Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Relatore

1

ing. Fabio LAZZINI, Responsabile Security Governance & Privacy

L’evoluzione della cybersecurity tra vincoli normativi e

necessità di protezioneFOURSec: l’approccio multicompliance Sogei per la PA

23 Maggio 2017

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Presidenza del Consiglio (DIPE)

Ministero dell’Interno

Agenzia per la coesione territoriale

Ministero dei beni culturali

Ministero dell’istruzione e della ricerca

Corte dei conti

AgID (Agenzia per l’Italia Digitale)

Ministero dell’Economia e delle Finanze Altre istituzioni

Dipartimento dell'Amministrazione Generale, del Personale e dei Servizi

Dipartimento del Tesoro

Ragioneria Generale delloStato

Dipartimento delle Finanze

Guardia di Finanza

2

Agenzia delle Entrate

Agenzia delle Dogane e dei Monopoli di Stato

Agenzia del Demanio

Equitalia

Uffici di direttacollaborazione con ilMinistro

Scuola di formazione del MEF (Scuola Nazionaledell’Amministrazione)

Da oltre 40 anni opera nel settore ICT del Ministero dell’Economia e delle Finanze, avendo curato la progettazione e

realizzazione dell’Anagrafe Tributaria, la conduzione e lo sviluppo del Sistema In formativo della Fiscalità, dalle origini della

riforma del sistema. Da luglio 2013, con l’incorporazione del Ramo IT della Consip S.p.A., è diventata partner tecnologico

unico del MEF da cui è interamente controllata

Sogei S.p.A.

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

GIOCO REGOLATO

• sistema delle entrate erariali del gioco “regolato”

(scommesse ippiche e sportive, apparecchi, gioco on-

line, controllo e convalida dei giochi, giochi numerici a

totalizzatore nazionale)

BILANCIO

• formazione del bilancio dello Stato

• gestione delle fasi di bilancio

• gestione decreti di variazione

• bilanci degli enti

INTELLIGENCE, CONTROLLI, GEOMATICA E MISURE SATELLITARI

• soluzioni di intelligence connesse alle fasi di ausilio alle indagini e al controllo

• prodotti per la georeferenziazione e la misura satellitare di precisione

• sviluppo di nuove applicazioni per la prevenzione e repressione di fenomeni di evasione fiscale

CONTABILITÀ PUBBLICA

• gestione dei pagamenti della PA

• sistema contabile PA (SICOGE)

• monitoraggio della Spesa pubblica

FINANZA

• debito pubblico

• monitoraggio finanza statale e locale

• piattaforma per la certificazione dei crediti

• modelli di previsione ed analisi statistiche a supporto

delle decisioni di politica economica

PERSONALE DELLA PA

• buste paga, presenze e gestione giuridica del

personale del MEF

• buste paga per le amministrazioni pubbliche

DOGANE E ACCISE

• sistema fiscale doganale, dichiarazioni doganali per

merci in arrivo e uscita dal territorio nazionale (frontiere,

porti e aeroporti), IVA e accise su prodotti energetici,

alcool e tabacchi

SANITÀ

• rilascio e governo del sistema Tessera

Sanitaria/Codice Fiscale/TEAM per il

monitoraggio della spesa sanitaria

• certificati medici e ricette digitali

FISCO

• ciclo dichiarativo (persone fisiche e imprese), accertamento

e riscossione coattiva.

• comunicazioni ai contribuenti su attività di verifica (controlli

formali e sostanziali).

• sistema catastale (catasto e conservatorie) e demanio del

patrimonio pubblico

3

Ambiti operativi

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Fisco

Catasto

229 Mln F24 pagamento imposte/anno

100 Mln Documenti trasmessi per dichiarazione redditi/anno

40 Mln Proprietari fabbricati

41 Mln di contribuenti di cui oltre 5 Mln di partite IVA

24 Mln Proprietari terreni

72 Mln U.I. urbane

70 Mln Visure catastali/anno

Dogane18 Mln Dichiarazioni doganali/anno

30 Mln Documenti/anno

Sanità

Spese PA

Bilancio e Finanza pubblica

1,4 Mln Titoli di spesa annui

22.000 Bilanci consuntivi enti

Giochi

7 Mln Conti di gioco (aperti)

3,5 Mld Transazioni di gioco/anno

830 Mln Ricette/anno

60 Mln Assistiti

25 Mln Certificati/anno

812.000 Progetti opere pubbliche

1,1 Mln Progetti di programmazione1,8 Mln Cedolini mensiliPersonale PA

Fatture PA 52 Mln di fatture/anno verso le PA centrali e locali

1,8 Mln Fatture gestite su SICOGE

28 Mln Fatture/Note credito registrate su piattaforma per la certificazione dei crediti

Banche dati

4

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Corte dei conti: 3 Mln / 569.000

Dipartimento dell’Amministrazione Generale: 862.000 / 312.000

Dipartimento del Tesoro: 492.000 / 127.000

Agenzia del Demanio: 13,6 Mln / 1,5 Mln

Agenzia delle Dogane e dei Monopoli: 76 Mln / 12,8 Mln

Agenzia delle Entrate: 650,7 Mln / 132,7 Mln

Equitalia: 62,8 Mln / 9,3 Mln

Dipartimento delle Finanze: 28,5 Mln / 3,7 Mln

Giustizia Tributaria: 3,1 Mln / 315.000

Portale MEF: 4,3 Mln / 1,3 Mln

Ragioneria Generale dello Stato: 6,7 Mln / 1,3 Mln

Portale Tessera Sanitaria: 38,4 Mln / 7,3 Mln

Portali (pagine/visitatori 2016)

5

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

SDI Sistema Di Interscambio

per la Fatturazione Elettronica

15 Ministeri e organi di rilievo costituzionale

29 Mln di trasmissioni (file)

170 Mln di documenti trasmessi

289.000 Utenti abilitati

Telematico

Doganale30 Mln Documenti / 18 Mln Dichiarazioni doganali

Sistema TSSanità

Contabilità e Finanza

pubblica

560.000 Apparecchi 1.600 sistemi VLT certificatiSistemi di

gioco

90.000 Soggetti abilitati

3,5 miliardi Transazioni

830 Mln Ricette 25 Mln Certificati malattia

62 Mln File accolti

310.000 Medici 16.000 Farmacie 18.000 Strutture specialistiche

56.000 soggetti pubblici riceventi

FISCONLINE 6,9 Mln di transazioni/documenti

5,8 Mln di utenti e piccole imprese

SISTER2,6 Mln di atti registrati

289.000 Utenti

880.000 Imprese emittenti

44 Mln di ispezioni ipotecarie e 54 Mln di visure

485.000 PREGEO e 2 Mln DOCFA

ENTRATEL

393.000 Operatori

64,8 Mln di file scambiati

52 Mln fatture (200.000 di flusso giornaliero)

15.000 Enti per bilanci 26.000 Imprese per certificazione crediti

NoiPA2 Mln Utenti

1,8 Mln Cedolini/mese

Servizi ICT

6

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

169.000 CAF ed esperti contabili

120.000 Altri soggetti abilitati (assicurazioni, associazioni categoria, agenzie di mediazione, grandi imprese)

Agenzia Entrate

Agenzia Dogane e Monopoli

SPC (PAC + PAL)

