martedì, Marzo 19, 2024

Cyber Security Operations center della Direzione Centrale della Polizia Criminale (C-SOC): cos’è, come funziona, a cosa serve

AreaNetworking.it
AreaNetworking.ithttps://www.areanetworking.it
AreaNetworking.it è tra i principali e più storici media italiani del settore ICT. Nato nel 2003 per opera di Federico Lagni, l'attività del gruppo è sia online - con il portale rivolto a figure professionali ICT (IT Manager, CTO, Security Specialist, Datacenter Engineer, etc) - sia offline con l'organizzazione delle più importanti conferenze italiane su temi tecnologici.

Si parla sempre di più di Cyber security, Cybercrime e Cyberwar. Proprio per quest’ultimo aspetto, come redazione di AreaNetworking.it e GDPR Day abbiamo avuto il piacere e l’onore di toccare con mano il Cyber Security Operations Center (C-SOC) della Direzione Centrale della Polizia Criminale, organo interforze del Dipartimento della Pubblica Sicurezza competente, tra le altre cose, sulle banche dati condivise delle forze di polizia.

Il C- SOC è una struttura d’avanguardia, co-finanziata da fondi europei e inaugurata quasi un anno fa, per la prevenzione e l’intervento tempestivo sugli incidenti informatici alle banche dati delle Forze di polizia, di natura accidentale, naturale o dolosa, come gli attacchi hacker. Una struttura organizzativa e tecnologica di ultima generazione, che, grazie alla formazione mirata di analisti e operatori appartenenti alla quattro Forze di polizia, lavora attraverso protocolli standardizzati perché la reazione all’incidente informatico sia la più tempestiva e risolutiva.

Ci hanno aperto le porte e risposto alle nostre domande l’Ing. Stefano Moni, Dirigente Superiore Tecnico della Polizia di Stato, Direttore dell’Ufficio Protezione Dati della Direzione Centrale della Polizia Criminale – già parte del nostro team di Speaker del GDPR Day, conferenza nazionale sulla Privacy e Data Protection, e l’Ing. Francesco Talone, Commissario Capo Tecnico della Polizia di Stato del medesimo ufficio.

La sala operativa si trova presso la Direzione Centrale della Polizia Criminale che, tra le altre attività che svolge nell’ambito delle forze anche internazionali, gestisce i sistemi informativi interforze, ossia un insieme di banche dati alimentate e consultate da tutte le forze di polizia. Tra queste banche dati vi sono: il c.d. CED Interforze, ovvero il Centro elaborazione dati del Ministero dell’Interno istituito con la Legge 121/1981, la banca dati nazionale del DNA e il sistema informativo Schengen di nuova generazione.

Si tratta di un’infrastruttura critica informatizzata, usata per gestire e supportare il mantenimento dell’ordine e della sicurezza pubblica in Italia e quindi anche in Europa.

  1. Ci siamo trovati davanti a noi un enorme dashboard tecnologica. Potete spiegarci nel dettaglio cosa abbiamo visto?

“Il C-Soc può essere considerata una sala operativa per il monitoraggio dei sistemi informativi di nuova generazione, in quanto siamo andati ad integrare in un unico ambiente diverse funzionalità di monitoraggio proprie delle banche dati dei sistemi informativi.

Nella parte destra avete potuto osservare il monitoraggio delle prestazioni dei sistemi, le prestazioni dei servizi che noi eroghiamo, quindi, troviamo degli indicatori di gestione della capacità di erogare servizi.

Nella parte centrale in basso il diagramma, il grafico rappresenta il monitoraggio relativo alle condizioni di sicurezza fisica e, ancor più in dettaglio, di sicurezza ambientale delle 7 sale server. Tutte le sale, i server e le diverse sorgenti sono monitorate secondo diversi parametri di sicurezza non solo logica ma anche fisica, di salute ambientale, temperatura, umidità, allagamento, fumi, apertura porte, videosorveglianza.

