Ministero dell Interno

Transcript

1 Ministero dell Interno DIPARTIMENTO DELLA PUBBLICA SICUREZZA DIREZIONE CENTRALE PER LA POLIZIA STRADALE, FERROVIARIA, DELLE COMUNICAZIONI E PER I REPARTI SPECIALI DELLA POLIZIA DI STATO SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Progetto PON CO.CR.IN. SUD COntrasto CRiminalità INformatica nelle Regioni del SUD Italia Lotto 2 Procedura per la realizzazione di un sistema integrato di analisi predittiva e di supporto all attività investigativa con modalità sotto copertura per il contrasto del crimine informatico Capitolato Tecnico

2 Sommario 1. Premessa e contesto di riferimento La struttura Organizzativa Le strutture operative coinvolte nel progetto Finalità del progetto Definizione e oggetto della fornitura Architettura funzionale del sistema Modulo investigativo predittivo e Modulo knowledge base Modulo Virtual Humint Portale di accesso Il modulo investigativo predittivo Architettura funzionale Requisiti tecnici della soluzione Data Management Motore analitico (analytics) Front end di investigazione Il modulo di Knowledge base Requisiti Tecnici Modulo di Virtual Humint Sintesi dei requisiti tecnici Portale di accesso Infrastruttura tecnologica a supporto Infrastruttura tecnologica a supporto Integrazione con sistema di analisi Semantica I servizi professionali per la realizzazione dei moduli Governance e PM Tecnico Dimensionamento del servizio Sviluppo software e personalizzazioni Analisi dei requisiti Disegno Realizzazione Test, collaudo e roll- out Passaggio in produzione Dimensionamento del servizio di sviluppo software, personalizzazione ed assistenza evolutiva Conduzione operativa Dimensionamento del servizio Durata progettuale Piano di progetto Sla e penali Piano di qualità Figure professionali richieste Modalità di consegna dei prodotti e luogo di esecuzione delle attività Modalità di presentazione delle offerte tecniche Modalità di presentazione delle offerte economiche Criteri di valutazione delle offerte

3 1. Premessa e contesto di riferimento Si premette che la fornitura dei prodotti e relativi servizi professionali di seguito descritta rientra negli obiettivi del progetto PON CO.CR.IN.SUD Contrasto Criminalità INformatica nelle Regioni del SUD Italia, approvato dall Autorità di Gestione del PON Sicurezza e ammesso al finanziamento con decreto del 31 gennaio 2012, per un valore complessivo di ,20 (IVA al 21% inclusa). Tale progetto mira alla realizzazione di una piattaforma tecnologica (composta da software e hardware dedicati) che integra più soluzioni, aventi autonoma funzionalità, a supporto dell attività investigativa degli operatori della Polizia delle Comunicazioni, impiegati nelle attività di prevenzione e contrasto delle diverse tipologie di criminalità informatica. In particolare, la piattaforma dovrà assicurare il supporto alle attività di analisi di primo e secondo livello di rilevanti quantità di dati e informazioni (attraverso sistemi di analisi semantica e predittiva) nonché alle investigazioni condotte con modalità sotto copertura. Il progetto CO.CR.IN.SUD è articolato su tre distinti Lotti. Il Lotto 1, è finalizzato all acquisizione di un sistema per il trattamento automatico del linguaggio scritto, basato su di un motore di analisi semantica, per valorizzare e valutare le informazioni (Sistema di analisi semantica). Il Lotto è di importo pari ad ,20 IVA al 21% inclusa. Procedura di selezione del soggetto attuatore: negoziata senza pubblicazione di bando (art. 57 comma 2 lett. b D.L.Vo 163/2006). Il Lotto 2, sul quale verte il presente capitolato, è invece finalizzato all acquisizione di servizi di system integration (per la realizzazione della piattaforma tecnologica multifunzione sopra citata) e di fornitura di licenze software dedicate all analisi predittiva (Sistema di analisi predittiva) e al supporto delle attività investigative condotte con modalità sottocopertura (Virtual Humint); nell ambito del Sistema di analisi predittiva dovrà essere realizzata anche una banca dati relativa agli attacchi informatici e alle vulnerabilità informatichie conosciute, a livello mondiale, in ambito infrastrutturale e applicativo (Polizia Postale Knowledge Base). I servizi di system integration avranno per obiettivo anche l integrazione della fornitura di cui al Lotto 1 nella piattaforma tecnologica in argomento. Il Lotto è di importo massimo approvato pari ad ,00 IVA al 21% inclusa (inclusi ,00 di spese di pubblicazione bando di gara e contributi vari ed ,00 di spese relative al parere DIGITPA). Procedura di selezione del soggetto attuatore: gara aperta europea (art. 55 D.L.Vo 163/2006) Il Lotto 3 è mirato all acquisizione delle risorse hardware strumentalmente necessarie alla realizzazione della piattaforma tecnologica del progetto. E in fase di studio la pianificazione di un adeguato livello di disaster recovery. Il Lotto è di importo pari ad ,00 IVA al 21% inclusa. Procedura di selezione del soggetto attuatore: in economia (art. 125 comma 11 D.L.Vo 163/2006). Quanto al contesto di riferimento del presente capitolato si precisa che la Polizia Postale e delle Comunicazioni è la Specialità della Polizia di Stato cui è attribuito il compito di prevenire e contrastare i fenomeni di criminalità informatica, intendendo essi sia come reati che hanno per obiettivo le reti, i sistemi e i servizi informatici e telematici (cd. computer crimes) sia i reati che vengono consumati facendo ricorso strumentale alle predette risorse tecnologiche di comunicazione (cd. computer related crimes). 3

