Sogei: un approccio sistemico alla cybersicurezza della PA italiana

La Cyber Security è il processo che consente la protezione delle informazioni ed in generale dei servizi, sistemi ed infrastrutture interconnesse tra loro, attraverso un’attività di prevenzione, rilevazione e risposta ad attacchi provenienti dal Cyberspazio.

La protezione non è infatti rivolta solo alle informazioni aziendali, ma anche tutto ciò che, attraverso l’utilizzo delle tecnologie ICT, può essere esposto a rischi; la reputazione stessa dell’organizzazione, strettamente legata alla comunicazione tramite i canali dei social network, rappresenta un nuovo perimetro di protezione, non contemplato negli scenari più tradizionali di sicurezza ICT.

La chiave della sicurezza nell’era dell’IoT coincide pertanto con la protezione sia del centro che della periferia, intesa sia come dispositivi informatici, che come soggetti partner dell’azienda. Non è sufficiente quindi mettere al riparo l’infrastruttura IT canonica (server, apparati storage, computer e anche servizi mobili e cloud) e nemmeno solo i dati di tipo “mission critical” per garantire la riservatezza, l’integrità e la disponibilità delle informazioni. Un approccio innovativo alla sicurezza richiede una protezione complessiva dai rischi e dagli attacchi dei cyber criminali che sia inclusiva di tutto l’ecosistema in cui cose e persone connesse convivono e si relazionano fra di loro. E bisogna fare in fretta, perché per ogni organizzazione la trasformazione dei propri modelli di business attraverso il digitale, in termini di accessibilità dei dati, è già diventata o diventerà ben presto una priorità strategica.

La Cyber Security è, di fatto, un elemento fondante della digitalizzazione o “digital business”; qui la sfida per l’organizzazione IT è saper gestire una nuova realtà in cui taluni rischi provengono da servizi che sono al di fuori del proprio ambito di controllo, quindi non gestibili efficacemente con gli approcci tradizionali (es. strumenti e infrastruttura). Questo è il motivo per il quale è necessario guardare con crescente interesse alle soluzioni di sicurezza più innovative del settore, che fondano la propria capacità di prevenzione degli attacchi nell’analisi di enormi quantità di eventi, sia riferiti al perimetro interno, sia a quello esterno dell’organizzazione. Rientrano in questa categoria, ad esempio, le tecnologie di “big data security”, ovvero di strumenti con capacità di “data & visual analytics”, in grado di agevolare l’individuazione e l’analisi dei comportamenti anomali o ritenuti a rischio per la sicurezza. Sogei, forte della sua esperienza, ha posto già da tempo molta attenzione su questi aspetti e quindi avviato una attività di analisi di soluzioni particolarmente innovative, in grado di aiutare concretamente gli analisti di sicurezza nell’individuazione delle minacce più sofisticate e nelle attività di prevenzione e di risposta.

Sulla base di questo scenario anche il Governo sta spingendo molto per sensibilizzare la Pubblica Amministrazione a dotarsi d’infrastrutture, processi e competenze per gestire la sicurezza IT. I dati del Rapporto Clusit 2016, realizzato dall’Associazione Italiana per la Sicurezza Informatica, confermano questo trend ed evidenziano una crescita anche in Italia degli attacchi. Di questi, ben il 30% in più rispetto al 2015 è riconducibile a fenomeni di cyber crime con apparenti finalità criminali. Anche le modalità di attuazione degli attacchi si sono evolute, passando da attacchi mirati ad ottenere dei ritorni immediati ad attacchi più ampi finalizzati ad ottenere risultati di medio-lungo periodo che coinvolgono anche il governo delle nuove tecnologie ICT (ad esempio quello dei social media o dei servizi in cloud, così come il controllo degli oggetti connessi ad internet, IoT o relativi agli apparati di controllo industriale – c.d. SCADA – per le infrastrutture critiche coinvolte nell’erogazione di servizi primari per il Paese – quali Acqua, Energia, Trasporti).

La percezione comune è che le aziende non debbano chiedersi se saranno o meno obiettivo di un attacco informatico, ma quando e attraverso quali modalità ciò accadrà. La domanda più corretta che ogni azienda dovrebbe porsi è come rispondere a questo tipo di eventi.

Pertanto, assume grande rilievo la capacità di comprendere e valutare tutti i possibili impatti legati ad un attacco, in modo da adottare efficaci soluzioni di contrasto e di ripristino della normale operatività. Il focus in questo contesto non può essere semplicemente quello di assicurare la compliance, ma soprattutto di garantire la “resilienza” dell’organizzazione che rappresenta la reale efficacia della pratica di Cyber Security adottata.

