mercoledì 19 gennaio 2011

Gabriele Cicognani - Il tassello mancante

Questa volta è con una speciale emozione che ospito il nuovo guest-post della serie "Voci Amiche". Con Gabriele Cicognani, abbiamo condiviso una significativa esperienza di lavoro al CNIPA e con lui ho un rapporto di amicizia e stima davvero profondo. Grazie Gabriele, a te la parola...

"Conosco Matteo Cavallini da alcuni anni: insieme abbiamo condiviso una particolare esperienza professionale, durante la quale ho molto imparato (e molto ne ho ancora) da lui e dalla sua esperienza nel settore della sicurezza informatica; per queste ragioni è con piacere che raccolgo il suo invito a scrivere sul suo blog, per condividere alcune idee con la comunità di appassionati di sicurezza che quotidianamente consultano Punto 1.

L’argomento che ho deciso di presentare, peraltro, mi è particolarmente caro ed ha una certa continuità con quanto scritto da Paolo Colombo con il post che mi ha preceduto e che condivido.
Il tema è quello della National Cyber-security Strategy, l’espressione con la quale si vuole significare e ricomprendere tutte le iniziative, i piani e le politiche volte alla protezione dell’infrastruttura digitale di un paese, ovvero l’insieme distribuito delle componenti informatiche e di telecomunicazione da cui dipende il funzionamento (o la prosperità citando le parole del presidente degli Stati Uniti Barak Obama) di ogni paese occidentale.
Nonostante le cronache ci raccontino di sempre crescenti (per numero e livello di sofisticazione) azioni di attacco, intrusione e danneggiamento dei sistemi informatici di ogni ordine e grandezza, la situazione italiana evidenzia un ritardo di consapevolezza circa le caratteristiche e le dimensioni del fenomeno; l’assenza di una strategia nazionale in grado di definire ed affrontare le azioni di prevenzione e risposta contro iniziative ostili ovvero contro il diffondersi di minacce genericamente ed impropriamente riconducibili alla sola categoria dei virus informatici, è ormai un vuoto difficilmente giustificabile.

Se l’amministrazione della Difesa è stata in grado di adeguare le proprie capacità di difesa cibernetica (ma non di attacco) in adesione alle direttrici disegnate in ambito NATO e la Pubblica Amministrazione si è dotata di regole tecniche ed organizzative per garantire la sicurezza del patrimonio informativo - ormai interconnesso mediante il Sistema Pubblico di Connettività – si avverte, per contro, la mancanza di una politica complessiva di cyber-security per il sistema paese e di una struttura di riferimento per la prevenzione e la protezione di tutta l'utenza interna, cittadini ed imprese che costituiscono gli oltre trenta milioni di cittadini-utenti della rete Internet italiana.  Non è pensabile, infatti, rimettere la protezione di questi alla sola iniziativa privata, fatta di soluzioni tecnologiche di auto difesa, di prodotti software ovvero della sottoscrizione di servizi di sicurezza con il proprio Internet Service Provider.

La difesa del cyber-spazio nazionale, in altri paesi, è considerata, in prospettiva di difesa nazionale, un “dominio militare” (la Gran Bretagna ha recentemente annunciato di dedicare l’equivalente di 1 miliardo di dollari per un programma nazionale di cyber-security), non può essere demandata ai produttori software ed ai gestori proprietari dell’infrastruttura, ma deve essere una delle prerogative dello Stato, attraverso la creazione di un Centro di riferimento nazionale in grado – attraverso l’azione di indirizzo, prevenzione e coordinamento - di salvaguardare la crescita ed il benessere del Paese, anche a fronte di politiche sempre più indirizzate a favorire rapporti con la Pubblica Amministrazione attraverso la Rete ed alla promozione del commercio elettronico come strumento di competitività e di positivo impatto sociale.

Si pensi, infatti, ai danni cagionati quotidianamente all’utenza di Internet, dal dilagante fenomeno del furto di dati e delle credenziali personali di accesso a servizi finanziari o della pubblica amministrazione, realizzato mediante la diffusione di messaggi di phishing contenenti codice malevolo. A questo si aggiungano i rischi conseguenti alla presenza di vulnerabilità ed errori nel software e nelle applicazioni  sempre più complesse che vengono continuamente presentate sul mercato. 
Tali considerazioni sono state raccolte nella Relazione del COPASIR del 7 luglio 2010, dove si sottolinea “nell’assenza di una pianificazione coordinata e unitaria al livello del vertice politico” e si raccomanda al Governo “di dotarsi di un impianto strategico-organizzativo che assicuri una leadership adeguata ed abbia funzioni di coordinamento”
Allora, è proprio disegnando ruoli e responsabilità pubbliche e immaginando nuove forme di collaborazione tra Stato e privati, intesi come provider di servizi e produttori di tecnologia, che sarà possibile costruire un sistema di prevenzione e reazione a fronte di attacchi e danni derivanti dalla Rete o grazie alla Rete. 

