giovedì 24 novembre 2011

MUMBLE - A cosa serve un CERT Nazionale

Negli scorsi giorni una notizia ha dominato il mondo della cybersecurity: negli Stati Uniti, un ignoto hacker ha avuto accesso a un sistema di gestione dell'acqua potabile e, tramite l'invio di una serie di comandi, ha provocato la rottura di una pompa. 

La notizia è molto più articolata di così ma, per il mio obiettivo odierno, possiamo fermarci qui (se invece volete altri dettagli, potete agevolmente trovarli in rete).

Chiaramente questa notizia è estremamente preoccupante, se l'ignoto hacker è stato realmente in grado di rompere una pompa avrebbe anche potuto alterare dei parametri di funzionamento rendendo l'acqua imbevibile, oppure avrebbe potuto rompere tutte le pompe e mandare in tilt l'intero sistema. E se invece avesse preso di mira un fornitore di energia, o un impianto chimico? Insomma si aprono scenari da vera e propria cyberwar.

Bene, appena si è diffusa la notizia, sono immediatamente partite le indagini (che, al momento, tendono a minimizzare l'evento) dell'FBI e dello US-CERT. E proprio di questo voglio parlare oggi.

A cosa serve un CERT Nazionale? Ho avuto modo di fare una chiacchierata "tra amici" qualche giorno fa, e ho avuto conferma che, purtroppo, a differenza dei tecnici, i livelli decisionali italiani non hanno ancora messo a fuoco correttamente la missione di un CERT nazionale. Che sia questo il motivo del nostro immobilismo su questa delicatissima materia?

Proviamo a fare chiarezza con un esempio tratto, appunto, dalla recente cronaca.

Oggi, giovedì 24 novembre 2011, un ignoto hacker mette fuori uso le pompe di depurazione dell'acqua dell'ACEA (non me vogliano gli amici di ACEA, è solo un esempio). A Roma si diffonde il panico, l'acqua sarà ancora potabile? La magistratura apre un fascicolo contro ignoti e la Polizia delle Comunicazioni inizia le indagini. E, fino a qui ci siamo...

Ma chi supporta ACEA nelle proprie indagini interne? Chi supporta la gestione dell'incidente, garantendo che siano fatti gli interessi pubblici e non solo quelli dell'operatore coinvolto? Chi determina le contromisure che devono essere realizzate affinché un incidente di questa dimensione non succeda nuovamente? Chi contribuisce a diffondere le notizie ufficiali agli altri operatori di settore in modo che tutti mettano in atto le necessarie misure preventive? Chi si coordina con le altre strutture internazionali per avere un quadro più generale della situazione? Chi distribuisce informazioni ufficiali al pubblico tramite rapporti con i media garantendo che sia privilegiato l'interesse pubblico rispetto all'interesse privato dell'operatore? 

La risposta è semplice... NESSUNO! 

In Italia, nel 2011, queste attività vitali non sono di competenza di nessuno.

Ogni operatore deve cavarsela da sé e la Polizia, giustamente, si attiva solamente al fine di individuare i responsabili dell'eventuale atto criminoso (se dietro a tutto ci fosse un malware, come ad esempio Conficker, non succederebbe quasi niente) ed assicurarli alla giustizia.

Come sa chi è già un lettore di questo blog, ritengo che questa sia una situazione indegna di un paese evoluto  che, come il nostro, basa la propria vita sociale e finanziaria su infrastrutture informatiche. 

Questa situazione deve essere sanata quanto prima.

Ma ora sono stanco, vado a bere un bel bicchiere di acqua fresca... finché posso!


11 commenti:

Daniele Dal Re ha detto...

Concordo con te sulla necessita' e temo che il tuo esempio sia sin troppo ottimistico.

Siamo sicuri che eventi simili non si siano gia' verificati in passato e che non siano stati liquidati come normali malfunzionamenti?
Quale livello di visibilità e monitoraggio abbiamo sulle nostre infrastrutture critiche ?