L’ultima area della dashboard, sul fondo blu scuro, invece, è il monitoraggio relativo alla cyber security, cioè le condizioni di sicurezza logica dell’infrastruttura. La stessa dashboard, che può essere configurata a seconda delle esigenze, raccoglie i dettagli prodotti dagli apparati di sicurezza perimetrali e non presenti all’interno dell’infrastruttura. Quindi tutti gli eventi generati da firewall, gateway, router, oppure generati dalle singole macchine presenti all’interno della nostra organizzazione, mi riferisco addirittura gli host e le workstation, come le postazioni di lavoro, generano dei log. Questi log vengono raccolti dal Log Manager, punto centrale di raccolta, li normalizza, li mette assieme, li mette in sicurezza, li correla. A fronte di migliaia e migliaia di eventi per secondo, noi riusciamo a gestirne oltre 7000 al secondo, di fatto vengono messi in evidenza degli indicatori in forma di serie temporali, in forma di istogrammi, in forma di indicatore numerico, di diagrammi a torta. Possono, così, essere gestiti dall’analista per essere configurati in modo più consono alle sue necessità e, nel caso in cui si verifichi una situazione di anomalia oppure si riveli la presenza di un comportamento che è riconosciuto come indicatore di compromissione, l’evento di sicurezza si può trasformare in incidente di sicurezza. Questo vuol dire che l’operatore che sta in sala è riuscito a discriminare una situazione dubbia e dichiararla come tale.

In tutto questo scenario, la situazione peggiore è quella del fenomeno del falso negativo, ossia un incidente o un evento che si è effettivamente manifestato e non siamo riusciti ad intercettare. E quando si ha a che fare con grandi numeri e con concetti di probabilità statistica, può verificarsi anche questa possibilità.”

  1. Il C-SOC è un tassello fondamentale e strategico nella protezione dati ma in tal caso quali sono le banche dati oggetto della protezione?

“I database interforze sono molteplici e, benché tutti quanti siano stati istituiti per finalità di polizia, ognuno si caratterizza per normativa di riferimento e finalità di trattamento dei dati. Le peculiarità derivano dalla fonte giuridica che li ha istituiti e che ne disciplina l’utilizzo.

Per ragioni anagrafiche e storiche il primo che citiamo è il Centro Elaborazione Dati (CED Interforze) del Ministero dell’Interno, istituito con la legge n. 121 del 1981 – la legge di riforma della Polizia di Stato – e deputato a raccogliere tutti i dati che le forze di polizia italiane sono tenute ad inoltrare presso il CED Interforze e riguardanti le attività di ordine e sicurezza pubblica e perseguimento dei reati. Si pensi, a mero titolo di esempio, ai dati relativi al controllo del territorio operato dalle forze di polizia, alle denunce, ai reati commessi.

Abbiamo poi il Sistema Informativo Schengen Nazionale, istituito a seguito degli accordi di Schengen con l’intento di mettere a fattor comune nell’area Schengen le informazioni utili alle attività di law enforcement e che contribuisce in maniera sostanziale alla libera circolazione delle persone all’interno dell’Unione, in una robusta cornice comune di cooperazione internazionale di polizia e di difesa dei confini esterni.

Terza principale componente dei sistemi informativi interforze è la banca dati nazionale del DNA, istituita a seguito della ratifica del c.d. trattato di Prum, contenente dati di natura biometrica, opportunamente pseudonimizzati e decodificabili solo in combinazione con altri sistemi informativi.”

  1. Il pubblico potrebbe chiedersi: prima del C-SOC come funzionava il perseguire gli obiettivi che oggi sono perseguiti dal C-SOC?

“Dal punto di vista della sicurezza i dati prima del C-SOC venivano gestiti in modo “classico”, con sistemi perimetrali e interni di diversa tipologia, in aderenza ai protocolli vigenti. Peraltro, i Sistemi Informativi Interforze godevano già dei servizi 24/7 erogati dalle sale operative preesistenti al C-SOC e deputate al monitoraggio della sicurezza fisica e delle prestazioni delle sale server.

Il principale merito del C-SOC è stato quello di introdurre, per la prima volta in ambito forze di polizia, tecnologie finora utilizzata solo in ambiti enterprise, quali, ad esempio, gli operatori di TLC. Accanto alle tecnologie, i pilastri del sistema sono rappresentati dall’istituzione di nuovi processi e dall’innalzamento delle competenze di cyber security.

Infine, sono state affiancate le funzioni di sicurezza e protezione dati, seguendo una visione olistica e integrata, adeguata alle minacce che si fronteggiano oggigiorno, a loro volta multidimensionali.”

Fine prima parte. L’intervista continua nel prossimo articolo.

Intervista a cura di Giovanna Annunziata e Federico Lagni.

Articoli correlati

Il caso “Medusa Ransomware”

I ransomware stanno diventando sempre più una minaccia di rilevanza importante, quasi da non far dormire sonni tranquilli ad aziende sia pubbliche che private,...

Digital Transformation


 

Noleggia una Tesla per il tuo evento ICT!

Categorie