Procedura di Gestione Incidenti

https://www.cert.garr.it

Procedura Approvata dal CTS GARR il 17/6/2020
sostituisce Procedura gestione incidenti 23-01-2007

Di seguito indichiamo la procedura di GARR-CERT per la gestione degli incidenti di sicurezza che coinvolgono la rete italiana dell’istruzione e della ricerca GARR

scarica la procedura in PDF

Gestione degli Incidenti di Sicurezza sulla rete GARR

Premesse

Riferimenti per gli incidenti di sicurezza
Ogni entità collegata alla rete GARR deve nominare il proprio responsabile tecnico locale, l'APM (Access Port Manager). L’APM gestisce il collegamento con la rete GARR ed è la persona di riferimento tecnico presso il GARR per la sua istituzione anche per quanto riguarda la gestione degli incidenti di sicurezza. La definizione di APM è disponibile sul sito istituzionale GARR.

Comunicazioni
Le comunicazioni emesse dal GARR-CERT verso i soggetti coinvolti si svolgono principalmente tramite posta elettronica, con firma PGP.

Protezione da attacchi esterni distribuiti
Da ottobre 2019, la rete GARR è dotata di un sistema automatico per la mitigazione di alcune tipologie di attacchi esterni, distribuiti e mirati a creare disservizi (DDoS - Distributed Denial of Service), basato su tecnologia Corero|Juniper (www.corero.com). Quando alcuni indicatori superano i valori di soglia, gli apparati di rete reagiscono ed eliminano selettivamente il traffico corrispondente a questo tipo di attacchi applicando dei filtri temporanei, permettendo così ai singoli nodi di mantenere normale funzionalità della rete. La procedura avviene in maniera automatica, senza nessun intervento da parte degli utenti. L'individuazione degli indicatori da utilizzare e i rispettivi valori di soglia sono configurati dal GARR-NOC.

Filtraggio
La gestione incidenti prevede, in alcuni casi particolari, il filtraggio di uno o più indirizzi di rete sulle interfacce dei router gestiti da GARR. Ci preme sottolineare che l’applicazione di tali filtri è sempre da intendersi a protezione e salvaguardia della funzionalità della rete e dei servizi di connettività a disposizione degli utenti della rete GARR. Nel caso più evidente in cui gli IP GARR sono i bersagli diretti o indiretti di eventuali attacchi esterni, spesso sono gli stessi utenti (APM) a chiedere l’intervento del filtraggio al CERT/NOC per recuperare l’accesso ai loro dispositivi di frontiera e possibilmente intervenire sulle loro configurazioni per mitigare anche localmente il problema.
Nel caso in cui gli IP GARR siano sorgenti di traffico palesemente illecito e non vi sia alcuna risposta da parte dell’APM nei tempi previsti, gli IP coinvolti vengono filtrati da GARR (con i criteri descritti nella procedura di gestione degli incidenti di sicurezza), allo scopo di tutelare i propri utenti e prevenire da eventuali conseguenze legali. Dopo tre mesi dall’avvenuto filtraggio, in assenza di risposta da parte dell’APM, si procederà ad informare l'APA e il Delegato GARR dell'Ente di competenza (escalation).

 

Flusso della Procedura di Gestione Incidenti

 

