Sviluppi della Tecnologia Informatica e della Sicurezza ICT:
sinergie tra Università, Industria e Pubblica Amministrazione
Lo stato dell’arte della sicurezza ICT
nelle pubbliche amministrazioni
ing. Claudio Manganelli
Componente Collegio CNIPA - Presidente del Comitato
tecnico nazionale sulla sicurezza ICT nella PA
Aula Magna dell’Università di Salerno
30 novembre 2005
Univ. Salerno – 30/11/05
1 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Alcuni dati sulla sicurezza ICT
Le vulnerabilità informatiche per classi di tecnologia
3%
Anno 2004
4%
8%
58%
19%
18
24
15
1° semestre 2005
2%
54
28
126
576
9
1° semestre 2004
6%
34
21
12
50
64
263
0
Sistemi operativi
Network security
Apparati di rete
Applicazioni lato server
Univ. Salerno – 30/11/05
2 di 20
Web
Database
Applicazioni lato client
100
200
Sistemi operativi
Network security
Apparati di rete
Applicazioni lato server
300
400
500
Web
Database
Applicazioni lato client
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
600
Alcuni dati sulla sicurezza ICT
Malware: virus e worm
(fonte Symantec)
12000
10.866
10000
7.360
8000
6000
4.496
4000
2000
1.702
994
141
184
164
171
170
Gen - Giu
2003
Lug - Dic
2003
Gen - Giu
2004
Lug - Dic
2004
Gen - Giu
2005
0
Totale Virus e Worm
Univ. Salerno – 30/11/05
3 di 20
Famiglie virali
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Alcuni dati sulla sicurezza ICT
Andamento dei fenomeni di attacco
(virus e worm)
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Dal 2002 non sono più
prodotti macro virus,
virus di boot, e per file
1999
2000
2001
macro
2002
boot
2003
worm
2004
file
60
52
50
49
42
40
38
29
20
1998
1999
2000
2001
28
2002
2003
I tipi (famiglie) di virus
circolanti in Italia
sono network worm
2400
Fonte: SECURITYNET® -Servizio Antivirus e Prevenzione Computer Crime- OASI SpA 
Univ. Salerno – 30/11/05
4 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Alcuni dati sulla sicurezza ICT
Phishing
Un sito specializzato ha censito – ad agosto 2004 – 1.474 casi che hanno interessato 39 servizi
bancari.
400 casi fino a marzo 2004; 1.100 casi fino ad aprile 2004;
2.626 a febbraio 2005.
Il numero di aziende colpite da questo tipo di attacco è in aumentato
Fonte:
Univ. Salerno – 30/11/05
5 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Alcuni dati sulla sicurezza ICT
Dati sugli interventi
Chi ha risolto gli incidenti
100%
57%
80%
43%
Approfondimenti
SecurityNet
su alcune aziende
60%
40%
20%
0%
solo personale
interno
personale interno ed
esterno
Tempo necessario per il ripristino del funzionamento
100%
80%
60%
40%
20%
0%
meno di 1 h
Server
Univ. Salerno – 30/11/05
6 di 20
da 1h a 8h
oltre 8h
Workstation
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
I rischi per lo sviluppo dell’egovernment
 Le informazioni acquisite o elaborate possono
essere raccolte, memorizzate, analizzate,
relazionate ed utilizzate in diversi modi, in posti
geograficamente remoti, senza che i soggetti
interessati ne siano consci
 Lo sviluppo dell’e-government è accompagnato
dal sorgere di nuovi problemi
 furto d’identità
 spamming
 prodotti di pubblicità indesiderati (adware)
 Dopo l’entusiasmo per le nuove tecnologie, si
rischia il “rigetto” per l’assenza di garanzie di
sicurezza
Univ. Salerno – 30/11/05
7 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
La sicurezza ICT del settore pubblico
 Il Governo ha indicato nella promozione della
Società dell’informazione e nella realizzazione di
un nuovo modello di Stato digitalizzato due
priorità per lo sviluppo economico, sociale e
culturale del Paese
 La straordinaria efficienza dei nuovi strumenti
da un lato moltiplica le opportunità di sviluppo
del Paese, dall’altro incrementa i fattori di
rischio ed offre nuove opportunità di uso non
etico e criminoso
 La digitalizzazione dello Stato incrementa la
dipendenza dai sistemi informativi e quindi
l’importanza della loro sicurezza
Univ. Salerno – 30/11/05
8 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Prime risposte al bisogno di
sicurezza ICT
 Direttiva del Presidente del Consiglio dei Ministri
del 16 gennaio 2002 sulla “Sicurezza
Informatica e delle Telecomunicazioni nelle
Pubbliche Amministrazioni Statali”
 "Linee guida del Governo per lo sviluppo della
Società dell'Informazione nella legislatura” (28
maggio 2002)
 Istituzione del Comitato tecnico nazionale sulla
sicurezza ICT nelle PA (DM MIC-MIT 24 luglio
2002 e 6 agosto 2004)
Univ. Salerno – 30/11/05
9 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Le indicazioni del Comitato tecnico
“Proposte
concernenti le
strategie in materia
di sicurezza
informatica e delle
telecomunicazioni
(ICT) per la pubblica
amministrazione“
(marzo 2004)
Univ. Salerno – 30/11/05
10 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Il Codice dell’amministrazione
digitale
 Normativa dedicata all’ICT
 Il codice ed i provvedimenti ad esso
collegati
 Decreto legislativo 28 febbraio 2005, n. 42
recante istituzione del sistema pubblico di
connettività
 Decreto del Presidente della Repubblica 11
febbraio 2005, recante posta elettronica
certificata
Univ. Salerno – 30/11/05
11 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
La sicurezza ICT nel Codice
 Una parte rilevante dei contenuti del Codice è
dedicata agli aspetti della sicurezza delle
informazioni
 Modulistica (art. 58)
 Firma digitale (art. 21)
 CIE e CNS (art. 67)
 Sicurezza dei dati (art. 54)
 Pagamenti informatici (art. 5)
 Segretezza della corrispondenza telematica
(art.52)
Univ. Salerno – 30/11/05
12 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Iniziative del CNIPA per la
sicurezza ICT delle PA
 GovCERT
 Gruppo di lavoro per redazione del Piano
Nazionale e del Modello Organizzativo
 Continuità Operativa
 Sistemi di autenticazione e riconoscimento:
biometria e RFID
Univ. Salerno – 30/11/05
13 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Il GovCERT - obiettivi
• Assicurare un presidio informativo sugli eventi che
possono colpire le infrastrutture, i servizi e gli utenti
della PA, fornendo dati e informazioni al personale
tecnico delle PA di riferimento.
• Emanare linee guida di tipo tecnico ed organizzativo
per favorire ed uniformare la capacità di risposta agli
incidenti e lo sviluppo della cultura della sicurezza
nelle PA.
• Collaborare con altri Organi dello Stato che hanno
competenza in materia per favorirne l’interazione.
• Costituire per la PA un punto di riferimento per la
sicurezza informatica e la gestione degli incidenti.
Univ. Salerno – 30/11/05
14 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Il GovCERT – le attività
Servizio di Early Warning
Bollettini prodotti in lingua italiana e firmati
digitalmente.
Da Gennaio 2005
 61 segnalazioni per nuove vulnerabilità gravi o
importanti
 10 avvisi di presenza in rete di malware a rischio
medio o elevato
Supporto alla Gestione degli Incidenti
Da Gennaio 2005
 19 web defacement rilevati e comunicati
 Ricevute segnalazioni di incidenti
 una di esse ha richiesto l’analisi del codice virale
Univ. Salerno – 30/11/05
15 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Gruppo di lavoro per redazione del Piano Nazionale e
del Modello Organizzativo
•Il Piano Nazionale della sicurezza ICT e il Modello
Organizzativo della sicurezza ICT per la Pubblica
Amministrazione sono stati previsti nelle “Linee guida
del Governo per lo sviluppo della Società
dell’Informazione nella legislatura”
•Il Gruppo di lavoro ha da poco terminato le sue
attività e presenterà i risultati al Comitato
Univ. Salerno – 30/11/05
16 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Continuità Operativa
istituzione di un centro di competenza per il
supporto alle iniziative per il disaster recovery e
la business continuity.
a questo centro di competenza fanno riferimento
le diverse iniziative di volta in volta promosse:
•il progetto Centro Unico di Backup degli istituti di
previdenza
•il gruppo di lavoro per le linee guida per la Business
Continuity nella PA
Univ. Salerno – 30/11/05
17 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Sistemi di autenticazione e
riconoscimento: biometria e RFID
•Negli ultimi anni si è manifestato un crescente
interesse da parte di amministrazioni pubbliche
per l’impiego delle tecnologie biometriche in
ambiti “civili”
•A partire dal 2003 il CNIPA ha avviato le
attività sull’argomento con la costituzione di un
centro di competenza sulla biometria e di un
gruppo di lavoro per la redazione di linee guida
sulle tecnologie biometriche.
Univ. Salerno – 30/11/05
18 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Sistemi di autenticazione e
riconoscimento: biometria e RFID
•Fra gli obiettivi del centro di competenza sulla biometria:
•supporto diretto ai progetti della PA e la
condivisione di best practice
•monitoraggio del mercato e della normativa
•indagini e attività di laboratorio interne ed in
collaborazione con laboratori esterni (Ministero
dell’Interno e Università di Bologna)
•Sono stati inoltre prodotti due documenti:
•Linee guida per l’impiego delle tecnologie biometriche
nella PA (2004)
•Linee guida per l’impiego delle tecnologie biometriche
nella PA - Indicazioni operative (2005)
•E’ stato tenuto il convegno Cnipa “La biometria entra
nell’e-government. Roma, 23.11.04”
Univ. Salerno – 30/11/05
19 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli
Sistemi di autenticazione e
riconoscimento: biometria e RFID
•Nel gennaio 2005 il Cnipa ha costituito un Gruppo di
studio sull’impiego degli RFID con l’obiettivo di
individuare e analizzare le applicazioni potenzialmente
d’interesse per la PA.
•A seguito delle indagini effettuate anche attraverso
audizioni con Amministrazioni Pubbliche, operatori di
settore e associazioni di categoria il Gruppo ha
individuato le seguenti aree di intervento:
•approfondimento delle tecnologia dell’RFID e delle
applicazioni connesse
•costituzione di un laboratorio di sperimentazione e accordi
con Centri di Ricerca
•individuazione di progetti pilota
Univ. Salerno – 30/11/05
20 di 20
Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli