Sviluppi della Tecnologia Informatica e della Sicurezza ICT: sinergie tra Università, Industria e Pubblica Amministrazione Lo stato dell’arte della sicurezza ICT nelle pubbliche amministrazioni ing. Claudio Manganelli Componente Collegio CNIPA - Presidente del Comitato tecnico nazionale sulla sicurezza ICT nella PA Aula Magna dell’Università di Salerno 30 novembre 2005 Univ. Salerno – 30/11/05 1 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Alcuni dati sulla sicurezza ICT Le vulnerabilità informatiche per classi di tecnologia 3% Anno 2004 4% 8% 58% 19% 18 24 15 1° semestre 2005 2% 54 28 126 576 9 1° semestre 2004 6% 34 21 12 50 64 263 0 Sistemi operativi Network security Apparati di rete Applicazioni lato server Univ. Salerno – 30/11/05 2 di 20 Web Database Applicazioni lato client 100 200 Sistemi operativi Network security Apparati di rete Applicazioni lato server 300 400 500 Web Database Applicazioni lato client Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli 600 Alcuni dati sulla sicurezza ICT Malware: virus e worm (fonte Symantec) 12000 10.866 10000 7.360 8000 6000 4.496 4000 2000 1.702 994 141 184 164 171 170 Gen - Giu 2003 Lug - Dic 2003 Gen - Giu 2004 Lug - Dic 2004 Gen - Giu 2005 0 Totale Virus e Worm Univ. Salerno – 30/11/05 3 di 20 Famiglie virali Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Alcuni dati sulla sicurezza ICT Andamento dei fenomeni di attacco (virus e worm) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Dal 2002 non sono più prodotti macro virus, virus di boot, e per file 1999 2000 2001 macro 2002 boot 2003 worm 2004 file 60 52 50 49 42 40 38 29 20 1998 1999 2000 2001 28 2002 2003 I tipi (famiglie) di virus circolanti in Italia sono network worm 2400 Fonte: SECURITYNET® -Servizio Antivirus e Prevenzione Computer Crime- OASI SpA Univ. Salerno – 30/11/05 4 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Alcuni dati sulla sicurezza ICT Phishing Un sito specializzato ha censito – ad agosto 2004 – 1.474 casi che hanno interessato 39 servizi bancari. 400 casi fino a marzo 2004; 1.100 casi fino ad aprile 2004; 2.626 a febbraio 2005. Il numero di aziende colpite da questo tipo di attacco è in aumentato Fonte: Univ. Salerno – 30/11/05 5 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Alcuni dati sulla sicurezza ICT Dati sugli interventi Chi ha risolto gli incidenti 100% 57% 80% 43% Approfondimenti SecurityNet su alcune aziende 60% 40% 20% 0% solo personale interno personale interno ed esterno Tempo necessario per il ripristino del funzionamento 100% 80% 60% 40% 20% 0% meno di 1 h Server Univ. Salerno – 30/11/05 6 di 20 da 1h a 8h oltre 8h Workstation Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli I rischi per lo sviluppo dell’egovernment Le informazioni acquisite o elaborate possono essere raccolte, memorizzate, analizzate, relazionate ed utilizzate in diversi modi, in posti geograficamente remoti, senza che i soggetti interessati ne siano consci Lo sviluppo dell’e-government è accompagnato dal sorgere di nuovi problemi furto d’identità spamming prodotti di pubblicità indesiderati (adware) Dopo l’entusiasmo per le nuove tecnologie, si rischia il “rigetto” per l’assenza di garanzie di sicurezza Univ. Salerno – 30/11/05 7 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli La sicurezza ICT del settore pubblico Il Governo ha indicato nella promozione della Società dell’informazione e nella realizzazione di un nuovo modello di Stato digitalizzato due priorità per lo sviluppo economico, sociale e culturale del Paese La straordinaria efficienza dei nuovi strumenti da un lato moltiplica le opportunità di sviluppo del Paese, dall’altro incrementa i fattori di rischio ed offre nuove opportunità di uso non etico e criminoso La digitalizzazione dello Stato incrementa la dipendenza dai sistemi informativi e quindi l’importanza della loro sicurezza Univ. Salerno – 30/11/05 8 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Prime risposte al bisogno di sicurezza ICT Direttiva del Presidente del Consiglio dei Ministri del 16 gennaio 2002 sulla “Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali” "Linee guida del Governo per lo sviluppo della Società dell'Informazione nella legislatura” (28 maggio 2002) Istituzione del Comitato tecnico nazionale sulla sicurezza ICT nelle PA (DM MIC-MIT 24 luglio 2002 e 6 agosto 2004) Univ. Salerno – 30/11/05 9 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Le indicazioni del Comitato tecnico “Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione“ (marzo 2004) Univ. Salerno – 30/11/05 10 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Il Codice dell’amministrazione digitale Normativa dedicata all’ICT Il codice ed i provvedimenti ad esso collegati Decreto legislativo 28 febbraio 2005, n. 42 recante istituzione del sistema pubblico di connettività Decreto del Presidente della Repubblica 11 febbraio 2005, recante posta elettronica certificata Univ. Salerno – 30/11/05 11 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli La sicurezza ICT nel Codice Una parte rilevante dei contenuti del Codice è dedicata agli aspetti della sicurezza delle informazioni Modulistica (art. 58) Firma digitale (art. 21) CIE e CNS (art. 67) Sicurezza dei dati (art. 54) Pagamenti informatici (art. 5) Segretezza della corrispondenza telematica (art.52) Univ. Salerno – 30/11/05 12 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Iniziative del CNIPA per la sicurezza ICT delle PA GovCERT Gruppo di lavoro per redazione del Piano Nazionale e del Modello Organizzativo Continuità Operativa Sistemi di autenticazione e riconoscimento: biometria e RFID Univ. Salerno – 30/11/05 13 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Il GovCERT - obiettivi • Assicurare un presidio informativo sugli eventi che possono colpire le infrastrutture, i servizi e gli utenti della PA, fornendo dati e informazioni al personale tecnico delle PA di riferimento. • Emanare linee guida di tipo tecnico ed organizzativo per favorire ed uniformare la capacità di risposta agli incidenti e lo sviluppo della cultura della sicurezza nelle PA. • Collaborare con altri Organi dello Stato che hanno competenza in materia per favorirne l’interazione. • Costituire per la PA un punto di riferimento per la sicurezza informatica e la gestione degli incidenti. Univ. Salerno – 30/11/05 14 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Il GovCERT – le attività Servizio di Early Warning Bollettini prodotti in lingua italiana e firmati digitalmente. Da Gennaio 2005 61 segnalazioni per nuove vulnerabilità gravi o importanti 10 avvisi di presenza in rete di malware a rischio medio o elevato Supporto alla Gestione degli Incidenti Da Gennaio 2005 19 web defacement rilevati e comunicati Ricevute segnalazioni di incidenti una di esse ha richiesto l’analisi del codice virale Univ. Salerno – 30/11/05 15 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Gruppo di lavoro per redazione del Piano Nazionale e del Modello Organizzativo •Il Piano Nazionale della sicurezza ICT e il Modello Organizzativo della sicurezza ICT per la Pubblica Amministrazione sono stati previsti nelle “Linee guida del Governo per lo sviluppo della Società dell’Informazione nella legislatura” •Il Gruppo di lavoro ha da poco terminato le sue attività e presenterà i risultati al Comitato Univ. Salerno – 30/11/05 16 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Continuità Operativa istituzione di un centro di competenza per il supporto alle iniziative per il disaster recovery e la business continuity. a questo centro di competenza fanno riferimento le diverse iniziative di volta in volta promosse: •il progetto Centro Unico di Backup degli istituti di previdenza •il gruppo di lavoro per le linee guida per la Business Continuity nella PA Univ. Salerno – 30/11/05 17 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Sistemi di autenticazione e riconoscimento: biometria e RFID •Negli ultimi anni si è manifestato un crescente interesse da parte di amministrazioni pubbliche per l’impiego delle tecnologie biometriche in ambiti “civili” •A partire dal 2003 il CNIPA ha avviato le attività sull’argomento con la costituzione di un centro di competenza sulla biometria e di un gruppo di lavoro per la redazione di linee guida sulle tecnologie biometriche. Univ. Salerno – 30/11/05 18 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Sistemi di autenticazione e riconoscimento: biometria e RFID •Fra gli obiettivi del centro di competenza sulla biometria: •supporto diretto ai progetti della PA e la condivisione di best practice •monitoraggio del mercato e della normativa •indagini e attività di laboratorio interne ed in collaborazione con laboratori esterni (Ministero dell’Interno e Università di Bologna) •Sono stati inoltre prodotti due documenti: •Linee guida per l’impiego delle tecnologie biometriche nella PA (2004) •Linee guida per l’impiego delle tecnologie biometriche nella PA - Indicazioni operative (2005) •E’ stato tenuto il convegno Cnipa “La biometria entra nell’e-government. Roma, 23.11.04” Univ. Salerno – 30/11/05 19 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli Sistemi di autenticazione e riconoscimento: biometria e RFID •Nel gennaio 2005 il Cnipa ha costituito un Gruppo di studio sull’impiego degli RFID con l’obiettivo di individuare e analizzare le applicazioni potenzialmente d’interesse per la PA. •A seguito delle indagini effettuate anche attraverso audizioni con Amministrazioni Pubbliche, operatori di settore e associazioni di categoria il Gruppo ha individuato le seguenti aree di intervento: •approfondimento delle tecnologia dell’RFID e delle applicazioni connesse •costituzione di un laboratorio di sperimentazione e accordi con Centri di Ricerca •individuazione di progetti pilota Univ. Salerno – 30/11/05 20 di 20 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli