Uno degli aspetti di maggior criticità nelle piccole pubbliche amministrazioni (ma anche nelle grandi) è la realizzazione ed il mantenimento di un inventario delle risorse ICT. Si tratta di obbligo normativo presente nella Circolare 2/2017 ma anche in molti altri standard. Esaminiamone gli aspetti essenziali.
Considerazioni generali
È bene chiarire subito un aspetto che potrebbe far nascere un dubbio: sappiamo che l’inventario interessa le risorse ICT, ma che cosa intendiamo di preciso con il termine risorsa? La risorsa è certamente un dispositivo hardware (server, client, tablet, smartphone, router, etc…) ma potrebbe essere anche un software e quindi un elemento “logico” e non “fisico”, di fatto anche i software sono oggetto d’inventario.
Chiaramente inventariare un software è molto differente da inventariare un hardware: sono differenti le informazioni raccolte e anche le modalità di trattamento. Di un computer non ci si limita ad inventariare “marca e modello”, è necessario riportare all’interno caratteristiche quali, ad esempio, la configurazione dei componenti. Un software richiede altri tipi di informazioni che vedremo più avanti.
In merito ai vincoli normativi si ricorda che la Circolare 2/2017 di AgID, obbligo normativo per le P.A. centrali e locali, presenta numerosi controlli di sicurezza tra cui quelli deputati all’individuazione delle risorse ICT “attive”, ossia in esercizio. In particolare è bene menzionare:
| ABSC_ID | Descrizione | Minimo | Standard | Alto |
|---|---|---|---|---|
| 1.1.1 | Implementare un inventario delle risorse attive correlato a quello ABSC 1.4 | X | X | X |
| 1.1.2 | Implementare il controllo 1.1.1 attraverso uno strumento automatico | X | X | |
| 1.3.1 | Aggiornare l’inventario quando nuovi dispositivi approvati vengono collegati in rete | X | X | |
| 1.4.2 | Per tutti i dispositivi che possiedono un indirizzo IP l’inventario deve indicare i nomi delle macchine, la funzione del sistema, un titolare responsabile della risorsa e l’ufficio associato. L’inventario delle risorse creato deve inoltre includere informazioni sul fatto che il dispositivo sia portatile e/o personale. | X | X |
Questa prima serie di controlli sembra riferirsi ad apparati di natura hardware e quindi a “dispositivi materiali” ma la Circolare 2/2017 offre controlli di sicurezza specifici anche per il software. Un esempio è regolato dalla necessità di istituire delle whitelist software (ABSC_ID 2.2.1), ossia liste di software autorizzati che, per essere definite e mantenute, richiedono che venga effettuato e gestito un inventario degli applicativi.
| ABSC_ID | Descrizione | Minimo | Standard | Alto |
|---|---|---|---|---|
| 2.2.1 | Implementare una “whitelist” delle applicazioni autorizzate, bloccando l’esecuzione del software non incluso nella lista. La “whitelist” può essere molto ampia per includere i soft- ware più diffusi. | X | X |
L’inventario tecnico è diverso da quello fiscale
In moltissime P.A. vi è confusione tra inventario di natura tecnica e quello di natura “fiscale”: in effetti ogni volta che una P.A. effettua un acquisto (ad esempio un computer), la spesa viene registrata all’interno di appositi gestionali che permettono di tenere traccia della “spessa pubblica”. Le informazioni, inviate successivamente al sistema SIOPE, alimenteranno poi il portale “Soldi Pubblici”.
Tuttavia l’inventario compiuto a fini fiscali ha solo una minima parte d’informazioni rispetto a quelle presenti nell’inventario tecnico. Le informazioni in comune sono, ad esempio:
- Marca
- Modello
- Seriale
- Assegnatario
- Ufficio
Ma, ad esempio, non sono registrate tutte le informazioni su eventuali “aggiornamenti” che, chiaramente, non interessano la sfera fiscale ma interessano quella tecnica. In qualsiasi momento l’inventario tecnico deve consentire di localizzare la risorsa ma anche di capire lo “stato di salute” e quindi di capire se il dispositivo è aggiornato.
I dispositivi con scheda di rete devono essere censiti, dice la Circolare 2/2017, registrando l’indirizzo IP privato, che, di conseguenza, non può dinamico assegnato, altrimenti verrebbe meno l’utilità d’inventario. Il che implica, il più delle volte, l’importanza di registrare anche l’indirizzo MAC per consentire l’attribuzione del medesimo IP privato; il censimento degli indirizzi MAC e degli IP è solo il primo passo verso un inventario di base.
Cosa significa tracciare le risorse attive
Non sarà sfuggito l’utilizzo del termine risorsa attiva che viene spesso frainteso: una risorsa è considerata attiva quando è potenzialmente utilizzabile. Una risorsa attiva è il computer client del mio ufficio, il server centralizzato ma anche la macchina virtuale che utilizzo saltuariamente per compiere determinati lavori. Una risorsa non è più attiva quando non svolge alcuna funzione all’interno dell’organizzazione, quando ha cessato il suo ciclo di vita funzionale e, per tale motivo, dovrebbe anche essere svuotata da tutti i dati che potenzialmente potrebbe contenere. È quindi molto importante gestire adeguatamente le risorse attive e i CSC (Critical Security Controls), da cui discende la Circolare 2/2017 di AgID, chiariscono molto bene questo concetto specificando che la gestione delle risorse attive si basa su tre azioni principali:
- Inventario: l’individuazione della risorsa all’interno dell’ecosistema ICT. In qualsiasi momento l’inventario deve consentirmi di individuare il dispositivo anche se questo fosse spento, attraverso informazioni descrittive tali da permetterne il riconoscimento in modo univoco.
