Sicurezza Spid, “ecco perché ci possiamo fidare dell’identità digitale pubblica”

Tutti i motivi tecnici per cui SPID appare ragionevolmente sicuro. Nonostante le tante paure che si leggono in questi giorni da parte di vari esperti

29 Lug 2016
Luca Bonuccelli

Regione Toscana

identità-160419144741

In questi giorni in molti hanno posto l’accento sulla sicurezza del Sistema Pubblico di Identità Digitale, appare quindi evidente come l’attenzione degli addetti ai lavori e degli utilizzatori sia elevata sul tema.

Per questo motivo è utile fornire alcune informazioni di carattere tecnico al fine di dare consapevolezza del reale livello di sicurezza del sistema, livello che in generale appare elevato.

La prima “paura” è che qualcuno riesca ad “iniettare” del codice malevolo presso l’identity Provider in modo che quando gli utenti chiedono di accedere inserendo user e password il codice lo invii ad un sito dove i malintenzionati possono raccogliere questi dati.

Questo tipo di attacco non funziona se il sito è controllato e sottoposto a misure di sicurezza solide e se l’utente deve identificarsi con un meccanismo “a due fasi” (ad esempio tramite conferma via sms questa tipologia di vulnerabilità riguardo a SPID è puramente accademica: è sufficiente una azione di controllo costante sul “sito” e il pericolo è scongiurato controllo che, come meglio specificato tra qualche riga, esiste.

Un altro dubbio espresso è che il livello base di identificazione sia fatto tramite user e password per alcuni servizi (ad esempio il controllo delle multe da pagare o altri servizi).

Anche questo dubbio è facilmente fugato: in questo documento emesso da AGID è esplicitato che non è possibile accedere a servizi come quello del controllo delle multe con solo login e password.

Gli unici servizi citati come accessibili con livello 1 (login e password) sono:

-Servizio di personalizzazione (della grafica del sito pubblicamente consultabile)

-Consultazioni civiche (ossia poco più di un forum)

-Richiesta informazioni di carattere generale (che non hanno quindi impatti sulla privacy)

Altra criticità è espressa da tecnici è che il punto debole sia la postazione dell’utente il quale utilizza browser o sistemi operativi non aggiornati e quindi vulnerabili a virus o altro che permettno il furto dell’identità.

Pur comprendendo l’importanza dell’attenzione anche sulle postazioni utente questo rischio non è legato a SPID o un sistema specifico, in realtà le politiche di sicurezza del sistema sono tali da inibire l’accesso a utenti che utilizzano sistemi obsoleti, in figura si vede il messaggio che viene restituito in caso di utilizzo di un browser ormai obsoleto e non aggiornato.

Analizzando il protocollo ed i meccanismi di comunicazione tra i vari attori troviamo che sono utilizzati i protocolli SAML e SSL nella loro versione più recente.

SAML utilizza asserzioni che hanno una validità di tempo dell’ordine di qualche minuto e che una volta utilizzati non possono essere “riutilizzati” in modo malevolo, il breve tempo di validità delle informazioni impediscono i cosiddetti attacchi a “forza bruta” nel quale vengono tentate tutte le combinazioni possibili fino ad individuare quella corretta.

Per tentare tutte le combinazioni possibili occorre tempo, anche se sono utilizzati reti di calcolatori con un potenza di elaborazione notevole l’eventuale attaccante che avesse il controllo completo di una postazione di un utente ha poche decine di secondo per forzare il sistema, quindi è obbligato a ripartire da zero.

SAML è un protocollo maturo utilizzato dai colossi della rete tra cui ad esempio Google che lo propone come meccanismo di integrazione tra i servizi di terze parti ed i propri.

Nel passato SAMl è stato oggetto di analisi accurate e nell’articolo redatto nel 2012 (Is SAML An Effective Framework For Secure SSO? ”, Vinayendra Nataraja, 2012) vengono elencati tutti i punti di forza e di debolezza riscontrati.

Lo stesso articolo citato indica nelle conclusioni la soluzione per mitigare i rischi, principalmente connessi all’uso del browser utente come “pivot” della comunicazione tra le parti attrici.

” To mitigate risk, SAML systems need to use timed sessions, HTTPS, and SSL/TLS” cosa che in SPID è già avviene.

Altro dubbio che è stato espresso da chi non conosce il sistema è l’effetto domino in caso che uno dei tanti sistemi che costituiscono SPID si fermi o sia posto sotto attacco. In realtà proprio per l’utilizzo di SAML e di vari gestori di identità e vari gestori dei servizi SPID è una federazione composta da vari nodi.

Nel caso che uno di questi non possa più erogare il servizio gli altri nodi non vengono interessati.

Certo, ci possono essere dei disagi per una parte degli utenti che vogliono utilizzare lo specifico servizio che ipoteticamente è stato reso non operativo, ma gli altri servizi continuano a funzionare in modo indipendente.

Giova ricordare che internet nacque come ARPANET, un progetto militare che aveva come obiettivo principale la robustezza dell’intero sistema in caso di guasti o distruzione di un nodo della rete. Questa caratteristica di robustezza non è venuta meno nella progettazione dei sistemi distribuiti e nelle federazioni come SPID

Inoltre tutti gli attori si applicano per mantenere il sistema intero sicuro ed efficiente, ad esempio tramite un monitoraggio attivo e l’analisi costante di quanto è successo.

Il monitoraggio implementato sui sistemi è orientato a verificare:

-lo stato di efficienza in termini di performance, occupazione di spazi fisici e logici, temperatura ambientale;

-la disponibilità dei sistemi (check di raggiungibilità, controlli sulle connessione attive, ecc.);

-l’esecuzione ed il corretto funzionamento delle applicazioni;

-la sistematica e corretta sincronizzazione dei sistemi con la fonte oraria di riferimento;

-l’assenza di tentativi di accesso non autorizzato;

-che i livelli di servizio siano effettivamente rispettati;

-che i processi di conservazione dei log e delle evidenze siano correttamente eseguiti.

Qualora nel corso delle operazioni di verifica e monitoraggio, il team di gestione rilevi anomalie nel funzionamento del servizio, sono attivate le analisi al fine di comprenderne cause e conseguenze nonché determinare le azioni da intraprendere.

Gli eventi significativi che hanno impatto sul servizio sono notificati alla cosidetta Service Control Room del Gestore dell’Identità Digitale.

I cambiamenti di stato dell’evento vengono monitorati e notificati agli attori interessati.

Il gestore si avvale di gruppi specialistici per il monitoraggio della sicurezza dei Sistemi informativi che erogano il servizio. In particolare sono svolte attività di rilevazione tempestiva di eventi ed allarmi critici per la sicurezza informatica per mezzo della continua osservazione dell’infrastruttura gestita.

I suddetti eventi/allarmi sono rilevati attraverso piattaforme di Intrusion Prevention atte a difendere applicazioni e dati critici da attacchi avanzati e piattaforme di “Security Information and Event Management”per la raccolta degli eventi di Sicurezza.

Le consolle di monitoraggio sono configurate per il controllo continuo e la produzione di allarmi e report di sicurezza per le diverse tipologie di controlli effettuati. Con cadenza settimanale è prodotta la reportistica degli eventi verificatisi, al fine di valutare l’ efficacia dei controlli attuati.

Inoltre tutti gli attori sono dotati di una struttura di controllom ad esempio un identity provider dichiara:

La struttura Tutela Aziendale Fraud-Management al fine della prevenzione e gestione delle frodi sul canale internet, detiene una soluzione di Adaptive Authentication denominata “Fraud DNA”, basata su tecnologia RSA che, in maniera automatica, delinea uno scoring di rischio della sessione di autenticazione al sito.

Tale score è computato in funzione del riconoscimento del finger print della sessione (caratteristiche tecniche del dispositivo utilizzato: IP, configurazione

dei parametri di rete, S.O., browser, …) rispetto al comportamento tipico del cliente archiviato nella kwnoledge base di Poste Italiane. Inoltre è stato

integrato nell’infrastruttura Fraud DNA un servizio antimalware fraud detection volto alla rilevazione dell’eventuale presenza di codice malevolo sulla postazione del cliente.

Il sistema cataloga in real time gli accessi ai siti di ma è impostato in modalità “invisible” lato cliente in modo da consentire comunque l’accesso del cliente anche in caso di rilevazione “High Risk”. Le attività di monitoraggio ed analisi eseguite successivamente analizzando gli scoring a più alto rischio concretizzano eventualmente il blocco degli account confermati compromessi.”

I Presidi di Sicurezza

Il Gestore si avvale di gruppi specialistici per il monitoraggio della sicurezza dei sistemi informativi che erogano il servizio. L’infrastruttura di sicurezza è costituita dall’insieme dei sistemi e degli apparati adibiti alla protezione dell’ambiente tecnologico ed applicativo dedicato al servizio, nonché dai meccanismi di protezione dei dati transitano o risiedono sui sistemi.

Sono svolte attività di rilevazione tempestiva di eventi ed allarmi critici per la sicurezza informatica per mezzo della continua osservazione dell’infrastruttura gestita. I suddetti eventi/allarmi sono visualizzati principalmente attraverso specifiche console di monitoraggio.

Ciascuna console è configurata per monitorare eventi diversi e produrre allarmi e report in funzione delldi come a tipologia dei controlli effettuati. Con cadenza settimanale è prodotta la reportistica degli eventi verificatisi al fine di valutare l’efficacia dei controlli attuati.

Le attività di monitoraggio delle componenti di sicurezza attraverso il controllo e l’analisi dei report viene utilizzata anche ai fini della prevenzione degli incidenti di sicurezza. Gli eventi riscontrati sono classificati in funzione della loro gravità e degli impatti che possono avere sugli asset; in relazione a tale classificazione, sono identificate le contromisure idonee a gestire l’evento. Quando dall’evento scaturisce un danno, sono svolte le attività necessarie ad accertare e valutare il danno subito nonché a definire il piano di ripristino.

In conclusione possiamo affermare che SPID appare ragionevolmente sicuro, ma (cosa più importante) è stata impostata una politica costante di attenzione sul sistema tutto; se il livello d’attenzione rimarrà tale è verosimile immaginare la messa in essere di un sempre più elevato livello di sicurezza.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2