Sicurezza informatica nei comuni
Il buon funzionamento dei servizi informatici è fondamentale per i comuni. In cambio del pagamento delle tasse, i cittadini si aspettano che i comuni forniscano una gamma di servizi come i trasporti pubblici, la gestione della viabilità, la gestione delle biblioteche, la raccolta dei rifiuti e molti altri. Tuttavia, come testimoniano le numerose notizie di cronaca gli attacchi informatici rivolti alle pubbliche amministrazione sono sempre più numerosi e devastanti.
L’impatto di un attacco informatico contro i comuni è di notevole portata e di grande risonanza. Del resto, con l’espansione della connettività, dei sistemi informatici e delle reti, diventano più esposti agli attacchi sempre più sofisticati che sfruttano le vulnerabilità di software e sistemi.
La dipendenza dai sistemi informatici da parte dei comuni significa che le infrastrutture critiche come la gestione del traffico o i sistemi di risanamento sono più esposte ad attacchi che potrebbero portare a interruzioni del servizio su larga scala. A meno che non vengano prese misure proattive per attuare un programma completo di sicurezza informatica, i comuni continueranno a essere fortemente a rischio. La creazione di una cultura della consapevolezza della sicurezza informatica a tutti i livelli è necessaria per combattere il panorama delle minacce in evoluzione.
Per la maggior parte, i comuni possono adottare misure per migliorare la sicurezza informatica senza spendere cifre impossibili. Per farlo può essere sufficiente seguire delle linee guide dettate da esperienze importanti costruite nel tempo da chi affronta queste problematiche da sempre.
Le attività da fare per migliorare la sicurezza informatica scelte mediante una valutazione dei rischi oggettivi della singola realtà e una reale fattibilità delle opere da implementare.
L’importanza di un “Data Protection” (backup efficace)
Per comprendere gli aspetti su cui focalizzare la nostra attenzione è necessario porci alcune domande preliminari:
- per quanto tempo vogliamo che il nostro backup sia disponibile per un potenziale ripristino
- ripristinando i dati dal backup, quanti dati prodotti successivamente all’ultimo backup sono disposto a perdere?
- ripristinando i dati dal backup, quanto tempo sono disposto ad attendere prima che i miei dati tornino ad essere disponibili?
La risposta a queste domande dipende molto dal contesto dei dati stessi.
Data protection nello scenario professionale
Dobbiamo archiviare per molti anni, e in caso di disastri, perdere la quantità minima possibile di dati, dal momento che tutto ciò che andrà perduto
Inoltre, si vorrà tornare ad essere operativi nel minor tempo possibile: minuti o, al massimo, qualche ora.
Cosa tener conto nelle politiche di gestione dei dati:
- Retention: indica per quanto tempo vengono conservate le copie di backup;
- RTO (Recovery Time Objective): indica il tempo necessario per ripristinare i dati;
- RPO (Recovery Point Objective): indica quanto sono “vecchi” i dati ripristinati.
Questi tre fattori consentono di identificare rapidamente il livello di complessità delle procedure di protezione che vanno messe in campo.
In ambito di massima sicurezza
Nei contesti di organizzazioni come i comuni dove i dati sono di estrema importanza, è meglio valutare attentamente i livelli di retention, RTO e RPO per tutte le tipologie di dati gestiti.
È necessario capire se e quanto si sia prossimi ai limiti fisici dell’infrastruttura di backup esistente e prendere eventualmente in considerazione l’idea di un cambio di paradigma attraverso l’adozione di un sistema di storage che offra funzionalità di data protection avanzate:
- snapshot;
- copia con compressione e crittografia;
- replica dei dati in distribuzione geografica;
- Copia Off-Site.
La regola aurea del backup off-site
Un backup off-site ovvero conservato in un posto diverso rispetto al luogo dove i dati vengono prodotti e memorizzati, è la soluzione più radicale. Un luogo di fatto inaccessibile rispetto ai server di lavoro, che pone anche un’oggettiva barriera ad un eventuale distruzione o furto delle apparecchiature, permettendo così il ripristino su nuovi sistemi.
Nella vita quotidiana, un backup off-site può essere facilmente gestito attraverso un disco esterno, ma rigorosamente tenuto disconnesso dal PC, collegandolo esclusivamente durante le attività di backup.
