Key4biz

Sicurezza delle reti e protezione del cittadino da atti criminali e terrorismo informatico

Italia


L’analisi dell’ing. Luisa Franchina ci consente di fare una prima segnalazione della Conferenza Internazionale ‘Network and Information Security: political and technical challenges‘ , che si terrà a Roma nei giorni 2, 3 e 4 novembre 2005. La Conferenza è organizzata dal Ministero delle Comunicazioni e dall’ISCOM, in collaborazione con l’ENISA e la Fondazione Ugo Bordoni (FUB).

 

di Luisa Franchina

Direttore Generale ISCOM

 

 

Il problema della sicurezza delle reti e dell’informazione ha una rilevanza estrema, soprattutto se inquadrato nella tematica generale della sicurezza dei cittadini e della prevenzione di atti criminali e terroristici, problemi questi di importanza sempre crescente dopo l’11 settembre.

Le reti di comunicazione devono essere considerate infrastrutture critiche e vitali nelle economie moderne e come tali da salvaguardare. La loro difesa e sicurezza è una questione che interessa tutti noi.

Le infrastrutture critiche sono i sistemi che garantiscono il funzionamento e lo svolgimento di tutte le attività vitali di una nazione.

Le esigenze di sicurezza sono cambiate rapidamente negli ultimi venti anni, accompagnando l’evoluzione delle reti e di tutti gli apparati ICT, sempre più onnipresenti nella vita privata e pubblica.

 

 

Le connessioni a banda larga offrono agli utenti la possibilità di collegarsi ad Internet in modo permanente, nuove applicazioni senza fili consentono di accedervi praticamente da qualsiasi luogo e la possibilità di collegare alla rete quasi tutto, dal personal computer agli elettrodomestici, continua e continuerà a sviluppare l’uso che le persone fanno dei mezzi di comunicazione.

La gestione della sicurezza è diventata un compito difficile e complesso: la complessità della tecnologia obbliga numerosi componenti e soggetti ad interagire fra loro e fa del comportamento umano un fattore cruciale.

I computer e le reti, oltre ad essere fonte di malfunzionamenti, possono essere oggetto di attacchi informatici. Un attacco informatico può oggi mettere in seria difficoltà intere nazioni.

 

 

Per ridurre la probabilità che una simile evenienza possa verificarsi è necessario che ogni Paese intraprenda azioni incisive per migliorare la sicurezza delle proprie infrastrutture critiche informatizzate, ma, vista la dimensione transnazionale del problema, è anche necessario definire delle strutture in cui le esperienze nazionali possano convergere e diventare patrimonio comune.

L’esperienza di questi anni ci ha insegnato che la condivisione delle esperienze e delle informazioni e, più in generale, la cooperazione internazionale, sono le armi più efficaci per creare una “mentalità” della sicurezza nella società dell’informazione.

Più le reti di comunicazione assumono caratteristiche di essenzialità e centralità nel funzionamento dei moderni mercati, maggiore dovrà essere l’impegno a garantire e realizzare un ambiente sicuro e protetto per quanti vi operano ai vari livelli.

 

 

Molte innovative iniziative politiche (eGovernment, eDemocracy, etc.) e correlate al mondo del business (ad es., e-commerce, t-commerce, eBanking, etc.) non sono ancora interamente sviluppate anche per la poca sicurezza percepita e/o garantita dalle moderne reti di telecomunicazione. Anche le emergenti tecnologie di broadcasting (ad es. Digital TV) potranno essere maggiormente efficaci se potranno sfruttare appieno e in sicurezza i servizi interattivi che coinvolgono transazioni monetarie o scambi di informazioni altamente “sensibili”.

In alcuni casi, la via seguita per garantire una migliore sicurezza delle reti è quella di realizzare “a tappeto” e in modo non coordinato delle protezioni molto robuste (e dispendiose), che a volte risultano addirittura eccedenti rispetto alle reali esigenze: questo approccio porta ad una dispersione di risorse anche economiche che potrebbero essere più utilmente utilizzate altrimenti. In altri casi, si sottovalutano problemi “critici”, sperando nella “buona fortuna”. Entrambi gli approcci sono da considerare non adeguati in una visione di medio-lungo termine, avendo come effetti collaterali l’abbassamento della propensione all’investimento in sicurezza e l’abbassamento della fiducia dell’utente finale nelle tecnologie elettroniche.

 

 

Il nostro Ministero sostiene l’importanza della creazione di una nuova cultura della sicurezza, nella quale tale concetto non sia interpretato solo come un costo da sostenere, ma come una vera e propria opportunità di sviluppo del mercato, anche tramite l’accrescimento di un clima di fiducia nei consumatori.

L’On. Ministro Landolfi ha proposto al Consiglio dei Ministri la creazione di una agenzia tecnica sui temi di sicurezza delle reti e dell’informazione a cura del ministero delle comunicazioni. Tale agenzia potrebbe funzionare da bacino di ricerca e sviluppo al servizio di tutte le infrastrutture critiche nazionali, pubbliche e private, e da punto di contatto per tutte le agenzie e le autorità tecniche competenti in materia, già esistenti in molti altri Stati Europei ed extra Europei, e con ENISA (Agenzia Europea per la sicurezza delle reti e dell’informazione).