- Tracciamento: poichè i dispositivi subiscono variazioni costanti a seguito di aggiornamenti, adeguamenti software/hardware, è necessario che l’inventario venga mantenuto aggiornato.
- Correzione: eventuali errori nell’inventario devono essere tempestivamente corretti onde evitare la compromissione dello strumento in sé.
È importante capire che sono oggetto d’inventario anche i dispositivi dimostrativi o ad accesso temporaneo che, oltretutto, andrebbero isolati dalla rete principale per evitare possibili compromissioni. I CSC prevedono due gruppi differenti per hardware e software:
- I controlli 01 – “Inventario e Controllo delle Risorse Aziendali” con 5 salvaguardie.
- I controlli 02 – “Inventario e Controllo delle Risorse Software” con 7 salvaguardie.
I dispositivi che sono stati oggetto di dismissione potranno non comparire più nell’elenco delle risorse attive benché una traccia della loro esistenza e della loro dismissione, dovrebbe risultare in un inventario generale; questo significa che un inventario completo è composto sia delle risorse attive che delle risorse dismesse.
Attenzione alle risorse non autorizzate
Una risorsa fuori d’inventario non dovrebbe potersi connettere ai servizi dell’organizzazione a meno che non faccia parte di particolari eccezioni; fondamentalmente si possono creare due scenari ipotetici:
- Il primo è quello di una risorsa che non è presente nell’inventario e tenta ad esempio di navigare sfruttando particolari privilegi. In questo caso è necessario prendere in considerazione il blocco della risorsa o la “messa in quarantena”. La cosa importante è che l’azione intrapresa venga dettagliatamente documentata.
- Il secondo scenario è che la risorsa non possa essere compiutamente inventariata. Si pensi ad una rete pubblica a cui accedono centinaia di persone/dispositivi. È chiaro che l’inventario che si potrà redigere, in casi come quello espresso, sarà carente di tantissime informazioni; tuttavia è possibile tentare di “direzionare e regolare” il traffico/impiego in modo da ridurre gli usi illeciti che, in ogni caso, s’inserirebbero all’interno del primo scenario.
L’inventario è quindi propedeutico all’accesso ai servizi: consentire l’accesso ai dispositivi senza averne inventariata l’esistenza, rischia di esporre l’organizzazione a problemi di sicurezza non indifferenti.
Una nota ulteriore in merito all’inventario software
I controlli 02 prevedono per l’appunto “Inventario e Controllo delle Risorse Software” ed in tal senso è molto interessante notare la distinzione compiuta dai CSC: vi è differenza tra applicazioni, librerie software e script.
| Salvaguardia | Descrizione |
|---|---|
| 2.5 | Utilizzare i controlli tecnici, come l’elenco delle applicazioni autorizzate, per garantire che solo il software consentito possa essere accessibile o eseguibile Aggiornare semestralmente o più frequentemente. |
| 2.6 | Utilizzare controlli tecnici per garantire che solo le specifiche librerie software autorizzate, come file .dll, .ocx, .so, ecc., possano essere caricate in un processo di sistema. Impedire il caricamento delle librerie non autorizzate in un processo di sistema. Rivalutare semestralmente o più frequentemente |
| 2.7 | Utilizzare controlli tecnici, come le firme digitali e controllo di versione, per garantire che solo gli script autorizzati, come file .ps1, .py, ecc., possano essere eseguiti. Impedire l’esecuzione di script non autorizzati. Rivalutare semestralmente o più frequentemente. |
I tecnici sanno bene come questa differenza non sia solo “di forma” ma rappresenti nella sostanza un elemento molto importante di attenzione. Uno script, una libreria, possono essere particolarmente dannosi seppur meno evidenti rispetto ad un’applicazione.
In tal senso la normativa di AgID non scende così in dettaglio: il termine script non ricorre mai nei controlli della Circolare 2/2017. Il termine librerie ricorre nell’ABSC_ID 3.5.1 inerente la verifica d’integrità dei file.
Centralizzazione eventi
Un ultimo aspetto di particolare rilevanza riguarda la centralizzazione delle informazioni, soprattutto in merito alle eventuali eccezioni. Quando un dispositivo degno di eccezione si connette alla rete e ai servizi dell’organizzazione, la sua esistenza è tracciata normalmente da più dispositivi che, ad esempio, potrebbero essere il router, il domain controller, il firewall, etc…
Le eventuali violazioni compiute dal dispositivo verrebbero quindi registrate ma su registri differenti, generalmente uno per dispositivo e questo rende molto difficile la ricostruzione di eventuali illeciti. È necessario che l’inventario sia in grado di individuare il dispositivo all’interno di una condizione di centralizzazione degli eventi, ad esempio predisponendo un syslog server, in grado di catturare adeguatamente le informazioni dei vari dispositivi all’interno di un unico LOG. L’inventario, a questo punto, consentirebbe di individuare e seguire con maggiore facilità gli accadimenti registrati dai vari dispositivi.
Conclusioni
L’inventario è un pilastro essenziale per poter garantire i giusti livelli di sicurezza all’interno di una P.A. e spesso si sottovaluta la difficoltà d’inventariare tutte le risorse in modo efficace. La realizzazione di un inventario tecnico, nel caso anche integrato con quello fiscale, è essenziale per la realizzazione di buone misure di cybersecurity.
