Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Pubblica amministrazione

Il piano nazionale tedesco per la protezione dell’infrastruttura informatica

di Udo Helmbrecht* - 27.01.06

(Relazione presentata alla conferenza “La sicurezza ICT nella PA: strategie e azioni “ - Roma, 17 gennaio 2006)

 

Ministri, Presidente, Signore e Signori,
Innanzitutto grazie per l’invito che mi è stato rivolto a partecipare a questa conferenza e per l’opportunità di illustrare ad esperti qualificati la strategia tedesca nel settore della sicurezza ICT.
Prima di parlare del Piano Nazionale per la Protezione dell’Infrastruttura Informatica, vorrei tracciare una breve panoramica delle funzioni del BSI (Ufficio Federale per la Sicurezza Informatica) e del suo target per farvi comprendere meglio i motivi che hanno portato all’elaborazione del Piano Nazionale.
Il BSI è un ente indipendente e neutrale che opera nel campo della sicurezza IT. E’ stato costituito nel 1991 come ente pubblico federale ad alto livello e rientra nella sfera di competenza del Ministero dell’interno. Il BSI ha circa 450 dipendenti e un bilancio di quasi 52 milioni di Euro.
La nostra attività si rivolge a tre grandi gruppi di destinatari: il governo e la pubblica amministrazione, i cittadini e le aziende. Quindi, il BSI non ha riscontro in altri enti europei. A ogni gruppo di destinatari offriamo servizi specifici, p.e. consulenza nel campo della sicurezza IT e sviluppo di sistemi crittografici per il governo e la PA, ma anche protezione dalle intercettazioni, gestione della rete del governo e supporto alle attività di e-government. Abbiamo lanciato campagne di sensibilizzazione e prodotto CD informativi destinati al pubblico in generale. Sul nostro sito Web riservato ai cittadini offriamo consigli pratici su come affrontare i problemi di sicurezza IT e pubblichiamo articoli sulla stampa periodica. Infine, dedichiamo grande attenzione alla sicurezza IT nelle aziende e nell’industria: una delle nostre funzioni più importanti è il ruolo di CERT nazionale. IL CERT (Centre for Computer Emergency Response Teams) ha il compito di individuare le lacune nella sicurezza e di reagire tempestivamente nell’eventualità di minacce ed attacchi. Abbiamo anche pubblicato un manuale di protezione di base, l’IT Grundschutz Manual, che aiuta le aziende a migliorare le proprie capacità nella realizzazione di una solida struttura di protezione per i loro sistemi IT. Con oltre 3000 utenti registrati in Germania e in tutta Europa, IT Grundschutz è di fatto lo standard per la gestione della sicurezza informatica in Germania ed è un buon esempio della partnership tra pubblico e privato. Un altro importante campo di attività del BSI consiste nella certificazione dei prodotti IT in base ai Criteri Comuni. Nel campo della certificazione dei sistemi e dei prodotti IT rileviamo una domanda crescente e un contributo considerevole al miglioramento della sicurezza.
Veniamo adesso al Piano Nazionale per la Protezione dell’Infrastruttura Informatica – perché lo abbiamo elaborato?
In parte delle nostre infrastrutture il grado di dipendenza dalla tecnologia informatica è molto elevato. E’ ovvio. Affermando che il settore IT è sottoposto a minacce, non dico niente di nuovo. Se pensiamo al grado di utilizzo della tecnologia informatica nel settore bancario, nel traffico ferroviario, nell’aviazione o nelle forniture energetiche, non è esagerato affermare che un guasto ai sistemi informatici potrebbe sconvolgere la vita pubblica. Le minacce aumentano di giorno in giorno. L’ampliamento della connessione internazionale delle infrastrutture di rete per lo scambio dei dati aumenta il rischio di danni, p.e. la diffusione di bachi, di virus e di spyware.
Vorrei fare alcuni esempi. Secondo un rapporto del BSI, ma anche secondo un rapporto pubblicato da Symantec, nel 2004 le vulnerabilità sono aumentate di circa 13%. Nello stesso periodo, sono state registrate oltre 7.300 nuove variazioni di bachi e di virus, con un aumento pari a circa 64%. Circa una e-mail su dieci è contaminata da un virus. Nelle comunicazioni tramite e-mail, la percentuale di spam ha raggiunto un livello di circa 60%-90 %. Il phishing è un fenomeno destinato ad aumentare in modo esponenziale. Come evidenziato nel rapporto della McAfee, lo scorso febbraio sono stati lanciati attacchi di phishing da circa 1.000 server. Se pensate che nel novembre 2004, gli attacchi sono stati soltanto 381, avrete un’idea della tendenza minacciosa di questo sviluppo.
Tuttavia, non siamo preoccupati soltanto dalla quantità delle minacce – ma anche dalla loro qualità sempre più elevata. Script Kiddies e Whitehats non sono un problema del futuro. Vediamo una chiara tendenza verso cavalli di Troia specializzati e usati per la costruzione di botnet o per consentire lo spionaggio e controllare una quantità infinita di computer. Inoltre, i dispositivi mobili rendono più difficile il controllo dei pirati informatici che attaccano le aziende.
I pirati non cercano più onori e fama. In realtà lavorano a fini di lucro all’interno di strutture simili a quelle della criminalità organizzata. La riservatezza dei dati di un’impresa è sempre più esposta ai pericoli. Spiando le reti aziendali, i criminali cercano di ottenere vantaggi competitivi. Nei casi più gravi, ciò può anche distruggere totalmente un’impresa.
Nelle infrastrutture critiche, vediamo il pericolo di possibili attacchi, p.e. contro i nodi Internet o contro i sistemi vitali delle imprese e della PA. Anche nelle aree critiche – p.e. i sistemi di controllo dei processi (SCADA) – è sempre più frequente l’uso di software, di protocolli e di hardware standardizzati. Molti di voi avranno sentito parlare dei problemi causati in passato dall’uso di prodotti COTS.
Per rispondere a queste minacce, il 13 luglio, il governo tedesco ha varato il Piano Nazionale per la Protezione dell’Infrastruttura Informatica. Il piano definisce tre obiettivi strategici.:
• Prevenzione,
• Predisposizione e
• Sostenibilità.
L’obiettivo del governo è di proteggere adeguatamente l’infrastruttura informatica tedesca. In presenza di un grave problema nel settore IT, vogliamo reagire in modo rapido, efficiente e coordinato. Intendiamo mantenere e potenziare i mezzi che ci consentono di conseguire il nostro obiettivo. Sostenibilità significa questo – ed è soprattutto parte della R&S. Il Piano Nazionale è destinato alla società nel suo complesso, ma, ovviamente, ha alcune priorità: Innanzitutto, il Piano è destinato agli enti pubblici e alle aziende che possiedono infrastrutture critiche. Il Piano Nazionale può essere definito come “strategia tedesca di sicurezza IT”. E’ stato messo a punto come piano generico e con validità a lungo termine. Per essere implementato, deve essere articolato in diversi piani di implementazione, ciascuno con un pacchetto concreto di misure. Per esempio, una misura concreta consiste nel potenziamento del BSI che assolverà un ruolo più operativo. Tutte le misure sono coordinate da un Gruppo di Progetto nell’ambito del Ministero dell’interno.
Quali sono i requisiti di una prevenzione adeguata? E’ necessario diffondere le conoscenze sulle minacce e sulle relative misure di sicurezza – ciò richiede una maggiore sensibilizzazione. La responsabilità deve essere chiaramente definita. E’ necessario gestire la sicurezza e implementare le misure di sicurezza che dovranno essere sottoposte a verifiche frequenti. Inoltre, abbiamo bisogno di prodotti e di procedure affidabili.
Per reagire con rapidità, dobbiamo avere il maggior numero di informazioni possibile sulla situazione attuale. Dobbiamo avere mezzi adeguati per avvertire e allertare gli interessati e disporre di procedure idonee e di personale addestrato per adottare le necessarie contromisure.
Per realizzare tutto questo, abbiamo bisogno di esperti, di know-how a livello nazionale e di servizi e prodotti di sicurezza IT affidabili.
Come ho già detto: dobbiamo mettere a punto i piani di implementazione, soprattutto per il settore pubblico e per le infrastrutture critiche private. Nel secondo caso, coopereremo con i nostri partner del settore.
Per dare un’idea più precisa del nostro lavoro, vorrei presentare alcuni esempi concreti delle misure previste dal Piano Nazionale. All’interno del BSI, creeremo un centro per la reazione alle crisi nel settore IT con capacità di allarme precoce. Inoltre, lavoreremo a livello internazionale per migliorare la rete Watch and Warning, Incoraggeremo l’uso di apparecchiature affidabili e da ultimo ma non meno importante, aumenteremo la nostra presenza a livello internazionale, poiché la sicurezza IT non può essere gestita unicamente a livello nazionale.
Consentitemi di parlare brevemente di uno dei principali gruppi di destinatari del Piano Nazionale – le infrastrutture critiche private. Oggi, le infrastrutture critiche private giocano un ruolo cruciale considerato che, nell’80% circa dei casi, la PA dipende da infrastrutture gestite dalle istituzioni private. L’espressione “Infrastrutture Critiche” è stata definita come segue: le Infrastrutture Critiche sono organizzazioni e impianti di importanza vitale per il bene pubblico il cui guasto o danneggiamento potrebbe avere come risultato strozzature persistenti delle forniture o una considerevole turbativa dell’ordine pubblico e/o potrebbero avere altre conseguenze drammatiche.
L’accento è posto su “strozzature persistenti delle forniture” e su “conseguenze drammatiche”.
Alla luce di questa definizione, possiamo considerare critici i seguenti settori: settore finanziario, bancario e assicurativo; enti pubblici, amministrazione e giustizia; servizi di fornitura; energia; trasporti e traffico; tecnologia informatica e telecomunicazioni, materiali pericolosi e altro, p.e. media, beni culturali, istituti di ricerca.
Sono considerate minacce gli attacchi terroristici, le minacce IT- (inclusi i “normali” guasti ai sistemi) e le calamità naturali. A causa della variabilità delle minacce, nel settore della protezione delle infrastrutture critiche operano diversi enti tedeschi: l’Ufficio federale per la protezione civile e l’assistenza in caso di catastrofi, l’Ufficio federale per l’assistenza tecnica, l’Ufficio Federale di polizia criminale, l’Ufficio federale per la Tutela della Costituzione e da ultimo, ma non meno importante, il BSI. Anche a livello ministeriale, operano numerose sezioni e unità.
Quali sono gli obiettivi del nostro lavoro? Per identificare le vulnerabilità e mettere a punto i concetti di sicurezza adottiamo un approccio in tre fasi. Prima fase: la riduzione della vulnerabilità delle infrastrutture critiche in collaborazione con gli operatori. Seconda fase, l’aumento costante del livello di sicurezza e, terza fase; l’elaborazione dei concetti di protezione.
In realtà, il progetto di creazione del Piano Nazionale è nato dalle discussioni con l’allora Ministro dell’interno in merito alla sensibilizzazione alla minaccia terroristica dopo l’11 settembre. Il governo federale ha iniziato ad elaborare concetti per la lotta al terrorismo e, nel quadro del pacchetto antiterroristico del governo, è stata condotta l’Analisi Settoriale “KRITIS”. Inoltre, il BBK, l’Ufficio federale per la protezione civile e l’assistenza in caso di catastrofi, ha pubblicato uno studio dal titolo “Rischi in Germania” che descrive le conseguenze delle calamità naturali e degli infortuni per le infrastrutture critiche, soprattutto per l’elettricità, i trasporti e i servizi di emergenza e soccorso.
Vorrei descrivere brevemente la procedura adottata nell’elaborazione dei concetti di protezione. In primo luogo, viene avviata l’analisi nell’ambito del Ministero dell’interno. I risultati sono quindi coordinati con gli altri ministeri responsabili e discussi successivamente con le società rappresentative e con le associazioni del settore interessato.
Per una cooperazione efficace e affidabile, è necessario stabilire principi in relazione alle comunicazioni e alla gestione delle informazioni. Alla trasparenza delle attività, in corso e future, si affianca l’esigenza di una sufficiente riservatezza. Una cooperazione duratura esige una situazione win-win che assicuri il vantaggio reciproco.
Sulla base di questo approccio, mettiamo a punto i concetti di sicurezza per ciascuna delle tre categorie di minaccia citate: l’IT, terrorismo e calamità naturali.
Per quanto concerne l’aspetto “pratico” della sicurezza IT, siamo lieti di poter contare sul nostro concetto di protezione IT di base che, da anni, è accettato a livello internazionale. Nel campo della protezione fisica, riteniamo che una linea guida pubblicata di recente (il 6 settembre) in materia offra un buon esempio del nostro successo nella cooperazione con il settore privato. La protezione di base sarà articolata in “concetti speciali” più dettagliati. L’implementazione del piano KRITIS è uno di questi concetti.
Quali conclusioni possiamo trarre per gli ulteriori provvedimenti tedeschi nel campo della protezione dell’infrastruttura informatica?
Vorrei incentrare l‘attenzione su cinque punti principali:
• sviluppo e Implementazione di misure concrete in collaborazione con l’industria/l’economia;
• livelli permanentemente elevati di sicurezza IT;
• accordi relativi a linee-guida e raccomandazioni su come realizzare gli obiettivi;
• cooperazione per gestire le crisi IT e
• collaborazione allo sviluppo del piano di implementazione KRITIS.
Cosa significa per la R&S nel campo della Protezione delle Infrastrutture (Informatiche) Critiche? Restano numerose sfide, soprattutto nell’area della sostenibilità. Abbiamo bisogno di metodi, strumenti e prodotti per assolvere il nostro compito e potenziare la protezione delle IC ( gestione delle crisi o resilienza hardware). Si tratta di una prospettiva a lungo termine.
Quando i piani di implementazione KRITIS e Bund (la parola tedesca per “Federazione”; il piano di Implementazione Bund fissa gli standard di sicurezza per l’amministrazione federale) saranno completati, sono convinto che emergerà l’esigenza di un’assistenza più concreta. Grazie dell’attenzione. Sarò lieto di rispondere ad eventuali domande.
 

* Bundesamt für Sicherheit in der Informationstechnik (Ufficio Federale per la Sicurezza Informatica) - Bonn, Germania

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2006  Informazioni sul copyright