Incrementare Sicurezza Reti PA

pif · 2 Gennaio 2023, 1:07pm

Buongiorno,
scrivo per proporre uno spunto di riflessione, ben contento di ricevere ogni tipo di feedback o pensiero a riguardo.

Il tema è come incrementare la sicurezza delle reti di PA, in senso molto generico, da un punto di vista router/firewall.

L’idea è come impostare (concettualmente, senza entrare nella precisione di modelli / marchi) il proprio router/firewall per prevenire intrusioni dall’esterno ma anche eventuali problematiche che possono sorgere dall’interno della rete.

In primo luogo penso ai firewall, esiste ad oggi un elenco di IP o domini considerati non sicuri, penso ad esempio ad OpenDNS che mira a “proteggere” l’utente da siti malevoli e/o pornografici (es. protezione famiglia/bambini) oppure al famoso servizio di Cloudflare 1.1.1.1 che offre anche delle versioni con protezione da contenuti per adulti.

Naturalmente OpenDNS/Cloudflare non sono degli strumenti che riescono a garantire la sicurezza, per cui andrebbero corredati da una lista di IP da bloccare tramite firewall (connessioni in uscita).

Un altro punto del quale ho accennato è la sicurezza dall’interno della rete, ovvero il router non dovrebbe permettere appunto di raggiungere certe porte su server esterni (per esempio porte diverse da 80, 443, 465, 587, 993…).

Altro esempio può essere l’America che vieta l’uso di TikTok sui devices governativi, se ci sono dei servizi che il governo italiano/europeo considera pericolosi o non idonei, sarebbe ottimo riuscire ad averne una lista in modo da bloccarne l’uso su reti di enti pubblici.

Mi piacerebbe ottenere dei feedback da sistemisti / amministratori per poter eventualmente capire quali possono essere le buone pratiche per una rete più sicura possibile ed al riparo da inconvenienti.

Resto a disposizione,
grazie e buona giornata.

Elena_S · 3 Gennaio 2023, 7:19am

E se un ente ha bisogno di pubblicare video su TikTok o similari (es. Ministero Cultura) come fa?

ale2021 · 4 Gennaio 2023, 6:00pm

Non metto in dubbio che esistano vulnerabilità sull’app. Tuttavia, il ban di Tiktok suona molto simile a quello di Huawei, dove il rischio percepito (o che si vuole far percepire) è molto superiore a quello reale.

pif · 4 Gennaio 2023, 6:20pm

Buongiorno,
tralasciando l’eventuale bisogno di TikTok per fini lavorativi e il fatto che i piccoli enti non si devono fondamentalmente porre la domanda sul rischio percepito quando un ente di più alto livello impartisce un ordine diretto, lo scopo del post era individuare un set di pratiche comuni per mettersi proteggere per quanto più possibile la rete e gli apparati all’interno della rete da attacchi esterni.

MicPin · 5 Gennaio 2023, 6:12pm

Caro Pierfrancesco,

il tema è PRIORITARIO, considerando gli attacchi che stanno avvenendo ai danni della PA.

Innanzi tutto vorrei sottolineare che la cybersecurity NON E’ un ambito esclusivamente IT. Passa anche per l’IT, e quindi entrano in gioco firewall, DNS, sistemi… ma anche per la formazione, educazione, consapevolezza e gestione dell’utenza.

Utenza che deve saper riconoscere un phishing, un attacco social engineering telefonico, non scrivere la password sul post-it al muro e via dicendo… altrimenti, XDR-EDR-IPS-IDS servono a ben poco.

Gli ambiti che metti sul piatto del tuo thread, come il DNS, sono importanti per un discorso di privacy ma non particolarmente “di sicurezza”, a meno che tu non intenda affrontare l’esfiltrazione dei dati via DNS, una delle tecniche usate dai ransomware. Se poi vuoi usare un blocco DNS per evitare la visita a siti malevoli o non “istituzionali”, dai un’occhiata a PiHole

La sicurezza all’interno della Rete è un altro ambito particolare, poiché tendenzialmente si dovrebbe andare verso una mnetalità zero-trust, dove ogni nodo deve essere sicuro a prescindere da dove si trova (e qui entrano in gioco le Misure Minime di Sicurezza ICT per le PA).

Sul vietare TikTok negli USA…beh, qui si apre un mondo fatto anche di geopolitica e strategia. E’ chiaro che qualunque app sul proprio smartphone rappresenta un elemento potenzialmente pericoloso, e qui starebbe alle policy d’uso dei dispositivi personali/istituzionali vietare esplicitamente l’uso di APP non esplicitamente autorizzate.

Insomma, il tema è interessante ma anche molto ampio. Sono comunque più che disponibile a parlarne, nella speranza che sia però il decisore politico a prendere l’iniziativa di POTENZIARE il personale ICT nelle PA, sia come numero che come formazione ed emolumenti.

Just my 2 cents.

Michele

pif · 6 Gennaio 2023, 1:27pm

Ciao @MicPin, condivido appieno quanto hai scritto.
Conosco bene PiHole, lo uso da un po’ a casa, non mi era mai venuto in mente di poterlo proporre in Comune.

Lo scopo di questo thread è proprio questo: PARLARNE, chiaramente c’è un problema, mi auguro che la nuova ACN possa, a suo tempo, emanare un vademecum in modo che le PA (o le aziende che gestiscono ICT delle PA) possano seguire in modo da avere una base solida che possa “proteggere” dalle minacce più basiche.

Fiducioso di ricevere altri preziosi riscontri dalla community, grazie e buona giornata.