RGS – DAG

ADM Telematico Doganale - EDI

Entratel

Fisconline

SDI

TS - CNS

SISTER

880.000 imprese emittenti

56.000 soggetti pubblici riceventi

289.000 Utenti

5,8 Milioni di cittadini e piccole imprese

310.000 Medici

16.000 Farmacie

18.000 Strutture sanitarie

VLT

64.300 Utenti MEF

55.000

Conti di gioco 7 Milioni intestati a persone fisiche

Sale Bingo 210

Ippodromi 50

400.000New Slot

2 Milioni utenti e 100 soggetti giuridici

collegati a NoiPA

15.000 Enti per Bilanci

23.000 Enti per Certificazioni crediti

26.000 Imprese per Certificazioni crediti

19 Ministeri e organi di rilievo

costituzionale per SICOGE

M. Interno ANPR

393.000 Operatori

8.000 Anagrafi comunali

61 Milioni di cittadini

Network

7

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

45.000 Agenzia delle Entrate

12.300 Agenzia delle Dogane e dei Monopoli

6.500 Ragioneria Generale dello Stato

3.550 Sogei

2.900 Dipartimento delle Finanze

2.000 Dipartimento dell’Amministrazione Generale, del Personale e dei Servizi

1.600 Dipartimento del Tesoro

1.300 Agenzia del Demanio

Oltre 75.000 (desktop e laptop) comprese quelle Sogei

Postazioni di lavoro

8

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Connettività Elaborazione

Storage Sicurezza

600 nodi

1.300 reti locali

2 Mainframe (32.100 Mips)

1.600 server fisici

8.100 server virtuali

11 Petabyte SAN

1 Petabyte Mainframe

50 Firewall centrali/500 Firewall periferici

10 Sistemi IPS centrali

2 Disaster Recovery sites

Rete CED930 switch/30 router

80 bilanciatori

RETE GeograficaIntranet MEF 1.350 uffici periferici

1.200 router/6.000 switch/800 access-point

Rete Giochi 310 concessionari SPC/diretti

Internet e Infranet SPC

80 concessionari in VPN/75 enti connessi

Progettazione,

sviluppo,

manutenzione e

gestione operativa

di applicazioni e

servizi software

1.000 kit che garantiscono il funzionamento operativo e consentono di

gestire i processi di lavoro di 1.500 uffici (oltre 75.000 postazioni di lavoro)

Kit applicativi

Banche dati218 (escluse quelle asservite alla Business Intelligence)

Domini84 (argomenti di business)

Infrastruttura e sviluppo software

9

Gestione dei Data Center e

dell’infrastruttura periferica del

MEF

Elevate potenze elaborative e di

storage

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Servizi DHCP e DNS

160.000 IP pdl e VOIP

200 domini esterni

Servizi VOIP

74.000 end-point VOIP su 6 domini

350 gateway VOIP

Centro di interconnessione

Collaboration e Unified

Communication

circa 15.000 utenti abilitati

Centro servizi

multimediale

Servizi di accesso ad

internet/ Servizi di

comunicazione video-voce

e collaboration on-net

circa 60 domini di posta/90.000caselle per 130 TBcirca 60.000 caselle con Archivingper 105 TBOltre 670 mln di messaggi (ultimi 6mesi) per un totale di circa 10 TBmese (90% scartati per verifichespam/reputation/malware)

Posta elettronica ordinaria

circa 40 domini PEC circa 2.850 caselle di posta certificatacirca 9 milioni di messaggi PEC/mese

Posta elettronica certificata

Servizi di accesso ad Internet 80.000 utenti6 servizi distinti con funzioni white e black list20 milioni accessi/mese per 20 TB mese

Servizi di Call Center circa 1.000 operatoricirca 12 servizi/canalicirca 3,3 milioni di contatti annui

Infrastruttura e servizi tecnologici

10

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Dati e Infrastrutture

Servizi ICT

Posti di lavoro / end-point

Convenzione con la Polizia di Stato per la condivisione di procedure d’intervento e scambio di

informazioni utili alla prevenzione e al contrasto degli attacchi informatici, in collaborazione con il

C.N.A.I.P.I.C. della Polizia Postale e delle Comunicazioni. Accordo stipulato in attuazione del DM del

Ministro dell’Interno del 9 gennaio del 2008, che ha individuato le infrastrutture critiche informatizzate

d’interesse nazionale

Infrastruttura critica nazionale

Sogei, infrastruttura critica nazionale

11

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Servizi ICT

Dati e infrastrutture

Posti di lavoro / End-point

Presidio armato GdF

Controllo accessi persone e veicoli

TVCC e Sistemi di protezione passiva

Sicurezza fisica Sicurezza logica

Protezione delle comunicazioni

(Firewall, Sonde IPS, AntiDDoS,

VPN)

Gestione delle identità

Individuazione delle minacce

Gestione degli incidenti

Data Center Automation

Software Defined Data Center

Sicurezza by designProcesso di certificazione dei servizi

Linee guida di sviluppo

Requisiti di Sicurezza

Disegno architetturale

Verifica di qualità e sicurezza del sw (penetration test)

Monitoraggio e analisi dei dati

Sicurezza end-pointAntimalware

Antiramsonware

Antispam

Reputation filter (mail/HTTP)

Certificati

Cybersecurity - Protezioni

12

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Le principali certificazioni con impatto sulla information security in Sogei

Certificazioni Aziendali

> Sistema di Gestione per la Sicurezza delle informazioni certificato ISO/IEC 27001

> Sistema di Gestione per la Qualità certificato ISO/IEC 9001

> E’ in corso la verifica della conformità alla recente norma ISO/IEC 25024 (ottobre 2015) sulla Qualità dei dati.

Certificazioni professionali individuali

> Certified Digital Forensic Examiner (CDFE)

> Certified Ethical Hacker (CEH), Qualified Ethical Hacker (QEH)

> Certified Information Forensics Investigator (CIFI)

> Certified Information Security Manager (CISM)

> Certified Information Systems Auditor (CISA)

> COBIT5 Foundation

> Computer Hacking Forensic Investigator (CHFI)

> ISMS Auditor ISO 27001

> Cyber Security Fundamentals – CSX

> Auditor Sistemi di Gestione dei Servizi IT (ISO 20000)

> ITIL V3 Foundation

> OSSTMM Professional Security Analyst (OPSA)

> OSSTMM Professional Security Tester (OPST)

> OWASP Web Security Tester

> Offensive Security Certified Professional (OSCP)

> Project Management Professional (PMP, Prince2)

> Quality Assessor (ISO 9001)

> TOGAF® 9 Certified

oltre 30.000 ore di formazione tecnico-specialistica e normativa erogate nel 2016

> Professional Engineer

> Security Specialist

> VPN security Specialist

> Network security Administrator

> Network security Professional

> Firewall Architect

> Firewall Engineer

> IPS Architect

> IPS Engineer

> Firewall Management Administrator

> Product Administrator

Cybersecurity - Persone

13

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

792 cyber event gestiti nel 2016 vs i 347 del 2015 (oltre il 128% rispetto all’ anno precedente )

TIPOLOGIA DI EVENTO

356 45% Malware

289 36% Spam/Phishing

67 8% Patch/Change

31 4% Vulnerabilità

30 4% Minaccia

14 2% Diffusione informazioni

5 1% DDoS

AREA DI IMPATTO

645 81% Sogei/MEF

69 9% MEF

32 4% Sogei

17 2% Agenzia delle Entrate

15 2% Equitalia

10 1% Agenzia del Demanio

3 0,4% Dipartimento Finanze

1 0,1% Geoweb

FONTE DELLA SEGNALAZIONE

295 37% Interna Sogei

258 33% USL MEF

131 17% CNAIPIC

34 4% CERT-PA

14 2% Equitalia

13 2% SOC Sogei

12 2% Agenzia del Demanio

11 1% Agenzia delle Entrate

8 1% NSC

7 1% CERT-EU

7 1% DIS

1 0,1% Esterna Sogei

1 0,1% Dipartimento Finanze

L’aumento degli eventi gestiti nel 2016, più che raddoppiati rispetto all’anno precedente, conferma il CERT

Sogei punto di riferimento per la cybersecurity sia interna all’azienda che verso i Clienti

Distribuzioni cyber event 2016 per

CERT Sogei focal point per la security del MEF

CERT Sogei – Key Figures

14

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Security Operations

Manutenzione infrastrutture tecnologiche di sicurezza

2 Infrastrutture di strong authentication su tokenOTP (hardware e software)

3 Sistemi antimalware, antispam e antiphishingdi posta elettronica

2 Sistemi antimalware, URL filtering eApplication control per la navigazione internet

3 Sistemi di Identity & Access Management perutenti interni ed esterni (7,5 M)

287.000 Eventi registrati e bloccati dagli IPS relativi allanavigazione (media mensile)

178.000 Eventi bloccati dagli IPS relativi ai servizi ICTesposti (media mensile)

4.800.000 Occorrenze malware intercettate dai sistemiantimalware di posta (totale annuo)

21.000.000 E-mail di spam/phishing intercettate daisistemi antimalware di posta (totale annuo)

12.000.000 E-mail di spam/phishing messe in quarantenadai sistemi antimalware di posta (totale annuo)

161.000.000 Occorrenze malware bloccate dai sistemiantimalware di navigazione internet (totaleannuo)

8.200.000 Spam/Phishing intercettato dal sistemiantimalware di navigazione internet (totaleannuo)

890.000 Occcorrenze malware intercettate dai sistemiantimalware degli endpoint (totale annuo)

570 Segnalazioni da CERT analizzate e risolte

20 Incidenti analizzati, gestiti e risolti

80.000 Endpoint client e Server protetti centralmente

550 Firewall centrali e periferici

30 Server per Intrusion Prevention Systems

25 Firewall XML, Application Firewall

2 Sistemi per Firewall Assurance, NetworkAssurance e Risk Control

1 Controllo Accessi dedicato agli Amministratoridi Sistema

SOC Sogei – Key Figures 2016

15

Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma

Sede Legale Via M. Carucci n. 99 - 00143 Roma

www.sogei.it

16