Foto di Pfauenauge rilasciata sotto licenza cc - https://www.flickr.com/photos/maikaefer/23949054383

Cert Sogei, esperienza italiana di contrasto alla cyber minaccia

di Fabio Lazzini, Chief Security Officer, Sogei SpA – Cantiere Sicurezza digitale

Crescita e trasformazione digitale, così come spazio cibernetico, sono termini entrati a far parte del linguaggio comune tra gli addetti ai lavori, anche e soprattutto nella PA. L’Europa e il governo italiano hanno varato strategie e framework di riferimento per accelerare il percorso dell’e-government e in generale dell’agenda digitale nelle amministrazioni pubbliche. Anche il concetto di trusted services, ovvero i principi per i quali la crescita digitale non può prescindere da un adeguato livello di fiducia che cittadini e imprese ripongono nelle infrastrutture informatiche, è diventato parte integrante delle politiche di sviluppo. Questa fiducia passa inevitabilmente dalla capacità dei singoli enti di salvaguardare informazioni e infrastrutture attraverso lo sviluppo di servizi ICT sempre più sicuri. È proprio su questo terreno che si gioca una delle sfide più importanti per la PA: sviluppare servizi sempre più innovativi e al tempo stesso capaci di resistere alla continua evoluzione degli attacchi e in generale dei rischi dello spazio cibernetico. Tale evoluzione tuttavia non sempre è accompagnata dall’adozione di misure di sicurezza adeguate, infatti molti enti, istituzioni e infrastrutture critiche non hanno ancora istituito un presidio permanente di cybersecurity, come quello rappresentato dal Computer Emergency Response (CERT).

In questo contesto si inserisce Sogei, che ha sempre posto massima attenzione a questi aspetti ideando e sviluppando strutture per il monitoraggio e la gestione della sicurezza quali ad esempio le Unità locali di sicurezza (Uls) istituite all’epoca dal Ministero dell’Economia e delle Finanze (MEF) all’interno del Sistema Pubblico di Connettività (SPC).

Ma la costante crescita della necessità di sicurezza ha spinto Sogei a un passo ulteriore, cioè a individuare modelli organizzativi e tecnologici sempre più efficaci nella gestione dei rischi connessi allo spazio cibernetico e alle nuove tecnologie. In tale ambito nel 2015 è nato il CERT-Sogei che rappresenta, insieme al CERT-MEF, un centro di eccellenza per la protezione e la difesa dalle minacce cibernetiche all’interno della PA.

L’obiettivo principale del CERT-Sogei è quello di coordinare, supportare e monitorare le attività di prevenzione, risposta e ripristino degli incidenti critici di tipo cyber, abilitando e coordinando le comunicazioni interne ed esterne e supportando la conformità a standard e normative di riferimento.

La realizzazione del CERT è basata su alcune scelte strategiche e operative che nel tempo si sono rivelate vincenti in termini di efficacia e risultati. Tra queste le più significative sono:

  • istituzione di un’unità organizzativa a diretto riporto dei vertici aziendali, con l’obiettivo di rendere più efficace e immediato il colloquio con gli interlocutori interni e istituzionali. L’indipendenza rispetto alla struttura aziendale dedicata all’IT ha inoltre garantito un ottimale ruolo di coordinamento, con obiettività e commitment rispetto all’effettiva priorità degli eventi;
  • adozione di un modello di tipo campus, che facilita la cooperazione tra tutti gli attori coinvolti, siano essi interni (dipendenti, collaboratori) o esterni (clienti, fornitori, istituzioni, enti). Le amministrazioni dotate di un proprio CERT, come nel caso del MEF, coordinano i rispettivi ambiti di intervento quando riferiti a servizi/sistemi della propria constituency, e collaborano attivamente con il CERT-Sogei per le infrastrutture sotto la gestione diretta di Sogei. In questo senso l’adozione di standard e linguaggi comuni tra CERT costituisce un fattore fondamentale per una efficace cooperazione;
  • funzionamento basato sul concetto di readiness. La maggior parte dei CERT, anche in relazione agli scopi attribuiti in origine, è ancora oggi fortemente sbilanciata su capacità reattive e di pronto intervento. Il CERT-Sogei, invece, ha privilegiato fin dalla nascita un approccio volto più alla prevenzione che alla semplice reazione. L’identificazione dei rischi cibernetici e di sicurezza informatica, condotta con riscontri oggettivi sulla quantità e tipologia di incidenti cyber registrati, permette di misurare l’efficacia reale delle contromisure applicate e ridefinire costantemente sia il livello di rischio, sia gli interventi richiesti per gestirlo (il cosiddetto calcolo dinamico del rischio). Il monitoraggio sull’andamento delle minacce emergenti a livello globale (shared situational awareness) fornisce poi ulteriori indicatori, concorrendo alla corretta definizione delle strategie e delle priorità di intervento;
  • consapevolezza e formazione. Il CERT-Sogei ha attivato un percorso di promozione della cultura della sicurezza con specifici programmi di sensibilizzazione per i propri dipendenti e per i dipendenti del MEF.

La costante evoluzione del CERT Sogei sta portando enormi benefici in termini di aumento delle effettive capacità di gestione e contrasto della minaccia cibernetica, in linea con gli obiettivi strategici e operativi contenuti nel Piano nazionale di sicurezza cibernetica, con la direttiva NIS e con il nuovo Regolamento europeo per la protezione dei dati personali (GDPR).

È auspicabile che l’esperienza positiva che Sogei ha riscontrato possa spingere altre amministrazioni a considerare il ruolo centrale dei CERT nelle politiche di prevenzione e gestione del rischio cibernetico. Ciò incentiverebbe una crescita uniforme e omogenea della capacità nazionale di cybersecurity partendo proprio dalla PA, spina dorsale dello sviluppo e dell’innovazione dell’intero Paese.

 

Foto di Pfauenauge rilasciata sotto licenza cc – https://www.flickr.com/photos/maikaefer/23949054383