Spero solo che il "costo" per arrivare ad un adeguata consapevolezza non sarà troppo elevato....

Daniele

Matteo Cavallini ha detto...

Ciao Daniele,

grazie per aver lasciato il tuo commento. Effettivamente hai ragione, ho voluto partire da un fatto realmente accaduto proprio per non rischiare di essere tacciato di catastrofismo, ma il rischio che paventi può essere realistico.

Riguardo al "costo", purtroppo mi sento di dire che in mancanza di adeguate misure sarà una questione di "quando e quanto" e, purtroppo, non di "se".

Ciao e grazie ancora,
Matteo

Andrea Draghetti ha detto...

Ciao Matteo,
vedo che questo argomento ti sta molto a cuore e sicuramente dovrebbe essere portato all'attenzione di tutti.

Però voglio chiederti cosa ne pensi del CERT della Difesa Italiana, (http://bit.ly/vXJpmf) realisticamente non potrebbe essere il servizio che stai cercando?

Matteo Cavallini ha detto...

Ciao Andrea,

è un piacere ospitare un tuo commento. Effettivamente questo è un argomento che mi sta molto a cuore, anche per ragioni personali, dato che nel 2004-2005 sono stato tra i creatori del GovCERT.it e poi ho tirato su da zero il CERT interno del MEF.

La tua domanda è molto intrigante e in molti stanno cercando di dare una risposta sensata a questo dubbio.

Per quanto mi riguarda penso che il CERT-Difesa sia una struttura molto ben organizzata e nutro per loro una sincera ammirazione. Le persone che ci lavorano (e che saluto) sono molto competenti e hanno delle capacità molto rare nel panorama italiano. Nel corso degli anni abbiamo imparato a consoscerci, a rispettarci e a diventare amici. Mi hanno anche invitato a partecipare a due esercitazioni su scenari di cyber terrorismo e la seconda presentava delle caratteristiche davvero uniche (Cyber Shot 2010: l'esercitazione di Cyber Defence Nazionale)

Detto questo, penso che il loro mestiere sia un altro, simile, ma diverso. Provo a spiegarmi.
I militari hanno delle priorità che sono differenti rispetto a quelle di una struttura civile. E da queste differenze potrebbero nascere dei veri e propri conflitti di interesse. Per questioni di sicurezza nazionale e di partnership con la NATO, infatti, il CERT-Difesa potrebbe essere coinvolto in operazioni che non sarebbero "in linea" con la mission di un CERT nazionale.

Inoltre ci sarebbe un problema di percezione da parte degli interlocutori, immagina se nell'esempio che ho portato nel post, intervenissero i militari. Ci sarebbe sicuramente un percezione di allarme che non aiuterebbe la collaborazione con tutte le parti coinvolte.

Insomma pur pensando tutto il meglio degli amici del CERT-Difesa, non penso che potrebbero svolgere questo lavoro, anche se una collaborazione tra questi due entità sarebbe oltremodo opportuna.

Visto che questo argomento mi appassiona, rimando ad un prossimo post la dinamica dei rapporti tra Forze dell'ordine, Difesa e CERT nazionale.

E grazie ad Andrea per avermi dato il "la" per questa appendice di approfondimento.

Ciao,
Matteo

Anonimo ha detto...

Salve,
ho l'impressione che le attività da lei descritte per un CERT nazionale somiglino molto a quelle nella missione della Polizia Postale e del CNAIPIC. Non è così?

Grazie

Matteo Cavallini ha detto...

Salve Anonimo,

grazie per aver dedicato un po' di tempo alla lettura del blog e per aver deciso di lasciare un commento.

Venendo alla risposta, ritengo che, come emerge anche dall'esempio che riporto, il CNAIPIC e la Polizia Postale abbiano una missione molto ben inquadrata e fondamentalmente legata alla prevenzione e repressione di reati. Esiste una grande massa di attività legata agli incidenti di sicurezza che non rientra in questo campo, ad esempio:
- contattare gli utenti per il cambio password a fronte di un data breach,
- aiutare ad affrontare una vulnerabilità di sistema,
- indicare le corrette configurazioni da adottare per i sistemi critici,
- supportare nell'analisi dei log
- fornire strumenti e strategie per la bonifica di postazioni infette
- molto altro ancora.

Per avere un'idea più precisa può provare a consultare il sito dello US-CERT o quello del CERT-EU.

Si può dire che la Polizia Postale e il CERT abbiano delle attività in comune (che però affrontano con finalità diverse) e attività proprie che sono sinergiche con quelle dell'altra entità. L'uno senza l'altra raggiunge solo una parte dell'obiettivo finale che è quello di garantire alla nazione un corretto e robusto approccio alla sicurezza cyber.

Un caro saluto,
Matteo Cavallini

Anonimo ha detto...

Caro Matteo,
ho letto con interesse il tuo post e le risposte ai precedenti commenti.

Anche io sono fermamente convinto che l'Italia debba al più presto dotarsi di un Cert nazionale (analogo a quello statunitense).

In attesa che tale organismo sia istituito e reso operativo, e visto che si è parlato di Cert-Difesa, CNAIPIC e GovCert, vorrei sapere, quali, tra queste strutture, ad oggi, è secondo te in grado di "supplire" alla mancanza ed a svolgere temporaneamente la funzione di Cert nazionale.

Inoltre, come sicuramente a te noto, il COPASIR ha, in una specifica relazione del 2010 (sulla minaccia cibernetica), esortato il governo ad individuare (o creare ex novo) una struttura che si occupi di dirigere e coordinare, a livello centrale, le attività di cybersecurity. Secondo te, tale struttura, quando e se verrà individuata/creata, dovrà anche svolgere la funzione di Cert nazionale o ritieni che le due attività e competenze (Cert e National CyberSecurity Authoriry) debbano essere gestite da organismi separati?

Grazie

barry lyndon

Carlo ha detto...

Carissimo, a completare qualche informazione in merito: in Italia siamo sempre alle solite in termini di "confusione"... si parla di CERT Nazionale già da anni, e tu eri tra quelli che collaboravano nelle discussioni.
Mi sembra pertanto doveroso riportare un MUMBLE, dato che si legge finalmente:
http://www.isticom.it/index.php/archivio-evidenza/2-articoli/263-evidenza-cybit-2012
ma si è evidentemente dimenticato che:

http://www.difesa.it/SMD/Comunicati39/2010-11/Pagine/Esercitazioni_di_Cyber_Defence__p_3725Difesa.aspx
http://blog.clusit.it/sicuramente/2010/11/cyber-shot-2010-lesercitazione-di-cyber-defence-nazionale.html
http://www.matteocavallini.com/2010/11/cyber-shot-2010-lesercitazione-di-cyber.html
http://cca.analisidifesa.it/it/magazine_8034243544/numero113/article_477012038740385364111378475010_0802122365_0.jsp
e molti altri articoli...
Speriamo che chi deve faccia chiarezza e soprattutto che il CERT Nazionale non sia solo la solita scatola vuota, dorata, ma priva di contenuti.
Complimenti sempre per l'attività divulgativa e istruttiva, sempre più necessaria.
Ciao Carlo

Carlo ha detto...

