Il Dipartimento per le Politiche del personale dell’amministrazione civile e per le Risorse strumentali e finanziarie del Ministero dell’Interno fornisce servizi di natura applicativa e infrastrutturale, connessi alla gestione di informazioni particolarmente sensibili. È il caso del database antimafia a cui si collegano tutte le stazioni appaltanti della PA, fra le quali, per esempio, quelle per la gestione della ricostruzione post-terremoto. La maggior parte delle attività prevede il contatto con altre amministrazioni, per esempio il Ministero di Grazia e Giustizia per il Casellario giudiziale, con il Ministero delle Finanze per la gestione del sistema sanzionatorio e amministrativo (gestione assegni a vuoto, multe da polizie locali, polizia stradale, ecc…).
“Siamo un dipartimento di un ministero, ma abbiamo utenti in tutti i dipartimenti e in altri ministeri, in enti esterni come Camera di Commercio e Banca d’Italia, i cittadini stessi”, sottolinea Stefano Plantemoli, Security Manager del Dipartimento. Dal punto di vista della sicurezza informatica significa dover governare e mettere al riparo dalle minacce dati sensibili provenienti dall’interno e dall’esterno.
Il malware Eye Pyramid: che cosa è successo e come reagire
Un esempio dei rischi è il malware che ha tenuto banco sulla stampa per qualche giorno lo scorso gennaio con la notizia dell’infezione di computer di importanti personaggi pubblici fra cui quello di Matteo Renzi, all’epoca in cui era premier, del Governatore della Bce, oltre alcune postazioni di ministeri.
Ricordiamo che Eye Pyramid è un malware di tipo R (Remote access tool) che prende il controllo della macchina, si diffonde attraverso un phishing mirato e si installa solo se l’utente apre l’allegato alla email phishing. “Cosa non ha funzionato se un malware stupido come Eye Pyramid si è così diffuso? Non ha funzionato la tecnologia, il processo, la risorsa umana? – si interroga Plantemoli – Forse hanno concorso più fattori, ma sicuramente ha una grande responsabilità il primo infettato che non ha allertato”.
L’invito è dunque superare la paura della comunicazione degli incidenti: non è necessario dire cosa è successo, ma informare che da una certa sorgente si è individuato un tentativo di attacco.
Il primo passo da compiere per garantire sicurezza informatica: investire in risorse umane
Stefano Plantemoli, Security Manager del Dipartimento per le Politiche del personale dell’amministrazione civile e per le Risorse strumentali e finanziarie del Ministero dell’Interno
Oggi l’obiettivo è mettere a punto una strategia di incident response più efficace, non facile da perseguire in una situazione nella quale gli utenti rispondono a diversi ministeri ed enti che hanno politiche di sicurezza diverse anche in termini di aggiornamento dei sistemi: “Sarebbe invece necessario adottare policy comuni e applicare in modo rigido le regole di awarness – ragiona Plantemoli – E per chi ha sbagliato devono essere previste sanzioni”.
Il caso Eye Pyramid indica anche la necessità di alzare il livello di coscienza a livello politico per definire una strategia di cyber security e applicarla mettendo in atto quel dialogo continuo fra amministrazioni che oggi manca: “Oggi non esiste un punto di raccolta e analisi di quanto quotidianamente transita sulle nostre reti. Lavorare solo sull’incidente non basta perché si perde di vista il trend che potrebbe consentire la prevenzione”, sostiene Plantemoli che suggerisce la creazione di una piattaforma per condividere attacchi e anomalie con il vantaggio di creare una rete di relazioni fra i responsabili della sicurezza, molto utile in caso di attacco:“Le tecnologie ci sono; nella nostra realtà ne utilizziamo diverse con efficacia alta, ma la condivisione è indispensabile per sfruttarle al massimo”.
Cyber-security a 2 livelli, detection e prevention
Nel caso del Ministero dell’Interno si utilizzano tecnologie sia per rilevare eventuali attacchi sia per prevenirli.
Rsa Security analytics viene ad esempio utilizzato per effettuare l’analisi del traffico, per la rilevazione di eventi, per avere l’indicazione di cosa arriva e cosa sta uscendo dalla rete: consente di automatizzare una serie di controlli e di arricchire le informazioni interne integrandole con news su malware, campagne, minacce che provengono da particolari domini e indirizzi Ip.