Procedura di gestione incidenti adottata da GARR-CERT

  1. Al verificarsi di un problema di sicurezza che veda coinvolto un soggetto appartenente alla rete GARR, GARR-CERT valuta l'apertura di un incidente di sicurezza e ne decide la priorità, le procedure di risoluzione e le modalità di comunicazione con i soggetti coinvolti.
  2. GARR-CERT assegna all'incidente un codice univoco (Ticket ID).
    • Nel caso in cui il soggetto GARR sia vittima dell’evento illecito, segue al punto 3.
    • Nel caso in cui il soggetto GARR sia origine dell'evento illecito, segue al punto 4.
    • Nel caso in cui l’evento illecito provenga da una o più sorgenti e sia destinato contro più utenti GARR, segue al punto 8.
  3. GARR-CERT invia all'APM una comunicazione informativa e ai contatti opportuni per il sistema origine dell’abuso. In casi di particolare gravità ed urgenza, GARR-CERT valuta se richiedere un filtraggio temporaneo al GARR-NOC per mitigare l'attacco, quando non già applicato dal sistema di mitigazione automatica di DoS.
    • Se l’abuso termina e il riferimento per il sistema che lo ha originato non risponde, segue al punto 6.
    • Se il riferimento per il sistema che ha originato l'abuso risponde, segue al punto 7.
    • L’incidente viene chiuso solo al termine dell’abuso.
  4. GARR-CERT chiede all'APM di risolvere l'incidente entro un tempo commisurato alla gravità del caso (in calce alcuni esempi di tempistiche per tipologia di abuso). Quando possibile, fornisce anche indicazioni e suggerimenti utili. Se ritenuto opportuno, GARR-CERT risponde anche a coloro che hanno segnalato l'incidente.
    • Nel caso in cui l'APM intervenga entro i tempi richiesti, segue al punto 7.
    • Nel caso in cui l'APM non intervenga entro i tempi richiesti e l'abuso cessi, segue al punto 6.
    • Nel caso in cui l'APM non intervenga entro i tempi richiesti e l'abuso continui, segue al punto 5.
  5. GARR-CERT procede in uno dei seguenti modi, a seconda della gravità del caso:
    • Invia una mail di sollecito (2a comunicazione, ecc.) all'APM, invitandolo nuovamente ad intervenire. Tornare al punto 4.
    • Invia un avviso di filtraggio all’APM (e in copia al GARR-NOC e alla direzione GARR) nel quale è scritto che se l'evento illecito dovesse proseguire o ripresentarsi, il GARR-NOC provvederà ad applicare un filtraggio temporaneo opportuno, senza ulteriori preavvisi. Tornare al punto 4.
    • Procede a richiedere l'applicazione di un filtro opportuno al GARR-NOC e, successivamente alla conferma di avvenuto filtraggio, avvisa l'APM e le altre parti coinvolte.
    • Se entro tre mesi dall'applicazione del filtraggio l'APM interviene per risolvere il problema, segue al punto 7, altrimenti si procederà ad informare l'APA e il Delegato GARR dell'Ente di competenza; l’incidente quindi verrà chiuso e il relativo filtro rimosso solo in seguito alla comunicazione di avvenuta risoluzione.
  6. GARR-CERT non riceve alcuna comunicazione: l’incidente viene chiuso d’ufficio.
  7. GARR-CERT riceve la comunicazione di avvenuta risoluzione del problema e, quando tecnicamente possibile, procede alla verifica delle azioni intraprese prima di chiudere l’incidente ed avvisare tutte le parti coinvolte.
    Nel caso in cui sia stato applicato un filtraggio da parte del NOC, il CERT ne richiede la rimozione e attende conferma prima di chiudere l’incidente.
  8. Esaminato il tipo di attacco tramite gli strumenti di monitoraggio disponibili, CERT e NOC si coordinano per applicare un filtro sul backbone GARR. Viene inviata notifica ai contatti opportuni per la rete o le reti origine dell’abuso, agli utenti coinvolti, singolarmente o alla mailing list degli APM, ed eventualmente viene pubblicata la notizia seguendo i canali di comunicazione di GARR [web, social]. La chiusura dell’incidente e la rimozione dei filtri sul backbone sono subordinate alla verifica del termine dell’attacco.

Tipologia di incidenti trattati attualmente (con indicazione di tempistica d'intervento)
In funzione della tipologia, sono elencati i tempi richiesti per la risoluzione dell’incidente a partire dalla notifica. Nei casi in cui l’APM abbia bisogno di una dilazione dei tempi per risolvere l’incidente è necessario che ne faccia esplicita richiesta al GARR-CERT.

