STAI NAVIGANDO SU  » MyExtranet  »
Barra di Navigazione Barra di Navigazione
Nascondi la barra di navigazione
Login  |  Registrati

Scheda Prodotto
WikiVenetoPa Un sistema on line di raccolta di linee guida e di FAQ sempre a supporto degli operatori della PA e si rifa ai "Cinque pilastri" di Wikipedia:
WikiVenetoPa è un'enciclopedia
WikiVenetoPa ha un punto di vista neutrale
WikiVenetoPa è libera
WikiVenetoPa ha un codice di condotta
WikiVenetoPa non ha regole fisse

E' uno strumento di collaborazione e divulgazione da e per la Pubblica Amministrazione; le voci non devono contenere l'opinione di una sola parte, ma piuttosto riportare le diverse teorie inerenti all'argomento. Il suo contenuto è modificabile da chiunque si logghi sulla MyExtranet seguendo alcuni codici di condotta.
WikiVenetoPa WikiVenetoPa

GDA Sicurezza Informatica nella PA - Documento Master

 

WIKIVENETOPA - Sicurezza Informatica nella PA

L’incremento dell’informatizzazione della Pubblica Amministrazione avvenuto negli ultimi anni pone in evidenza l’aumento delle minacce legate a crimini informatici e tentativi di violazione dei dati.
Per questo motivo, è necessario prevedere l’implementazione di misure preventive atte ad aumentare il livello di sicurezza informatica nella PA onde ridurre il fattore di rischio.

La sicurezza informatica ha come obiettivo quello di assicurare: 

  • l’integrità dei dati: i dati devono essere corretti, evitando manomissioni;
  • la disponibilità dei dati: l’accesso ai dati deve essere disponibile senza interruzioni o rallentamenti;
  • la riservatezza dei dati: l’accesso ai dati deve essere accesso consentito esclusivamente agli utenti autorizzati.

La sicurezza informatica deve quindi essere concepita come un complesso processo finalizzato alla protezione delle informazioni. Tale processo coinvolge molteplici aspetti, che possono essere raggruppati in 3 categorie:

 

1.    sicurezza nelle tecnologie

2.    sicurezza nei processi organizzativi

3.    sicurezza nel personale.

 

Verrà presentata una sezione che descrive lo scenario delle minacce. Seguirà una descrizione di ciascuna categoria.

 

Riguardo alla sicurezza delle tecnologie, saranno suggerite alcune best-practice relative alla configurazione e manutenzione di apparati e dispositivi.

 

Nell’ambito dei processi organizzativi saranno proposte alcune modalità tra cui

la realizzazione di un regolamento informativo interno all’ente, la gestione delle autorizzazioni e delle credenziali informatiche da parte degli operatori dei SIC.

 

Infine, riguardo alla sicurezza nel personale, saranno suggerite alcune modalità per la sensibilizzazione dei dipendenti (in generale degli utilizzatori dei sistemi informatici), relativamente ai rischi e ai temi della sicurezza.

 

Nello specifico, per quanto riguarda la Sicurezza della Pubblica Amministrazione ci si deve riferire alle indicazioni fornite da AGID,  in particolare alle Misure minime di sicurezza ICT nelle PA che sono state pubblicate il 26 settembre 2016 e al CERT PA.

 

 

 

Scenario attuale delle minacce

 

PANORAMA ATTUALE DELLE PRICIPALI MINACCE INFORMATICHE CYBERCRIME IN AUMENTO ANCHE IN ITALIA

Contrariamente a quanto si pensi, In Italia il fenomeno del cybercrime esiste ed è in continua crescita e si stima che costi al paese all'incirca 9 miliardi di euro all'anno.

La cifra persa ogni anno in Europa da banche e risparmiatori a beneficio dei criminali informatici è pari a 500 milioni di euro e le frodi bancarie, molte delle quali dovute proprio ad una protezione interna insufficiente è in aumento ogni anno del 150%.

Il rapporto sulla sicurezza ICT 2016 di Clusit (Associazione Italiana per la Sicurezza Informatica, sempre più apprezzata a livello internazionale per le sue analisi) afferma che le tipologie e la distribuzione degli attaccanti nel 2015, sono stati complessivamente al 68% cybercrime (+30% in Italia), al 21% hacktivism, al 9% spionaggio/sabotaggio e al 2% cyber warfare.

I malware di tipo ransomware (+135% in Italia) continuano a rappresentare la minaccia più temuta. In questo tipo di minaccia i criminali informatici puntano a sfruttare i punti deboli umani (fattore H), i cattivi comportamenti e la scarsa attenzione che la maggioranza degli utenti ripone nell’utilizzo degli strumenti informatici.
 

UN ERRORE DA NON COMMETTERE ! SOTTOVALUTARE IL RICHIO INFORMATICO

L'evoluzione tecnologica, in particolar modo nel settore mobile, il costo sempre più basso della connettività e l'esplosione del fenomeno dei social network (facebook, twitter, whatsapp tra tutti) ha condotto (in particolare negli ultimi 10 anni) milioni di persone a connettere in modo permanente i loro dispositivi (smartphone, tablet, notebook e PC) alla rete internet, nella stragrande maggioranza dei casi senza pensare di renderli sicuri a causa di una percezione falsata del rischio data da due principali convinzioni:

“PERCHE' DOVREBBERO ATTACCARE PROPRIO ME?”

“FINO AD ORA NON MI E' MAI SUCCESSO NULLA, PERCHE' MI DOVREI PREOCCUPARE?”.

A causa della ridotta percezione del rischio le imprese e gli enti pubblici di piccole dimensioni sono oggi le realtà più vulnerabili e quelle che hanno maggiori difficoltà a reagire ai danni economici e reputazionali provocati da un eventuale attacco informatico.

I cyber criminali attaccano tutti, INDISCRIMINATAMENTE, mediante l'utilizzo di computer molto potenti in grado di effettuare una scansione di tutti gli indirizzi IP pubblici mondiali (circa 4 miliardi) in meno di 24 ore, con software molto complessi che eseguono attività criminali in modo completamente automatizzato.

E' bene tenere presente che non si viene attaccati solo se si hanno informazioni “preziose”.

Ogni informazione è preziosa per i criminali informatici e può essere sfruttata per effettuare attacchi di tipo DDoS (Distributed Denial Of Service), inviare spam o sottrarre credenziali ed informazioni agli utenti ignari, che in un secondo momento saranno rivendute nel fiorente mercato nero del cybercrime.
 

UN NOTEVOLE SALTO DI QUALITA' DELLE MINACCE INFORMATICHE

Quello che un tempo si chiamava virus e fa­ceva apparire simpatici popup sullo schermo, oggi si chiama malware e fa qualsiasi cosa pur di nascondersi, sottraendo silenziosamente qualsiasi dato in nostro possesso.

Questo nuovo modello di minaccia, comparso per la prima volta nel 2006 e si è sempre più perfezionato.

Oggi abbiamo un’infezione e una propagazione che tendono alla trasparenza: meno polvere si solleva, più sarà semplice insediarsi e rimanere insediati. Lo scopo non è più un danno diretto, evidente e incontrollato, ma bensì una silente compromissione del sistema della vittima: i worm sono solo il primo passo per l’installazione di una backdoor che consenta il controllo remoto.

Il codice nocivo dev’essere difficile da riconoscere ed analizzare, e il controllo delle stesse botnet dev’essere il meno tracciabile possibile. I vettori d’infezione si spostano, anch’essi, da ambienti plateali (i classici allegati nelle email) a luoghi più insospettabili (ad esempio, frame infetti in siti Web fidati contenenti codice javascript malevolo altamente offuscato per non essere riconosciuto). Alle complessità tecniche sono inoltre affiancati meccanismi di social engineering per spingere sempre più utenti a compiere le azioni necessarie per essere infettati o per inserire dati confidenziali in form malevole.

 

CHI SONO "OGGI" I CRIMINALI INFORMATICI E COME AGISCONO

Questa categoria di criminali relativamente nuova ha caratteristiche completamente differenti dai profili tracciati per coloro che si macchiano dei crimini più classici. Quando si parla di criminali informatici non ci si trova di fronte a un teppista, né a un mafioso (nel senso più tradizionale), né a un truffatore classico.

Il più delle volte, chi si macchia di crimine virtuale è un rappresentante della società di livello economico e culturale medio-alto con una percezione del crimine molto bassa: la distanza dal danno causato li rende poco consapevoli della gravità dell’atto compiuto e delle sue conseguenze in termini legali e in termini di sofferenza causata.

ll criminale informatico, oggi, punta a rubare l'identità della sua vittima e a utilizzarla per ottenere illecitamente dei vantaggi economici. C'è, in materia, un grosso vuoto legislativo, infatti, l'ultima norma che disciplina i reati informatici risale al 1993, quindi agli albori del web.

La principale porta d'ingresso dei criminali informatici è l'email. Tra i diversi criminali informatici, ci sono gli ingegneri sociali, che studiano i contenuti anche dei social per conoscere gli spostamenti e i comportamenti quotidiani delle loro vittime. 

Questi soggetti, molto preparati e molto attenti alle tendenze del momento, sono abilissimi nella ricerca di nuove metodologie per essere sempre più invasivi e per ridurre al minimo il loro rischio. Non è chiaro a molti, per esempio, il motivo per cui la maggior parte delle mail di spam che giungono nel nostro paese siano tradotte in modo maldestro in lingua italiana!

Ebbene, questa che sembra una pratica che induce a pensare che gli autori di queste massicce campagne di spam siano degli sprovveduti, in realtà sono operazioni (truffe e frodi informatiche molto sofisticate) studiate a tavolino proprio dagli ingegneri sociali che mirano a colpire un target di soggetti di cultura medio bassa poco attenti ai contenuti delle mail e molto meno propensi ad intraprendere iniziative di tipo investigativo o legale per perseguire gli autori di queste frodi informatiche.

 

IL FATTORE UMANO (Fattore H) e l'INGEGNERIA SOCIALE

La maggior parte degli attacchi informatici condotti dai cyber criminali ha esito positivo anche grazie ad una variabile attualmente più critica delle soluzioni tecnico-informatiche : il fattore umano (fattore H).

Una delle componenti fondamentali del "fattore H" è la cosiddetta "Ingegneria Sociale" (Social Engineering SE): un insieme di tecniche studiate per raggirare un individuo al fine di ottenere informazioni riservate che possono essere utilizzate per portare a termine un attacco informatico.

Il Social Engineering si basa sulla consapevolezza che, in determinate situazioni, il comportamento umano mostra una certa tendenza alla fiducia verso il prossimo. Quest’ultimo, sommato all'abilità tecnica dell'attaccante di impersonare il ruolo di entità fidata, creano le condizioni ideali per l'esito positivo di un attacco informatico.

Esempio: "Spear Phishing"

Una vittima riceve una e-mail fortemente personalizzata, contestualizzata rispetto a dettagli della sua vita reale, ricavati molto spesso dalle informazioni contenute nei profili dei social network (Facebook, Twitter ecc.).

L'apertura dell'allegato della mail che sembra del tutto innocuo,  comporta ad esempio l'installazione di un malware attraverso il download da un server controllato dai criminali informatici. L'obiettivo principale è quello di installare backdoor multiple all'interno del sistema, attraverso le quali il criminale ha la possibilità di sottrarre all'utente ignaro, informazioni relative ad account, password, carte di credito, informazioni riservate e/o strategiche.

IL MERCATO NERO (a basso costo) DEL CRIMINE INFORMATICO "CYBERCRIME AS A SERVICE"

Il malware comincia ad essere venduto come un vero e proprio servizio che chiunque, senza nessuna conoscenza informatica, può usare a fini fraudolenti ed estorsivi. Stanno fiorendo forum e piattaforme e-commerce nella Deep Web (web invisibile) per la compravendita di malware-tools generando un business che ricalca quello tipicamente legale (servizi di assistenza al cliente, garanzie sul venduto etc). “Il più facile accesso e utilizzo di malware, anche da parte di mani meno esperte, implicheranno inevitabilmente un aumento considerevole degli attacchi informatici”

Si tratta di un sistema  che offre la possibilità di accedere a basso costo al cybercrime acquistando un kit di servizi, con dei pacchetti di attacco cyber preconfezionati (“Exploit Kits”).

Alcuni esempi:

·         Account PayPal ed eBay sono acquistabili a partire da $300

·         Account per online banking sono venduti a prezzi compresi tra $200 e $500 in funzione del saldo contabile e della relativa storia;

·         Una falsa patente americana può essere acquistata ad una cifra di $100-$150;

·         Codice sorgente di un malware bancario con personalizzazione è offerto per una cifra dai $900 ai $1500;

·         Noleggio di una botnet per un attacco di tip DDoS di circa 24 ore può arrivare a costare fino a $1500.

Dietro al fenomeno cybercrime-as-a-service si stanno muovendo intere organizzazioni malavitose e di stampo mafioso che stanno intravedendo nel cybercrime un business più redditizio e meno rischioso rispetto al crimine tradizionale.

Il fenomeno del cybercrime-as-a-service amplifica ancora di più la minaccia per le aziende e gli enti che dovrebbero essere stimolate a conoscere il valore ed il peso delle loro vulnerabilità, la grandezza delle minacce che devono affrontare in modo da essere preparati per attuare la giusta strategia di difesa.

REATO INFORMATICO "SPERSONALIZZATO" E A BASSO RISCHIO

La distanza e l’interposizione di mezzi asettici, come il computer e la connessione internet, rendono il reato informatico un reato "spersonalizzato" e quindi percepito come meno grave (quando percepito come reato).

A questa mancanza di consapevolezza sulla gravità e l’illegalità dell’atto compiuto, si aggiunge la percezione, per i criminali informatici, di pensare che la rete non sia monitorata dalle forze dell’ordine e che sia una sorta di Far West nel quale compiere, impuniti, scorribande, persecuzioni e rapine.

Il più delle volte, a macchiarsi di tali reati, sono persone insospettabili: come il bravo ragazzo vicino di casa, lo studente “smanettone” a cui l’interposizione dello strumento asettico e la distanza dalla vittima fanno venire meno i freni inibitori, trasformandoli in criminali informatici.

 

Sicurezza nelle tecnologie


Le metodologie NECESSARIE di protezione della sicurezza dell’infrastruttura informatica di un ente sono:

·         Protezione perimetrale

·         Protezione dei sistemi

·         Protezione dei dati

 

Protezione perimetrale: firewall, antispam e monitoraggio

 ·         Firewall ha lo scopo di: difendere la rete interna da attacchi provenienti da internet, di bloccare connessioni non autorizzate verso l’esterno (ad esempio in caso di BOTnet). I firewall di nuova generazione sono UTM  “unified threat management” che svolgono anche funzioni di URL filtering, filtraggio dei contenuti, IPS, IDS, antivirus sulla navigazione Internet

·         Antispam: appliance dedicata o co-locata nel server email, evita il propagarsi di spam. Si deve impostare correttamente il blocco di allegati con particolari estensioni (ad esempio file .exe ) che sono usate per introdurre virus

·         Monitoraggio: attivare un sistema di monitoraggio dello stato dei server e degli apparati di rete, con relativo sistema di alert nel caso in interruzioni di servizio. Si consiglia un sw di tipo SIEM “Security Information and Event Managment” che sia in grado di raggruppare i log e correlare gli eventi in modo da rilevare e bloccare attività anomale in rete

Per maggiori dettagli si veda il documento Best Practice Rete


Protezione dei sistemi: Antivirus, antimalware, aggiornamento dei sistemi:

      ·         L’antivirus è un software installato in ogni client e server della rete, svolge anche funzione di anti-spyware. Deve essere costantemente aggiornato automaticamente, meglio se attraverso un server interno, il quale recupera le firme da internet. Si consiglia di attivare anche le componenti antispywre, rootkit, webreputation e behavior monitor.

·         Aggiornamento di sisemi operativi e software di server e client

Per maggiori dettagli si veda il documento Best Practice Sistemi. 

Protezione dei dati: Backup, High Availability, Disaster Recovery e Business Continuity:
Conoscere la differenza tra il backup, il disaster recovery e la business continuity è fondamentale per preservare i dati e calcolarne il loro valore (inteso come costo) in termini di perdita o ritardi nell’erogare i servizi. Molto spesso non ci si accorge che l’inattività causata da eventi svariati (l’interruzione di energia, di connessione ad internet, errori degli utenti, guasti hardware o software, inondazioni, incendi, fulmini, furti, ecc.) può provocare il rallentamento dei servizi dati agli utenti generando effetti negativi che si ripercuoteranno a livello economico e di immagine per la PA, oltre a produrre un conseguente danno al cittadino.

Il Backup è semplicemente la copia dei dati replicata su un altro dispositivo o su un'altra posizione, in modo tale da ripristinare le informazioni originali nel caso esse vengano danneggiate o perse. Per esempio, a causa di un virus tutti i dati di un ufficio potrebbero essere irrimediabilmente cancellati o non letti: il backup ci permetterà di recuperare e ripristinare tali informazioni. Per realizzarlo occorre dotarsi di dispositivi di salvataggio su nastro dei dati e di software di backup per la gestione dispositivi di salvataggio. Occorre prevedere almeno una volta a settimana un salvataggio completo e giornalmente un salvataggio di tipo differenziale.

Il Disaster Recovery (DR) è l'insieme di tecnologie e processi predisposti per ripristinare i sistemi, le applicazioni e i dati necessari all'erogazione dei servizi, potenzialmente interrotti a seguito di eventi dannosi (appunto i “disastri). Per esempio, se il server non si avvia correttamente, non saremo in grado di tornare al lavoro rapidamente avendo solo il backup dei dati.  Al fine di poter ripristinare le condizioni di lavoro interrotte, il server dovrebbe essere sostituito, tutti i software re-installati, i dati scaricati e copiati, e quindi l'intero sistema dovrebbe essere configurato con le impostazioni e le preferenze specifiche di ogni ufficio. Il sopracitato processo potrebbe richiedere giorni o settimane anche disponendo di tutte le licenze software e una copia pulita dei dati.

La Continuità Operativa (Da “Linee Guida per il DR delle PA ”, DigitPA 2011): l’insieme delle attività e delle politiche adottate per ottemperare all’obbligo di assicurare la continuità nel funzionamento dell’organizzazione; è parte integrante dei processi e delle politiche di sicurezza di un’organizzazione. Continuità operativa ICT : la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure esoluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all’interno o all’esterno dell’organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali. 

 

Sicurezza nei processi organizzativi

La sicurezza è spesso percepita da molte Amministrazioni come una questione essenzialmente tecnologica. La sicurezza nei processi organizzativi, legata al concetto di gestione del rischio e di governance, è spesso invece l’aspetto più critico.

Si elencano alcune best-practice nell’ambito dei processi organizzativi.

Predisporre un regolamento informatico interno all’ente . In allegato si propone un esempio di regolamento, che dovrà essere personalizzato in base alla propria realtà.

