|
Ministri, Presidente, Signore e Signori,
Innanzitutto grazie per l’invito che mi è stato rivolto a partecipare a
questa conferenza e per l’opportunità di illustrare ad esperti qualificati la
strategia tedesca nel settore della sicurezza ICT.
Prima di parlare del Piano Nazionale per la Protezione dell’Infrastruttura
Informatica, vorrei tracciare una breve panoramica delle funzioni del BSI
(Ufficio Federale per la Sicurezza Informatica) e del suo target per farvi
comprendere meglio i motivi che hanno portato all’elaborazione del Piano
Nazionale.
Il BSI è un ente indipendente e neutrale che opera nel campo della sicurezza
IT. E’ stato costituito nel 1991 come ente pubblico federale ad alto livello e
rientra nella sfera di competenza del Ministero dell’interno. Il BSI ha circa
450 dipendenti e un bilancio di quasi 52 milioni di Euro.
La nostra attività si rivolge a tre grandi gruppi di destinatari: il governo e
la pubblica amministrazione, i cittadini e le aziende. Quindi, il BSI non ha
riscontro in altri enti europei. A ogni gruppo di destinatari offriamo servizi
specifici, p.e. consulenza nel campo della sicurezza IT e sviluppo di sistemi
crittografici per il governo e la PA, ma anche protezione dalle intercettazioni,
gestione della rete del governo e supporto alle attività di e-government.
Abbiamo lanciato campagne di sensibilizzazione e prodotto CD informativi
destinati al pubblico in generale. Sul nostro sito Web riservato ai cittadini
offriamo consigli pratici su come affrontare i problemi di sicurezza IT e
pubblichiamo articoli sulla stampa periodica. Infine, dedichiamo grande
attenzione alla sicurezza IT nelle aziende e nell’industria: una delle nostre
funzioni più importanti è il ruolo di CERT nazionale. IL CERT (Centre for
Computer Emergency Response Teams) ha il compito di individuare le lacune nella
sicurezza e di reagire tempestivamente nell’eventualità di minacce ed
attacchi. Abbiamo anche pubblicato un manuale di protezione di base, l’IT
Grundschutz Manual, che aiuta le aziende a migliorare le proprie capacità nella
realizzazione di una solida struttura di protezione per i loro sistemi IT. Con
oltre 3000 utenti registrati in Germania e in tutta Europa, IT Grundschutz è di
fatto lo standard per la gestione della sicurezza informatica in Germania ed è
un buon esempio della partnership tra pubblico e privato. Un altro importante
campo di attività del BSI consiste nella certificazione dei prodotti IT in base
ai Criteri Comuni. Nel campo della certificazione dei sistemi e dei prodotti IT
rileviamo una domanda crescente e un contributo considerevole al miglioramento
della sicurezza.
Veniamo adesso al Piano Nazionale per la Protezione dell’Infrastruttura
Informatica – perché lo abbiamo elaborato?
In parte delle nostre infrastrutture il grado di dipendenza dalla tecnologia
informatica è molto elevato. E’ ovvio. Affermando che il settore IT è
sottoposto a minacce, non dico niente di nuovo. Se pensiamo al grado di utilizzo
della tecnologia informatica nel settore bancario, nel traffico ferroviario,
nell’aviazione o nelle forniture energetiche, non è esagerato affermare che
un guasto ai sistemi informatici potrebbe sconvolgere la vita pubblica. Le
minacce aumentano di giorno in giorno. L’ampliamento della connessione
internazionale delle infrastrutture di rete per lo scambio dei dati aumenta il
rischio di danni, p.e. la diffusione di bachi, di virus e di spyware.
Vorrei fare alcuni esempi. Secondo un rapporto del BSI, ma anche secondo un
rapporto pubblicato da Symantec, nel 2004 le vulnerabilità sono aumentate di
circa 13%. Nello stesso periodo, sono state registrate oltre 7.300 nuove
variazioni di bachi e di virus, con un aumento pari a circa 64%. Circa una
e-mail su dieci è contaminata da un virus. Nelle comunicazioni tramite e-mail,
la percentuale di spam ha raggiunto un livello di circa 60%-90 %. Il phishing è
un fenomeno destinato ad aumentare in modo esponenziale. Come evidenziato nel
rapporto della McAfee, lo scorso febbraio sono stati lanciati attacchi di
phishing da circa 1.000 server. Se pensate che nel novembre 2004, gli attacchi
sono stati soltanto 381, avrete un’idea della tendenza minacciosa di questo
sviluppo.
Tuttavia, non siamo preoccupati soltanto dalla quantità delle minacce – ma
anche dalla loro qualità sempre più elevata. Script Kiddies e Whitehats non
sono un problema del futuro. Vediamo una chiara tendenza verso cavalli di Troia
specializzati e usati per la costruzione di botnet o per consentire lo
spionaggio e controllare una quantità infinita di computer. Inoltre, i
dispositivi mobili rendono più difficile il controllo dei pirati informatici
che attaccano le aziende.