4 In particolare, tra gli altri ambiti di competenza operativa, la Polizia Postale e delle Comunicazioni interviene a livello specialistico, in alcuni casi in virtù di competenze attribuite per legge in via esclusiva, nei seguenti settori criminologici: Cyberterrorismo; Copyright; Computer crime (in senso proprio); Protezione delle Infrastrutture Critiche informatizzate di interesse nazionale; Home banking e Monetica; Analisi criminologica dei fenomeni emergenti; Giochi e scommesse on line. Dal punto di vista normativo, in relazione anche a quanto sopra evidenziato, si richiama il Decreto del Ministro dell Interno del , recante il Riassetto dei comparti di Specialità delle FF.PP., che attribuisce alla Polizia Postale e delle Comunicazioni la competenza primaria volta a garantire, in via generale, l'integrità e la funzionalità della rete informatica, ivi compresa la protezione delle infrastrutture critiche informatizzate, la prevenzione ed il contrasto degli attacchi di livello informatico alle strutture di livello strategico per il Paese, nonché la sicurezza e regolarità dei servizi di telecomunicazione e il contrasto della pedopornografia on line, anche in relazione a quanto previsto dall'art. 7- bis del decreto- legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 e dall'art. 19 della legge 6 febbraio 2006, n. 38. Con lo stesso Decreto si dispone altresì che la Polizia Postale e delle Comunicazioni proceda al contrasto degli illeciti concernenti i mezzi di pagamento e il diritto d'autore in tutti i casi in cui l'utilizzo distorto dello strumento informatico o delle tecnologie di rete rappresenti il modo esclusivo o assolutamente prevalente di perpetrazione degli stessi, raccordandosi con la Guardia di Finanza. Per rendere più incisiva la strategia di contrasto al crimine informatico la Polizia Postale e delle Comunicazioni partecipa, con alcuni suoi rappresentanti, a gruppi di lavoro internazionali permanenti, istituiti dal Governo o da organismi internazionali, tra cui il "Gruppo Interministeriale per la sicurezza delle reti", il "G8", la Comunità Europea, il "Consiglio d'europa", l'"ocse", l'interpol, l'europol. Inoltre collabora con le istituzioni (tra cui Ministero delle Comunicazioni e l'autorità garante per le comunicazioni) e gli operatori privati che si occupano di comunicazioni in genere. I reati di competenza richiedono una duplice capacità investigativa: di tipo operativo, con la prevenzione e contrasto di eventi specifici, le cui caratteristiche fenomenologiche siano già conosciute; strategica, per la disamina delle dinamiche evolutive concernenti fenomeni noti o di nuovo palesamento. Appare quindi evidente che, a fronte della difficoltà di portare a conclusione le investigazioni postume sui fenomeni di criminalità informatica, il maggior successo dell Amministrazione potrà essere conseguito soltanto qualora si riescano a prevenire le minacce e a contenere, nei limiti del possibile, le conseguenze dannose degli attacchi. 4

