Univ. Salerno – 30/11/05 Lo stato dellarte della sicurezza ICT nelle PA - C. Manganelli 1 di 20...
-
Upload
giraldo-nanni -
Category
Documents
-
view
215 -
download
0
Transcript of Univ. Salerno – 30/11/05 Lo stato dellarte della sicurezza ICT nelle PA - C. Manganelli 1 di 20...
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli1 di 20
ing. Claudio Manganelli
Componente Collegio CNIPA - Presidente del Comitato tecnico nazionale sulla sicurezza ICT nella PA
Aula Magna dell’Università di Salerno30 novembre 2005
Sviluppi della Tecnologia Informatica e della Sicurezza ICT:sinergie tra Università, Industria e Pubblica Amministrazione
Lo stato dell’arte della sicurezza ICT nelle pubbliche amministrazioni
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli2 di 20
Alcuni dati sulla sicurezza ICT
Anno 2004
58%19%
8%
4%
3%6% 2%
Sistemi operativi WebNetwork security DatabaseApparati di rete Applicazioni lato clientApplicazioni lato server
263
576
64
126
50
28
12
54
21
15
34
24
9
18
0 100 200 300 400 500 600
1° s
emest
re 2
004
1° s
emest
re 2
005
Sistemi operativi WebNetwork security DatabaseApparati di rete Applicazioni lato clientApplicazioni lato server
Le vulnerabilità informatiche per classi di tecnologia
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli3 di 20
Alcuni dati sulla sicurezza ICT
9941.702
4.496
7.360
10.866
1701711641841410
2000
4000
6000
8000
10000
12000
Gen - Giu2003
Lug - Dic2003
Gen - Giu2004
Lug - Dic2004
Gen - Giu2005
Totale Virus e Worm Famiglie virali
Malware: virus e worm(fonte Symantec)
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli4 di 20
Alcuni dati sulla sicurezza ICT
Andamento dei fenomeni di attacco (virus e worm)
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
1999 2000 2001 2002 2003 2004
macro boot worm file
Dal 2002 non sono piùprodotti macro virus,
virus di boot, e per file
I tipi (famiglie) di viruscircolanti in Italia
sono network worm
4238
29
52
49
50
28
20
40
60
1998 1999 2000 2001 2002 2003 2400
Fonte: SECURITYNET® -Servizio Antivirus e Prevenzione Computer Crime- OASI SpA
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli5 di 20
Alcuni dati sulla sicurezza ICT
Phishing
Il numero di aziende colpite da questo tipo di attacco è in aumentato
Fonte:
Un sito specializzato ha censito – ad agosto 2004 – 1.474 casi che hanno interessato 39 servizi bancari.
400 casi fino a marzo 2004; 1.100 casi fino ad aprile 2004; 2.626 a febbraio 2005.
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli6 di 20
Alcuni dati sulla sicurezza ICT
Dati sugli interventi
0%
20%
40%
60%
80%
100%
meno di 1 h da 1h a 8h oltre 8h
Tempo necessario per il ripristino del funzionamento
Server Workstation
57% 43%
0%
20%
40%
60%
80%
100%
solo personaleinterno
personale interno edesterno
Chi ha risolto gli incidenti
ApprofondimentiSecurityNet
su alcune aziende
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli7 di 20
I rischi per lo sviluppo dell’e-government
Le informazioni acquisite o elaborate possono essere raccolte, memorizzate, analizzate, relazionate ed utilizzate in diversi modi, in posti geograficamente remoti, senza che i soggetti interessati ne siano consci
Lo sviluppo dell’e-government è accompagnato dal sorgere di nuovi problemi furto d’identità spamming prodotti di pubblicità indesiderati (adware)
Dopo l’entusiasmo per le nuove tecnologie, si rischia il “rigetto” per l’assenza di garanzie di sicurezza
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli8 di 20
La sicurezza ICT del settore pubblico
Il Governo ha indicato nella promozione della Società dell’informazione e nella realizzazione di un nuovo modello di Stato digitalizzato due priorità per lo sviluppo economico, sociale e culturale del Paese
La straordinaria efficienza dei nuovi strumenti da un lato moltiplica le opportunità di sviluppo del Paese, dall’altro incrementa i fattori di rischio ed offre nuove opportunità di uso non etico e criminoso
La digitalizzazione dello Stato incrementa la dipendenza dai sistemi informativi e quindi l’importanza della loro sicurezza
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli9 di 20
Prime risposte al bisogno di sicurezza ICT
Direttiva del Presidente del Consiglio dei Ministri del 16 gennaio 2002 sulla “Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali”
"Linee guida del Governo per lo sviluppo della Società dell'Informazione nella legislatura” (28 maggio 2002)
Istituzione del Comitato tecnico nazionale sulla sicurezza ICT nelle PA (DM MIC-MIT 24 luglio 2002 e 6 agosto 2004)
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli10 di 20
Le indicazioni del Comitato tecnico
“Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione“ (marzo 2004)
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli11 di 20
Il Codice dell’amministrazione digitale
Normativa dedicata all’ICT Il codice ed i provvedimenti ad esso collegati
Decreto legislativo 28 febbraio 2005, n. 42 recante istituzione del sistema pubblico di connettività
Decreto del Presidente della Repubblica 11 febbraio 2005, recante posta elettronica certificata
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli12 di 20
La sicurezza ICT nel Codice
Una parte rilevante dei contenuti del Codice è dedicata agli aspetti della sicurezza delle informazioni Modulistica (art. 58) Firma digitale (art. 21) CIE e CNS (art. 67) Sicurezza dei dati (art. 54) Pagamenti informatici (art. 5) Segretezza della corrispondenza telematica
(art.52)
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli13 di 20
Iniziative del CNIPA per la sicurezza ICT delle PA
GovCERT
Gruppo di lavoro per redazione del Piano Nazionale e del Modello Organizzativo
Continuità Operativa
Sistemi di autenticazione e riconoscimento: biometria e RFID
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli14 di 20
Il GovCERT - obiettivi
• Assicurare un presidio informativo sugli eventi che possono colpire le infrastrutture, i servizi e gli utenti della PA, fornendo dati e informazioni al personale tecnico delle PA di riferimento.
• Emanare linee guida di tipo tecnico ed organizzativo per favorire ed uniformare la capacità di risposta agli incidenti e lo sviluppo della cultura della sicurezza nelle PA.
• Collaborare con altri Organi dello Stato che hanno competenza in materia per favorirne l’interazione.
• Costituire per la PA un punto di riferimento per la sicurezza informatica e la gestione degli incidenti.
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli15 di 20
Servizio di Early WarningBollettini prodotti in lingua italiana e firmati digitalmente.
Da Gennaio 2005 61 segnalazioni per nuove vulnerabilità gravi o importanti 10 avvisi di presenza in rete di malware a rischio medio o elevato
Supporto alla Gestione degli Incidenti
Da Gennaio 2005 19 web defacement rilevati e comunicati Ricevute segnalazioni di incidenti una di esse ha richiesto l’analisi del codice virale
Il GovCERT – le attività
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli16 di 20
Gruppo di lavoro per redazione del Piano Nazionale e del Modello Organizzativo
•Il Piano Nazionale della sicurezza ICT e il Modello Organizzativo della sicurezza ICT per la Pubblica Amministrazione sono stati previsti nelle “Linee guida del Governo per lo sviluppo della Società dell’Informazione nella legislatura”
•Il Gruppo di lavoro ha da poco terminato le sue attività e presenterà i risultati al Comitato
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli17 di 20
Continuità Operativa
istituzione di un centro di competenza per il supporto alle iniziative per il disaster recovery e la business continuity.a questo centro di competenza fanno riferimento le diverse iniziative di volta in volta promosse:
•il progetto Centro Unico di Backup degli istituti di previdenza•il gruppo di lavoro per le linee guida per la Business Continuity nella PA
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli18 di 20
Sistemi di autenticazione e riconoscimento: biometria e RFID
•Negli ultimi anni si è manifestato un crescente interesse da parte di amministrazioni pubbliche per l’impiego delle tecnologie biometriche in ambiti “civili”
•A partire dal 2003 il CNIPA ha avviato le attività sull’argomento con la costituzione di un centro di competenza sulla biometria e di un gruppo di lavoro per la redazione di linee guida sulle tecnologie biometriche.
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli19 di 20
Sistemi di autenticazione e riconoscimento: biometria e RFID
•Fra gli obiettivi del centro di competenza sulla biometria:•supporto diretto ai progetti della PA e la condivisione di best practice•monitoraggio del mercato e della normativa •indagini e attività di laboratorio interne ed in collaborazione con laboratori esterni (Ministero dell’Interno e Università di Bologna)
•Sono stati inoltre prodotti due documenti:•Linee guida per l’impiego delle tecnologie biometriche nella PA (2004) •Linee guida per l’impiego delle tecnologie biometriche nella PA - Indicazioni operative (2005)
•E’ stato tenuto il convegno Cnipa “La biometria entra nell’e-government. Roma, 23.11.04”
Univ. Salerno – 30/11/05 Lo stato dell’arte della sicurezza ICT nelle PA - C. Manganelli20 di 20
Sistemi di autenticazione e riconoscimento: biometria e RFID
•Nel gennaio 2005 il Cnipa ha costituito un Gruppo di studio sull’impiego degli RFID con l’obiettivo di individuare e analizzare le applicazioni potenzialmente d’interesse per la PA.
•A seguito delle indagini effettuate anche attraverso audizioni con Amministrazioni Pubbliche, operatori di settore e associazioni di categoria il Gruppo ha individuato le seguenti aree di intervento:
•approfondimento delle tecnologia dell’RFID e delle applicazioni connesse•costituzione di un laboratorio di sperimentazione e accordi con Centri di Ricerca•individuazione di progetti pilota