L’Ing. Francesco Talone, Commissario Capo Tecnico della Polizia di Stato, Direzione Centrale della Polizia Criminale – Ufficio Protezione Dati, descrive nel dettaglio il neo Cyber Security Operations Center di Roma (C-SOC).
Sovente, l’innovazione, nella sua accezione più ricca e variegata, tende la mano alla pubblica amministrazione. Non di rado, ma finora non quanto auspicato, l’amministrazione pubblica raccoglie il testimone dell’innovazione avvalendosi delle forme di finanziamento che, sempre più strutturate, arrivano dall’Unione Europea. Incessantemente, a esperienza di chi scrive, l’azione amministrativa è “trainata” dalla responsabilità di doversi conformare a leggi e regolamenti, sebbene con tempistiche di adeguamento non sempre proporzionate.
È allora edificante, in apertura di questo secondo semestre di un 2021 denso di buoni propositi e complesse opere di pianificazione e rilancio, narrare di una concreta e ben riuscita esperienza che ha saputo coniugare l’innovazione, gli stanziamenti dell’Unione Europea e il tempestivo adeguamento alla norma, nel progetto di realizzazione del Cyber Security Operations Center (nel seguito C-SOC) della Direzione Centrale Polizia Criminale, articolazione del Dipartimento della Pubblica Sicurezza del Ministero dell’Interno che, oltre a mantenere vive ed operative le relazioni internazionali nei consessi di law enforcement (Europol, Interpol, etc.), ospita e gestisce le banche dati interforze (Centro Elaborazione Dati, Sistema Informativo Schengen Nazionale, Banca Dati Nazionale del DNA, Numero Unico di Emergenza 112).
Il C-SOC è stato inaugurato il 26 aprile alla presenza delle massime autorità e dei vertici delle amministrazioni operanti nell’ambito della pubblica sicurezza nazionale: Ministro dell’Interno – Autorità Nazionale di Pubblica Sicurezza, Sottosegretario di Stato – Autorità delegata alla sicurezza della Repubblica, Capo della Polizia – Direttore Generale della Pubblica Sicurezza, comandanti e direttori generali delle forze di Polizia nazionali.
Le presenze illustri non si sono esaurite con l’eccellente partecipazione dei vertici dell’intero comparto sicurezza ma hanno visto, quale ospite di pregio, il Segretario Generale dell’Autorità Garante per la protezione dei dati personali. La presenza del Garante Privacy attesta, anticipando ciò che si avrà modo di illustrare più avanti, la duplice natura del C-SOC: strumento a presidio della cyber security delle banche dati interforze e, al contempo, strumento a protezione delle persone fisiche i cui dati personali sono trattati per finalità di polizia.
Il C-SOC, il cui front-office operativo – sito inaugurale d’eccezione – è solo la parte visibile di un iceberg fatto di diritti fondamentali e significative competenze giuridiche, tecniche ed amministrative, consente, in estrema sintesi, di congiungere la protezione dei dati personali, la protezione dell’individuo e la protezione della collettività all’interno del cyber-spazio interforze.
L’intuizione: una risposta concreta al requisito normativo di notifica del data breach senza ingiustificato ritardo
Il C-SOC si sviluppa a partire da una disposizione normativa nazionale, figlia del recepimento della Direttiva europea nr. 680 del 2016 che ha innovato – in simmetria con il più Generale Regolamento nr. 679 del 2016, il cosiddetto GDPR – la disciplina della protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali: impropriamente semplificata in protezione dei dati personali con riguardo al trattamento per finalità di polizia.
Si fa riferimento, in particolare, agli articoli 25, 26 e 27 del Decreto Legislativo n. 51 del 2018 – attuativo della direttiva – i quali, rispettivamente, disciplinano la sicurezza del trattamento dati e, nel malaugurato ma al contempo oramai non più trascurabile caso di una violazione di dati personali, la notifica di quest’ultima al Garante. Laddove la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, la comunicazione dovrà pervenire anche alla persona interessata.
Si tratta di comunicazioni che devono avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui se ne viene a conoscenza.
Emerge quindi in tutta la sua forza l’intenzione di proteggere le persone fisiche, anche per il tramite della protezione dei loro dati personali.
Questi obblighi chiamano ogni organizzazione a dotarsi di opportune capacità tecnico organizzative per individuare un’avvenuta violazione, per quantificarne l’estensione e la possibile incisività sui soggetti ai quali i dati violati si riferiscono e, soprattutto, per contenere i possibili danni arrecati al patrimonio informativo e alla persona.
È un abbaglio, dei più pericolosi, pensare che questi aspetti siano di semplice risoluzione: diversi studi statistici condotti su una collezione di evidenze di intrusioni informatiche occorse in realtà complesse, dimostrano come il tempo minimo per l’individuazione di una violazione è di alcuni mesi dall’inizio dell’attacco. È chiaro pertanto come, senza l’acquisizione di competenze, processi e tecnologia specifici e ad alta specializzazione, sia velleitario approcciarsi agli obblighi di notifica imposti dalla norma.
Non solo. La corretta prevenzione, l’individuazione e la gestione degli attacchi informatici non rappresenta solo un adempimento meramente giuridico ma, attesa la particolare delicatezza dei dati e delle informazioni conservate presso i sistemi informativi interforze e dato il pregiudizio che per i cittadini potrebbe derivare da una loro violazione, il C-SOC si pone anche e soprattutto come uno strumento a tutela dei diritti e delle libertà della collettività. Uno strumento che, di certo, opera dietro le quinte, offre un contributo poco visibile, ma non per questo meno essenziale.
I pilastri del progetto
Ma cosa è allora il C-SOC? Come si pretende di soddisfare il cogente requisito dettato dalla norma? È utile, al riguardo, definire la missione del C-SOC: il monitoraggio e il miglioramento continui della sicurezza attraverso la prevenzione, la rilevazione, l’analisi e la risposta agli incidenti di sicurezza informatica, tramite l’utilizzo sia di tecnologia che di processi. In altre parole: la capacità di governare gli eventi cyber e lo “stato di salute” fisico e logico delle banche dati interforze.
Prima di procedere oltre in questa illustrazione, può tornare utile richiamare una definizione di cyberspace tratta dalla ISO 27032:2012 (Guidelines for Cybersecurity): “complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form”.
Dunque, il C-SOC vuole rispondere a questa precisa esigenza di governo con modalità del tutto nuove per l’Amministrazione della Pubblica Sicurezza, ma ben descritte in studi e standard internazionali dedicati alla sicurezza delle informazioni e, peraltro, già efficacemente implementate e riconosciute presso istituzioni europee ed extra europee di assoluto rilievo. Non è un caso, allora, che l’idea tramutata in azione verta su tre inamovibili pilastri e un architrave fatto di governance, che li congiunge e li rafforza:
- la tecnologia;
- i processi operativi;
- e, ultimo, ma non per valore, le persone. Il fattore umano, laddove si parla di protezione delle persone fisiche con riguardo al trattamento dei dati personali, non può che giocare un ruolo di primo piano.
Senza soffermarsi oltre misura sul dettaglio di ogni singolo pilastro citiamo solamente, per il pillar tecnologico, il motore di calcolo del C-SOC, ossia la piattaforma di Security Information and Event Management (SIEM) volta al monitoraggio in tempo reale e basata su una soluzione software best in class (prodotto leader nel quadrante magico di Gartner per i SIEM) dispiegata su di una infrastruttura server virtuale di ultima generazione definita iper-convergente. Qualche numero per gli addetti ai lavori: l’attuale dimensionamento del SIEM consente di gestire una Event capacity pari a 7.500 eps (event per seconds) ed una Flow capacity pari a 150.000 fpm (flows per minute). Ça va sans dire, si tratta di una infrastruttura fortemente scalabile nel tempo e nello spazio.
Per il pillar dei processi operativi, si pensi alle procedure di real time security monitoring e di incident handling sviluppate con l’ausilio di un campione nazionale in materia di cyber sicurezza e ispirate agli standard internazionalmente riconosciuti ISO/IEC 27001 «Information security management systems» e ISO/IEC 27035 «Information security incident management», ma anche alle Misure minime di sicurezza ICT per le pubbliche amministrazioni promosse dall’Agenzia per l’Italia Digitale. Questi processi coinvolgono a vario titolo le articolazioni della Direzione Centrale Polizia Criminale che, rispettivamente, esprimono la gestione operativa dei sistemi informativi (Servizio per i Sistemi Informativi Interforze) o i compiti di indirizzo e controllo in materia di protezione dei dati (Ufficio Protezione Dati, promotore del progetto). In estrema sintesi, i processi consentono di disciplinare la gestione degli eventi e l’escalation degli incidenti di sicurezza, misurandone le prestazioni e contenendo l’entropia che, fisiologicamente, si auto-sostiene nelle situazioni di crisi.
Nell’approccio seguito, improntato alla gestione del rischio, lo scenario di rischio peggiore non è più quello che conduce alla necessità di notifica del data breach, bensì quello che conduce al c.d. falso negativo.
Circa il pillar delle risorse umane, la componente di maggior valore per qualunque organizzazione e ancor più per l’Amministrazione della Pubblica Sicurezza, basti citare le oltre 2500 ore uomo dedicate alla formazione e all’addestramento del personale preposto ad operare in un rinnovato e complesso scenario operativo che, tra l’altro, riunisce e razionalizza le preesistenti articolazioni H24 già impegnate a presidio della sicurezza fisica e ambientale delle sale server e al monitoraggio delle prestazioni operative.
Con specifico riguardo alla formazione e all’addestramento, è opportuno richiamare gli schemi di certificazione prescelti per qualificare il personale. Si tratta delle seguenti innovative figure professionali: Certified Ethical Hacker, Certified Threat Intelligence Analyst, Certified SOC Analyst, Certified Incident Handler. Per la figura del C-SOC manager si è invece preferito optare per una certificazione di tipo esperienziale, la ICT Security Manager UNI 11506, con l’obiettivo di abilitare e certificare per il ruolo risorse interne all’amministrazione già in possesso delle competenze necessarie.
Queste figure professionali, così formate, sono in grado di coprire tutte le fasi previste dal piano di risposta agli incidenti (preparazione, rilevazione e analisi, contenimento, eradicazione e recupero, attività post-incidente) e di gestire internamente il laboratorio di ethical hacking e digital forensic. Abilitano, di fatto, un centro di competenza per il Dipartimento della Pubblica Sicurezza.
Le risorse economiche: Internal Security Fund 2014-2020
Pare utile, oltre che doveroso – visto il periodo storico e l’attualissima necessità di saper valorizzare sempre più gli stanziamenti comunitari – spendere alcune parole in favore dell’iter di finanziamento intrapreso per la realizzazione dell’iniziativa progettuale C-SOC, beneficiaria del Fondo per la Sicurezza Interna 2014-2020 nella componente “Police”, strumento finanziario dedicato alla gestione dei rischi e delle crisi per la sicurezza interna.
Le risorse (Progetto 46.6.5 | Fondo Sicurezza Interna 2014-2020 (interno.gov.it)), secondo il framework del fondo, sono state attinte dall’Obiettivo Specifico nr. 6 “Risk and Crisis” e, scendendo di livello, dagli Obiettivi Nazionali nr. 5 “Infrastructures” e nr. 7 “Risk and threat evaluation”. La spesa è stata principalmente rivolta alle attrezzature informatiche, hardware e software, e ai servizi professionali di consulenza e formazione in ambito cybersecurity. Una componente del budget è stata assegnata ai costi di informazione e pubblicità, come richiesto dai regolamenti che disciplinano i finanziamenti comunitari. Tutti gli interventi estranei alla componente ICT, si pensi all’adeguamento e al miglioramento dei locali, sono stati realizzati ricorrendo a capitoli di spesa interni al Dipartimento della Pubblica Sicurezza.
Nella positiva esperienza del C-SOC è stata compresa e colta da parte dell’Ufficio Protezione Dati della Direzione Centrale Polizia Criminale, promotore del progetto e responsabile della sua governance, l’opportunità di poter ricevere fondi in assegnazione diretta, ossia senza concorrere con altre iniziative progettuali in una generica call for proposal, in quanto le banche dati interforze, per la loro peculiare natura e prerogativa, rappresentano un unicum nel panorama nazionale. Il percorso di finanziamento, sempre attentamente monitorato dall’Autorità Responsabile dei Fondi, che fa capo al Dipartimento della Pubblica sicurezza, ha portato ad investire la cifra di due milioni di euro in poco più di due anni di attività.
In un momento storico di assoluta e inopinata complessità, dove la più grave emergenza sanitaria avutasi da un secolo a questa parte ha inevitabilmente intaccato il tessuto socio-economico e produttivo globale, è lecito affermare che il progetto C-SOC, pur subendo i disagi della crisi, non ha avuto interruzioni nella catena di fornitura anzi ne ha, seppur in misura contenuta, sostenuto la filiera commerciale e produttiva, fatta anche delle piccole e medie imprese coinvolte nel progetto e localizzate in ogni parte dell’intero territorio nazionale.
Meritevoli di uno sguardo sono le procedure di approvvigionamento messe in atto per le quali vale la pena osservare il largo impiego alle convenzioni Consip, ai contratti quadro Consip e alle procedure di gara elettroniche quali SDAPA ICT, che hanno permesso di contenere gli effetti della pandemia sul ciclo di vita del procurement. Il progetto si è concluso in 35 mesi dal kick-off, avvenuto nel giugno 2018, con solo 4 mesi di ritardo rispetto alla pianificazione pre-Covid.
Inclusione nella cyber security nazionale
Da ultimo, sul piano più strettamente correlato alla cyber security, tema oramai all’ordine del giorno anche per chi di sicurezza non si occupa – attese le rilevanti implicazioni sul piano legale, reputazionale ed economico – non possiamo non annoverare a pieno titolo il C-SOC tra i satelliti di primo piano orbitanti intorno all’architettura attuale e futura di protezione cibernetica nazionale, promossa dalla Presidenza del Consiglio dei Ministri. Le funzionalità del C-SOC, riconducibili alle attese capacità operative di incident prevention, response e remediation, si giovano inoltre dell’accreditamento presso il Computer Security Incident Response Team Italia (CSIRT) che dirama regolarmente bollettini e informative concernenti le minacce cyber.
Del resto, la nascita di un perimetro di sicurezza nazionale cibernetica e le concomitanti iniziative dipartimentali, non fanno altro che confermare la piena coerenza del C-SOC all’interno del più grande disegno riguardante la cyber security del paese.
Conclusioni
Il C-SOC ormai non è più un progetto, bensì un insieme integrato di processi, procedure operative, tecnologia e teste pensanti in pieno esercizio 24 ore su 24, 7 giorni su 7, a tutela delle banche dati di polizia. È, pertanto e a tutti gli effetti, un centro di competenza.
Tuttavia, vale ancor oggi, così come valeva durante la conduzione delle fasi progettuali, la seguente considerazione: il C-SOC è un denso e continuativo rendez-vous. Ecco perché:
- l’information security incontra la protezione dei dati personali;
- i compiti di governance, gestione del rischio e conformità (GRC, secondo il noto acronimo inglese) hanno incontrato l’innovazione e i finanziamenti europei;
- la sicurezza fisica delle banche dati incontra la sicurezza logica;
- le persone hanno incontrato i cambiamenti che, necessariamente, il cyberspace comporta.
Le esternalità negative, pur occorse – si pensi solo alla pandemia da COVID-19 – non hanno impedito al progetto di giungere a compimento con successo e, anzi, hanno permesso di apprendere, se mai ce ne fosse ulteriore bisogno, una lezione importante: una volta ottenuto, pur con tutte le sue difficoltà, il finanziamento europeo è un potente catalizzatore della gestione del cambiamento, ben più della stessa regolamentazione europea.
Infine, un auspicio per il futuro: arrivare a mature e ricorrenti esercitazioni di cyber security e crisi simulate, possibilmente in un’ottica di sistema capace di abbracciare anche la pubblica amministrazione italiana e quella europea nel suo complesso perché, lo sappiamo, la minaccia cyber segue le tracce dell’intero branco ma, usualmente, colpisce la preda più vulnerabile.