Docs Italia beta

Documenti pubblici, digitali.

Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

5. Introduzione ai CERT

5.1. CERT: significato e definizioni generali

Il significato di CERT è comunemente associato ad un gruppo di professionisti dedicato alla gestione degli incidenti di sicurezza informatica, in grado di cooperare e coordinare gli interventi necessari per contenere il loro impatto e rispristinare le normali o accettabili condizioni operative nell’erogazione dei servizi. Al fine di attenuare gli impatti e ridurre al minimo il numero di interventi richiesti, la maggior parte dei CERT fornisce anche servizi di prevenzione e di formazione e sensibilizzazione per la propria comunità di riferimento.

Il funzionamento dei CERT si basa sulla gestione integrata dei flussi informativi provenienti dalla propria constituency e dal mondo esterno, in qualità di unica interfaccia operativa per le attività di Information Sharing. I CERT capaci di raccogliere, oltre alle segnalazioni di incidenti informatici, le vulnerabilità e le potenziali minacce, analizzano gli impatti che si potrebbero verificare sulle infrastrutture informatiche della propria constituency (o sull’organizzazione stessa) così da indentificare i rischi e dunque le più adeguate contromisure.

Nel contesto attuale lo scopo e la missione dei CERT sono stati estesi, e più che parlare di “Response” (risposta) si pone l’accento sulla nozione di “Readiness” (prontezza / preparazione). In particolare, a fronte dell’evoluzione dei servizi informatici, della crescente sofisticazione delle minacce e della rilevanza strategica dei target cui le stesse si rivolgono, ogni organizzazione, di fronte ad un incidente di sicurezza informatica, deve prepararsi per tempo, sviluppando la propria cultura e mettendo in campo azioni proattive e procedure tese a ridurre la probabilità ma anche l’impatto degli incidenti. Condurre le organizzazioni verso uno stato di “Readiness” in tema di cyber security vuol dire dunque sviluppare quella capacità di adattare i propri sistemi di difesa (non solo tecnologici, ma anche di processo e procedurali) sulla base dell’evoluzione delle minacce, della scoperta di nuove vulnerabilità e degli incidenti avvenuti sia internamente che subiti da altre organizzazioni.

Elementi fondamentali per assicurare la Readiness sono in particolare:

  • capacità di rilevazione e risposta agli incidenti;
  • capacità di comprendere ciò che sta avvenendo sulle proprie infrastrutture e sui sistemi, attraverso una conoscenza approfondita dei propri asset, incluse le configurazioni dei sistemi e le vulnerabilità;
  • capacità di individuare le minacce esterne e le modalità con cui potrebbero essere colpiti i propri sistemi e servizi informatici;
  • capacità di condividere informazioni, in modo efficiente, per consentire alle organizzazioni, alle amministrazioni, alle istituzioni, alle infrastrutture critiche di scambiarsi conoscenza al fine di anticipare eventuali attacchi, innalzando in questo modo il proprio livello di protezione.

5.2. Categorie di CERT

In funzione della finalità e del contesto operativo nel quale essi operano, è possibile distinguere diverse tipologie di CERT [60]:

[60]Si vedano anche [8] e [15].
Tabella 5.1 Categorie di CERT
Categoria di CERT Finalità
Nazionale Costituisce un punto di contatto unico per la sicurezza a livello di Paese, agendo da intermediario anche nei confronti degli altri CERT nazionali a livello comunitario e internazionale. Si parla in alcuni casi anche di CERT Regionali, quando i CERT nazionali sono connessi oltre i confini nazionali su un territorio più esteso (es. federale o continentale) [61]
Governativo Supporta le agenzie governative e le Pubbliche Amministrazioni nella protezione da minacce e incidenti cyber.
Settoriale Fornisce servizi nei confronti di una comunità di attori appartenenti ad uno stesso ambito o settore (ad esempio: ambito accademico, bancario, industriale, ecc.).
Militare Fornisce servizi alle organizzazioni militari responsabili dell’infrastruttura IT necessaria per finalità di difesa.
Privato o interno Fornisce servizi limitatamente all’organizzazione che lo ospita.
Commerciale Offre servizi nei confronti di soggetti terzi all’organizzazione che lo ospita, con finalità di vendita sul mercato a fronte di un corrispettivo economico.
[61]New America-GPPi “CSIRT Basics for Policy-Makers”, pubblicato nell’ambito del progetto “Transatlantic Dialogues on Security and Freedom in the Digital Age”.

