Photo by Luca Bravo on Unsplash

Bessi (Cast): “Ecco cinque azioni per la sicurezza applicativa nella PA”

di Marco Bessi, Solution Design Manager, CAST Italia – Cantiere Sicurezza digitale

Al fine di riuscire in una reale trasformazione del paese, l’Italia ha la necessità di andare ad agire su una delle leve più importanti che la compongono e contraddistinguono, ossia iniziare a lavorare su una trasformazione profonda della pubblica amministrazione tramite l’innovazione digitale. Attraverso l’iniziativa dei “Cantieri della PA digitale”, alcuni interlocutori qualificati (rappresentativi di contesti differenti, quali: l’accademia e la ricerca, le amministrazioni, le aziende di tecnologia e servizi avanzati e le associazioni dei cittadini) si confrontano analizzando gli strumenti, le pratiche e le idee andando poi a stilare dei “manuali d’uso” per lo sviluppo digitale del paese.  

Il Cantiere Sicurezza Digitale, realizzato in collaborazione con CAST, si focalizza sulla gestione della sicurezza delle informazioni per assicurare un’adeguata capacità di prevenzione e risposta agli eventi cibernetici. 

Una prima analisi della Sicurezza Digitale italiana 

Nella prima riunione sono state individuate tre tematiche principali: il fattore umano nella sicurezza informatica e nella protezione dei dati, la sicurezza degli end-point, la sicurezza applicativa e della filiera di fornitura software. CAST, pioniera della Software Intelligence e leader di mercato nella Static Software Analysis, partecipa attivamente al tavolo relativo alla Sicurezza Applicativa. Storicamente sottovalutata come area su cui operare per mitigare appropriatamente il rischio cyber, la sicurezza applicativa rappresenta un aspetto critico su cui concentrarsi anche in ambito pubblico. Un primo passo in tal senso è stato fatto con l’approvazione da parte di AgID delle Linee guida per lo sviluppo del software sicuro. Tuttavia, molto c’è ancora da fare per abilitare processi di gestione dei fornitori da un punto di vista cyber security, acquisizione e sviluppo dei prodotti che possano misurare anticipatamente la sicurezza del proprio portafoglio applicativo. 

Le principali linee di azione per la Sicurezza Applicativa applicata alla PA 

Nella seconda riunione l’analisi della Sicurezza Applicativa è entrata più nel dettaglio andando ad evidenziare prima di tutto gli scenari attuali in cui la PA si trova. Mancanza di budget, scadenze impellenti, requisiti scarni e poca sensibilità all’argomento sicurezza sono i principali problemi evidenziati durante la discussione. Inoltre la complessità del mondo IT da proteggere, differenziabile principalmente in manutenzione/estensione delle applicazioni esistenti e già in produzione e lo sviluppo di nuove applicazioni per il supporto di nuovi progetti, evidenzia la necessità di un approccio generale e la necessità di un presidio dell’intero ciclo di vita: design, transition e operation devono essere costantemente posti sotto osservazione per prevenire, evitare e gestire correttamente eventuali attacchi cibernetici. 

Le linee di azione evidenziate sono quindi le seguenti: 

  • La progettazione dei requisiti – Security-by-design tramite linee guida applicabili, un corretto ciclo di vita dei requisiti e l’utilizzo di una nuova metrica di sicurezza sono i punti fondamentali su cui concentrarsi per sviluppare la prima linea di azione; 
  • La sicurezza applicativa nei capitolati – L’importanza di una corretta formalizzazione dei capitolati dal punto di vista della gestione delle attività legate alla sicurezza applicativa è un punto fondamentale per la corretta gestione dei nuovi progetti di sviluppo. Un capitolo (ed un budget) dedicato alla sicurezza applicativa deve essere presente nei nuovi capitolati di gara in modo da evitare deroghe per rispettare le tempistiche/budget finale. L’importanza dei test e la verifica del codice sorgente è tutt’ora troppo sottovalutata, non comprendendo che il rischio legato ad una vulnerabilità può risultate molto più costoso che l’attività di prevenzione dello stesso; 
  • La verifica della sicurezza applicativa – Ovviamente, dopo aver introdotto la sicurezza applicativa nei capitolati, sarà necessario andare anche a verificarne il rispetto secondo le principali certificazioni relative al software applicativo. La verifica degli indicatori dovrà essere quindi ripetuta durante tutto il ciclo di sviluppo e di vita dell’applicazione in modo da verificarne la stabilità e la correttezza nel tempo. Le fasi di sviluppo, di transition e di operation devono essere quindi monitorate costantemente. Uno strumento di automazione per la corretta ripetibilità delle analisi di sicurezza è quindi necessario al fine di garantire oggettività e congruenza tra un test e l’altro. CAST Application Intelligence Platform (AIP) permette la verifica della compliance alle principali certificazioni software relative alla sicurezza applicativa, risultando infatti compliant e quindi verificando il rispetto delle OWASP top 10, CWE top 25, PCI DSS e CISQ. Secondo l’ultimo studio Forrester di dicembre 2017 sui tool di Static Software Analysis CAST è stata dichiarata come Strong Performer ottenendo, inoltre il massimo valore per il KPI di Accuracy, ad identificare quindi la maggior qualità dei risultati proposti, sia in termini di minor quantità di falsi positivi che di falsi negativi; 
  • Il rischio della applicazioni legacy – Un approccio diverso deve essere correttamente definito per applicazioni esistenti e stratificate negli anni. Principalmente una attività di assessment dello stato attuale è necessaria per evidenziare il rischio di gestione/esecuzione attualmente presente nel sistema in produzione. Eventuali contromisure compensative e linee guida per l’aggiornamento e isolamento devono essere identificate e pianificate rispetto alla gestione del rischio intrinseco di questa tipologia di applicazioni. Solitamente, nel mondo legacy, CAST agisce su due livelli: viene effettuata una prima baseline in cui vengono evidenziate le vulnerabilità generiche e critiche presenti nel codice sorgente, viene quindi suggerita un’attività volta ad eliminare le violazioni critiche e un piano di azione automaticamente caricato nei principali tool di issue tracking in modo da monitorare anche l’andamento delle violazioni, oltre a prendere conoscenza del rischio intrinseco a ciascuna applicazione in produzione; 
  • Checkpoint organizzativi – Al fine di abilitare il più possibile i punti precedentemente evidenziati, si propone la possibilità di andare ad inserire gli indicatori di sicurezza sopra riportati anche come obiettivi personali dei direttori e l’introduzione di “security gate” formalizzati con possibilità di diritto di veto della funzione Security. 

Un approccio strutturato alla Sicurezza Applicativa per una PA sicura 

Si vuole quindi evidenziare la necessità della richiesta verso i propri fornitori dell’utilizzo di modelli di sviluppo software in grado di produrre codice sicuro controllando e rispettando in modo sistematico i principali indicatori e le certificazioni di sicurezza relativamente al codice sorgente applicativo. 

Se si sviluppassero in maniera sicura vulnerability assessment e penetration test all’interno di un ciclo di sviluppo sicuro, la numerosità degli eventi cibernetici si ridurrebbe sostanzialmente. È quindi necessario un maggiore sforzo da parte dei vendor in termini di attenzione alla qualità dei prodotti software per la PA, e da parte delle PA per un controllo dei progetti e dei capitolati di gara con un occhio rivolto alla sicurezza in modo non derogabile e strutturato.

 

 

Foto di Luca Bravo