Nel preoccuparsi della sicurezza “le banche ragionano per soldi, la
Pubblica amministrazione per servizi”. La sintesi molto efficace è di Pierluigi Sartori (nella foto), Chief Security Officer (Cso) di Informatica Trentina. Parliamo della società per azioni al 100% di proprietà pubblica che fornisce soluzioni globali nel campo dell’informatica e delle telecomunicazioni al settore pubblico della Provincia autonoma di Trento, inclusi oltre duecento comuni e centinaia di strutture sanitarie, scuole, biblioteche e così via. Una realtà che, coincidendo proprietà e cliente, viene definita “strumento di sistema”. Dalla metà dello scorso decennio la società si è dotata di un Ufficio Sicurezza. Nato come Ufficio Privacy, da subito il dipartimento ha dovuto iniziare a occuparsi di It security a 360 gradi: compliance alle normative, supporto alle unità per tutti i problemi inerenti la sicurezza, introduzione e gestione della certificazione Iso 27000, la norma sui Sistemi di Gestione della Sicurezza delle Informazioni.
La centralizzazione dei log
In sé la struttura coordinata da Sartori è tutt’altro che mastodontica: quattro persone. “Bisogna tenere conto, comunque – precisa Sartori – che sulla sicurezza collaborano con noi anche sistemisti ed esperti di networking. In caso di problemi non ricorrenti e che richiedono competenze molto specifiche, ci avvaliamo di chi è più bravo di noi su un certo problema”. E per chi si occupa di Information Security, da qualche anno a questa parte, i problemi sono all’ordine del giorno. L’arrivo del provvedimento del Garante della Privacy su amministratori di sistemi, alla fine del 2008, ha portato all’accelerazione e al potenziamento di un progetto di centralizzazione dei log di sicurezza che l’Ufficio Sicurezza di Informatica Trentina aveva proposto. La rete di cui l’azienda si occupa conta qualche migliaio tra server (perfino alcuni comuni piccoli ne hanno tre o quattro) e firewall. Ognuna di queste tecnologie produce dei log [registrazione cronologica delle operazioni che intercorrono tra i vari sistemi, man mano che vengono eseguite – ndr] che riguardano eventi che in un modo o nell’altro hanno un significato dal punto di vista della sicurezza. “Non è che prima non analizzavamo mai questi log – precisa Sartori – ma non lo facevamo per tutte le applicazioni; i computer e gli apparati di rete disponevano delle procedure di esportazione e quindi dovevamo richiederli ai rispettivi responsabili. Per questo motivo intorno al 2005 o 2006 abbiamo ritenuto auspicabile avere un unico punto di raccolta dei log, anche con l’obiettivo di realizzare una segregation of duty [separazione dei ruoli/compiti – ndr]. Fino a quel momento, infatti, chiunque aveva accesso ai log per motivi amministrativi poteva anche cancellarli”. Ottenute le risorse, sottolinea Sartori, “abbiamo deciso di non prendere la prima ‘scatola’ disponibile sul mercato ma di iniziare un processo di selezione, durante il quale ci siamo riferiti spesso ad analisi di Gartner e Forrester. Siamo così arrivati a una long list di circa sette-otto vendor, dai cui siamo scesi a una short list di tre. Quindi abbiamo inviato delle Request for Information ai rappresentanti italiani di queste società. Tra le due aziende che ci hanno risposto, abbiamo scelto Rsa non perché l’altra offerta non fosse altrettanto valida, quanto perché quella prescelta soddisfaceva più requisiti che dal nostro punto di vista erano essenziali”. Da Rsa, Informatica Trentina ha deciso di acquisire le appliance enVision e i servizi professionali.
La principale esigenza che Informatica Trentina aveva era quella di disporre di un sistema di Security and Information Events Management (Siem) in grado di riconoscere di default il maggior numero possibile di sorgenti di log e di essere programmata per recuperare e analizzare anche log di software e di piattaforme hardware legacy o molto di nicchia. “Informatica Trentina – spiega il Cso – è nata negli anni Ottanta. Certo, ormai non sono più in uso piattaforme risalenti a quegli anni, ma nel corso del tempo la società ha sviluppato tantissimo software, che è una delle sue principali attività, e implementato molti sistemi al punto che il parco applicativo e hardware è molto complesso ed eterogeneo. La Provincia autonoma di Trento è sempre stata molto attenta a come informatizzare i servizi per i cittadini”.
Verifica degli accessi interni ed esterni
Nel corso degli ultimi anni, l’innovazione tecnologica ha consentito al settore pubblico della Provincia, continua Sartori, “di portare servizi che prima prevedevano iter di alcuni mesi a essere svolti nel giro di poche settimane se non di giorni”. Per rendere ciò possibile si è reso necessario spingere sull’informatizzazione, con un conseguente aumento di eventi possibili e di log prodotti. In termini di minacce da cui tutelarsi, contrariamente a quello che si sarebbe portati a pensare, “quelle derivanti da Internet non sono la mia preoccupazione principale”, dichiara il Cso di Informatica Trentina. “Tutti i pc serviti da noi – circa 12mila secondo il bilancio 2009 – hanno potenzialmente accesso a Internet, ma questo non significa che effettivamente la utilizzino: e in ogni caso, qualunque pc acceda al Web tramite i nostri firewall deve disporre di un antivirus costantemente aggiornato. Sono pochissimi gli host esposti al Web e la rete è chiusa. Nel corso del tempo abbiamo strutturato la rete in sottoreti specifiche per i comuni, la Provincia e gli enti strumentali. Pc e server di diverse sottoreti possono comunicare solo per attività specifiche e le connessioni devono essere autorizzate”. Quello che invece preoccupa di più Sartori è la possibilità che all’interno o dall’esterno della rete possano verificarsi degli accessi o dei traffici malevoli che possano mettere a repentaglio il funzionamento di un servizio o la sicurezza delle informazioni. “La minaccia principale – chiarisce Sartori – rimane il Dos [Denial of Service, negazione di servizio, causato da traffico che mira a portare il funzionamento di un sistema informatico al limite delle prestazioni ndr]. È uno degli attacchi peggiori, contro il quale l’unica contromisura possibile è l’isolamento dell’oggetto bersagliato. Oggi, qualora il sistema Siem rilevi sulla rete un traffico anomalo rispetto ai parametri normali, noi possiamo isolare l’host dandone preventiva comunicazione alla Provincia o all’ente in questione via telefono o email. Questi traffici possono essere, per esempio, di tipo tecnologico – attraverso scanning di reti o porte – o sotto forma di accessi non autorizzati a dati. L’alert non parte necessariamente al primo tentativo. Da parte nostra deve esserci lo sforzo di individuare le zone dove si trovano i documenti con sensibilità maggiore e definire delle casistiche il più possibile complete. In certi casi si può prevedere che, in caso di un singolo tentativo di accesso anomalo a un dato, si invii un email al data owner, che decide il passo successivo. A volte può essersi reso conto lui stesso che un collega ha inavvertitamente cliccato su un link sbagliato”.
I vantaggi della scalabilità
La definizione e l’attuazione di controlli è la materia principale della norma Iso 27000. “Abbiamo scelto la soluzione di Rsa – sottolinea il manager di Informatica Trentina – anche perché è stata creata per supportare la compliance a questa normativa. EnVision è in grado di fornire metriche e report preconfigurati per adempiere a quanto previsto nella nostra implementazione di Iso 27000”. Un’altra caratteristica molto apprezzata dell’offerta Rsa è la scalabilità. Il vendor offre una gamma granulare di appliance, che possono essere scalate verso l’alto o aggiunte con l’assistenza di un servizio di post vendita sul territorio che è un altro dei fiori all’occhiello di Rsa in Italia. La taratura delle necessità di una realtà come quella curata da Informatica Trentina è complessa. “Quello che caratterizza i nostri servizi – conclude Sartori – è un traffico irregolare, che cambia molto tra la fascia oraria 8-20 e le altre. Si può passare da tre o quattro mila eventi al secondo a 20-22mila. In presenza di alcuni attacchi abbiamo registrato sul log anche 24mila eventi”.
Il “tuning” delle esigenze in materia di Siem è, inoltre, in continuo divenire. Spessissimo nascono nuovi servizi o un servizio, per usare un’altra metafora di Sartori, “diventa come il Facebook della situazione, che tutti cominciano a utilizzare”. Per questo un’altra attività che Sartori e il suo team intendono potenziare grazie a enVision è “la correlazione degli eventi. Spesso un evento non ha un significato particolare di per sé, ma lo assume se correlato ad altri”. Infine, un altro aspetto che chi decidesse di implementare un sistema Siem dovrebbe tenere in grande considerazione è quello della retention del log. Più una rete e i servizi crescono e più i log richiedono capacità di archiviazione. Ma non tutti i log devono essere mantenuti in memoria per lo stesso tempo. Una soluzione di centralizzazione della raccolta e conservazione dei log deve essere programmabile per la retention necessaria dei singoli tipi di dati. “Noi – esemplifica Sartori – abbiamo mediamente 2 TB di dati memorizzati secondo le normative”. Una soluzione come enVision aggiunge a questa feature anche quelle di compressione dei dati, per consentire un risparmio sullo storage e sui consumi, e di visualizzazione e analisi dei log con interfaccia Web client.