Difesa del perimetro
La difesa di una rete, parte dal punto dove la minaccia è più concreta l’accesso a Internet, dove vanno poste attenzioni e mezzi particolarmente efficienti come un Firewall. Per una pubblica amministrazione, dotarsi di un firewall che funge da barriera, alle minacce che arrivano dalla grande rete è una necessità al pari di quella di dotarsi di sistemi digitali. La presenza di un firewall permette di filtrare i dati, applicare azioni di controllo, monitorate i pacchetti dati entranti e in uscita dalla rete.
In definitiva quindi, ha lo scopo di impedire a malintenzionati di infettare i sistemi informatici con virus, worm, o di rubare i dati come password e dati sensibili. Utile per tutti coloro che non hanno il controllo assoluto sula navigazione a causa del numero di periferiche (PC, Server o qualsiasi periferiche collegata alla rete) o di utenti che lasciano il PC accesso per collegarsi a distanza. Avere una rete senza firewall è come lasciare la propria porta di casa aperta con le chiavi nella toppa.
In particolare, va ricercato un firewall NG (next generation), in grado di analizzare il traffico su tutii i livelli della pila di OSI e che funga da antivirus, antispam, antispyware, URL filtering e molto altro.
Come attuarlo
La scelta di un firewall di NG, e un punto importante del piano di protezione. il modello da acquistare deve essere valutato e ponderato, ma di sicuro il mercato offre una moltitudine di modelli con caratteristiche e costi per ogni esigenza.
Va sottolineato, che il concetto e l’approccio all’uso dei firewall, a differenza del passato dove, lo si impiantava con una configurazione tipo e non ci si pensava più. Adesso la best practice è quella di acquistare insieme all’hardware abbonamenti che permettono di avere un costante aggiornamento degli antivirus, dei modelli antispam, delle tecnologie antispyware, delle liste di IP malevoli e tanto altro.
Aggiornamenti costanti per una difesa efficace
I sistemi aggiornati rappresentano un’importante barriera agli attacchi malevoli. Questo contesto, spesso sottovalutato da molti, va attuato soprattutto mettendosi in linea con le risorse messe a disposizione dalle major dei principali sistemi operativi. Pertanto ai sistemi non più supportati e quindi non più soggetti ad aggiornamenti va fatto un upgrade alla release successiva o sostituiti integralmente.
La Microsoft rilascia ogni mese, dei gruppi di patch per i vari sistemi operativi che vanno tenuti aggiornati mediante Windows Server Update System (WSUS) o utilizzando gli aggiornamenti messi a disposizione dalle “software house”.
Gli elementi più importanti aggiornamenti:
- sistemi operativi per server (Linux, Windows);
- sistemi operativi per client (Android, iOS, Linux, Windows);
- software più importanti lato client (Es: Adobe Reader);
- firewall (sistema operativo del firewall che va aggiornato, frequentemente).
Come attuarlo
Il modo migliore per attuare politiche di aggiornamento è quello di creare degli automatismi impostati da operatori professionisti, in alternativa, si può fare da soli se si hanno delle competenze adeguate. I server (parte centrale e indispensabile) vanno aggiornati mensilmente, per contrastare gli attacchi che sfruttano bug individuati mesi prima del loro sfruttamento. Particolare attenzione va data anche agli aggiornamenti dei client e dei firewall che possono essere veicolo di infezioni.
Il fattore umano (endpoint)
Al di là degli aggiornamenti che come detto, vanno effettuati con regolarità, la formazione del personale diventa un punto cruciale per il contrasto a eventi malevoli. Rendere consapevoli le persone degli attacchi che possono arrivare in buona parte mediante phishing, spear phishing, (mail del sindaco che dicono che devi versare 10.000 euro a un IBAN), è fondamentale.
Come attuarlo
Di sicuro, acquisendo la consapevolezza dei rischi, che si corrono, facendo formazione periodica al personale. Avere nozioni di Cyber Security aiuta il personale a fare scelte consapevoli.
Permessi sugli endpoint
La gran parte delle minacce, sfrutta i permessi client Microsoft. Se l’utente avesse i privilegi minimi possibili, ovvero non fosse amministratore della macchina si toglierebbero molte possibilità a chi prova ad infettare le risorse.
Togliere i permessi di administrator all’utente è una regola da attuare. Alcuni nemmeno se ne accorgono. Per chi ha esigenze particolari è possibile impostare un amministratore locale, in modo che se l’utente volesse fare qualche operazione, come l’installazione di un software, e costretto necessariamente inserire username e password.
In tal modo nessun processo può passare automaticamente a admin della macchina come modalità di esecuzione, a meno che non sfrutti qualche bug.
Come attuarlo
L’operazione è semplice da attuare a livello tecnico, ma richiede un periodo di assestamento per gli utenti più esigenti, che sicuramente faranno chiamate “perché non si riesce a fare qualcosa.
Antimalware sugli andpoint (Antivirus)
La presenza di un software sui client che difenda dai malware (cosi detto antivirus) è molto importante. La scelta della tipologia è generalmente effettuata su due tipologie: quelli basati sulle firme con upgrade associato ad analisi comportamentale, e quelli comportamentali puri che analizzano i comportamenti dei processi per capire se sono benevoli o malevoli.
I primi tipicamente sono più efficaci su malware noti, i secondi sono in grado di rilevare anche malware non noti alla comunità, ma con comportamento anomalo (esempio. che tentano di scalare i privilegi o accedono ad aree di memoria particolari).
Difendersi su ogni client (inclusi il mobile) è importante, nonostante la consapevolezza che da solo l’antivirus può non essere sufficiente, ma di sicuro crea un livello di difesa. Di fatto, la security è da vedersi come una cipolla con tanti strati, che aumentano la resilienza agli attacchi.
Come attuarlo
La realizzazione di questo elemento di difesa è molto semplice e si riduce all’acquisto di un antivirus/antimalware da installare sui client, server e periferiche mobile.
Sicurezza fisica
I locali contenenti i server e le apparecchiature di backup vanno tenuti chiusi, le persone che vi accedono devono essere limitate e andrebbero registrate.
Come attuarlo
L’importanza di tenere riservate le apparecchiature contenenti i dati, in piccole realtà o dove non è stato predisposto un locale adeguato, deve essere assicurata, almeno da un armadio chiuso e i backup posti in una stanza diversa chiusa a chiave.
Valutazione delle vulnerabilità
Anche con l’attuazione di tutti i disposti precedentemente descritti, e comunque per una valutazione preventiva, vanno accertate le vulnerabilità del sistema. Per questo, vanno fatte periodicamente (almeno 1 volta/anno) uno scan di valutazione delle vulnerabilità, con conseguenti opere di mitigazione delle stesse.
Va valutato se ci sono software obsoleti contenenti vulnerabilità, o sistemi progettati senza principi di security che vanno protetti da altri sistemi.
Come attuarlo
Questo tipo di valutazione, prevista anche dal GDPR, e di difficile attuazione e va eseguita da professionisti in grado di interpretare i dati e i report dei software di analisi (Penetration Test).
Gestire i log provenienti dai sistemi di sicurezza
La gestione dei log è un’operazione delicata e dispendiosa in termini di spazio, ma fondamentale per ricostruire “gli eventi” in caso di perdita dei dati o di un attacco melevole.
Come attuarlo
La scelta migliore è quella di rivolgersi ad un tecnico qualificato, che potrebbe indirizzare i dati su un server con spazio dedicato ai log delle apparecchiature e dei software (firewall, server windows e Linux).
Concludendo
I consigli, da mettere in pratica per garantire un buon livello di sicurezza informatica sono ancora molteplici, ma alcuni di questi vanno opportunamente sottolineati:
- L’uso delle memorie tascabili come le chiavette USB e gli Hard Disk portatili, vanno utilizzati con particolare attenzione, in quanto possono contenere malware provenienti da altre periferiche dove sono state utilizzate. Altresì la provenienza delle stesse deve essere sicura e accertata evitando di utilizzarne una magari trovata per strada (metodo spesso utilizzato per veicolare software malevole), la curiosità a volte può essere molto pericolosa. Un consiglio importante è quello di veicolare i dati o le informazione attraverso l’uso di mail.
- In presenza dell’assoluta necessità dell’uso di memorie portatili, è veramente importante cifrare i dati presenti in modo che in caso di perdita non siano recuperabili.
- I dispositivi mobili che ormai accedono a tutta la nostra vita privata e lavorativa, vanno trattati con la stessa attenzione di sicurezza riservata a PC o server aziendali.