Altrettanto utile è la presenza di software agent nelle postazioni utente per capire cosa è cambiato sul Pc. Nel caso Eye Pyramid ha consentito di capire come abbia agito il malware, quali componenti del sistema operativo siano stati cambiati, il comportamento del processo e, di conseguenza, da dove sia entrato il malware e cosa abbia tentato di fare sulla macchina. Fin qui siamo nel campo della detection, con tecnologie che “possono lavorare anche quando c’è elevato traffico (come accade in caso di attacco) e continuare a monitorare quanto sta accadendo senza bloccare tutto, a differenza di quanto avviene con le tecnologie di prevenzione”, spiega Plantemoli. Nel campo della prevenzione sono presenti più strumenti secondo un approccio Defence in depth (basato su 4 diversi livelli di prevenzione), una strategia basata sul principio militare che considera più difficile per il nemico penetrare un sistema complesso di difesa a più livelli che una singola barriera per quanto robusta: “Se la prima misura fallisce entra in campo una seconda che cerca di lavorare in serie e così di seguito”, sottolinea il manager.
Attenzione allo sviluppo applicativo, i rischi di DevOps e metodologia Agile
“Bisogna però ricordare che molti attacchi sfruttano non solo le criticità dell’infrastruttura, ma le debolezze della logica applicativa che rappresentano un varco per gli attacchi. Non considerare questo aspetto sarebbe come costruire strade sicure, ma poi viaggiare con le gomme usurate”, nota Plantemoli. Uno dei modi più semplici per bloccare un data base e impedire all’applicativo di lavorare, è, per esempio, trovare la query “giusta” in grado di scatenare così un denial of service.
“Lo sviluppo in logica DevOps e Agile, di cui tanto si parla, ha implicazioni non solo nella possibilità di maggior velocità nella scrittura ma anche nella sicurezza e nella manutenzione. Se il codice è più compatto è più facile trovare errori e utilizzare funzionalità più sicure. È più facile anche il code review per evitare errori logici” sottolinea Plantemoli: “Dopo qualche resistenza iniziale, a partire dagli ultimi due mesi del 2016 abbiamo iniziato a sviluppare i nuovi applicativi attuando la micro-segmentazione del codice. Ci aspettiamo benefici in termini sia di stabilità del codice sia di sicurezza”.
ANPR e Gdpr, direttiva europea privacy, come rispondere alle nuove sfide
Nel frattempo si aprono nuove sfide come l’Anagrafica Nazionale Popolazione Residente (Anpr) e il Regolamento europeo in materia di protezione dei dati personali. La direttiva, trasformata in legge dal maggio 2016, prevede oggi un lavoro prevalentemente organizzativo per la sua applicazione che deve avvenire entro il maggio 2018. Uno degli aspetti salienti è la creazione del data protection officer, una figura tecnico-legale che dovrà garantire il rispetto delle misure per la protezione del dato, fare l’audit e gestire il coordinamento dei responsabili, in caso di incidenti: “Siamo già in ritardo per il passaggio che va completato nel 2017: dopo la valutazione del rischio potrà essere individuato il lavoro tecnico”, nota Plantemoli.
Il progetto Anpr prevede di garantire continuità e disponibilità del dato, mentre oggi, soprattutto nei comuni più piccoli, i dati sono conservati in Pc non aggiornati, senza i requisiti minimi di sicurezza. “Il compito dello Stato è proteggere l’identità dei cittadini, più facile da realizzare con dati centralizzati – aggiunge Plantemoli – Ma in questo caso va controllata l’identità di chi accede e che l’accesso avvenga da stazioni non a rischio”. Per aumentare la responsabilità nel trattamento dei dati va dunque fatto un lavoro organizzativo e per aumentare la consapevolezza degli utenti. “Noi potremmo acquistare tecnologie che i piccoli comuni non possono permettersi – è la proposta – facendoci carico di effettuare le analisi in cloud o deviando il traffico; ci sono mille soluzioni per farlo. Ci si può proteggere investendo il giusto e lavorando molto sull’intelligence”.
La Pa dovrebbe dunque investire su più tecnologie che messe in campo evidenzino rilevanze diverse e tendano a migliorare il processo di intelligence consentendo la protezione delle amministrazioni più deboli e, in definitiva, del cittadino. “È importante diffondere la tecnologia, ma anche diffondere l’intelligence, in termini di comprensione di quanto accade nella propria realtà, e riversarla come intelligenza condivisa senza spese esorbitanti”, avverte Plantemoli, che conclude: “Per mettere a frutto le tecnologie evolute di security chi si difende deve però imparare a fare squadra. Chi attacca lo sta già facendo”.