5 È quanto mai indispensabile, quindi, acquisire tecnologie e metodi di analisi automatizzata in grado di supportare in modo più adeguato ed efficace gli analisti nelle loro attività investigative. L efficacia dell attività di prevenzione della Polizia Postale, come noto, dipende strettamente dalla raccolta e dall analisi di dati e informazioni di eterogenea natura e origine (si tratta di informazioni che, anche attraverso tecniche di OSINT e in specie orientate sui contenuti presenti in Internet, vengono raccolte in contesti tra loro assai differenti: gli ambienti antagonisti/eversivi, gli ambienti cd. underground, frequentati dai cyber criminali, la reportistica sulle nuove vulnerabilità, i malware e le minacce informatiche in genere, gli atti di polizia giudiziaria e degli organismi di intelligence, i media, ecc.). La quantità dei dati e delle informazioni da elaborare, con l obiettivo di cogliere elementi concreti, circostanziati e correlati, utili al fine di prevenire le minacce e gli attacchi, è di conseguenza destinata a crescere in maniera esponenziale e già oggi il patrimonio informativo posseduto soprattutto a livello centrale ma anche periferico dalla Polizia Postale e delle Comunicazioni sfugge alle capacità analitiche dei singoli operatori locali di polizia. Infine, si evidenzia che l efficacia delle indagini sulle diverse forme di criminalità informatica, proprio per le peculiarità intrinseche dell ambiente digitale in cui hanno luogo (delocalizzazione e dematerializzazione), presuppone sempre più sofisticate e incisive capacità di interazione investigatore- soggetto investigato, che possono essere assicurate soltanto dalle attività di indagine condotte con modalità sotto copertura sui canali di comunicazione telematica utilizzati dai singoli o dai gruppi criminali. La maggior efficienza delle attività investigative sotto copertura può essere conseguita esclusivamente attraverso lo svolgimento delle stesse con continuità e per ampi lassi temporali, utilizzando identità di copertura adeguate e coerenti (rispetto al contesto investigativo ed al trascorrere del tempo) nonché idonee procedure tecniche. Condizioni, queste, che non possono più essere demandate all iniziativa e alle sole capacità professionali dell operatore ma devono necessariamente potersi fondare su di un adeguato supporto tecnologico. Volendo entrare maggiormente nel merito di quanto necessario e allo scopo del progetto, l esperienza e la specializzazione della Polizia Postale porta a stabilire con certezza che alcune fattispecie di reati on- line alimentino la criminalità comune, ma soprattutto la criminalità organizzata. L avvento di Internet e dell informatica è causa di innovazione delle forme criminali nel SUD d Italia, da tempo radicate nel tessuto sociale: furti di informazioni e spionaggio, truffe e frodi, gioco d azzardo, prostituzione, traffici vari (armi, droga, organi), molestie, minacce, pedofilia (adescamento, pornografia), pedofilia organizzata, criminalità organizzata (riciclaggio, comunicazioni), terrorismo, proselitismo delle sette sataniche. La diffusione dell I.C.T. ha favorito al tempo stesso l affermarsi di nuove fattispecie, capaci di diffondersi solamente all interno dei nuovi sistemi di comunicazione digitale: cyberpedofilia (scambio di pedopornografia), cyberterrorismo, hacking, diffusione di virus informatici, truffe telematiche via , spamming, violazione della privacy da parte di aziende, net- strike, on- line gambling, diffusione di informazioni illegali on- line (violenza, razzismo, esplosivi, droghe, sette sataniche, pedofilia). 5