Per rispondere ad un post precedente, perdonami Matteo se mi permetto:
L'emanazione di Policies di Sicurezza a livello Nazionale sicuramente dovrebbe essere un compito specifico dell'ANS, quindi Presidenza del Consiglio dei Ministri, dato che dovrebbero essere valide per tutti gli Enti (pubblici e privati) Nazionali, per ciò che riguarda invece una "operatività" per un Centro che sia in grado di rispondere all'incidente informatico, a livello Nazionale, la strada è ancora un po' lunga per via di accordi che stentano a partire, forse c'è timore di non poter (o saper) affrontare adeguatamente l'argomento in maniera concreta.
Come è chiaro è fondamentale essere concreti in questo momento altrimenti si rischia solo di non raggiungere l'obbiettivo che ci si è prefissi con l'istituzione di un CERT di livello nazionale.
Mi permetto di segnalare un esempio (tutto realizzato in due anni!) http://www.macert.ma/
In Italia attualmente l'unico reale CERT, che ha risposto in passato a diverse esigenze, e si è reso hub comunicativo tra altri dicasteri ed enti anche a livello internazionale, è il CERT della Difesa. Che però, come si sa, è Militare (mumble... anche quello del Marocco segnalato... mumble), e non so quanti enti Privati sarebbero contenti di questo (io lo sarei).
Per altri Enti che si sono affacciati alla questione posso evidenziare che sicuramente ci sono molti SOC operativi e validi, ma tra il SOC ed il CERT c'è una bella differenza; per il resto molti vogliono proporsi come CERT Nazionale che coordini... altro mumble... se tutti coordinano, chi è che opera? .... mumble
Matteo ha sicuramente modo di contattarmi, conoscendomi bene, sarò lieto di fornire altre informazioni in merito.
Segnalo, in ultimo, le attività svolte a livello internazionale da ENISA, all'interno della quale abbiamo validissimi italiani che operano.

Matteo Cavallini ha detto...

Ciao Carlo,

eccomi a ringraziarti per aver lasciato le tue idee su Punto 1.

Volevo riprendere alcuni spunti che lanci nei tuoi due commenti perché mi sembrano molto interessanti.

Lato esercitazioni, come sai, l'Unità Locale di Sicurezza MEF/Consip che ho il piacere di aver creato e l'onore di gestire è uno dei soggetti pubblici (civili) che ha partecipato a quasi tutte le esercitazioni svolte in Italia. In questo modo abbiamo avuto modo di crescere e di confrontarci con realtà molto diverse tra loro. Certamente le esercitazioni di stampo militare hanno un'impronta particolare data anche dalla loro esperienza specifica, devo dire però che l'esercitazione CybIT 2012 (a cui ha partecipato anche il CERT-Difesa) ha avuto il merito di riuscire a coinvolgere attori che in altre occasioni erano rimasti ai margini di queste iniziative. Data l'ormai consolidata insensibilità delle PA a questi temi, penso che si sia quindi colto un grande risultato. Senza nulla togliere all'efficienza e alla preparazione delle esercitazioni organizzate in ambito Difesa.

Un altro aspetto che mi sembra importante riguarda il cenno che facevi alle policy di sicurezza. Sono d'accordo con te che le policy strategiche siano di competenza di un soggetto diverso da un CERT nazionale. Io però intendevo qualcosa di un po' più operativo, tipo i documenti prodotti dallo US-CERT (http://www.us-cert.gov/cas/tips/), che loro, con grande lungimiranza, chiamano "Tips" ma che di fatto indirizzano moltissime problematiche di sicurezza, dando specifiche indicazioni e linee guida.

Infine, come ho avuto modo di dire a molti, trovo veramente degno di nota lo splendido lavoro che hanno fatto al Q-CERT (http://www.qcert.org/) con bollettini settimanali veramente pieni di spunti e idee molto interessanti e utili.

Carlo, grazie ancora per avermi dato la possibilità di ritornare su questi argomenti.

Continua a seguirmi e... sentiamoci!

Ciao,
Matteo

Anonimo ha detto...

Tutto molto vero e giusto...purtroppo, i ns dirigenti pubblici e privati non hanno alcuna consapevolezza di queste necessità, per cui alla fine si buttano soldi per compiacere il System integrator di turno senza ottener nulla: doppio spreco!

ciao

Maurizio Dal Re

Posta un commento

http://www.wikio.it