Difendere la PA dal cyber-rischio: tre punti chiave - Agenda Digitale

sicurezza informatica

Difendere la PA dal cyber-rischio: tre punti chiave

Negli ultimi mesi gli attacchi informatici alle pubbliche amministrazioni sono notevolmente aumentati e anche realtà piccole e medie ne stanno subendo le conseguenze, registrando notevoli perdite di dati. La tendenza sarà questa e bisogna, dunque, imparare a difendersi, anche con azioni che sembrano banali. Ecco come

10 Set 2021
Stefano Bruscoli

Responsabile U.O. Sistemi Informativi & Statistica, Comune di Pesaro

La sicurezza informatica dei sistemi della pubblica amministrazione rappresenta oggi un tema centrale, al quale si dovrà prestare sempre più attenzione e dedicare parte del budget, sia per investimenti che per servizi.

Una nuova difesa per la PA

Occorre ricordare che l’attuale Internet, derivata dalla rete Arpanet, venne avviata senza che fosse pensato un sistema particolare di difesa, per un motivo molto semplice: in rete si contavano nel 1977 un centinaio di sedi collegate con altrettanti calcolatori, non vi era alcuna esigenza di difendersi perché non c’era un nemico. Ecco lo schema di Arpanet nel 1977:

WHITEPAPER
HR e Formazione di qualità: come essere pronti? Scopri l'app Feedback4you!
Risorse Umane/Organizzazione
Smart working

Oggi in rete ci sono milioni di server, pc, ecc e le regole di funzionamento sono sostanzialmente le stesse.

Negli ultimi mesi gli attacchi sono notevolmente aumentati e anche realtà piccole e medie della PA ne stanno subendo le conseguenze, registrando notevoli perdite di dati. In alcune situazioni, dove le aziende si sono trovate con i sistemi paralizzati e/o i dati di backup criptati hanno scelto la strada di pagare quanto richiesto per il riscatto e ripristino dei sistemi.

Data center pubblici e migrazione verso il cloud: luci ed ombre di una corsa a ostacoli

Dobbiamo pensare che questo sarà la tendenza per il futuro con il quale dovremo fare i conti, e pertanto dobbiamo attrezzarci per cercare di subire il minor danno possibile. È chiaro che un computer sicuro al 100% è quello che non è collegato alla rete, spento e chiuso a chiave in una stanza, ma ha un difetto: è inutile!

Pertanto, dobbiamo mettere in atto le azioni di difesa più efficaci possibile.

Ne vado a elencare tre:

  1. la difesa perimetrale,
  2. l’aggiornamento dei client
  3. e la formazione del personale.

La difesa perimetrale

La difesa perimetrale è tutto ciò che utilizziamo per proteggere la nostra LAN aziendale, solitamente utilizziamo dei firewall fisici che mediante apposite regole gestiscono il traffico fra i vari segmenti della LAN. La segmentazione della rete è una buona prassi, al fine ad esempio di isolare i server dai vari client, consentendo che si acceda ai server solo su alcune porte necessarie per il funzionamento del software. Per quanto attiene i server l’utilizzo di un cloud aiuta sicuramente nella gestione complessiva del sistema, eliminando o riducendo drasticamente tutte le problematiche legate ad avere una farm on-premises. È assolutamente necessario che i sistemi operativi dei server siano aggiornati alle ultime versioni e venga gestita correttamente la policy di installazione delle varie patch di sicurezza. Sembrano banali raccomandazioni, inutili perché tutti si comportano come sopra indicato. La realtà non è questa però! Ci sono numerose PA che hanno ancora server con Windows 2003 e la versione più recente che hanno installato è Windows 2012. Per non parlare poi di quelle PA che affidandosi a venditori sicuramente poco professionali che utilizzano come “cloud” strutture come quella di OVH di Strasburgo, un insieme di container in acciaio impilati l’uno sull’altro collocati all’aperto in un parcheggio (!); nel marzo scorso si è verificato un incendio che ha lasciato al buio per diversi giorni numerose amministrazioni locali che avevano il proprio portale in tale struttura. Nella mia esperienza l’utilizzo di server Linux è senz’altro consigliato, in particolare per tutti i software che utilizzano sistemi che sono nativi di tali ambienti e portati poi anche su sistemi Windows. L’uso di Linux per i server non significa che ci possiamo dimenticare delle patch di aggiornamento, come spesso accade. In generale sui server si ha un grande timore ad effettuare gli aggiornamenti, pensando che poi i software ospitati su di essi non funzionino più. A volte ciò è vero ed è determinato dall’acquisto di sistemi da software house che si preoccupano poco o niente di seguire l’evoluzione tecnologica dei loro prodotti. Consiglio caldamente di abbandonare ai loro produttori tali sistemi e passare ad altri fornitori.

Chiudo sul tema server raccomandando una periodica attività di assessment fatta da professionisti esterni, con attività di penetration test ecc al fine di valutare complessivamente sia la parte server che le relative difese perimetrali.

L’aggiornamento dei client

Veniamo a client. Premetto che ritengo sbagliata una configurazione dove a tutti gli utenti utilizzano un personal computer. In una PA la gran parte degli utenti fa le stesse cose, ovvero utilizza sistemi di office automantion, lettura di pdf, gestione basica di immagini. E allora perché non utilizzare thin client con RDP? Una farm RDP con una decina di server con 12 processori e 36 gb di Ram ciascuno è in grado di gestire almeno 200 utenti, che grazie alla asincronia di utilizzo posso diventare comodamente 250. Ci sono sistemi molto evoluti per gestire il desktop remoto, ma anche quello di base di Microsoft a partire dalla versione 2016 si difende benissimo. Così facendo si riduce di molto il fronte sul quale si può essere attaccati, anche per la semplice considerazione che si hanno dieci sistemi operativi, quelli dei server da aggiornare. Inoltre, il profilo dell’utente è gestito a livello centralizzato e viene garantito il backup di tutti i dati in esso contenuti. Ma non solo, se ragioniamo di smart working, l’aggiunta di un server che faccia da gateway verso la WAN garantisce la fruibilità del sistema RDP anche da casa, utilizzando un pc domestico, senza problema di alcun tipo per la sicurezza. Ciò in quanto il sistema client fa girare una “bolla” isolata dal medesimo e non in grado di intercambiare dati, i medesimi risiedono sui server aziendali, con buona pace per il GDPR!

Così facendo si ottiene anche una discreta economia di gestione. I personal computer rimanenti in azienda dovranno essere aggiornati all’ultima versione del sistema operativo, solitamente Windows. Anche questo sembra banale ma provate a pensare a quanti pc avete in azienda che ancora utilizzano Windows XP!

L’utilizzo di un sistema di aggiornamento automatizzato nel caso di numeri elevati è fortemente consigliato.

Negli ultimi anni si sono molto diffusi sistemi mobile, quali smartphone e tablet, ma anche un forte aumento di utilizzo di pc portatili. Per questa categoria di device il rischio maggiore è il furto oppure lo smarrimento. Se all’interno di essi ci sono dati personali oppure particolari è un bel problema. Consiglio l’utilizzo di criptazione per gli hard disk dei portati e un sistema MDM (Mobile Device Management) per la gestione da remoto di tali endpoint al fine di poterne eseguire anche un reset completo.

La formazione del personale

L’ultimo elemento, non sicuramente ultimo per importanza è quello umano. Io sostengo che il migliore amico degli hacker siamo noi stessi, con le nostre azioni quotidiane. È provato che la gran parte degli attacchi deriva da comportamenti errati dell’utente (una mail con virus aperta per errore, un sito che non era il caso di visitare, etc.) oppure da attività di social engineering che carpiscono la fiducia dell’utente e vengo a conoscenza di credenziali, password, e così via.

Altra grande banalità ma vi assicuro che è vera: su molte scrivanie basta cercare un po’ e un foglietto con utente è password c’è quasi di sicuro. Magari nel caso più eclatante un post-it sotto la tastiera oppure sul monitor (!).

Sicuramente è necessario fare corsi, formazione per elevare il livello di conoscenze informatiche dei dipendenti, ma spesso ciò non si è rivelato sufficiente.

Consiglio caldamente anche qui attività di assessment, per verificare la “postura digitale” dei dipendenti. Ciò può essere fatto con campagne di finti hackeraggi, phisching, ecc. al fine di testare realmente come i nostri utenti si comportano; fare poi attività di formazione e tornare con le verifiche con campagne di verifica e vedere se vi sono stati miglioramenti. Si dovrebbe anche prendere in considerazione, per quel poco che è possibile, di agire anche sulla leva economica, ad incentivare attenzione verso il tema della sicurezza, che spesso non è percepita dagli utenti come un reale problema, ma una “cosa del CED” (!).

Quanto sopra scritto rappresenta il minimo sindacale. Vi assicuro che sembra banale ma non lo è e molte PA non lo fanno.

WEBINAR
10 Novembre 2021 - 12:00
Business SPID, Digital Identity e altri nuovi canali digitali: vantaggi per clienti e aziende
Dematerializzazione
Risorse Umane/Organizzazione
@RIPRODUZIONE RISERVATA

Articolo 1 di 4