Predisporre un documento interno per la gestione delle credenziali degli utenti da parte degli operatori del SIC Sistema Informatico (deve prevedere le varie fasi per il rilascio delle credenziali. La richiesta da parte del Dirigente, la consegna nuove credenziali, la modifica in seguito a cambio mansione, la cessazione per ciascun punto occorre prevedere dei modelli/moduli da seguire ogni volta.

Sicurezza fisica: prevedere un controllo degli accessi fisici ai server, impedendo accesso alle persone non autorizzate allo scopo di prevenire furti, manomissioni o danni ai dati.

Controllo degli accessi: impostare, per ogni procedura di trattamento dati, un sistema di credenziali di autenticazione, (user-id e password) che rispetti tutte le misure minime di sicurezza relative allAllegato B del d.lgs 196

Password policy: impostare obbligatoriamente tutte le seguenti proprietà alle password:

·         lunghezza minima 8 caratteri,

·         complessità della password (almeno una lettera maiuscola, almeno una minuscola, almeno un numero),

·         scadenza della password ogni 3/6 mesi se dati personali/sensibili,

·         memoria delle ultime 3 password. (vedi Allegato B del d.lgs196 )

Sicurezza degli accessi dei fornitori, outsourcer: formalizzare le autorizzazioni di accesso da parte degli esterni , prevedere canali sicuri di tipo VPN di comunicazione da remoto, monitorarne gli accessi.

 

Sicurezza nel personale


Il Piano nazionale strategico per la protezione cibernetica e la sicurezza informatica dedica interamente il capitolo 3 alla “Promozione e Diffusione della cultura della sicurezza informatica Formazione e Addestramento”.

Si elencano alcune regole da seguire:

Sensibilizzare gli utenti finali sui rischi dei virus

Per maggiori dettagli si veda il documento  Breve guida Virus.

Sensibilizzare gli utenti finali sull’importanza della segretezza della password e sulle responsabilità legate alle proprie credenziali: la password è la prima protezione ai dati, non deve essere ceduta ad altri, non deve essere scritta in un foglietto lasciato sullo schermo o sulla scrivania. Ciascuno è responsabile delle proprie credenziali per cui, se dovessero essere usate  da altri in modo improprio, la colpa ricadrebbe sull’utente stesso.

Responsabilizzare gli utenti sull’ obbligo del rispetto del Regolamento Informatico  interno, sull’uso corretto dei dispositivi informatici.

 

 

Sicurezza nella PA –AGID Misure minime di sicurezza ICT nelle PA


AGID
ha un ruolo primario nell’emanazione delle regole tecniche in campo di sicurezza, come indicato negli art. 50 e 51 del CAD, dove si trattano i temi dell’integrità e della disponibilità dei dati.

Inoltre nel Quadro Strategico Nazionale per la sicurezza nello spazio cibernetico” si individuano i ruoli dei soggetti pubblici, in particolare a pag. 31 si individuano i compiti di AGID.

In particolare, relativamente alla sicurezza informatica, AGID:

 

·         detta indirizzi,  regole  tecniche  e  linee guida  in  materia  di  sicurezza  informatica e di omogeneità dei linguaggi, delle procedure e degli standard, anche di tipo aperto, in modo da assicurare, tra  l’altro,  la  piena  interoperabilità  e cooperazione  applicativa  tra  i  sistemi informatici  della  P.A.  e  tra  questi  e  i sistemi  dell’Unione  Europea  (D.L.  22 giugno 2012, n. 83, art. 20 co. 3 lit b)

·         assicura la qualità tecnica e la sicurezza dei sistemi informatici delle PA e delle loro interconnessioni

·         opera il CERT PA.

 

A settembre 2016, AGID, in attuazione alla Direttiva del Presidente del Consiglio DPCM 1-8-2015 ha pubblicato le Misure Minime di Sicurezza ICT per le  Pubbliche Amministrazioni.

 

Visto il contesto in cui sono inquadrate, anche se non hanno ancora forza di legge, le misure minime costituiscono un parametro di legittimità dell’azione amministrativa a cui le PA devono conformarsi , in attesa di indicazioni più precise.

 

Si invitano i tecnici informatici delle PA all’analisi dell’intero documento ed al progressivo adeguamento di tutte le misure, almeno per il livello minimo, che si intende obbligatorio. 

Per maggiori dettagli si veda il documento  Osservazioni Misure Minime Agid.pdf

 

Facendo riferimento al link http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/misure-minime-sicurezza-ict-pubbliche-amministrazioni si evidenzia che

“Fra le misure minime è previsto anche che le pubbliche amministrazioni accedano sistematicamente a servizi di early warning che consentano loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza. A tal proposito il CERT PA fornisce servizi proattivi ed informativi a tutte le amministrazioni accreditate.”

 

CERT PA è una struttura che opera all’interno dell’Agenzia ed è preposta al trattamento degli incidenti di sicurezza informatica del dominio costituito dalle pubbliche amministrazioni. Svolge le seguenti funzioni:

  • l’emanazione di bollettini e segnalazioni di sicurezza
  • la gestione degli allarmi di sicurezza
  • il supporto ai processi di gestione e risoluzione degli incidenti di sicurezza all’interno del dominio delle PA
  • servizi di formazione e comunicazione per promuovere la cultura della sicurezza cibernetica, attraverso la condivisione di informazioni

 

Acronimi

 

AGID                             AGenzia per l’Italia Digitale

CAD                              Codice dell’Amministrazione Digitale

CERT Computer          Emergency Response Team, squadra per la risposta ad emergenze informatiche

CERT PA                      Computer Emergency Response Team per la Pubblica Amministrazione

CNAIPIC                       Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.

BYOD                           Bring your own device

ENISA                           European Union Agency for Network and Information Security

EC3                              European Cybercrime Center

NIS                               Network e Information security, Direttiva Europea  

CISO                            Chief Information Security Officer 

IDS/IPS                        Intrusion Detection System 

SIEM                            Security Information and Event Managment

ISO 27000:1                Normative per la certificazione di un' ente per 

SOC                            Security Operation Center servizio che permette di rilevare e contrastare gli attacchi informatici che possono compromettere la continuità /sicurezza/riservatezza dei dati tramite un monitoraggio h24x7

BC                               Business Continuity

HA                               High Avaiability           

DR                               Disaster Recovery

CCSC                         CIS Critical Security Control  (elenco dei controlli emanati dal CIS)

CIS                              Center for Internet Security

ABSC                          Agid Based Security Control

SANS 20                     Insieme di controlli emanate dal CIS

FNSC                          Framwork Nazionale Sicureza Cibernetica

DFIR                           Data Forensis &Incident Response

DIS                             Dipartimento delle informazioni per la sicurezza

AISE                            Agenzia informazioni e sicurezza esterna

AISI                              Agenzia informazioni e sicurezza interna

NIST                           National Institute of Standard and tecnology

 

 

Definizioni

 

Cyber crime                Azioni, compresi attacchi informatici, effettuate per finalità politiche o sociali

C&C                            Command &Control I centri di comando e controllo (C&C) sono quegli host utilizzati per l’invio dei comandi alle macchine infette (bot) dal malware

                                    utilizzato per la costruzione della botnet. Tali host fungono da ponte nelle comunicazioni tra gli host infetti e chi gestisce la botnet, al fine di rendere più

                                    difficile la localizzazione di questi ultimi
 

Backdoor                    Soluzione tecnica che consente l’accesso ad un sistema superando i normali meccanismi di protezione
 

Botnet                         Insieme di dispositivi (compromessi da malware) connessi alla rete utilizzati per effettuare, a loro insaputa, un attacco ad esempio di tipo DDOS
 

DDoS                         (Distributed Denial of Service) Attacchi DOS distribuiti, cioè basati sull’uso di una rete di apparati, costituenti in una botnet dai quali parte l’attacco verso

                                   l’obiettivo
 

DOS                           (Denial of Service) Attacchi volti a rendere inaccessibili alcuni tipi di servizi. Possono essere divisi in due tipologie: • applicativi, tesi a generare un numero

                                   di richieste maggiore o uguale al numero di richieste massimo a cui un server può rispondere (ad esempio numero di richieste web HTTP/HTTPS

                                   concorrenti).• volumetrici, tesi a generare un volume di traffico maggiore o uguale alla banda disponibile in modo da saturarne le risorse. Se vengono

                                   utilizzati più dispositivi per l’attacco coordinati da un centro di C&C si parla di DDoS (Destribuited Denial of Service)
 

Exploit                        Codice con cui è possibile sfruttare una vulnerabilità di un sistema
 

Exploit KIts                 Applicazioni utilizzabili anche da attaccanti non esperti, che consentono di sfruttare in forma automatizzata le vulnerabilità di un dispositivo (di norma un

                                   browser e applicazioni ri-chiamate da un browser)

Apt                              (Advanced Persistent Treath) Schemi di attacco articolati, mirati a specifiche entità o orga-nizzazioni contraddistinti da: • un accurato studio del bersaglio

                                    preventivo che spesso continua anche durante l’attacco • l’impiego di tool e malware sofisticati • la lunga durata o la persistenza nel tempo cercando di

                                    rimanere inosservati per continuare a perpetrare quanto più possibile il proprio effetto

Social engineering     Tecniche di attacco basate sulla raccolta di informazioni mediante studio/interazione con una persona
 

Phishing                     Tecnica che induce la vittima, mediante una falsa comunicazione in posta elettronica, a collegarsi verso un sito bersaglio simile all’originale (ad esempio il

                                    sito di una banca) al fine di intercettare informazioni trasmesse, quali le credenziali di accesso

Spear Phishing           Phishing altamente personalizzato, mail scritte con astute strategie usate dai social engineer

Malware                      Definizione generica di applicazioni finalizzate a arrecare in qualche modo danno alla vittima (ad esempio raccogliendo o intercettando informazioni,

                                    creando malfunzionamenti nei dispositivi sui quali sono presenti, criptando i file al fine di richiedere un riscatto per renderli nuovamente intellegibili
 

Cryptolocker               Malware che ha come finalità criptare i file presenti nel dispositivo infetto al fine di richiedere un riscatto alla vittima per renderli nuovamente intellegibili

 

Malware as a service  il malware è un prodotto che viene venduto, semplice da usare

 

Deep web                    parte di Internet nascosta, dove gli hacker svolgono le loro attività illecite, traffici di droga, armi

 

Hactivism                    Azioni, compresi attacchi informatici, effettuate per finalità politiche o social

 

Cyber warfare             Insieme di tecniche di raccolta, elaborazione, gestione, diffusione delle informazioni, per ottenere un vantaggio in campo militare, politico, economico

 

Spyware                      Malware che raccoglie informazioni sul comportamento della vittima trasmettendole all’attaccante

 

Rootkit                         Malware che consente sia il controllo occulto di un dispositivo, sia di nascondere la presenza propria e di altri malware

 

Fonte: Glossario Clusit –Associazione Italiana per la Sicurezza Informatica

  

 

Link di riferimento

 

[1]  Elenco delle misure minime di sicurezza ICT per le PA (settembre 2016), emanato da AGID in attuazione alla Direttiva del Presidente del Consiglio dei ministri del 1/8/20115.

http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/misure-minime-sicurezza-ict-pubbliche-amministrazioni

http://www.agid.gov.it/notizie/2016/09/26/misure-minime-sicurezza-informatica-pubbliche-amministrazioni

[2]  Agid e Sicurezza

http://www.agid.gov.it/tags/sicurezza-ict

[3]  CERT PA è la struttura che opera all'interno di AGID e ha il compito di supportare e coordinare la PA nella prevenzione, risposta e rientro dagli incidenti informatici https://www.cert-pa.it/ 

[4]  CERT Nazionale Italia Computer Emergency Response Team 

https://www.certnazionale.it/ 

[5]  Italian Cyber Security Report 2014 consapevolezza della minaccia e capacità difensiva della Pubblica Amministrazione”

http://www.agid.gov.it/sites/default/files/presentazioni/2014CIS-Report_web.pdf 

http://www.agid.gov.it/notizie/2015/01/14/italian-cyber-security-report-2014

[6]  Framework nazionale per la cyber security 

 http://www.cybersecurityframework.it/

[7]  Associazione Italiana per la sicurezza informatica, rapporto annuale sulle minacce, white papers, eventi

http://www.clusit.it/ 

[8]  Libro Bianco, Roberto Baldoni,  Il futuro della Cyber Security in Italia

https://www.consorzio-cini.it/index.php/it/labcs-home/60-italiano/laboratori/lab-cyber-security/notizie-in-evidenza/922-presentazione-libro-bianco-il-futuro-della-cyber-security-in-italia-16novembre-2015-senato-della-repubblica-2

[9]  La “Strategia per la crescita digitale per l’Italia 2014-2020” contiene a pagina 58 il capitolo  “Digital Security per la PA” in cui spiega gli obbiettivi della sicurezza nella PA , le e azioni del Governo , il ruolo di AGID e delle Pubbliche Amministrazioni.

http://www.agid.gov.it/sites/default/files/documenti_indirizzo/strategia_crescita_digitale_ver_def_21062016.pdf

 

Normativa di riferimento

Con riferimento alla sicurezza informatica si individuano i seguenti temi:

1.    Codice della Privacy, allegato B Misure minime di sicurezza e provvedimenti del Garante

2.    Regolamento Europeo della Privacy GDPR 679/2016

3.    Direttive del Presidente del Consiglio sulla Sicurezza Informatica nazionale e AGID

4.    CAD art, 50, 50 bis, 51

5.    Direttiva Europea NIS
 

Codice della Privacy

La sicurezza informatica è disciplinata a livello normativo dal Codice della Privacy, in particolare l’Allegato B contiene le misure minime di sicurezza e da vari provvedimenti del Garante.

[1]  D.lgs 196 del 2003  Privacy-Allegato B Disciplinare Tecnico Misure Minime di Sicurezza

[2]  Provvedimento del Garante del 27 novembre 2008 Amministratori di sistema 2008

[3]  Linee Guida del Garante per la posta elettronica e internet marzo 2007

[4]  Trattamento dei dati personali riferiti alla navigazione internet dei dipendenti - 5 febbraio 2015

 

Regolamento Europeo della Privacy GDPR  679/2016

Siamo in attesa di istruzioni ulteriori dalla normativa italiana relativamente al recepimento del Regolamento Europeo per la privacy GDPR (General Data Protection Regulation) (EU) 2016/679, che introdurrà importanti novità in materia di sicurezza, quali nuovi obblighi, aggravamento di responsabilità e multe pesanti. Se non dovessero esserci interventi dalla normativa italiana, il GPDR sarà legge direttamente applicabile.

In breve, si prevede l’obbligo per le aziende e le pubbliche amministrazioni di adottare idonee politiche di sicurezza. Le misure di sicurezza vanno valutate sulla base di una analisi approfondita dei dati personali da trattare e dovranno essere adeguate ai rischi specifici che incombono su di essi. Si mette in evidenza che la normativa europea ha un approccio basato sull’ autovalutazione del rischio per definire le idonee misure di sicurezza.

Per maggiori dettagli si veda il documento Appunti Regolamento europeo privacy GDPR


Direttive del Presidente del Consiglio sulla Sicurezza Informatica nazionale e AGID

Per quanto riguarda la Pubblica Amministrazione

[1]  DPCM 24 gennaio 2013 Direttiva del Presidente del Consiglio dei Ministri recante “Indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”. Qui il Presidente adotta sia il “Quadro strategico nazionale per la sicurezza dello Spazio cibernetico”, che il “Piano Nazionale per la protezione cibernetica e la sicurezza informatica”.

[2]  Quadro strategico nazionale per la sicurezza dello Spazio cibernetico (citato nel framework e nel piano nazionale di cui sopra)

[3]  Piano Nazionale per la protezione cibernetica e la sicurezza informatica Dicembre 2013 Pprevede i CERT In Italia: c’è IL CERT NAZIONALE, CERT PA , prevede la diffusione della cultura informatica

[4]  DPCM 1-8-2015  Direttiva del Presidente del Consiglio dei Ministri sulla protezione cibernetica e sicurezza informatica nazionale

[5]  2014 Italian Cyber Security report pag. 72 indice delle raccomandazioni

 

CAD

Nel CAD Decreto Legislativo 7 marzo 2005, n. 82 si parla di sicurezza dei dati nei seguenti articoli: (http://www.altalex.com/documents/news/2014/06/20/codice-dell-amministrazione-digitale-capo-v#capo5)

  • Art. 50. Disponibilità dei dati delle pubbliche amministrazioni
  • Art. 50-bis Continuità operativa
  • Art. 51 Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni

Nel Nuovo CAD  Decreto Legislativo 26 agosto 2016, n. 179 si parla di sicurezza nell’art 41 che modifica l’art 51 del CAD 2005.

In particolare si parla di AGID nel art. 51 , il comma 1-bis,: e' sostituito dal seguente: «1-bis. AgID attua, per quanto di competenza e in raccordo con le altre autorita' competenti in materia, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica.»

 


Direttiva Europea NIS

 

Il parlamento europeo ha approvato la Direttiva europea sulla sicurezza NIS che stabilisce i requisiti minimi di sicurezza per i servizi essenziali e l’obbligo di informare le Autorità competenti in caso di incidenti. La definizione di “servizio essenziale” dal 2013 è soggetta a discussioni, ma attualmente comprende sia gli operatori di infrastrutture critiche (energia, mercati finanziari, sanità, acqua, trasporti, banche, infrastrutture digitali, internet exchange points e provider DNS)  che i principali fornitori di servizi della società dell' Informazione. Sono gli Stati membri che dovranno identificare e censire gli operatori dei servizi essenziali. I tempi per l’attuazione da parte degli stati membri  sono piuttosto lunghi. Anche in questo caso come per il GDPR siamo in attesa di indicazioni più precise.

[1]  https://www.nist.gov/topics/cybersecurity

[2]  https://www.enisa.europa.eu

 

Link Utili

 

 

[1]  http://amministrazionelibera.org/?p=747&i=2
Interessante articolo riassuntivo sulla sicurezza nelle PA

[2]  http://www.ilsole24ore.com/art/tecnologie/2016-10-24/nel-mirino-hacker-reti-elettricita-acqua-e-gas-074252.shtml?uuid=ADtJP7hB  
Articolo su Internet delle Cose e security

[3]  http://www.forumpa.it/pa-digitale/sicurezza-vallega-cosa-fare-in-attesa-del-dpo?utm_source=newsletter&utm_medium=SICUREZ&utm_campaign=MAILUP Articolo sul Regolamento Europeo Privacy che bisogna fare in attesa di istruzioni precise

            Articoli sulla nuova Direttiva NIS:

[4]  http://www.techeconomy.it/2016/07/08/lunione-europea-approvato-la-direttiva-nis-priorita-alla-cyber-security/

[5]  http://brunosaetta.it/cyber-security/nis-la-direttiva-per-la-sicurezza-delle-reti-europee.html

[6]  http://www.consulentelegaleinformatico.it/2016/06/21/la-direttiva-nis-le-regole-sicurezza-informatica-livello-ue

 

 

 


0 Allegati 0 Allegati
1312 Visualizzazioni

Media (0 Voti)