L’evoluzione del panorama delle minacce informatiche, caratterizzato da attacchi sempre più avanzati e vettori multipli, richiede un approccio altamente professionale e tecnicamente mirato per la protezione delle infrastrutture digitali degli Enti pubblici.

In questo contesto, il Computer Security Incident Response Team della Regione Emilia-Romagna (CSIRT-RER) rappresenta un pilastro strategico nel potenziamento della resilienza informatica per gli Enti del territorio regionale, offrendo una vasta gamma di servizi avanzati erogati gratuitamente.

L’obiettivo è fornire soluzioni operative che vadano oltre la mera mitigazione delle minacce, garantendo una gestione integrata e proattiva della sicurezza.

Il modello organizzativo del CSIRT-RER

Il Computer Security Incident Response Team della Regione Emilia-Romagna (CSIRT-RER) è una struttura dedicata alla cyber security istituita con delibera della Giunta Regionale n. 663 del 28/04/2022, al fine di supportare la propria Constituency di riferimento nelle attività di prevenzione, rilevazione e risposta agli incidenti di sicurezza informatica e di accompagnarla in un processo di miglioramento continuo della propria postura di sicurezza.

Mission

La mission del CSIRT-RER è la seguente:

• aumentare la resilienza dei sistemi informativi agli attacchi informatici;
• fornire supporto ed assistenza specialistica (tecnologica e di comunicazione) alla Constituency nell’analisi dei dati relativi alle minacce/vulnerabilità informatiche emergenti e nella risoluzione degli incidenti di cyber security;
• individuare sistemi di controllo e modelli di gestione degli incidenti;
• collaborare e cooperare con le altre organizzazioni nazionali ed internazionali nel potenziamento e miglioramento della capacità difensiva delle organizzazioni in materia di cyber security;
• garantire la consapevolezza situazionale in materia di cyber security;
• agevolare la diffusione di informazioni tempestive e immediatamente utilizzabili su nuovi scenari di rischio, attacchi in corso, trend di fenomeni cibernetici;
• facilitare le attività di prevenzione e monitoraggio degli eventi cibernetici sul territorio, agendo come unità capaci di esercitare un controllo più diretto o consultivo, a seconda dell’Ente della Constituency, a livello locale.

Constituency

La Constituency del CSIRT-RER, cioè l’insieme dei soggetti a cui sono rivolti i propri servizi, è costituita da:

• Strutture e Agenzie della Regione Emilia-Romagna;
• Enti del territorio regionale sottoscrittori della Convenzione della “Community Network dell’Emilia-Romagna” (CNER) e dell’Accordo attuativo della CNER in materia di cyber security.

Nei confronti della propria Constituency il CSIRT-RER opera in un regime di “autorità condivisa”, ovvero collabora con la Constituency per influenzare il processo decisionale su quali azioni dovrebbero essere intraprese, senza tuttavia poterle imporre.

Modello organizzativo

Il CSIRT-RER opera sulla base del seguente modello organizzativo di riferimento:

• la Direzione Generale Risorse, Europa, Innovazione, Istituzioni di Regione Emilia-Romagna ha la responsabilità funzionale sulla struttura;
• la società in house Lepida ScpA assicura la gestione operativa della struttura e l’erogazione dei servizi;
• un Board Scientifico svolge funzioni di indirizzo e supervisione;
• un Comitato Tecnico verifica la qualità dei servizi erogati ed elabora proposte sulla base delle esigenze della Constituency.

I servizi erogati dal CSIRT-RER

Valutazione della postura di sicurezza

La valutazione della postura di sicurezza è un’attività finalizzata a valutare il livello di maturità dei controlli di sicurezza, organizzativi e tecnici, posti in essere dagli Enti, e indirizzare le opportune azioni di potenziamento.

La valutazione viene effettuata sulla base dei controlli del Framework Nazionale per la Cybersecurity e la Data Protection.

La prima fase dell’assessment consiste nella raccolta delle informazioni, che può avvenire attraverso l’autocompilazione di questionari o lo svolgimento di interviste, eventualmente integrate dall’acquisizione di documenti o altre evidenze.

Le informazioni raccolte vengono analizzate per determinare i livelli di maturità “as is” nell’implementazione dei controlli e identificare i gap rispetto ai target attesi.

Infine, all’Ente viene fornito un report di assessment contenente i risultati dell’analisi svolta e le azioni di potenziamento raccomandate con la relativa priorità.

Il CSIRT-RER effettua gli assessment su tutti gli Enti al momento dell’adesione e li ripete periodicamente su richiesta degli stessi.

Formazione e addestramento

Il CSIRT-RER organizza iniziative ed eventi di sensibilizzazione, formazione e addestramento, in presenza o online, allo scopo di migliorare le conoscenze e le competenze del personale degli Enti sulle tematiche di cyber security.

Inoltre, a tutti gli Enti aderenti viene data la possibilità di iscrivere il proprio personale a corsi di formazione fruibili attraverso la piattaforma regionale di e-learning SELF.

Bollettini su nuove vulnerabilità e campagne malevole

Il CSIRT-RER monitora costantemente le nuove vulnerabilità, i nuovi exploit e le campagne di phishing e malware in corso, raccogliendo informazioni da un insieme di fonti informative istituzionali e commerciali.

Le informazioni raccolte vengono analizzate per identificare le vulnerabilità e le minacce più critiche e di maggiore interesse per la Constituency.

Conseguentemente, vengono predisposti bollettini di sicurezza che vengono diffusi a tutti gli Enti.

Liste di indicatori di compromissione

Il CSIRT-RER genera liste di indicatori di compromissione (indirizzi IP, nomi di dominio, URL, hash di file) raccogliendo e correlando in modo continuativo, attraverso la propria piattaforma MISP, eventi di sicurezza identificati internamente o ricevuti da differenti sorgenti istituzionali (ACN, AgID e Polizia Postale), commerciali e pubbliche.

Gli Enti possono richiedere di essere abilitati all’accesso via web alle liste al fine di poterle scaricare e importare sui propri dispositivi e appliance di sicurezza (es. firewall, EDR/XDR).

Monitoraggio di minacce e violazioni nel cyber spazio

Il CSIRT-RER effettua attività di cyber threat intelligence al fine di individuare potenziali minacce e violazioni subite dalla Constituency come ad esempio: sistemi e servizi esposti su Internet sensibili o potenzialmente vulnerabili, credenziali o altre informazioni riservate dell’organizzazione pubblicamente disponibili o in vendita su forum o mercati underground, domini di typosquatting registrati o effettivamente utilizzati in campagne di phishing, informazioni sensibili sull’organizzazione o suo personale chiave (VIP) presenti sui social media.

Le informazioni vengono raccolte attraverso un monitoraggio di clear, deep e dark web mirato su target degli Enti e successivamente analizzate e classificate in termini di severità. Quindi vengono prodotti alert tempestivi e report mensili che vengono diffusi agli Enti attraverso l’area riservata del sito csirt-rer.lepida.it.

Gli Enti possono richiedere al CSIRT-RER l’attivazione del servizio comunicando l’elenco degli indirizzi IP pubblici e dei nomi di dominio in uso ed eventuali ulteriori target.

Supporto specialistico per la risposta a incidenti di sicurezza

Il CSIRT-RER fornisce un servizio di supporto specialistico di tipo reattivo per la risposta a incidenti di cybersecurity, come ransomware, malware sofisticati, intrusioni, compromissioni o data leak, con impatto critico sull’operatività o sui dati trattati dagli Enti.

A seguito della ricezione di una richiesta di intervento, viene offerto un supporto tramite attività di digital forensics e incident response effettuate da remoto in collaborazione con il personale tecnico dell’Ente. L’Ente mantiene sempre la completa responsabilità sulle decisioni e sulle conseguenze delle azioni poste in essere.

L’orario di servizio standard garantito dal CSIRT-RER a tutti gli Enti è dal lunedì al venerdì, eccetto festivi, dalle 9 alle 18. Gli Enti che dispongano di un team IT operante H24/7 possono richiedere l’estensione H24/7 dell’orario di servizio.

Collaborazione e condivisione: rafforzare l’ecosistema di sicurezza

Uno degli elementi chiave del successo del CSIRT-RER è la promozione di un modello collaborativo con la propria Constituency che facilita la condivisione di dati critici, conoscenze operative e best practice.

A livello nazionale il CSIRT-RER collabora con il CSIRT Italia e altri CERT/CSIRT territoriali. Questa collaborazione garantisce la condivisione di informazioni sempre aggiornate relative alle minacce informatiche e un coordinamento efficace e rapido in caso di incidenti.

Vantaggi dell’adesione al CSIRT-RER per gli Enti

Gli Enti che aderiscono al CSIRT-RER accedono a una serie di vantaggi strategici, tra cui:

• Servizi completamente gratuiti: l’erogazione finanziata a livello regionale consente di accedere a strumenti avanzati senza costi aggiuntivi.
• Supporto tempestivo: la disponibilità di un team operativo H24/7 per l’Incident Response garantisce interventi tempestivi in caso di criticità.
• Intelligence proattiva: i servizi di Cyber Threat Intelligence, arricchiti da indicatori personalizzati, migliorano le capacità di detection e prevenzione.

Per maggiori informazioni, è possibile visitare il portale csirt-rer.lepida.it o contattare direttamente il team all’indirizzo [email protected].

Costruire un futuro digitale sicuro e resiliente

Il CSIRT-RER, guidato operativamente da Lepida, si conferma un attore centrale nel rafforzamento delle difese informatiche degli Enti pubblici. Con un’offerta di servizi in continua evoluzione supportata da tecnologie innovative e competenze specializzate, il CSIRT-RER rappresenta una risorsa imprescindibile per affrontare le sfide di un panorama digitale sempre più complesso e interconnesso.

Contributo editoriale sviluppato in collaborazione con Lepida