5.3. Mission dei CERT

Le attività critiche di un CERT dovrebbero comprendere almeno le seguenti:

  • fornire supporto ed assistenza specialistica alla constituency nell’analisi dei dati relativi alle minacce informatiche emergenti e nella risoluzione degli incidenti di cyber security;
  • agevolare la diffusione di informazioni tempestive e immediatamente utilizzabili su nuovi scenari di rischio, attacchi in corso, trend di fenomeni cibernetici indirizzati a specifici settori, organizzazioni o territori;
  • incentivare l’applicazione dei processi di gestione della sicurezza, delle metodologie e delle metriche valutative per il governo della sicurezza cibernetica definite;
  • facilitare le attività di prevenzione e monitoraggio degli eventi cibernetici sul territorio, agendo come unità capaci di esercitare un controllo più diretto a livello locale;
  • collaborare e cooperare con le altre organizzazioni nazionali ed internazionali nel potenziamento e miglioramento della capacità difensiva delle organizzazioni in materia di cyber security;
  • accrescere le competenze specialistiche degli addetti alla sicurezza cibernetica e migliorare le attività di sensibilizzazione su questi temi a livello locale.

5.4. Identificazione della constituency

Nell’ambito del proprio funzionamento, ogni CERT interagirà con una vasta gamma di entità e soggetti. La più importante comunità tra queste è quella per cui il CERT stesso è stato fondato e a cui rivolgerà i propri servizi, ovvero la sua constituency, ovvero la comunità di utenti ed entità interni o esterni all’organizzazione cui il CERT appartiene e verso cui il CERT eroga istituzionalmente i propri servizi. Questa potrà essere illimitata (un CERT che fornirà servizio a chiunque ne faccia richiesta), oppure può essere limitata da alcune restrizioni, quali ad esempio:

  • vincoli di natura finanziaria legati all’entità dei fondi iniziali ottenuti per la costituzione del CERT e l’avvio delle attività;
  • vincoli di natura geografica o politica, come nel caso di CERT che dovranno supportare una constituency nazionale o legata a singole organizzazioni dell’apparato governativo o amministrativo di un Paese;
  • vincoli di natura tecnico-organizzativa, quando ad esempio un CERT viene costituito all’interno di una determinata organizzazione oppure è avviato per offrire servizi verso una specifica clientela di mercato.

Il CERT, oltre che con la propria constituency, potrà comunque intrattenere rapporti con ulteriori entità non ricomprese in quest’ultima, organizzate all’interno di una o più community informali, più o meno strutturate (si pensi ad esempio ad attività di scambio di informazioni tra le parti regolate da specifici accordi o a regolamenti generali definiti dalle community stesse).

L’identificazione della propria constituency è un’operazione estremamente critica per l’efficacia di un CERT. Infatti, a seconda della gamma di servizi offerti da un CERT e della natura di tali servizi, un CERT potrebbe anche avere la necessità di definire più di una constituency. È altresì possibile che uno o più CERT offrano un determinato servizio a constituency che si sovrappongono, con il rischio di avere uno scarso coordinamento in termini di ruoli e responsabilità nonché una potenziale duplicazione degli sforzi e servizi inefficaci e/o in reciproco contrasto (si pensi ad esempio alla sovrapposizione di un CERT privato con uno governativo nell’ambito degli stessi servizi).

Con riferimento alle diverse tipologie di CERT individuati in Tabella 5.2, è possibile individuare specifiche constituency.

Tabella 5.2 Constituency di riferimento per tipologia di CERT
Categoria di CERT Constituency di riferimento
Nazionale Cittadini ed organizzazioni pubbliche e private appartenenti aduna specifica nazione.
Governativo Cittadini, agenzie governative ed altre organizzazioni pubbliche.
Settoriale Utenti ed organizzazioni operanti in specifici settori.
Militare Personale appartenente a corpi militari/difesa o di entità organizzative strettamente correlate.
Privato o interno Personale interno e dipartimenti/funzioni dell’organizzazione ospitante.
Commerciale Clienti pubblici o privati che si avvalgono di un fornitore esterno.

Allo stesso modo, anche quando una constituency è molto circoscritta, un CERT potrebbe avere comunque la necessità di interagire con entità esterne al proprio ambito di intervento per raccogliere informazioni utili alla propria constituency. In tal senso, alcuni CERT possono agire come vero e proprio centro di coordinamento tra la propria constituency ed altre parti esterne (come altri CERT, forze dell’ordine, fornitori, media, ecc.) e tali relazioni possono prevedere il semplice inoltro di richieste di informazioni per arrivare a situazioni di completa condivisione dei dati e delle informazioni e alla piena collaborazione.

