Seconda parte dell’intervista di AreaNetworking.it svolta al Cyber Security Operations Center (C-SOC) della Direzione Centrale della Polizia Criminale. (Se non hai letto la prima parte, qui trovi il link).

Rispondono alle nostre domande l’Ing. Stefano Moni, Dirigente Superiore Tecnico della Polizia di Stato, Direttore dell’Ufficio Protezione Dati della Direzione Centrale della Polizia Criminale – già parte del nostro team di Speaker del GDPR Day, e l’Ing. Francesco Talone, Commissario Capo Tecnico della Polizia di Stato del medesimo ufficio.

1. Il C-SOC è stato recentemente premiato come miglior innovazione europea, ottenendo l’European innovation procurement awards. Quanto è stato sfidante partecipare e vincere questo premio di alto valore?

“Moltissimo, innanzitutto in ragione del livello di competizione riscontrato, poiché il concorso ha visto la partecipazione di moltissimi incubatori di innovazione a livello europeo in quanto il premio era bandito dal Consiglio Europeo per l’Innovazione (EIC).

Tra i concorrenti spiccavano centri di ricerca pubblici e privati, aziende e studi professionali. Inoltre, l’iter del concorso è stato particolarmente arduo: dalla fase di presentazione della domanda di partecipazione agli step successivi che prevedevano l’esame cartolare della nostra proposta fino a una lunga audizione innanzi ad una giuria di esperti.

Il premio conseguito, per la categoria dedicata alla leadership espressa dallo steering board del progetto C-SOC, è stato un riconoscimento degli indiscutibili sforzi profusi nella gestione progettuale, tra l’altro in costanza di pandemia e con ricorso a fondi europei. Tutti i beni e i servizi acquisiti, già disponibili sul mercato, sono stati approvvigionati mediante l’utilizzo di procedure di spesa messe a disposizione da Consip Spa in aderenza al codice dei contratti pubblici. Le procedure di acquisto sono state molteplici, considerando la natura complessa del progetto. Sicuramente tra queste annoveriamo le convenzioni, i contratti quadro e, in particolare, le procedure di gara telematiche RDO e l’Innovativo SDAPA ICT. Ogni procedura ha permesso di acquisire tra le migliori soluzioni hardware e software disponibili allo stato dell’arte, tra le quali molte di esse sono indicate come tecnologie leader nel “Magic Quadrant” di Gartner.

Per quanto concerne la progettazione dei processi e delle procedure operative si è fatto affidamento al contratto quadro SPC Lotto 2, strumento particolarmente agile per l’acquisizione di servizi professionali qualificati in ambito cyber security e personalizzabili secondo le esigenze dell’acquirente. La gestione delle procedure relative al procurement ha avuto impatto sul piano strategico ma anche – e soprattutto – sul piano dell’innovazione. Peraltro, ciò accadeva in un momento storico in cui la pandemia causava le maggiori difficoltà sul piano sociale ed economico, ponendoci in una condizione particolarmente impegnativa.

Nonostante ciò, grazie ad una gestione prettamente telematica, più di 3000 business company accreditate sulla piattaforma di procurement potevano competere per la partecipazione alla realizzazione del progetto. Questo ha dato la possibilità a moltissime PMI europee di poter concorrere. Una gestione così complessa, durante un periodo così delicato, ci ha portati a conseguire il prestigioso riconoscimento denominato European Innovation Procurement Leadership Award, da parte del Consiglio Europeo dell’Innovazione.”

2. Quando si parla di cybersecurity non si può non parlare di privacy. Quali sono i rapporti tra C-SOC e Garante Privacy? E con la Commissione europea?

“La normativa europea sulla protezione dei dati personali annovera sia il GDPR che la Direttiva UE 680/2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

Il Decreto Legislativo nr. 51 del 2018 recepisce in Italia la Direttiva 680-2016. La nuova normativa ha avuto, tra gli altri, il merito di aver introdotto il principio di accountability nel trattamento dei dati personali e la necessità di dover basare le decisioni concernenti la sicurezza in funzione di valutazioni dei rischi.

Questi concetti, abbinati allo stringente requisito normativo di saper notificare senza ritardo una violazione del dato personale al Garante Privacy e, se del caso, ai soggetti interessati, hanno dato l’impulso fondamentale all’idea di realizzare il C-SOC quale strumento utile anche a rilevare eventuali data breach. Sulla base di questa innovazione è stata ulteriormente rafforzata la già consolidata sinergia tra la Direzione Centrale della Polizia Criminale e il Garante della Privacy, una sinergia che ci ha visto collaborare fruttuosamente e con successo in occasione dei periodici audit previsti dalla Commissione.”