  • Phishing (4 ore)
  • DoS (5 ore)
  • Connection Attempts (1 giorno)
  • Compromised Node/Account (1 giorno)
  • Probe (1 giorno)
  • Malware/Virus (1 giorno)
  • Vulnerable Node/Account (3 giorni)
  • Spam (3 giorni)
  • Piracy (3 giorni)

In caso di emergenza

Nel caso si verifichi un incidente, anche fuori dall’orario di attività di NOC e CERT, che impatti significativamente sulla connettività degli utenti, come per esempio un SYNFlood distribuito, i responsabili di NOC e CERT decidono le modalità di:

  • a) applicazione di eventuali filtri a livello di router GARR anche entro tempi inferiori a quelli previsti nella Procedura di Gestione Incidenti,
  • b) comunicazione agli utenti coinvolti e, sentito il Direttore del Dipartimento Network [e/o il Direttore GARR], se e come diffondere l’evento e i dettagli ad altri soggetti o pubblicamente.

Anche altri casi che espongano gli utenti a gravi problemi di sicurezza, ad esempio nel caso di data breach in corso che riguardano dati particolari, possono essere trattati a scopo cautelativo come al precedente punto (a).

Riferimenti normativi

L’aggiornamento della Procedura di Gestione Incidenti di Sicurezza del GARR è dovuta, oltre che all’evoluzione dei tipi di minacce sia esterne che interne alla rete e dei/ai sistemi degli utenti, anche all’evoluzione delle norme vigenti in Italia relative ai reati informatici.

Prima delle recenti direttive contenute nelle Misure Minime di Sicurezza per la Pubblica Amministrazione (AgID, 26/4/2016 - https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict) e del recepimento in Italia del Regolamento Europeo per la Protezione dei Dati Personali (D.lgs. 101/2018 - https://www.garanteprivacy.it/web/guest/provvedimenti/provvedimenti-a-carattere-generale), i reati informatici compaiono per la prima volta in Italia con la legge 547 del 1993, che introduce modificazioni e integrazioni del Codice Penale e del Codice di Procedura Penale in tema di criminalità informatica.


Questi sono, ad oggi, i reati informatici puniti dal Codice Penale:

  • Frode informatica - Articolo 640 ter c.p. Consiste nell'alterare un sistema informatico per procurarsi un ingiusto profitto. Pena prevista: reclusione da sei mesi a tre anni e multa da 51 a 1.032 euro. Esempi: phishing.
  • Accesso abusivo ad un sistema informatico o telematico - Articolo 615 ter c.p. Condotto da colui che si introduce in un sistema informatico o telematico protetto da misure di sicurezza, o vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Pena prevista: reclusione fino a tre anni. Secondo la giurisprudenza della Corte di Cassazione, commette il reato in esame colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso.
  • Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici - Articolo 615 quater c.p. Punita con la reclusione fino a un anno e con la multa fino a 5.164 euro. Reato commesso da chi - al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno - abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo.
  • Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico - Articolo 615 quinquies c.p. Reclusione fino a due anni e multa sino a euro 10.329 per la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. Il reato è commesso da chi si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento.
  • Intercettazione, impedimento o interruzione illecita di comunicazioni - Articoli 617 quater e 617 quinquies c.p. Viene sanzionato rispettivamente chi, senza essere autorizzato, intercetta, impedisce, interrompe o rivela comunicazioni informatiche e colui che installa apparecchiature dirette ad intercettare, interrompere o impedire comunicazioni informatiche.
  • Falsificazione, alterazione, soppressione di comunicazioni e danneggiamento di sistemi - Viene sanzionato dal codice penale anche chi falsifica, altera o sopprime la comunicazione informatica acquisita mediante l'intercettazione (articolo 617 sexies c.p.) e chi distrugge, deteriora, o cancella, dati, informazioni o programmi informatici (articolo 635 bis c.p.). E, con riguardo al reato di violazione e sottrazione di corrispondenza, la legge n. 547/1993, aggiornando l'articolo 616 c.p., precisa che per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica, ovvero effettuata con ogni altra forma di comunicazione a distanza.

scarica la procedura in PDF

 

Stampa Email

Segnalazioni di sicurezza gestite

https://www.cert.garr.it

Stampa Email

Tipi di segnalazioni sicurezza gestite

https://www.cert.garr.it

Stampa Email

Informativa sulla Privacy

https://www.cert.garr.it

Ai sensi degli artt. 13 e 14 del Regolamento UE 679/2016, l’associazione riconosciuta senza scopo di lucro Consortium GARR con sede in via dei Tizii, 6 - 00185 - Roma - Italia, è il Titolare del trattamento dei Suoi dati personali. I dati personali acquisiti formano oggetto di trattamento nel rispetto della normativa sopra richiamata. In relazione ai suddetti trattamenti il Titolare fornisce le seguenti informazioni:

Dati di contatto

Titolare del trattameno dei dati personali:

Il Consortium GARR nella persona del suo Presidente
tel: +39 4962 2000
contatto mail: privacy@garr.it

Responsabile del trattameno dei dati personali (interno):

Federico Ruggieri
tel: +39 4962 2000
contatto mail: rtd@garr.it

Responsabile protezione dei dati personali:

Dott. Giorgio Valente
tel: +39 4962 2057
contatto mail: dpo@garr.it

Luogo di trattamento dei dati

Consortium GARR con sede in via dei Tizii, 6 - 00185 - Roma - Italia

Tipi di dati trattati

Dati di navigazione

I sistemi informatici e gli applicativi dedicati al funzionamento di questo sito web rilevano, nel corso del loro normale funzionamento, alcuni dati (la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet) non associati a utenti direttamente identificabili.

Tali informazioni - che per loro natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, consentire l'identificazione degli utenti - non sono raccolte per essere associate a interessati identificati. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del sito e per controllarne il corretto funzionamento. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di compimento di reati informatici o di atti di danneggiamento del sito; salva questa eventualità, allo stato i dati sui contatti web non persistono oltre il tempo necessario all' effettuazione delle verifiche dirette a garantire la costante sicurezza del sistema.

Dati forniti volontariamente dall'utente all'atto della registrazione

I dati forniti dall'utente all'atto della registrazione (Nome, Cognome, Username, password, indirizzo e-mail, Istituto/Ente di appartenenza) vengono custoditi fino a quando si estingue il rapporto di utenza. Il Consortium GARR non svolge attività di profilazione degli Utenti.

Cookies

Per informazioni sull'uso dei cookies fare riferimento all'informativa dedicata: Cookie.

Finalità del trattamento

Il Consortium GARR effettua trattamenti di dati personali nei limiti di quanto ciò sia strettamente necessario allo svolgimento delle proprie funzioni istituzionali, escludendo il trattamento quando le finalità perseguite possono essere realizzate mediante dati anonimi o modalità che permettono di identificare l'interessato/utente solo in caso di necessità.

Le particolari finalità, relative a singoli servizi o comunque a specifici trattamenti, sono evidenziate in maniera dettagliata nelle informative privacy relative ai singoli servizi e nei vari canali tematici di accesso. All'interno di essi l'utente potrà eventualmente trovare informazioni integrative sul trattamento dei dati personali.

Durata del trattamento

I dati saranno trattati per tutto il tempo necessario allo svolgimento del rapporto in essere e comunque per il tempo richiesto dalla normativa italiana in vigore.

Facoltatività del conferimento dei dati

Salvo quanto specificato per i dati di navigazione, l'utente è libero di fornire i dati personali riportati nei moduli di richiesta per sollecitare l'invio di materiale informativo o di altre comunicazioni. Il loro mancato conferimento può comportare l'impossibilità di ottenere quanto richiesto.