Quali allora le possibili iniziative? Di primaria importanza e di evidente urgenza è la definizione di ruoli a livello nazionale e l’individuazione della leadership interna in materia di cyber-security, superando le attuali difficoltà nel dominare, contenere e conciliare le realtà e le esperienze ad oggi presenti in Italia e frammentate tra Enti diversi e Forze dell’ordine, tutti troppo impegnati nel cercare di consolidare il proprio ruolo nel panorama nazionale, in assenza di una strategia unitaria.
La Comunicazione della Commissione Europeo Parlamento, rivolta al  Consiglio, al Comitato economico e sociale europeo ed al Comitato delle regioni [COM(2009) 149], e ripresa dalla Risoluzione del Consiglio Europeo del 18.12.2009 ha raccomandato “a tutti i paesi - entro la fine del 2011 - la costituzione di gruppi nazionali o governativi di pronto intervento informatico ben rodati in tutti gli Stati membri”.
Alla creazione di questo ruolo deve seguire, inoltre, l’effettiva previsione di poteri operativi con l’attribuzione della necessaria “autorità” e potere decisionale. 
L’istituendo Centro nazionale di intervento informatico (nella nomenclatura internazionale definito come CERT, computer emregency response team) potrebbe, allora, svolgere compiti che vanno dalla definizione di una strategia nazionale in materia di sicurezza informatica e di risposta ad attacchi di tipo cibernetico, al supporto all’azione del Governo, delle Forze dell’ordine ed alla Autorità Giudiziaria per la comprensione degli scenari e dell’evoluzione delle nuove frontiere di attacco, fino a ricoprire quel ruolo necessario di riferimento nazionale per la raccolta delle segnalazioni degli utenti privati, raramente in grado di comprendere le conseguenze o la natura di “malfunzionamenti” dei propri computer. Il CERT nazionale, inoltre, dovrebbe essere in grado di pubblicare informazioni sulla sicurezza, generando consapevolezza per tutta l’utenza Internet nazionale e, soprattutto, dovrebbe essere dotata dell’autorità necessaria a responsabilizzare gli Internet Service Provider, anche indicando loro le azioni necessarie per prevenire il verificarsi di incidenti o il propagarsi di minacce già concretizzate ai danni dei loro utenti.

Non mi rimane altro, quindi, che aspettare di leggere, tra le tante notizie relative alle iniziative degli altri paesi, che anche l’Italia si è dotata finalmente di un vero CERT nazionale."

-----------------------------------------------------------------------------------------------
Gabriele Cicognani
Gabriele Cicognani, Maggiore della Guardia di Finanza in forza ai Reparti Speciali del Corpo, è in posizione di comando presso DigitPA (già Centro Nazionale per l’Informatica nella Pubblica Amministrazione), dove è responsabile del Computer Emergency Response Team del Sistema Pubblico di Connettività (CERT-SPC).
Laureato in Giurisprudenza, è nominato ufficiale del Corpo nel dicembre 1997; ha ricoperto incarichi presso il Comando Generale del Corpo e presso la Scuola Ispettori di L’Aquila; dal 2000 a 2004 ha istituito e comandato la 1^ sezione del Gruppo Anticrimine Tecnologico, da cui dipendeva anche la prima unità di computer forensic della GdF.  
Dalla fine del 2004 è al CNIPA, inizialmente per l’attività progettuale denominata GovCERT e successivamente come responsabile del CERT-SPC. 

4 commenti:

Glamis ha detto...

Molto interessante, le parole di Gabriele sono senza dubbio sensate e sacrosante.
Vorrei però esprimere i miei "due cent" sulla questione.

Ritengo che in Italia siamo sempre molto bravi ad adottare policy di altissimo livello, fare leggi e regolamenti su tutto, poi però ci perdiamo per strada nell'applicarle.

Questo lo dico avendo (ci lavoro ancora) una discreta esperienza "sul campo" nel mondo ICT (di sicurezza e non) in vari ambiti della PA.
Il problema è sicuramente la mancanza di coordinamento, ma anche il fatto che poi l'applicazione dei controlli è talmente demandata in scalette discendenti che perde di significato.

L'altro bell'articolo di Matteo sui domini in vendita fa il paio con quanto pubblicato ad esempio da Denis Frati sulla reazione di una banca ad una sua segnalazione di Phishing:
http://www.denisfrati.it/?p=3479

E la situazione in ambito PA non è molto diversa, anzi.

La paura è che a fronte di uno sforzo coordinativo molto ampio, eseguito da tecnici di altissimo livello e valore, si vanifichi poi l'effetto perché al termine della catena conviene più avere uno scarico di responsabilità che una struttura che risolva i problemi.

Scusate lo sfogo pessimistico :)

Federico

Matteo Cavallini ha detto...

Ciao Federico,

anche questa volta mi sento di mettere i miei "due cent" insieme ai tuoi (piano piano avremo un bel gruzzolo!!).

Hai assolutamente ragione, la tendenza italiana è orientata al barocco piuttosto che al minimalismo efficace. Spesso, quindi, una legislazione di primissimo piano cela mancanze e lacune importanti nella fase attuativa.

A questo punto, il fatto che, per quanto riguarda la sicurezza, non ci sia nemmeno lo strato di legislazione nazionale (che in Italia non si nega quasi a nessuno) lascia capire che siamo proprio mal messi.

Come puoi intuire, io sono quasi più pessimista di te...

Un caro saluto,
Matteo

Glamis ha detto...

In effetti la situazione è doppiamente tragica.
Per dare una luce positiva però, possiamo azzardare a dire che in questa fase di vuoto si può cercare di fare pressioni affinché le regole vengano scritte in modo sensato, tali da poter essere applicate poi nel mondo reale.

Perché se anche qui vengono fuori codici e cavilli ingarbugliati, allora...

Anonimo ha detto...

Il problema Matteo é che siamo governati e diretti da una massa di ignoranti, nel migliore dei casi...con le dovute eccezioni, non sufficienti a fare la differenza.

...in bocca al lupo ...a noi tutti

Maurizio Dal Re

Posta un commento

http://www.wikio.it