Trend nel mercato della Cyber Security 2016-2017

Nel mercato globale le aziende e le organizzazioni governative sono sempre più impegnate ad affrontare la complessità crescente nella sicurezza affrontando da un lato la maggiore sofisticazione e il carattere mirato degli attacchi (con avversari sempre più difficili da fronteggiare), dall’altro le vulnerabilità e il perimetro sempre più esposto a minacce anche come conseguenza dell’evoluzione verso il digital business, in cui le nuove sfide derivano ad esempio dall’adozione del cloud, delle soluzioni mobile e dagli ecosistemi IoT. Tutto ciò si complica anche a causa della mancanza all’interno delle strutture di sicurezza delle organizzazioni di personale qualificato con specifiche competenze. Come tendenza chiave nel mercato si registra anche un crescente interesse ad esternalizzare alcune attività eo pratiche di gestione della sicurezza tipiche di un CERT e un SOC. Rispetto a queste sfide gli analisti evidenziano ad esempio la necessità di spostare parte dell’attenzione sulle misure preventive e predittive e sulla “continuous response” partendo dal presupposto che nessuna organizzazione è immune da attacchi. Quindi l’obiettivo finale è arrivare ad un sostanziale equilibrio, in termini di efficacia, tra investimenti dedicati alla prevenzione, quelli per l’individuazione delle minacce ed infine quelli necessari a rispondere efficacemente e tempestivamente in caso di attacco. Le pratiche di sicurezza più avanzate ed innovative si basano sulla consapevolezza e sulla necessità di avere processi e politiche ben definite come base per una strategia di sicurezza efficace e sul fatto che la sola tecnologia non è sufficiente; fare leva sulla security intelligence è sempre più visto come una componente di successo per un approccio di sicurezza moderno dove la migliore comprensione del panorama delle minacce e degli attori (c.d. situational awareness), il monitoraggio del comportamento degli utenti e la collaborazione, il coordinamento tra le diverse parti di una organizzazione, sempre più convergenti (come IT, operations e sicurezza fisica) diventeranno determinanti per l’efficacia delle pratiche di sicurezza.

La Digital Security nella Pubblica Amministrazione

Il patrimonio informativo ed i servizi che a partire da esso vengono erogati, rendono la Pubblica Amministrazione una vera e propria infrastruttura critica della quale occorre assicurare la sicurezza ICT, la continuità operativa e la resistenza ai disastri. Il Progetto di Digital Security per la Pubblica Amministrazione nasce per aumentare il livello di sicurezza delle informazioni e delle infrastrutture che le gestiscono con il fine ultimo di tutelarne la riservatezza, l’integrità e la disponibilità ed in generale la “resilienza” nello spazio cibernetico.

L’esigenza è, in primo luogo, la costituzione, all’interno delle pubbliche amministrazioni centrali e locali, di una organizzazione in grado di gestire complessivamente il rischio cyber, assicurando un’adeguata capacità di prevenzione e risposta agli eventi avversi. Tali strutture devono poi essere raccordate agli elementi fondamentali di coordinamento definiti nel Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico.

In primo luogo il Governo, attraverso l’Agenzia per l’Italia Digitale che conduce azioni molteplici:

• definisce le regole tecniche e le linee guida per la sicurezza ICT;
• verifica ed approva i piani per la continuità operativa ed il disaster recovery;
• predispone i piani per la razionalizzazione delle infrastrutture ICT della PA;
• opera il Computer Emergency Response Team della PA (CERT-PA);
• cura il Sistema Pubblico di Connettività (SPC), ossia la rete informatica della PA.

Il Ministero dello Sviluppo Economico che, attraverso l’Organo di Certificazione della Sicurezza Informatica (OCSI), garantisce la rispondenza ai requisiti di sicurezza dei prodotti e dei sistemi informatici ed opera il CERT per il settore privato. Il Ministero dell’Interno che con il CNAIPIC monitora e sorveglia la sicurezza informatica delle infrastrutture critiche.

Il settore industriale deve sviluppare e fornire prodotti e servizi che rispondano ai requisiti di sicurezza, ma anche e soprattutto tecnologie e soluzioni innovative di Cyber Security che siano all’altezza e sempre adeguate alle continue sfide poste dalla prevenzione e protezione dello spazio cibernetico.

Il progetto Digital Security: cosa occorrerebbe? Il punto di vista di Sogei

1. Cyber Security come tema strategico (livello Board)

In un contesto in cui la tecnologia pervade sempre più i modelli di business ed i relativi processi è chiaro che la Cyber Security non è un tema che interessa il solo mondo IT perché impatta sulle strategie aziendali ed anche sulle scelte operative del management. Per questo deve entrare nell’agenda dei board per la definizione di un framework chiaro di Cyber Security (processi, organizzazione, tecnologie) e l’assegnazione di adeguate risorse (budget, persone, ecc.). L’esperienza Sogei in questo senso è risultata vincente da quando ha deciso di introdurre uno specifico Sistema di Governo della Sicurezza, tra i pochi nella PA italiana, che agisce come trade union tra il board, le funzioni di business e quelle operative. L’introduzione di tale Sistema ha consentito infatti un ampio e profondo coinvolgimento dei vertici aziendali nei processi decisionali legati alla gestione integrata dei rischi di sicurezza (fisica, ambientale, logica, ecc.), e delle conseguenti politiche di investimento. Se a livello di Pubblica Amministrazione fosse richiesta per tutti l’introduzione di un Sistema di Governo e se questo fosse effettivamente standardizzato, si contribuirebbe ad omogeneizzare gli approcci di individuazione e gestione dei rischi, concorrendo in maniera concreta al raggiungimento di una consapevolezza diffusa selle problematiche di sicurezza cibernetica.

2. Definizione e condivisione standard e politiche di riferimento

Come richiamato dalla Strategia per la Crescita Digitale del Governo, il ruolo di definizione degli Standard e delle linee guida di sicurezza per tutta la Pubblica Amministrazione è affidato correttamente all’AGID. In questo senso auspichiamo che le Pubbliche Amministrazione centrali più virtuose che, come Sogei, abbiamo già maturato un’esperienza significativa nella gestione dei rischi di (cyber) Sicurezza, siano attivamente coinvolte nel processo di definizione dei modelli e delle pratiche di riferimento. Ciò porterebbe ad un benefico per l’intero settore, potendo contare sulle competenze già acquisite in molti anni di attività e favorendo quei principi di riuso e condivisione delle best practice che sono alla base dell’Agenda Digitale e del processo di rinnovamento della PA. Per facilitare questo processo, analogamente a quanto fatto a supporto dei programmi di digitalizzazione con la nascita della figura del Digital Champion, Sogei potrebbe agire come uno dei Digital Security Champion nazionali, con l’obiettivo di facilitare il raggiungimento di un livello omogeneo di (Cyber) Sicurezza all’interno della PA ed in generale supportando la realizzazione degli indirizzi operativi indicati nel Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica emanato dalla Presidenza del Consiglio dei Ministri nel Dicembre 2013. Un valido esempio di standardizzazione e che darà sicuramente un impulso importante alla diffusione dei servizi digitali da parte della PA è rappresentato da SPID. In questo caso la Digital Security, ed in particolare tutto quanto riguarda la tematica della sicurezza della Identità Digitale, è diventato l’abilitatore fondamentale per arrivare alla creazione di un ecosistema di servizi, nel quale ciascun provider, tra i quali potrebbe annoverarsi anche Sogei, potrà fornire servizi digitali a valore, caratterizzati da elevati livelli di sicurezza ed assurance fin dall’origine (security by default). Crediamo che lo stesso percorso possa essere adottando per altri servizi, ambiti ed infrastrutture del Paese, mediante un paradigma di regole, standard e modelli uniformi in grado di innalzare complessivamente il livello di sicurezza cibernetica dell’intera Nazione. Questo approccio di “sicurezza industrializzata” e “by design” è stato peraltro da sempre il principio ispiratore di Sogei nell’erogazione dei servizi ICT, in quanto abituata a dover progettare, realizzare e gestire servizi per lo Stato che fossero intrinsecamente sicuri.

3. Istituzione dei CERT e modello di Cooperazione

Tra i suggerimenti invece di carattere più operativo a sostegno delle politiche di Digital Security troviamo certamente il ruolo primario che può fornire il CERT. Come noto il ruolo principale del CERT consiste nel coordinare, supportare e monitorare le attività di prevenzione, risposta e ripristino degli incidenti critici di tipo cyber, abilitando e coordinando le comunicazioni interne ed esterne e supportando la conformità a standard e normative di riferimento, per consentire il rapido ed efficace ripristino dell’operatività sulla base di regole e procedure già definite da attivare in risposta all’attacco. In questo senso il CERT si sta affermando, sia nel mondo pubblico, sia in quello privato, come il punto di contatto principale per la difesa dalla minaccia cyber. Tuttavia la maggior parte delle Pubbliche Amministrazioni ed in generale di diverse infrastrutture critiche non ha ancora formalmente costituito un CERT o sta cominciando adesso il percorso per la sua realizzazione; in questa ottica sarebbe assolutamente auspicabile definire un insieme di capacità e pratiche di riferimento per la definizione stessa dei CERT, con l’obiettivo di garantire competenze ed infrastrutture omogenee e tali da assicurare un livello uniforme di protezione a livello di Pubblica Amministrazione. Anche in questo caso l’esperienza maturata da Sogei potrebbe essere messa a fattor comune con le altre Amministrazioni, affinché si creino i presupposti per una fattiva cooperazione tra CERT, richiesta peraltro anche dalla Direttiva NIS approvata recentemente dal Parlamento Europeo. Il CERT Sogei ha puntato fin dall’origine sull’adozione di processi, servizi e tecnologie consolidate, come ad esempio gli strumenti di Cyber Intelligence ed infosharing, che risultano abilitatori fondamentali nel processo di cooperazione tra i diversi soggetti pubblici e privati e che, a vario titolo, possono contribuire ad una risposta tempestiva e coordinata alle minacce cibernetiche.

Gli indirizzi attesi per lo sviluppo del CERT Sogei sono riconducibili alle seguenti direttrici principali, ciascuna caratterizzata da finalità ed obiettivi specifici:

• Risposta avanzata alle minacce di Cyber Security che interessano i servizi e le infrastrutture di Sogei. Il CERT dovrà essere in grado di fornire, oltre alla missione primaria di gestione degli eventi critici per cui nasce, elementi tangibili inerenti l’effettiva capacità di prevenzione e gestione delle minacce. Tali informazioni, in input al Sistema di Governo della Sicurezza IT, consentiranno di arricchire l’attuale identificazione del rischio con riscontri oggettivi sulla quantità e tipologia di incidenti registrati, consentendo quindi di “misurare” l’efficacia reale delle contromisure applicate e di ricalcolare il rischio residuo, anche sulla base di questi indicatori (c.d. calcolo dinamico del rischio). Il CERT dovrà inoltre contribuire ad un abbattimento generale del rischio cyber. Per raggiungere tale obiettivo dovrà mettere in capo capacità preventive e di analisi della minaccia cyber, realizzabili esclusivamente attraverso l’intenso scambio informativo con le altre community nazionali ed internazionali, mediante soprattutto lo sviluppo delle capacità di Information sharing e Cyber Intelligence.
• Abilitatore della digital transformation come Cyber Security Hub per la PA. È ragionevole ipotizzare che il ruolo di Sogei sarà sempre più associato a quello di responsabile informatico in termini di definizione delle scelte tecnologiche e di progettazione, realizzazione ed esercizio delle soluzioni individuate per il mercato della Pubblica Amministrazione. Sogei si pone, infatti, come l’unica realtà nello scenario nazionale in grado di abilitare la trasformazione digitale della Pubblica Amministrazione, assumendo la responsabilità del settore informatico complessivo della Pubblica Amministrazione, in quanto operante già secondo i più elevati standard di sicurezza, sia informatici, sia fisici. Tutto ciò avvalendosi di moderne soluzioni e metodologie di progettazione, sviluppo ed esercizio dei servizi ICT, nonché di una articolata soluzione di Information Governance a tutela del patrimonio informativo di competenza. In tale contesto il ruolo del CERT, quale punto di contatto primario per la prevenzione ed il contrasto della minaccia cyber, diventerebbe l’interlocutore privilegiato per gli aspetti di Cyber Security della Pubblica Amministrazione. Ciò andrebbe a diretto sostegno e beneficio dell’articolato e inarrestabile processo di trasformazione digitale avviato dalle Amministrazioni, costituendo anche una tangibile opportunità di sviluppo del mercato, in affiancamento agli ambiti più tradizionali in cui Sogei opera con successo da molti anni. In questo senso il modello di gestione del CERT, fortemente orientato al servizio, potrebbe rappresentare un propulsore per altre tipologie di servizi digitali, fondati sullo stesso paradigma e che non possono a loro volta prescindere dalla capacità di presidio dei rischi cibernetici (e.g. Digital Identity)
• Contributo chiave allo sviluppo del sistema di protezione Cyber delle infrastrutture critiche. Sogei è da sempre considerata presidio tecnologico centrale di un patrimonio informativo strategico per il Paese e pertanto riconosciuta come infrastruttura critica informatica d’interesse nazionale, con l’obbligo pertanto di operare secondo i più elevanti standard di Sicurezza e Qualità. In tale contesto l’evoluzione del CERT dovrà considerare il contributo rilevante che un simile presidio può rappresentare per Sogei e per tutte le altre infrastrutture critiche del Paese. Sviluppare nel tempo le capacità di analisi e condivisione delle informazioni (c.d. information sharing) rilevanti per la sicurezza delle infrastrutture cibernetiche, significa contrastare più efficacemente le minacce e le capacità degli antagonisti.