6 Anche la stessa organizzazione operativa della Polizia Postale, che prevede che i Compartimenti de- localizzati nelle diverse Regioni d Italia si occupino di analisi di cyber crime ed in generale effettuino il monitoraggio informativo delle fonti aperte nel territorio di loro competenza, risponde alle seguenti logiche fondanti il loro lavoro ed il loro mandato istituzionale: Internet è una fonte di informazione importantissima per approfondire, attraverso opportune metodologie e strumenti innovativi, la conoscenza dei fenomeni economici, sociali e criminali che insistono su uno specifico territorio (di competenza del Compartimento): questo avviene sia localizzando la fonte dell informazione, sia contestualizzando geograficamente il contenuto informativo; moltissime organizzazioni micro e macro criminali si alimentano commettendo nuove tipologie di reato, che possiamo definire sinteticamente cyber, in un trend crescente di innovazione tecnologica e entità del danno commesso: ciascun Compartimento della Polizia Postale deve di conseguenza dotarsi degli strumenti adeguati, governando l evoluzione dinamica dei rischi e trovandosi preparato ad affrontare le più raffinate tecniche di attacco; Internet sempre di più sta diventando un luogo virtuale per consumare reati dagli effetti reali, che sempre possono essere e vengono ricondotti ad una competenza geografica di polizia e giudiziaria ben definita. A questo si aggiunga che nelle quattro Regioni Obiettivo Convergenza, ovvero Campania, Puglia, Calabria e Sicilia, che saranno interessate dal Progetto, l attività svolta dai Compartimenti dalla Polizia Postale e della Comunicazioni è particolarmente impegnativa soprattutto per il particolare contesto socio- economico di riferimento e per la vastità dei fenomeni macro e micro criminali. Questo fenomeno si vede con straordinaria evidenza proprio nelle Regioni del Sud d Italia, dove la Polizia Postale, che deve controllare proattivamente le nuove tecnologie informatiche e che è chiamata a reprimere tutte le fattispecie di reati ad esse connesse, ha una mole di lavoro effettivo e potenziale enorme per poter garantire la sicurezza delle transazioni, la certezza del dato di ciascuna transazione economica, la protezione dell identità e dei dati personali. In tale contesto, l obiettivo generale del Progetto è dunque il miglioramento del livello di sicurezza e di efficienza delle attività svolte dal personale di Polizia nel contrasto ai reati telematici nelle regioni obiettivo convergenza, in modo tale che il necessario sviluppo in quelle Regioni delle reti telematiche e l auspicata diffusione dei servizi correlati non venga frenata dalla percezione di insicurezza che gli operatori economici o i privati cittadini possono cogliere. Infatti, lo sviluppo economico e sociale di ogni territorio non può oramai prescindere dalla disponibilità di tecnologie e servizi avanzati di comunicazione: i reati informatici rappresentano quindi un grave freno allo sviluppo e possono generare una forte percezione di insicurezza. 1.1 La struttura Organizzativa La Polizia Postale e delle Comunicazioni è articolata, a livello organizzativo, come segue: Servizio Polizia Postale e delle Comunicazioni, con sede in Roma, che a livello operativo svolge funzioni di impulso e coordinamento investigativo nei confronti dell attività delle articolazioni periferiche; 6

7 20 Compartimenti di Polizia Postale, sedenti nei capoluoghi di Regione (ad eccezione della Regione Val d Aosta, che ricade nella giurisdizione del Compartimento Piemonte e della Regione Sicilia che, in ragione della vastità del territorio e del numero di Provincie, è suddivisa in due giurisdizioni, che fanno capo al Compartimento Sicilia Orientale e al Compartimento Sicilia Occidentale ); 80 Sezioni di Polizia Postale, sedenti nella maggior parte dei capoluoghi di Provincia. Dal punto di vista operativo, i Compartimenti territoriali hanno un'organizzazione analoga a quella del Servizio centrale, ma con un profilo più operativo e maggiormente legato al territorio di competenza. 1.2 Le strutture operative coinvolte nel progetto I Compartimenti e le sezioni di Polizia Postale che saranno coinvolti nel progetto saranno esclusivamente localizzate nelle regioni Obiettivo Convergenza; pertanto, saranno quelli localizzate nelle regioni Campania, Puglia, Calabria e Sicilia. Nello specifico, il progetto sarà localizzato a Napoli, presso la sede dell Amministrazione che sarà, da questa, individuata come più idonea e successivamente comunicata, ed ove dovrà essere realizzata una server farm su cui sarà incentrata tutta la capacità elaborativa dei sistemi di analisi realizzati. Dal Compartimento di Polizia Postale di Napoli verranno coordinate tutte le indagini oggetto del Progetto; gli strumenti messi a disposizione potranno essere utilizzati, attraverso collegamento telematico opportunamente configurato ad alta sicurezza, anche dagli altri 4 Compartimenti regionali delle Regioni Obiettivo Convergenza e da 10 postazioni di investigazione sperimentali dislocate sulle principali sezioni di Polizia Postale, relativi ai capoluoghi di Provincia sempre delle regioni sopracitate, maggiormente interessate al potenziamento dei propri sistemi di analisi investigativa. 7