Una volta individuata e definite la constituency, il CERT dovrebbe promuovere sé stesso e i suoi servizi sia all’interno della propria constituency che al di fuori della stessa nel modo più ampio possibile per garantire una chiara comprensione del suo ruolo e dei servizi offerti ed ottenere un riconoscimento all’interno della più ampia comunità dei CERT. Tale promozione dovrebbe essere effettuata attraverso il maggior numero possibile di canali di comunicazione, inclusi quelli istituzionali (sito web, ecc.), organizzazione di workshop e in generale attività di sensibilizzazione.

5.5. CERT regionali

AGID [62], tramite le attività operative in carico al CERT-PA, supporta le PA nella prevenzione e nella risposta agli incidenti di sicurezza informatica che avvengono nel dominio costituito dalle stesse. Il CERT-PA è infatti la struttura responsabile per la conduzione e gestione delle attività operative e per il monitoraggio dello spazio cibernetico delle PA, anche tramite l’attivazione di specifiche collaborazioni con le comunità di riferimento nazionali ed internazionali.

[62]Riferimento: Art. 20, c. 3 lett. b) del Decreto Legge 22 giugno 2012, n. 83.

Ai fini dell’efficacia del modello di interazione tra CERT-PA e PAL, si rende opportuna una decentralizzazione delle attività operative oggi in carico al CERT-PA, fondamentale per raggiungere in modo capillare tutte le amministrazioni del territorio nazionale. Infatti, l’attuale modello, basato su un unico CERT-PA centrale, risulta essere insufficiente rispetto alla nuova complessità del sistema, che ha visto un significativo aumento delle entità appartenenti alla Constituency [63]. Per operare efficacemente la sicurezza cibernetica a livello delle strutture locali della PA è dunque auspicabile la creazione di una rete nazionale di CERT periferici (CERT Regionali), supplementari al CERT-PA, i quali possano garantire, sulla base di un modello di interazione definito, un primo supporto diretto alle PAL, attivando un processo di escalation verso il CERT-PA in caso di necessità.

[63]La Constituency originaria del CERT-PA nel 2015 comprendeva solo PAC, Regioni, Città metropolitane, per un totale di circa 70 Amministrazioni. La Constituency attuale comprende anche la PAL e tutte le Amministrazioni sul dominio *.gov.it (~22.600 Amministrazioni).

I CERT Regionali dovranno essere costituiti dunque con l’obiettivo di facilitare le attività di prevenzione e monitoraggio del CERT-PA, agendo come unità locali in grado di esercitare un controllo più diretto sul territorio, e di gestire tutti quegli incidenti di Cyber Security per i quali il CERT-PA non deve essere necessariamente coinvolto in maniera diretta, in quanto:

  • sono limitati ad un singolo ente locale o ad un numero limitato di PAL;
  • producono limitate implicazioni di sicurezza in termini di impatto su asset ed informazioni e sono pertanto gestibili nell’ambito delle normali attività operative della PAL stessa e/o di organismi periferici, quali i CERT Regionali;
  • sono relativi a PAL che non hanno aderito al processo di accreditamento al CERT-PA.

Le PAL cercano da tempo di sviluppare maggiori competenze e servizi specialistici per contrastare le minacce cibernetiche che crescono in numero e sofisticatezza, ma non tutte possiedono dimensioni, risorse umane, tecniche ed economiche sufficienti per raggiungere tale risultato. La possibilità di accedere ad infrastrutture e risorse specializzate – messe a disposizione dai CERT regionali - costituisce un elemento chiave per l’innalzamento dei livelli di sicurezza di tali enti.

Nel modello unificato di CERT su scala nazionale, i CERT regionali rappresenteranno entità più vicine alle PAL in senso geografico, operando, da un lato, come strutture di supporto verso le stesse e, dall’altro, fungendo da elemento di raccordo fra periferia e centro (CERT-PA).

Per garantire omogeneità di comportamento e interoperabilità sia orizzontale che verticale è necessario che tutti i CERT della rete regionale operino secondo un modello organizzativo ed operativo comune, che individui e definisca struttura, organizzazione, risorse, servizi e processi e meccanismi di interazione con le PAL.

Il modello proposto nel documento definisce una serie di elementi e di aspetti chiave alla base della costituzione e dell’avvio dei CERT regionali, come di seguito illustrato:

  • definizione della mission dei CERT regionali, ovvero la funzione di base che ha determinato la costituzione degli stessi, in termini di obiettivi ed attività fornite alla propria comunità di riferimento;
  • definizione della Constituency da servire, ovvero la comunità di soggetti ed entità che potranno accedere ai servizi offerti dai CERT regionali e/o che si potranno mettere in contatto ed attuare relazioni di mutuo scambio di informazioni con gli stessi (es. altri CERT nazionali e governativi), e definizione delle relative modalità di ingaggio, di cooperazione e di affiliazione;
  • sviluppo del catalogo dei servizi offerti dai CERT regionali, supplementare a quello offerto dal CERT-PA, determinando i benefici e le aspettative connesse a ciascun servizio;
  • definizione del modello organizzativo ed amministrativo, del sistema di ruoli e responsabilità e dei livelli di delega, in accordo con gli indirizzi strategici nazionali e con le pratiche attuate dal CERT-PA;
  • definizione dei processi operativi a supporto dell’erogazione dei servizi ed in particolare quelli di gestione degli incidenti, di escalation verso il CERT-PA e di comunicazione verso altri enti locali e/o centrali;
  • formalizzazione delle responsabilità definite nell’ambito dei processi operativi;
  • sviluppo delle capacità, in termini di Risorse, Tecnologie ed Infrastrutture, da implementare e/o migliorare per il funzionamento dei CERT regionali;
  • definizione dei requisiti di sicurezza fisica e logica per la protezione degli spazi di lavoro, degli asset informatici e delle informazioni impiegati dai CERT regionali;
  • definizione dei meccanismi di interazione e cooperazione, inclusa l’identificazione del modello di affiliazione e/o accreditamento più appropriato in funzione dei servizi offerti;
  • definizione di una roadmap al fine di prioritizzare il rilascio dei servizi e delle capacità connesse sulla base del loro rapporto costi/benefici, valutando, al contempo, la possibilità di ricevere finanziamenti di tipo governativo sia livello nazionale che sovranazionale (i.e. europeo).

5.5.1. Mission dei CERT regionali

Come precedentemente illustrato, i CERT regionali si pongono come strutture istituite e operanti sul territorio con il ruolo di coordinare, supportare e monitorare le attività di prevenzione, risposta e ripristino degli incidenti critici di tipo cyber nell’ambito del dominio costituito dalle PAL.

Tenuto conto degli ambiti di responsabilità e di relativa specializzazione del CERT-PA e degli altri organismi centrali istituiti nell’ambito della strategia nazionale per la sicurezza cibernetica [64], le attività critiche dei CERT regionali dovrebbero comprendere:

[64]Si veda Par. 4.1.
  • fornire supporto ed assistenza specialistica alle PAL nell’analisi dei dati relativi alle minacce informatiche emergenti e nella risoluzione degli incidenti di cyber security;
  • agevolare la diffusione di informazioni tempestive e immediatamente utilizzabili su nuovi scenari di rischio, attacchi in corso, trend di fenomeni cyber indirizzati a specifici settori e possibili impatti per le PAL e la loro utenza;
  • incentivare a livello locale l’applicazione dei processi di gestione della sicurezza, delle metodologie e delle metriche valutative per il governo della sicurezza cibernetica definite a livello nazionale;
  • facilitare le attività di prevenzione e monitoraggio del CERT-PA sul territorio, agendo come unità capaci di esercitare un controllo più diretto a livello locale, mediante azioni di aggregazione delle PAL;
  • collaborare e cooperare con le altre organizzazioni nazionali ed internazionali nel potenziamento e miglioramento della capacità difensiva delle PAL in materia di cyber security;
  • accrescere le competenze specialistiche degli addetti alla sicurezza cibernetica e migliorare le attività di sensibilizzazione su questi temi.

5.5.2. Constituency dei CERT Regionali

La Constituency dei CERT regionali è rappresentata dalla comunità delle PAL [65] che possono accedere e beneficiare dei servizi da questi erogati. Una lista, non esaustiva, delle categorie di PAL che possono essere serviti in linea di principio dai CERT regionali è fornita a seguire:

  • Province
  • Comuni
  • Comunità montane e isolane
  • Forme associative tra enti locali, ovvero enti territoriali che sperimentano la gestione associata dei servizi e delle funzioni, tra cui: le Unioni di Comuni, Centri Servizi Territoriali, consorzi intercomunali, ecc.
  • Enti economici locali, quali aziende municipalizzate, le società in-house e le società miste.
  • Aziende sanitarie e ospedaliere locali, inclusi gli istituti di ricovero e cura pubblici a carattere scientifico, ed altri enti di supporto al Sistema Sanitario Nazionale
  • Camere di commercio
  • Università ed Istituti di istruzione universitaria
  • Altri enti locali, quali Agenzie regionali, Consorzi di bonifica, Fondazioni, Istituti regionali, Musei, ecc.
[65]Un elenco aggiornato delle PAL è pubblicato in: http://www.indicepa.gov.it/public-services/docs-read-service.php?dstype=FS&filename=Categorie_ Amministrazioni.pdf

Dalle province al più piccolo degli enti locali, le PAL rappresentano i principali terminali dei servizi pubblici a cittadini ed imprese, nell’ambito di territori che presentano numerose specificità e differenze. Tali servizi coprono una pluralità di fabbisogni per la cittadinanza quali, a titolo puramente esemplificativo e non esaustivo:

  • Servizi informativi (Ufficio Relazioni con il Pubblico, siti internet, ecc.)
  • Servizi socio-assistenziali e sanitari
  • Rilascio di certificati e documenti
  • Servizi alle persone ed alle imprese per l’impiego
  • Rilascio di autorizzazioni per l’avvio di attività commerciali e produttive sul territorio
  • Accertamento e riscossione di tributi locali
  • Servizi per l’infanzia e per l’istruzione
  • Pubblica Sicurezza sul territorio

Tali servizi a carico delle Pubbliche Amministrazioni determinano la raccolta e il trattamento di un enorme volume di dati di tipo riservato (personali, sensibili, ecc.) e di altre informazioni di tipo cogente, rendendole di fatto un bersaglio estremamente appetibile nello spazio cibernetico, con potenziali rischi legati alla sottrazione, alterazione e distruzione di informazioni, al blocco ed all’alterazione di servizi, ecc. Tale situazione è ulteriormente accentuata considerando che gran parte dei servizi precedentemente elencati sono oggi offerti sul territorio tramite il web o l’utilizzo di dispositivi mobili.

Sono invece da ritenersi escluse dalla Constituency dei CERT regionali tutte le PAC e le relative articolazioni che continuano ad aderire al servizio di accreditamento offerto dal CERT-PA. Nel caso delle Regioni sono i CERT regionali, laddove costituiti, ad accreditarsi verso il CERT-PA, e l’ente “Regione” a beneficiare in maniera diretta dei servizi offerti da quest’ultimi.

Va comunque sottolineato che tutte le PA, centrali e locali, in assenza della costituzione di un CERT regionale competente per il territorio, sono da ritenersi parte della Constituency complessiva del CERT-PA.

Le PAL potranno accedere ai servizi offerti dai CERT regionali a valle di un processo di accreditamento, tramite il quale:

  • le PAL aderenti possono richiedere il coinvolgimento del CERT regionali per la gestione degli incidenti di sicurezza informatica sulla base di modalità attuative regolamentate da protocolli di comunicazione e da procedure operative di risoluzione ed escalation;
  • i CERT regionali possono raccogliere in modo ufficiale tutte le informazioni tecniche ed organizzative per la gestione dell’incidente.

Potranno essere previsti più livelli di accreditamento rispetto ai quali profilare la Constituency, che si differenziano dal punto di vista della comunicazione e dell’interazione attesa tra il CERT regionale e la PAL e del livello di partecipazione attiva attesa di ciascun membro verso la comunità. In linea generale è possibile considerare almeno due livelli di accreditamento:

  • Livello Base, caratterizzato da un’interazione puramente informativa, che richiede la registrazione della PAL sul portale del CERT regionale, attraverso il quale le sarà consentito di accedere ad un’area riservata ed ottenere informazioni (es. bollettini informativi, statistiche di settore, ecc.);
  • Livello Avanzato, nell’ambito del quale potranno essere identificati enti che, per maturità dei presidi di sicurezza e di competenze specialistiche sviluppate al proprio interno, potrebbero essere in grado di fornire, ove ritenuto necessario, un contributo attivo all’erogazione dei servizi del CERT e/o al miglioramento dei servizi stessi.