I pirati non cercano più onori e fama. In realtà lavorano a fini di lucro all’interno
di strutture simili a quelle della criminalità organizzata. La riservatezza dei
dati di un’impresa è sempre più esposta ai pericoli. Spiando le reti
aziendali, i criminali cercano di ottenere vantaggi competitivi. Nei casi più
gravi, ciò può anche distruggere totalmente un’impresa.
Nelle infrastrutture critiche, vediamo il pericolo di possibili attacchi, p.e.
contro i nodi Internet o contro i sistemi vitali delle imprese e della PA. Anche
nelle aree critiche – p.e. i sistemi di controllo dei processi (SCADA) – è
sempre più frequente l’uso di software, di protocolli e di hardware
standardizzati. Molti di voi avranno sentito parlare dei problemi causati in
passato dall’uso di prodotti COTS.
Per rispondere a queste minacce, il 13 luglio, il governo tedesco ha varato il
Piano Nazionale per la Protezione dell’Infrastruttura Informatica. Il piano
definisce tre obiettivi strategici.:
• Prevenzione,
• Predisposizione e
• Sostenibilità.
L’obiettivo del governo è di proteggere adeguatamente l’infrastruttura
informatica tedesca. In presenza di un grave problema nel settore IT, vogliamo
reagire in modo rapido, efficiente e coordinato. Intendiamo mantenere e
potenziare i mezzi che ci consentono di conseguire il nostro obiettivo.
Sostenibilità significa questo – ed è soprattutto parte della R&S. Il
Piano Nazionale è destinato alla società nel suo complesso, ma, ovviamente, ha
alcune priorità: Innanzitutto, il Piano è destinato agli enti pubblici e alle
aziende che possiedono infrastrutture critiche. Il Piano Nazionale può essere
definito come “strategia tedesca di sicurezza IT”. E’ stato messo a punto
come piano generico e con validità a lungo termine. Per essere implementato,
deve essere articolato in diversi piani di implementazione, ciascuno con un
pacchetto concreto di misure. Per esempio, una misura concreta consiste nel
potenziamento del BSI che assolverà un ruolo più operativo. Tutte le misure
sono coordinate da un Gruppo di Progetto nell’ambito del Ministero dell’interno.
Quali sono i requisiti di una prevenzione adeguata? E’ necessario diffondere
le conoscenze sulle minacce e sulle relative misure di sicurezza – ciò
richiede una maggiore sensibilizzazione. La responsabilità deve essere
chiaramente definita. E’ necessario gestire la sicurezza e implementare le
misure di sicurezza che dovranno essere sottoposte a verifiche frequenti.
Inoltre, abbiamo bisogno di prodotti e di procedure affidabili.
Per reagire con rapidità, dobbiamo avere il maggior numero di informazioni
possibile sulla situazione attuale. Dobbiamo avere mezzi adeguati per avvertire
e allertare gli interessati e disporre di procedure idonee e di personale
addestrato per adottare le necessarie contromisure.
Per realizzare tutto questo, abbiamo bisogno di esperti, di know-how a livello
nazionale e di servizi e prodotti di sicurezza IT affidabili.
Come ho già detto: dobbiamo mettere a punto i piani di implementazione,
soprattutto per il settore pubblico e per le infrastrutture critiche private.
Nel secondo caso, coopereremo con i nostri partner del settore.
Per dare un’idea più precisa del nostro lavoro, vorrei presentare alcuni
esempi concreti delle misure previste dal Piano Nazionale. All’interno del BSI,
creeremo un centro per la reazione alle crisi nel settore IT con capacità di
allarme precoce. Inoltre, lavoreremo a livello internazionale per migliorare la
rete Watch and Warning, Incoraggeremo l’uso di apparecchiature affidabili e da
ultimo ma non meno importante, aumenteremo la nostra presenza a livello
internazionale, poiché la sicurezza IT non può essere gestita unicamente a
livello nazionale.
Consentitemi di parlare brevemente di uno dei principali gruppi di destinatari
del Piano Nazionale – le infrastrutture critiche private. Oggi, le
infrastrutture critiche private giocano un ruolo cruciale considerato che, nell’80%
circa dei casi, la PA dipende da infrastrutture gestite dalle istituzioni
private. L’espressione “Infrastrutture Critiche” è stata definita come
segue: le Infrastrutture Critiche sono organizzazioni e impianti di importanza
vitale per il bene pubblico il cui guasto o danneggiamento potrebbe avere come
risultato strozzature persistenti delle forniture o una considerevole turbativa
dell’ordine pubblico e/o potrebbero avere altre conseguenze drammatiche.
L’accento è posto su “strozzature persistenti delle forniture” e su “conseguenze
drammatiche”.
Alla luce di questa definizione, possiamo considerare critici i seguenti
settori: settore finanziario, bancario e assicurativo; enti pubblici,
amministrazione e giustizia; servizi di fornitura; energia; trasporti e
traffico; tecnologia informatica e telecomunicazioni, materiali pericolosi e
altro, p.e. media, beni culturali, istituti di ricerca.
Sono considerate minacce gli attacchi terroristici, le minacce IT- (inclusi i
“normali” guasti ai sistemi) e le calamità naturali. A causa della
variabilità delle minacce, nel settore della protezione delle infrastrutture
critiche operano diversi enti tedeschi: l’Ufficio federale per la protezione
civile e l’assistenza in caso di catastrofi, l’Ufficio federale per l’assistenza
tecnica, l’Ufficio Federale di polizia criminale, l’Ufficio federale per la
Tutela della Costituzione e da ultimo, ma non meno importante, il BSI. Anche a
livello ministeriale, operano numerose sezioni e unità.
Quali sono gli obiettivi del nostro lavoro? Per identificare le vulnerabilità e
mettere a punto i concetti di sicurezza adottiamo un approccio in tre fasi.
Prima fase: la riduzione della vulnerabilità delle infrastrutture critiche in
collaborazione con gli operatori. Seconda fase, l’aumento costante del livello
di sicurezza e, terza fase; l’elaborazione dei concetti di protezione.
In realtà, il progetto di creazione del Piano Nazionale è nato dalle
discussioni con l’allora Ministro dell’interno in merito alla
sensibilizzazione alla minaccia terroristica dopo l’11 settembre. Il governo
federale ha iniziato ad elaborare concetti per la lotta al terrorismo e, nel
quadro del pacchetto antiterroristico del governo, è stata condotta l’Analisi
Settoriale “KRITIS”. Inoltre, il BBK, l’Ufficio federale per la protezione
civile e l’assistenza in caso di catastrofi, ha pubblicato uno studio dal
titolo “Rischi in Germania” che descrive le conseguenze delle calamità
naturali e degli infortuni per le infrastrutture critiche, soprattutto per l’elettricità,
i trasporti e i servizi di emergenza e soccorso.
Vorrei descrivere brevemente la procedura adottata nell’elaborazione dei
concetti di protezione. In primo luogo, viene avviata l’analisi nell’ambito
del Ministero dell’interno. I risultati sono quindi coordinati con gli altri
ministeri responsabili e discussi successivamente con le società
rappresentative e con le associazioni del settore interessato.
Per una cooperazione efficace e affidabile, è necessario stabilire principi in
relazione alle comunicazioni e alla gestione delle informazioni. Alla
trasparenza delle attività, in corso e future, si affianca l’esigenza di una
sufficiente riservatezza. Una cooperazione duratura esige una situazione win-win
che assicuri il vantaggio reciproco.
Sulla base di questo approccio, mettiamo a punto i concetti di sicurezza per
ciascuna delle tre categorie di minaccia citate: l’IT, terrorismo e calamità
naturali.
Per quanto concerne l’aspetto “pratico” della sicurezza IT, siamo lieti di
poter contare sul nostro concetto di protezione IT di base che, da anni, è
accettato a livello internazionale. Nel campo della protezione fisica, riteniamo
che una linea guida pubblicata di recente (il 6 settembre) in materia offra un
buon esempio del nostro successo nella cooperazione con il settore privato. La
protezione di base sarà articolata in “concetti speciali” più dettagliati.
L’implementazione del piano KRITIS è uno di questi concetti.
Quali conclusioni possiamo trarre per gli ulteriori provvedimenti tedeschi nel
campo della protezione dell’infrastruttura informatica?
Vorrei incentrare l‘attenzione su cinque punti principali:
• sviluppo e Implementazione di misure concrete in collaborazione con l’industria/l’economia;
• livelli permanentemente elevati di sicurezza IT;
• accordi relativi a linee-guida e raccomandazioni su come realizzare gli
obiettivi;
• cooperazione per gestire le crisi IT e
• collaborazione allo sviluppo del piano di implementazione KRITIS.
Cosa significa per la R&S nel campo della Protezione delle Infrastrutture
(Informatiche) Critiche? Restano numerose sfide, soprattutto nell’area della
sostenibilità. Abbiamo bisogno di metodi, strumenti e prodotti per assolvere il
nostro compito e potenziare la protezione delle IC ( gestione delle crisi o
resilienza hardware). Si tratta di una prospettiva a lungo termine.
Quando i piani di implementazione KRITIS e Bund (la parola tedesca per “Federazione”;
il piano di Implementazione Bund fissa gli standard di sicurezza per l’amministrazione
federale) saranno completati, sono convinto che emergerà l’esigenza di un’assistenza
più concreta. Grazie dell’attenzione. Sarò lieto di rispondere ad eventuali
domande.
|
Pagina stampabile