3. Con quali enti o organizzazioni si relaziona il C-SOC?

“Fondamentalmente le 4 forze di polizia e il CSIRT Italia di ACN, per il tramite del CNAIPIC della polizia postale, Europol ed Interpol.”

4. La guerra in Ucraina è forse la prima nella quale la cyberwar si fa sentire in modo pesante, diffusa e centrale. Tra Anonymous, attacchi hacker, cyber terrorismo, violazioni e sabotaggi digitali, il C-SOC ha già alzato l’attenzione e le contromisure?

“Ogni informativa prodotta dagli organismi preposti alla cyber security nazionale è tempestivamente presa in carico dal Cyber Security Operations Center. La struttura, come facilmente intuibile, ha già innalzato i livelli di allerta, monitora H24 eventuali eventi anomali, e procede in tempi rapidissimi all’aggiornamento degli apparati di sicurezza perimetrali delle banche dati interforze.”

5. Il fattore umano è sempre importante, sia nell’attacco che nella difesa. Chi sono, quindi, gli agenti impegnati nel C-SOC? Quali competenze hanno e come si formano? 

“Il C-SOC è un’unità organizzativa al cui vertice vi è un C-SOC Manager qualificato come ICT SECURITY MANAGER-UNI 11506. Costituiscono la forza del C-SOC le seguenti risorse umane:

• operatori in turnazione 24/7, altresì detti analisti di I livello (Tier 1) preposti al monitoraggio in tempo reale e alla prima analisi degli eventi di sicurezza, personale addestrato all’uso degli strumenti di monitoraggio come il SIEM;
• analisti di II livello (Tier 2) preposti alla dichiarazione e alla prima gestione dell’incidente di sicurezza, personale formato e certificato come SOC Analyst;
• il CSIRT interno (Computer Security Incident Response Team) preposto alla gestione degli incidenti e composto da personale formato e certificato come Incident Handler;
• Personale afferente da altre articolazioni della struttura, come ad esempio gli amministratori di sistema, che in ragione delle necessità di gestione dell’incidente di sicurezza possono essere chiamate a porre rimedio a vulnerabilità o compromissioni rilevate dagli analisti;
• Personale afferente alla funzione di data protection, qualificato per interagire a tutti i livelli del SOC (SOC Analyst, Incident Handler, ICT Security Manager) e in grado di esprimere anche le professionalità di Ethical Hacker, Threat Intelligence Analyst e Digital Forensic Expert che, a seconda dei casi, possono essere coinvolte nell’analisi di incidenti complessi ma, più in generale, operano con l’intento di prevenire gli incidenti.

Per l’intero team sono state erogate più di 2500 ore umane di formazione e addestramento, incluso l’addestramento alla gestione delle tecnologie approvvigionate.

• La figura di Ethical Hacker è istruita sulle tecniche, sulle metodologie e sugli strumenti di hacking di tipo commerciale utilizzati dai professionisti della sicurezza delle informazioni per mettere alla prova legalmente la security dell’organizzazione, prima che l’attore di minaccia lo faccia illegalmente.
• La figura di Threat Intelligence Analyst ha l’obiettivo di aiutare l’organizzazione a identificare e mitigare i rischi convertendo le minacce sconosciute, interne ed esterne, in minacce note.
• La figura di Incident Handler ha il compito di gestire efficacemente le conseguenze post-violazione riducendo l’impatto dell’incidente, sia dal punto di vista finanziario che reputazionale.‎
• La figura del SOC Analyst funge da difensore di prima linea avverso le minacce informatiche emergenti e presenti nei riguardi dell’organizzazione.”

6. Sappiamo che il C-SOC e la Polizia Postale sono complementari. Qual è, però, la precisa linea di confine?

“Il perimetro del C-SOC è molto chiaro ed è definito dai sistemi informativi interforze sotto la responsabilità della Direzione Centrale della Polizia Criminale citati prima. Sebbene disponiamo di capacità di forensic analisys, il C-SOC non conduce attività di indagine o di polizia giudiziaria contro i crimini informatici e non protegge altre infrastrutture critiche.

Di contro, essendo una realtà estremamente avanzata, istituita a protezione di un’infrastruttura critica informatica, rientra nello scenario di collaborazione dei colleghi della Polizia Postale, in particolare del Cnaipic e dell’istituendo Cert del Ministero dell’Interno e, in tal senso, si stanno sviluppando delle interessanti sinergie.
Stay tuned, il futuro potrebbe riservarci altre notizie interessanti!”

Intervista a cura di Giovanna Annunziata e Federico Lagni.