Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

consip

SPC Cloud Sicurezza, così serve alla cyber security della PA

La Convenzione SPC Cloud, in particolare la sezione dedicata alla sicurezza, è stata bandita da Consip con l’intento di accompagnare le PA verso la realizzazione di misure volte a migliorare il livello di protezione dalle minacce informatiche. Ecco la gamma di servizi previsti e le modalità operative di attuazione

11 Lug 2018

Giuseppe Arcidiacono

Responsabile Sistema Informativo at ARCEA

Convenzione SPC Cloud

Il tema della cyber security in ambito pubblico, e in generale della messa in sicurezza dello sterminato patrimonio informativo gestito dagli enti centrali e periferici attraverso sistemi informativi più o meno evoluti, comincia finalmente a diventare un argomento di prioritaria importanza anche per le PA italiane che devono fare in conti con una serie di previsioni normative nazionali ed europee sempre più stringenti.

Lo strumento della convenzione SPC cloud sicurezza è molto utile allo scopo, inserendosi in un quadro più ampio di trasformazione. Vediamone i dettagli.

GDPR, l’accountability investe (anche) la PA

La fisiologica trasformazione dei servizi offerti dalle pubbliche amministrazioni, che stanno gradualmente migrando verso canali e modalità di interlocuzione con la collettività ed i cittadini sempre più digitali ed informatizzati, ha reso necessario ed urgente l’introduzione di regole certe, omogenee ed in grado di assicurare ai contribuenti ed agli stessi organi statali la massima tutela possibile rispetto alle minacce cibernetiche e ai danni potenzialmente disastrosi che possono derivare da attacchi deliberati o accidentali a sistemi di interesse nazional

Un primo importante segnale lo ha lanciato la Commissione Europea che, già nel 2016, aveva approvato il Regolamento Generale per la Protezione dei Dati Personali (GDPR), entrato in vigore il 25 maggio 2018, legando in maniera indissolubile i concetti di privacy con quelli di sicurezza dei sistemi di elaborazione e lasciando di fatto il compito di gestire gli aspetti prettamente operativi ad ogni singola organizzazione.

E’ fondamentale, in tal senso, rimarcare come il GDPR, introducendo il principio della cosiddetta “accountability”, che assegna ai titolari del trattamento responsabilità decisionali ed esecutive sintetizzabili nell’obbligo di adottare comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’efficace protezione dei dati personali, affidi anche a tutti i destinatari pubblici e privati il gravoso compito di decidere autonomamente le modalità, le garanzie e i limiti dei trattamenti, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento stesso.

Il misure del piano triennale e le misure minime Agid

Anche il legislatore italiano, seppur con una minore incidenza, dovuta soprattutto ad un insieme di norme non sempre perfettamente armonizzate tra loro, ha cercato di intervenire in maniera decisa su un ambito, quello della sicurezza cibernetica, finora colpevolmente sottovalutato soprattutto nelle “periferie”, ossia negli Enti locali, ma spesso affrontato con poca organicità anche a livello centrale.

Invero, nel maggio del 2017 il Piano Triennale per l’Informatizzazione della Pubblica Amministrazione, nella sua connotazione di strumento “strategico” e pertanto non immediatamente esecutivo, ha introdotto due concetti fondamentali per un corretto approccio alla cyber security:

  • la necessità di dotarsi di un sistema di gestione della sicurezza delle informazioni;
  • la previsione di un modello basato sul rischio per l’individuazione di profili di sicurezza personalizzati per ogni singola infrastruttura.

Un ulteriore elemento di novità in tal senso, che per certi aspetti ha iniziato a dare concretezza al Piano Triennale, è rappresentato dalle “misure minime di sicurezza ICT” emanate dall’Agid che, basandosi sul Cyber Security Framework del NIST (“National Institute of Standards and Technology”, un’agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie), disciplinano argomenti più operativi quali l’inventario dei dispositivi e dei programmi, la protezione delle configurazioni degli hardware e dei software, la valutazione e correzione continua delle vulnerabilità, un sistema di difesa adeguato contro i malware etc.

La convenzione SPC cloud sicurezza

Pur riconoscendo che le misure sopra descritte non costituiscano una novità in senso assoluto (si pensi ad esempio alle varie versioni del Codice per l’Amministrazione Digitale che si sono susseguite con scarso successo negli anni), è necessario sottolineare come, rispetto ad un passato anche abbastanza recente, sia intervenuto un significativo elemento di rottura: per la prima volta, infatti, le pubbliche amministrazioni sono state dotate di uno strumento attuativo in grado di supportare il processo di adeguamento alle nuove normative: la Convenzione SPC Cloud, ed in particolare la sezione dedicata alla “Sicurezza”, infatti, è stata bandita da Consip  con l’intento dichiarato, ed in buona parte raggiunto, di accompagnare gli enti verso la realizzazione di misure finalizzate a migliorare il proprio livello di protezione dalle minacce informatiche.

Le macro-categorie di servizi previsti

In dettaglio, la procedura comprende un’ampia gamma di servizi connessi ai temi della cyber-security, che possono essere ricondotti alle seguenti macro-categorie:

Gestione delle identità digitali

In conformità anche all’art. 64 del CAD, con il fine di permettere l’identificazione, l’autenticazione e l’autorizzazione di utenti esterni ed interni. Dal punto di vista tecnico, il fornitore mette a disposizione dell’amministrazione una componente tecnologica che frapponendosi tra l’utente e le risorse disponibili gestisce le richieste operando, in base allo standard OASIS Saml v2.0, gli opportuni passi preliminari all’accesso. Il servizio, inoltre, include tutte le attività amministrative legate alla gestione del ciclo di vita dei profili utente e delle politiche di accesso alle risorse controllate, interagendo direttamente con i responsabili delle amministrazioni.

Secondo il modello logico “duale” universalmente utilizzato in tema di gestione delle identità digitali, il sistema prevede un primo componente che, espletando le funzionalità di Policy Enforcement Point, si interfaccia con il mondo esterno al fine di ricevere le richieste e collezionare tutte le certificazioni necessarie per l’applicazione delle politiche di sicurezza, ed un secondo modulo che, avendo di converso funzionalità di Policy Decision Point, è in grado di accedere ai profili degli utenti e alle politiche di sicurezza associate alle risorse per verificare la legittimità delle singole richieste.

Firma digitale, certificati e timbri elettronici

L’intento è quello di favorire la dematerializzazione dei documenti e la digitalizzazione dei processi amministrativi.

  • Il servizio di firma, che è naturalmente conforme alla normativa vigente, prevede che la chiave privata del firmatario sia generata e conservata, assieme al certificato di firma rilasciato da parte di un Certificatore accreditato, all’interno di un server remoto sicuro. E’ quindi utilizzato un sistema di autenticazione robusta che prevede l’uso, oltre alla conoscenza di un codice segreto (PIN), di sistemi OTP fisici o logici (USB, telefono cellulare, token), eliminando in tal modo i problemi e i rischi relativi all’utilizzo delle sole password statiche.
  • Il “timbro elettronico” consente la creazione di documenti informatici che possano conservare la medesima validità legale anche dopo essere stati stampati su supporto cartaceo, oltre alla generazione di un codice grafico bidimensionale posizionato in un punto qualsiasi del documento, a scelta dell’utente, e generato a partire dal contenuto del documento e dalla firma digitale, ove presente. Nell’ambito di tale servizio vengono inoltre messi a disposizione gli strumenti necessari per la decodifica del timbro e la verifica di conformità rispetto al documento originale.

Sicurezza applicativa e prevenzione e gestione degli incidenti informatici

Anche attraverso l’analisi delle vulnerabilità dei sistemi informativi, che includono interventi di “Static application security testing” (sicurezza del codice delle applicazioni), “Dynamic application security testing” (sicurezza del software in modalità esecuzione), “Mobile application security testing” (sicurezza delle applicazioni mobili), secondo quanto descritto di seguito in maniera più analitica.

  • L’attività di analisi statica del codice è svolta secondo le best practice internazionali, a partire da quanto previsto dalla metodologia OWASP, ed include almeno i controlli di Data Validation, ossia verifica della presenza di vulnerabilità che possono riguardare eventuali dati corrotti in ingresso e possono condurre a un comportamento anomalo dell’applicazione; Control Flow, che consiste nella verifica dei rischi collegati all’assenza di specifiche sequenze di operazioni che, se non eseguite in un certo ordine, potrebbero portare a violazioni sulla memoria o l’uso scorretto di determinati componenti; Analisi Semantica, che include la rilevazione di eventuali problematiche legate all’uso pericoloso di determinate funzioni o API (come ad esempio le funzioni deprecate); Verifica delle Configurazioni, ossia dei dei parametri intrinseci di configurazione dell’applicazione; Buffer Validation, che verifica la presenza di “buffer overflow exploitabile” attraverso la scrittura o lettura di un numero di dati superiore alla reale capacità del buffer stesso.
  • Le verifiche dinamiche, invece, permettono di controllare i meccanismi di gestione delle sessioni e della loro robustezza; analizzare il sistema di gestione degli errori dell’applicazione; controllare, laddove applicabile, i meccanismi di crittografia; verificare i meccanismi di logging e il metodo di gestione delle informazioni; verificare le comunicazioni dell’applicativo con soggetti esterni come client, DB, LDAP; identificare e rilevare tipologie di vulnerabilità potenziali.
  • Il test delle app mobili, che consente di verificare il livello di sicurezza delle applicazioni per dispositivi mobile nel corso dell’intero ciclo di sviluppo software, attraverso tecniche di analisi statica e dinamica, include non solo l’analisi del codice e l’esecuzione delle applicazioni ma anche tutte le interfacce verso altri sistemi e/o applicazioni così come altre risorse collegate che potrebbero avere un impatto sulla sicurezza globale del sistema.

Le attività di “vulnerability assessment

Forniscono una panoramica dello stato di sicurezza dell’infrastruttura e dello stato di esposizione alle vulnerabilità attraverso la raccolta di informazioni concernenti i servizi erogati, l’architettura e le configurazioni del sistema, consentono una verifica dinamica della sicurezza dei dispositivi di rete dell’Amministrazione allo scopo di identificare eventuali debolezze, configurazioni di sicurezza errate, carenze sui livelli di protezione attivi che espongano il contesto ad attacchi interni ed esterni.

Data loss/leak prevention

Nel perimetro di questa sezione di ricade anche il servizio di “data loss/leak prevention” (o DLP) che, consentendo la protezione dei dati da accessi non autorizzati o violazioni delle policy di sicurezza e riducendo il rischio di perdita, danno o svantaggio competitivo, garantisce supervisione e controllo dei dati indipendentemente dal fatto che siano archiviati o in transito sulla rete ed include attività di monitoraggio e protezione dei dati in-use (accesso tramite endpoint – desktop e laptop), in-motion (traffico rete) e at-res (sui supporti di memorizzazione).

Database security

Le operazioni di “database security”, infine, includono l’esecuzione di una vasta gamma di controlli della sicurezza per la protezione del database nel suo complesso (dati, procedure o “funzioni stored”, il sistema di gestione, i server ed i collegamenti di rete associati) allo scopo di salvaguardarne la riservatezza, integrità e disponibilità e consentono alle Amministrazioni la protezione in tempo reale delle basi di dati da minacce esterne o interne oltre che la difesa da eventuali exploit presenti nelle basi dati relazionali.