4. Partnership pubblico-private

Infine, l’attuazione di una solida strategia di Digital Security e di un’efficiente capacità di sicurezza e difesa cibernetica nazionale non può prescindere dal contributo fattivo dell’industria privata. In questo senso il ruolo del Governo e di conseguenza anche della PA deve essere orientato alla promozione dell’innovazione per lo sviluppo di soluzioni e tecnologie di Cyber Security da parte delle aziende italiane. Particolare attenzione dovrebbe essere, infatti, posta a imprese nazionali che possano fornire hardware, software e servizi di protezione, senza necessariamente dover ricorrere a produttori esteri e spesso collocati in Paesi ad alto rischio per la sicurezza cibernetica. In questo senso Sogei, collaborando con altre primarie aziende ICT e di sicurezza del panorama Italiano, potrebbe favorire lo sviluppo di partnership pubblico-private, focalizzando gli sforzi sulle effettive necessità ed i trend attuali, come ad esempio i servizi e le piattaforme di Big Data & Advanced Analytics relative alla Cyber Security Intellingence ed al monitoraggio della reputation, basati ad esempio sul paradigma della Open Source Intelligence (modelli OSINT), oppure alla sicurezza delle applicazioni, delle transazioni e dei dati, a fini ad esempio di prevenzione e rilevamento di possibili azioni fraudolente, in un mondo sempre più orientato alla multicanalità (mobile security). Per fare ciò è tuttavia necessario creare un ecosistema di sviluppo e industrializzazione dell’innovazione, fatto dall’impegno diretto del Governo, delle Università, dei forniti e delle eccellenze già attive nella PA, come quella rappresentata da Sogei, che possano davvero passare dalla ricerca alla creazione di soluzioni applicabili direttamente alla Digital Security e quindi al sostegno del processo di digitalizzazione in atto nella Pubblica Amministrazione.

Conclusioni

Per quanto precede, ritengo evidente, che Sogei possa e potrà giocare nel prossimo futuro un ruolo di primo piano nel panorama della PA favorendo l’attuazione di quei comportamenti, di quelle misure di sicurezza organizzative e tecnologiche che favoriranno l’erogazione sicura di servizi ICT da parte della Pubblica Amministrazione verso i cittadini e le aziende semplificando di molto i processi ammnistrativi.

Certo che l’innovazione e lo sviluppo delle progettualità di Cyber Security deve essere accompagnato da un piano razionale e sostenibile di investimenti, troppo spesso carenti o non sufficienti ad accompagnare un reale sviluppo di servizi ICT, intrinsecamente sicuri. In questo senso la PA dovrà avere un ruolo di trascinatore e favorire la crescita economica ed occupazionale del Paese attraendo gli investimenti. Processo inarrestabile, pena il fermo delle attività delle aziende e della PA e quindi della trasformazione digitale in atto.

La sicurezza cibernetica dovrà essere inoltre ripensata non solo in base alle innovazioni tecnologiche, ma anche e soprattutto, in funzione delle competenze di chi dovrà assumere ruoli strategici nella prevenzione del cyber crime e nella gestione della Cyber Security. La sfida più importante si giocherà sulle competenze digitali e sulla cultura della sicurezza, con crescenti necessità di investimento anche nell’area della formazione e nel sostegno dei percorsi di consapevolezza nel medio e lungo periodo, favorendo la corretta percezione dei rischi cyber connessi alle iniziative di digitalizzazione.

L’obiettivo è quello di creare una solida cultura della sicurezza informatica attraverso una serie di azioni concrete che coinvolgono aziende private, PA e singoli cittadini favorendo una reale crescita di competenze nel settore. L’obiettivo deve essere quello di continuare a produrre ricerche di qualità su tematiche attuali ed emergenti (quali le best practice di sicurezza e l’analisi dei big data), con la possibilità di avere un ruolo attivo in termini di ricerca da parte del mondo accademico e privato.