 

 

A proposito di ENISA, ricordiamo il riconoscimento del ruolo sempre più importante svolto in questo settore dall’Italia: alcuni Paesi del bacino mediterraneo hanno chiesto la collaborazione del nostro Ministero per la lotta la crimine (attraverso la firma di accordi per la cooperazione e la formazione di tecnici) e i Paesi della comunità Europea hanno emanato il regolamento di creazione dell’ENISA grazie alla negoziazione italiana avvenuta nel periodo di presidenza nostra dell’Unione (l’Italia negoziò il regolamento con Consiglio, Commissione e Parlamento ed ottenne l’approvazione in prima lettura). Infine i 25 Stati hanno eletto un italiano, Andrea Pirotti, a direttore esecutivo della stessa agenzia.

Desidero ringraziare ENISA per la collaborazione offerta nella realizzazione di questa conferenza. Oggi salutiamo un’ENISA operativa, non senza un moto di orgoglio per tutto l’impegno profuso dall’Italia e soprattutto da questo Ministero per la sua nascita.

 

 

La Conferenza che apriamo il 2 novembre si inquadra nella indispensabile attività di “Information Sharing” che dovrebbe essere perseguita da tutti gli attori pubblici e privati che hanno a cuore la crescita in sicurezza delle applicazioni e dei servizi tipici di una moderna società dell’informazione.

Lo scopo principale è fornire una opportunità a coloro che si occupano di politica e strategia nel settore dell’ICT per scambiare informazioni e condividere su scala transnazionale le “lezioni apprese sul campo”.

Questo approccio dovrebbe contribuire a innalzare il livello di “awareness” globale, cercando di “smascherare” alcuni falsi miti (sia positivi, sia negativi) della sicurezza ICT e di applicare efficacemente e su scala transnazionale i principi fondamentali degli approcci “try and fail” e “lessons learnt”.

 

 

L’organizzazione della Conferenza è solo una delle tante iniziative che l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM) ha intrapreso sul tema di sicurezza delle reti, in collaborazione con la Fondazione Ugo BordoniInfatti, tra l’altro, l’ISCOM:
 
· è l’Organismo di Certificazione per la Sicurezza Informatica (OCSI) che gestisce lo Schema Nazionale per la certificazione della sicurezza ICT dei sistemi e prodotti in accordo con gli standard Common Criteria (ISO 15408) e ITSEC. A questo proposito, l’ OCSI sta perseguendo una particolare e innovativa strategia di diffusione della certificazione di sicurezza dei sistemi ICT che, limitando notevolmente i costi e i tempi di certificazione sia pur garantendo un adeguato livello di fiducia, dovrebbe portare a una larga ed efficace diffusione della certificazione di sicurezza sia nel settore pubblico, sia nel settore privato. Sempre nel mondo della certificazione di sicurezza, l’ISCOM da alcuni anni svolge il ruolo di Centro di Valutazione della sicurezza (Ce.Va.) nell’ambito dello Schema Nazionale che si occupa dei dati classificati e gestito dall’ANS (Autorità Nazionale della Sicurezza);
 
· ha intrapreso iniziative nell’ambito CIIP (Critical Information Infrastructure Protection). In particolare, sta realizzando una importante iniziativa nel campo dell’Information Sharing. Ormai da quasi due anni è operativo, con il coordinamento dell’ISCOM, un Gruppo di Lavoro che riunisce più di 100 organizzazioni private e pubbliche. Uno dei compiti principali di questo Gruppo di Lavoro è quello di produrre delle Linee Guida su aspetti specifici riguardanti il rapporto tra sicurezza ICT e sicurezza delle reti TLC. Tali Linee Guida hanno lo scopo di diffondere alle PMI, alle organizzazione private, alla PA e anche all’utente domestico, la cultura della sicurezza ICT così come deriva dalle esperienze reali delle Organizzazioni che partecipano al Gruppo di Lavoro. Nel 2004 sono state edite 3 le prime tre Linee Guida, intitolate, rispettivamente, “La sicurezza delle reti nelle infrastrutture critiche”,  “La sicurezza delle reti: dall’analisi del rischio alle strategie di protezione” e “la qualità dei servizi nelle reti TLC”. Queste linee Guida sono disponibili nel sito
www.iscom.gov.it e saranno presentate nella versione in inglese durante la conferenza. Nel 2005 sono in corso di redazione cinque nuove Linee Guida che tratteranno, rispettivamente, di metodologie dell’analisi dei rischi, della certificazione della sicurezza ICT, del rapporto tra sicurezza ICT e outsourcing, di gestione delle emergenze e degli incidenti su scala locale e di qualità del servizio in reti UMTS e larga banda;
 
· gestisce alcuni programmi di formazione sulla sicurezza ICT. In particolare, gestisce un Centro di Formazione, riconosciuto dall’AICA, per rilasciare licenze ECDL (European Computer Driving Licence). Inoltre, è appena stato costituito e sta per iniziare le sue attività un Centro di Formazione per la formazione dedicata alla sicurezza ICT di tutto il personale della PA;
 
· è presente nell’Osservatorio interministeriale per la sicurezza delle reti e svolge un ruolo attivo nella determinazione dei protocolli di intercettazione sulle reti di telecomunicazioni e telematiche.

Exit mobile version