I servizi professionali e la compliance con il GDPR

Molto interessante ed utile è, infine, la previsione di servizi professionali che possono essere utilizzati dalle pubbliche amministrazioni, secondo una mappatura elaborata dalla stessa Consip, per migliorare il proprio grado di conformità al GDPR attraverso la realizzazione di attività riconducibili a tre fasi:

  • Fase di Analisi, attraverso la quale è possibile giungere alla predisposizione del “Registro delle operazioni di trattamento”, contenente tutte le informazioni richieste dalla normativa ed in particolare dall’art. 30 dell’RGPD, che prevede due tipologie distinte di registri per titolari (con maggiori dettagli) e responsabili esterni (ossia una versione semplificata).
  • Fase di Progettazione, che prevede la definizione del Sistema di Gestione dei dati personali, in analogia a quanto previsto da norme internazionali quali lo standard “ISO – 27001”, ed in particolare del modello organizzativo, dei processi di “privacy by Design” (articolo 25 del Regolamento), “data breach notification” (articolo 29), “privacy impact assessment” (articolo 35), della modulistica (soprattutto connessa alle informative di cui all’articolo 13, per le quali la normativa introduce rilevanti novità) e del piano di implementazione degli interventi;
  • Fase di Esecuzione, che include il supporto alla stesura di processi e procedure e architetture per la gestione del rischio, l’accompagnamento alle attività di audit e alla gestione dei “data breach”, la formazione obbligatoria per il personale dell’amministrazione (fortemente rivista ed “appesantita”, dagli articoli 29 e 32, rispetto alle previgenti disposizioni normative).

I servizi professionali, inoltre, possono essere sfruttati per ottenere supporto per la gestione delle attività del CERT e delle Unità Locali di Sicurezza o strutture equivalenti delle Pubbliche Amministrazioni finalizzate alla prevenzione e gestione degli incidenti informatici, per l’analisi delle vulnerabilità dei sistemi hardware e software; per attività di supporto ai Security Operating Center (SOC) presso le Amministrazioni; per attività di “penetration test” di tipo applicativo e infrastrutturale; per la crittografia dei dati memorizzati sulle postazioni di lavoro.

Le modalità operative di attuazione

Secondo quanto previsto dal contratto quadro, il punto di partenza, preliminare all’attivazione dei servizi, consiste nella definizione di una strategia, condivisa tra l’Amministrazione ed il Fornitore, che deve concretizzarsi nell’implementazione di politiche di sicurezza di alto livello e nella classificazione dei servizi erogati secondo differenti livelli di criticità.

Un punto fondamentale per l’erogazione dei servizi, inoltre, è costituito dal Piano dei Fabbisogni che condensa al proprio interno tutte le esigenze della singola Amministrazione e di fatto rappresenta anche la base per la quantificazione economica delle attività, che saranno ponderate secondo quanto indicato nel listino prezzi approvato in sede di aggiudicazione della gara da parte di CONSIP.

Il passaggio immediatamente successivo è quello della redazione del Programma dei Fabbisogni che racchiude le modalità operative per l’attivazione dei servizi attraverso soprattutto la definizione di un “Piano di lavoro”, contenente l’elenco delle attività/fasi previste con le relative date di inizio e fine, di un “Documento programmatico di gestione della sicurezza dell’Amministrazione” e di un “Piano della qualità” dello specifico servizio contenente la descrizione dettagliata degli obiettivi di qualità relativi al servizio erogato e la descrizione sintetica dei processi di controllo della qualità.

La Convenzione, infine, mette a disposizione delle amministrazioni due schemi per la Gestione delle penali, finalizzati a descrivere le modalità con cui avviare la fase di contestazione, che deve essere sempre supportata da evidenze di carattere oggettivo e dalla richiesta di controdeduzioni al fornitore, e applicazione, cui si giunge solo in caso di mancata o inidonea risposta alle criticità evidenziate.

Tutti i dettagli operativi relativi alla Convenzione

@RIPRODUZIONE RISERVATA

Articolo 1 di 3