Modalità del trattamento

I dati personali verranno trattati in forma cartacea, informatizzata e telematica ed inseriti nelle pertinenti banche dati cui potranno accedere, e quindi venirne a conoscenza, gli operatori espressamente designati dal Titolare quali Incaricati del Trattamento dei dati personali, che hanno assunto un esplicito obbligo di riservatezza, i quali potranno effettuare operazioni di trattamento nel rispetto delle disposizioni di legge necessarie a curare, oltre alla riservatezza, l’integrità, la sicurezza, l'aggiornamento e la pertinenza dei dati nel rispetto alle finalità dichiarate.

Dati raccolti.

I dati raccolti sono inerenti essenzialmente a:
Dati identificativi: indirizzo IP ed ove conferito: nome e cognome, e-mail delle persone fisiche; i dati forniti dall’interessato possono essere raccolti presso eventuali contitolari e/o Responsabili del trattamento per conto del Consortium GARR.

Ambito di comunicazione e diffusione dei dati

I dati personali degli utenti sono utilizzati unicamente al fine di eseguire il servizio o la prestazione richiesta e sono comunicati a terzi nei soli casi in cui:

  • ciò sia necessario per offrire i servizi richiesti dall’Utente e per l'adempimento delle richieste da parte dell'interessato;
  • la comunicazione sia imposta da obblighi di legge o di regolamento o risponda ad una rilevante finalità di interesse pubblico.

Diritti degli Interessati

In relazione ai predetti trattamenti potranno essere da Lei esercitati i diritti di cui agli artt. da 15 a 22 GDPR, quali:

  • ottenere la conferma circa l'esistenza o meno di dati che La riguardano;
  • conoscere l'origine dei dati, la logica e la finalità su cui si basa il trattamento;
  • ottenere la cancellazione, la trasformazione in forma anonima o il blocco di dati eventualmente trattati in violazione di Legge, l'aggiornamento, la rettifica e l'integrazione dei dati stessi;
  • opporsi, per motivi legittimi, al trattamento dei dati stessi nei limiti ed alle condizioni previste.

Per l’esercizio dei propri diritti l’interessato può rivolgere la propria istanza al Consortium GARR, Via dei Tizii, 6, 00185 - Roma, telefonando al numero +39 0649622000, mandando un fax al numero +39 0649622044 o inviando una mail all'indirizzo segreteria@garr.it. Ulteriori informazioni in ordine al trattamento ed alla comunicazione di dati previsti direttamente o altrimenti acquisiti potranno essere richieste al Responsabile per la Protezione dei dati personali presso la sede del Consortium GARR all’indirizzo e-mail: DPO@garr.it.
La sottoscrizione della presente comunicazione deve intendersi quale consenso espresso al trattamento dei Suoi dati personali.
Ulteriori informazioni circa il trattamento dei dati potranno essere comunicate anche verbalmente.

Stampa Email

Ricevi gli Alert di CERT

https://www.cert.garr.it

Gestisci la tua iscrizione agli ALERT di CERT

Se vuoi iscriverti ad una o più liste, seleziona quelle che vuoi ricevere, inserisci Nome e Cognome nel campo "Nome" e il tuo indirizzo E-mail nel campo "E-mail" . Clicca sul pulsante "Iscriviti”.
Riceverai una mail sulla tua casella di posta che dovrai confermare.

Se vuoi cancellarti da una o più liste, seleziona quelle che non vuoi ricevere, inserisci Nome e Cognome nel campo "Nome" e il tuo indirizzo E-mail nel campo "E-mail" . Clicca “Cancellati”
Riceverai una mail sulla tua casella di posta che conferma l'avvenuta cancellazione dalla lista.

I agree with the Privacy e Termini di Utilizzo and the Privacy policy

Stampa Email

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy