La Direzione Centrale Organizzazione Digitale dell’Inail è stata di recente invitata al Summit sulle Cyber Threats a Milano per dare testimonianza sugli strumenti e le metodologie di sicurezza applicate nell’Istituto per la difesa contro le minacce informatiche.
L’affermazione del cloud computing e lo smart working hanno ridefinito il perimetro di sicurezza anche dell’amministrazione Inail.
Inail: “La nostra strategia per stare al passo con la trasformazione digitale”
Gestire le minacce cyber nella PA al tempo di cloud e smart working
L’utilizzo oramai abituale dell’informatica ha indotto tutte le amministrazioni a dotarsi di portali in grado di garantire facili accessi ai servizi. Una necessità sia per i cittadini che richiedono servizi, sia per i dipendenti interni all’amministrazione che sono chiamati ad erogare servizi lavorando, da remoto, per i quali accedere ai dati al di fuori della rete aziendale è indispensabile per lo svolgimento delle attività lavorative.
Anche in Inail, come oramai in tutte le amministrazioni che hanno avviato il processo di digitalizzazione dei servizi, da una modalità on-premise, applicazioni localizzate su dei server fisici, ci si sta spostando su ambienti ibridi e cloud, questo consentirà di rendere molto più accessibile i dati in possesso della Pubblica amministrazione ad una platea molto più allargata. Il perimetro di riferimento, quindi, non è costituito più dall’ubicazione fisica di una organizzazione ma da ogni punto di accesso che ospita, archivia risorse e servizi aziendali, tutti questi punti di accesso sono da ambiti da sottoporre a controllo ella messa in sicurezza.
È chiaro che un nuovo modello di lavoro organizzativo così inteso necessita anche di un nuovo modello di sicurezza che tenga conto della forza lavoro mobile e che sia in grado di proteggere persone, dispositivi, applicazioni e dati ovunque essi si trovino.
La cybersecurity a livello nazionale
A livello nazionale, il tema sulla cybersicurezza è tra gli argomenti di maggior rilievo, il Governo infatti ha dato il via libera alla strategia nazionale di cybersecurity (2022-2026) e all’annesso piano di implementazione, destinando a questo comparto l’1,2% di investimenti nazionali lordi ogni anno.
Due importanti documenti attraverso i quali si punta ad affrontare una pluralità di sfide che vanno dal rafforzamento della resilienza nella transizione digitale del paese al conseguimento di una autonomia strategica nel perimetro della cybersecurity, attivandosi anticipatamente sull’evoluzione della minaccia cyber, indicando le modalità di gestione di crisi cibernetiche e ponendo misure di contrasto alla disinformazione online.
Il modello Zero Trust Security
Il modello di sicurezza che ha individuato e scelto di utilizzare l’Istituto Inail è quello di Zero Trust Security. I principi alla base di Zero Trust sono basati su alcuni aspetti che partono anzitutto da constatazioni da non sottovalutare in nessuna situazione o circostanza, quindi: mai fidarsi e verificare sempre. Considerare sempre una violazione di sicurezza come se fosse già avvenuta ancor prima che essa si manifesti o che comunque è solo una questione di tempo ma considerare sempre che una violazione può accadere quando meno te lo aspetti. Questi principi sono applicati attraverso un piano di controllo completo per fornire più livelli di difesa. La chiave è la visibilità end-to-end utilizzando threat intelligence, risk detection e criteri di accesso condizionato per valutare tutte le richieste di accesso e automatizzare la risposta in tutti i livelli di difesa.
L’identità digitale
La prima linea di difesa è l’identità. La forte attenzione verso le piattaforme digitali della Pubblica Amministrazione ha spinto Inail a introdurre l’accesso ai propri servizi tramite il sistema di autenticazione SPID, in coerenza con il Piano Triennale per l’Informatica nelle PPAA di AgID, in particolare con il principio guida di digital identity only.
Attraverso una propria identità digitale si ha la verifica di accesso delle persone autorizzate ad entrare sui dispositivi e ad utilizzare le procedure per i quali sono abilitati. Con l’integrazione di servizi di Identity on-premise e cloud, INAIL fornisce servizi di autenticazione e autorizzazione per tutte le app locali, applicazioni cloud based e SaaS. Durate l’accesso alle risorse viene verificata tale identità con un’autenticazione forte, assicurando che l’accesso sia conforme e tipico per tale identità e segua i principi di accesso con privilegi minimi.
La tecnologia che supporta tutto ciò è quella di Conditional Access la quale consente di impostare i giusti criteri per valutare il livello di rischio legato all’utente, al dispositivo, sign-in location o altro, ed infine decide se dare l’accesso oppure negarlo o ancora se distinguere un tipo di accesso rispetto ad un altro. Ci sono poi accessi per i quali, il sistema di sicurezza è ancora più qualificato e per i quali vengono richieste ulteriori autenticazioni prima del lasciapassare.
Dopo la fase identificativa del soggetto al quale è stato concesso l’acceso a una risorsa, i dati fluiscono verso una varietà di dispositivi diversi, come smartphone, dispositivi gestiti da partner e altri device. Questa diversità crea un’enorme superficie di potenziale attacco, che richiede il monitoraggio e l’applicazione di criteri di sicurezza e conformità del dispositivo per un accesso sicuro. L’Istituto, attraverso l’uso di opportuni strumenti di controllo degli endpoint, si assicura che, i dispositivi gestiti e le app installate, rispettino determinati requisiti effettuando il controllo della navigazione, indipendentemente da dove il dispositivo sia connesso. L’accesso da dispositivi personali, quelli cioè non concessi in dotazione dall’amministrazione, avviene solamente tramite VDI virtual desktop infrastructure. Con il futuro uso di meccanismi XDR extended detection and response si potranno identificare e contenere le violazioni scoperte su un endpoint e forzare il dispositivo a tornare in uno stato affidabile prima che gli sia consentito riconnettersi alle risorse.
Le applicazioni e l’uso della rete
Le applicazioni e le API, application programming interfaces, forniscono l’interfaccia tramite la quale vengono utilizzati i dati. Possono essere on-premise, cloud workload o applicazioni SaaS. I controlli e le tecnologie vengono applicati per scoprire lo Shadow IT, garantire le autorizzazioni in-app appropriate, monitorare i comportamenti anomali, controllare le azioni dell’utente e convalidare opzioni di configurazione sicure. In questo ambito l’Istituto sfrutta un cloud access security broker (CASB) con un catalogo ricco di applicazioni. Questo fornisce visibilità sull’uso delle applicazioni stesse, monitorando comportamenti anomali degli utenti, controllando l’accesso alle risorse, fornendo la capacità di classificare e prevenire la perdita di informazioni sensibili, proteggendo e valutando la conformità dei servizi cloud. I controlli di rete devono fornire informazioni che aiutano a migliorare la visibilità e ad impedire agli aggressori di spostarsi lateralmente sulla rete. Tutti i dati sono accessibili tramite la cosiddetta infrastruttura di rete. Considerando che un buon sistema di sicurezza prevede che le reti siano segmentate e protette dalle minacce in tempo reale e che si utilizzi la crittografia end-to-end e si collezionino dati da utilizzare per il monitoraggio e l’analisi, rispetto a questo, l’Istituto adotta pratiche e tecnologie per limitare fenomeni di blast radius e lateral movement, per proteggersi e rispondere a minacce e attacchi usa il combinato di Firewall, Web Application Firewall e DDoS Protection. Il servizio di WAF è integrato in un servizio di application delivery network (ADN) il quale offre un unico punto di accesso per le applicazioni su tutti i cloud utilizzati dall’Istituto e ciò aumento il sistema di controllo e sicurezza.
Le infrastrutture e la salvaguardia dei dati
L’utilizzo della telemetria per rilevare attacchi e anomalie, bloccare e segnalare automaticamente i comportamenti a rischio e intraprendere azioni protettive sono tutti fattori da introdurre per garantire la sicurezza. Il monitoraggio è fondamentale per il rilevamento di vulnerabilità, attacchi e anomalie ed è per questo motivo che INAIL usa:
- Sistemi di logging combinati ad un sistema di gestione del livello di sicurezza e protezione dalle minacce che insieme supportano il SOC security operation center anche nella gestione delle configurazioni ed aggiornamento del software su tutta l’infrastruttura sia on-premise che cross-cloud e multipiattaforma.
- SIEM e SOAR che insieme a tool di monitoraggio della sicurezza offrono una protezione dalle minacce approfondita e ampia per i workload multi-cloud consentendo il rilevamento e la risposta automatizzati.
- Tool di Vulnerability Assessment con conseguenti processi di piani di rientro.
I dati rappresentano il valore più grande di ogni organizzazione, essi devono quindi essere protetti e, dove possibile, rimanere al sicuro anche quando lasciano l’infrastruttura e le reti controllate dall’Istituto. L’orientamento generale è di crittografarli e dare un accesso limitato ad essi classificandoli ed etichettandoli.
INAIL ha già avviato una serie di progetti per limitare l’accesso ai dati solo alle persone ed ai processi che ne hanno bisogno. Impostando determinati criteri ed utilizzando il monitoraggio in tempo reale, sarà possibile bloccare o limitare la condivisione non consentita di dati sensibili. Con un sistema automatico di etichettatura dei dati e classificazione dei file, sarà possibile assegnare dei criteri alle etichette per automatizzare qualsiasi azione protettiva come la crittografia, la limitazione dell’accesso o limitazioni verso applicazioni e servizi.
Conclusioni
Rispetto ai nuovi paradigmi di sicurezza in ambiente informatico, Inail sta investendo molto sulla qualificazione del personale e sulle infrastrutture del security operation center.
È in corso una revisione dei processi interni per meglio adattarsi ai nuovi strumenti e alle nuove modalità di applicazione della sicurezza. Il nuovo layer di sicurezza che si sta pian piano costituendo viene già utilizzato per la protezione di applicazioni e dati presenti su più cloud ed on-premise, ciò dà la possibilità all’Istituto di lavorare agilmente non legandosi necessariamente ad alcun cloud provider in particolare, ma scegliendo di volta in volta ciò che il mercato mette a disposizione con l’obiettivo di creare quei contesti di protezione, controllo e monitoraggio più appropriati all’esigenza dell’Istituto.
