L’importanza della cyber security per la protezione di Polo Strategico Nazionale
Il percorso di digitalizzazione della Pubblica Amministrazione prevede l’adozione di un Cloud per la gestione di dati allo scopo di fornire al Paese servizi pubblici più efficienti. Questa infrastruttura necessita di una grande attenzione in termini di cyber security, a causa della presenza di più ambienti potenzialmente esposti ad un possibile attacco.
Indice dei contenuti
Cyber security: le minacce alla sicurezza di dati e servizi
La cyber security si occupa della protezione delle infrastrutture digitali e dei dati da esse ospitati: è uno degli elementi fondamentali della strategia di Polo Strategico Nazionale.
La sicurezza dei dati non dipende esclusivamente dalle tecnologie adottate per proteggerli dagli attacchi. Non basta affidarsi semplicemente alle soluzioni software disponibili – per quanto all’avanguardia – per assicurare la confidenzialità, l’integrità e la disponibilità delle informazioni.
Assistiamo continuamente ad un rapido sviluppo di nuove minacce cyber con tecniche sempre più complesse. Le analisi a livello globale evidenziano come l’andamento relativo al numero di attacchi gravi superi le previsioni calcolate sulla media degli ultimi anni; nel 2022, secondo il rapporto Clusit, si sono verificati in media 202 attacchi al mese.
Questo unito alla generale mancanza di consapevolezza dei rischi e delle conoscenze necessarie per gestirli, rendono indispensabile che le persone incaricate della sicurezza informatica sviluppino competenze specifiche e che le aziende adottino modelli organizzativi e procedure testate in situazione critiche.
All’interno del Polo Strategico Nazionale è Leonardo che, avvalendosi delle esperienze nella protezione delle infrastrutture e dei dati digitali dei propri clienti, fornisce le tecnologie, il know how e definisce i processi necessari a garantire una maggiore sicurezza informatica.
Leonardo mette a disposizione di PSN un approccio completo alla cyber security basato sulla conoscenza del contesto, sulla cooperazione a livello italiano ed europeo per lo scambio di informazioni, sulla capacità di gestione della sicurezza informatica e su attività di promozione della cultura in oggetto.
Gli esperti di Leonardo affiancano i clienti di Polo Strategico Nazionale attraverso l’erogazione di servizi professionali per garantire l’allineamento delle politiche di sicurezza alla strategia di migrazione al Cloud attraverso attività di assessment, analisi del rischio e verifiche di conformità.
SOC: il centro nevralgico della sicurezza informatica di Leonardo
Le competenze, le tecnologie e le persone preposte alla protezione dei dati di Polo Strategico Nazionale sono ospitate nel Global Security Operation Center di Leonardo a Chieti. Le attività del SOC sono svolte da analisti esperti in ambito Cyber Security & Intelligence, che operano 24 ore su 24 per 365 giorni all’anno, erogando servizi di monitoraggio e gestione della sicurezza delle infrastrutture IT.
Il SOC esegue il controllo dell’efficacia delle contromisure attive sui dispositivi come i firewall. Infatti, uno dei compiti degli esperti è gestire e aggiornare in modo continuativo la configurazione di apparati, sistemi e dispositivi di sicurezza, in base alla conoscenza delle minacce informatiche.
Infine, si effettua il monitoraggio realtime dei sistemi e dei servizi, l’analisi e la correlazione degli eventi di sicurezza per identificare prontamente eventuali eventi anomali,
violazioni o incidenti.
Computer Emergency Response Team: prevenire e superare le emergenze di sicurezza
All’interno del SOC opera il Computer Emergency Response Team (CERT), che eroga servizi di sicurezza sia proattivi che reattivi.
Il CERT si occupa di:
- prevenire situazioni di pericolo con attività di intelligence (Threat Intelligence) finalizzata ad analizzare le tecniche, le tattiche e le procedure che gli attori malevoli potrebbero utilizzare per colpire l’infrastruttura su cui sono ospitati i dati;
- rispondere prontamente, ripristinando prima possibile i servizi e il funzionamento degli asset minimizzando così gli impatti derivanti da attacchi che possano aver colpito l’infrastruttura;
- ricostruire la dinamica dell’attacco in modo da individuarne le cause e proteggere nel futuro i sistemi da quella specifica minaccia;
- rilevare segnali “deboli” che possono indicare una compromissione in corso delle infrastrutture.
I servizi di Threat Intelligence hanno quindi lo scopo di rilevare e analizzare le attività malevole nello spazio cibernetico in modo da prevedere e, possibilmente, prevenire eventuali attacchi.
Le fonti aperte e le informazioni su deep e dark web
Per fare tutto questo, con l’ausilio di algoritmi di intelligenza artificiale, vengono scandagliate tutte le cosiddette fonti aperte, cioè tutte quelle liberamente accessibili come i siti web, i blog, chat, siti di informazione e social network. L’obiettivo è quello di ricercare informazioni che consentano di identificare possibili attacchi e relativi autori, motivazioni, dinamiche che, con maggiore probabilità, potrebbero colpire le infrastrutture monitorate.
Le fonti aperte, però, corrispondono solo a una piccola frazione dei dati e delle informazioni presenti in rete. La maggior parte si trova nel deep web e nel dark web, a cui si accede solo tramite specifici software che consentono agli utenti la navigazione anonima.
Nel deep web e nel dark web spesso risiedono informazioni strategiche per l’intelligence: vengono monitorati continuamente da software evoluti opportunamente configurati per ricercare le informazioni di interesse nell’ambito dei contenuti pubblici.
In caso di attacco, il Computer Emergency Response Team provvede immediatamente a individuare la migliore strategia di risposta all’incidente, minimizzando così l’impatto sui servizi erogati ad imprese, cittadini e Amministrazioni.
Alla gestione dell’attacco, segue la ricostruzione, il più precisa possibile, di quanto avvenuto, con la raccolta di tutte le prove disponibili per comprenderne la dinamica. Questo tipo di indagine ex post è molto importante per valutare tutti gli aspetti dell’attacco, sia per porvi rimedio in modo definitivo, sia per irrobustire i sistemi risolvendo le vulnerabilità sfruttate per portarlo a segno.
Migrazione verso il Cloud Computing: il ruolo di Leonardo
Per garantire la sicurezza e il corretto accesso ai dati delle Amministrazioni, sono necessarie competenze e procedure per la definizione della migliore strategia di migrazione in sicurezza verso il Cloud computing. All’interno di PSN, Leonardo fornisce alla Pubblica Amministrazione strumenti a supporto dell’attività di valutazione e fattibilità della migrazione.
Ciò avviene utilizzando un modello consolidato che prevede l’analisi dell’infrastruttura, l’identificazione di specifici obiettivi di performance e sicurezza, la definizione dello stato di adozione atteso, l’analisi dei gap attuali e l’identificazione e la pianificazione degli interventi da implementare.
Nella prima fase viene valutata l’attuale postura in termini di sicurezza applicativa e infrastrutturale attraverso l’uso di specifici strumenti per identificare le vulnerabilità delle applicazioni web (Dynamic Application Security Testing) e condurre attività di Vulnerability Assessment sulle applicazioni esistenti.
Durante tutte le altre fasi del progetto di migrazione viene effettuato il monitoraggio continuo delle attività e la valutazione del rischio, stilando e aggiornando un report che, in modo chiaro ed esaustivo, presenta gli indicatori relativi ai progressi compiuti.
Cloud e Pubblica Amministrazione: la gestione di ambienti complessi
Procedure specifiche e testate sono indispensabili, oltre che per una migrazione sicura verso il Cloud, anche per la gestione dell’infrastruttura, dei dati e delle applicazioni.
La complessità non è solo tecnologica o architetturale, ma è anche relativa alla normativa in ambito digitalizzazione e sicurezza.
Per ottenere una piena aderenza alle leggi vigenti sono indispensabili strumenti che, in modo centralizzato, verifichino la compliance legale attuale, e che ne garantiscano l’allineamento rispetto agli aggiornamenti normativi che riserva il futuro.
Solo una gestione integrata di tutti questi livelli di complessità permette una visibilità complessiva sulle risorse Cloud e semplifica la loro gestione consentendo un controllo costante delle performance, della qualità del servizio alla sicurezza dei servizi. La protezione viene posta a garanzia della sovranità sui dati gestiti anche grazie a chiavi crittografiche per la cifratura delle informazioni quando sono archiviate nel Cloud (at rest), quando sono in transito sulla rete (in motion) e durante la loro elaborazione, attraverso funzionalità di confidential computing.
Per saperne di più leggi la pagina dedicata alla Sicurezza di Polo Strategico Nazionale.