 4 (CSC 4): VALUTAZIONE E CORREZIONE CONTINUA DELLA
VULNERABILITÀ
Acquisire, valutare e intraprendere continuamente azioni in relazione a
nuove informazioni allo scopo di individuare vulnerabilità, correggere e
minimizzare la finestra di opportunità per gli attacchi informatici.
Verifica delle vulnerabilità
Aggiornamento dei sistemi
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ABSC 5 (CSC 5): USO APPROPRIATO DEI PRIVILEGI DI
AMMINISTRATORE
Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze
privilegiate e dei diritti amministrativi.
Limitazione dei privilegi delle utenze amministrative
Inventario delle utenze amministrative
Gestione delle credenziali delle utenze amministrative
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ABSC 8 (CSC 8): DIFESE CONTRO I MALWARE
Controllare l’installazione, la diffusione e l’esecuzione di codice maligno in
diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo
dell’automazione per consentire il rapido aggiornamento delle difese, la
raccolta dei dati e le azioni correttive.
Sistemi di protezione (antivirus, firewall, IPS)
Uso dei dispositivi esterni
Controllo dei contenuti Web, email
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 36
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ABSC 10 (CSC 10): COPIE DI SICUREZZA
Procedure e strumenti necessari per produrre e mantenere copie di
sicurezza delle informazioni critiche, così da consentirne il ripristino in caso
di necessità.
Backup e verifica del restore
Protezione delle copie di backup
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
ABSC 13 (CSC 13): PROTEZIONE DEI DATI
Processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione dei
dati, mitigarne gli effetti e garantire la riservatezza e l’integrità delle
informazioni rilevanti
Uso della crittografia
Limitazioni sull’uso di dispositivi removibili
Controlli sulle connessioni di rete/Internet
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
MODALITÀ DI IMPLEMENTAZIONE
Il Modulo di Implementazione
deve essere firmato
digitalmente con marcatura
temporale dal soggetto di cui
all’art. 2 e dal Responsabile
Legale della struttura.
Dopo la sottoscrizione esso
deve essere conservato e, in
caso di incidente informatico,
trasmesso al CERT-PA
insieme con la segnalazione
dell’incidente stesso.
Corrado Giustozzi 04/10/2018
Lezione III - La sicurezza
nell'aministrazione digitale 37
COME GARANTIRE LA SICUREZZA NELL'AMMINISTRAZIONE DIGITALE
RISORSE ON-LINE
• Sui siti Web di AgID e del
CERT-PA sono disponibili:
• la normativa
• i moduli in formato
elettronico editabile
• Riferimenti:
• www.agid.gov.it
• www.cert-pa.it
www.lapadigitale.it
GRAZIE PER L’ATTENZIONE
www.lapadigitale.it
CORRADO.GIUSTOZZI@AGID.GOV.IT
@CGIUSTOZZI
top related