8 2. Finalità del progetto La Polizia Postale e delle Comunicazioni si pone come fine principale, anche attraverso il corretto espletamento del progetto, di: tutelare e garantire la sicurezza dei cittadini e delle imprese delle quattro Regioni Obiettivo che devono essere difesi da ogni pericolo derivante dall uso delle tecnologie informatiche ed in particolare di Internet e del Web 2.0. Internet rappresenta infatti una grande occasione di sviluppo sociale e di comunicazione, ma, nel contempo, può rappresentare anche un reale elemento di pericolosità, qualora, tramite la Rete, si manifestassero criticità derivate rispetto all utilizzo di cittadini e imprese o, ancor peggio, circostanze di potenziale pericolosità per gli utenti di giovane età; favorire la diffusione delle nuove tecnologie di comunicazioni nelle quattro Regioni Obiettivo. Tutto ciò anche al fine di fornire alle zone più depresse gli strumenti adeguati, per incentivare la crescita sociale ed economica del territorio; proteggere e tutelare adeguatamente le attività economiche nelle quattro Regioni Obiettivo. Solo così potranno essere garantite le migliori condizioni funzionali ad attrarre nuovi investimenti in quelle aree e quindi determinare le migliori condizioni per la competitività delle imprese che operano in loco. Per raggiungere gli obiettivi sopra citati L Amministrazione ha intenzione di dotarsi di strumenti automatici che consentano: la facilità e la flessibilità nell acquisizione di file di log di differente natura tramite regole predefinite e personalizzabili; l individuazione automatica di pattern di attacco acquisiti da database nazionali ed internazionali di attacchi noti; l utilizzo di tecniche analitiche per far emergere fenomeni non noti a priori e non deducibili dalla semplice consultazione di report; l individuazione automatica di anomalie dovute ad attacchi zero- day e malfunzionamenti che possano aver generato disservizi su larga scala; la messa a fattor comune delle modalità di attacco occorse nel passato in una maniera organizzata, condivisibile e riutilizzabile; la creazione di report aggregati utilizzabili per gli approfondimenti di analisi e supporto all approfondimento; la focalizzazione più rapida dell operatività investigativa su determinate transazioni irregolari grazie al supporto di un sistema di alerting automatico; la mappatura delle irregolarità su territorio e dei legami tra punti di spendita e punto di compromissione per facilitare l individuazione dei movimenti dei criminali; il supporto tecnico- procedurale alle attività investigative sotto copertura. 8

9 Tali strumenti dovranno dunque permettere di conseguire i seguenti macro- obiettivi specifici per le quattro Regioni obiettivo: rendere più efficaci ed efficienti le attività della Polizia Postale e delle Comunicazioni, ora e nel tempo, grazie all uso di tecnologie e di sistemi informatici innovativi che hanno la modularità e la scalabilità necessari; creare maggiore valore professionale, affinché il personale in forza alla Polizia Postale abbia la possibilità di specializzarsi ed affinare tecniche investigative adottando strumenti altamente tecnologici e performanti; introdurre modalità innovative di controllo e di indagine che consentiranno di utilizzare meglio le risorse, umane e materiali, a disposizione; aumentare il grado di sicurezza per i cittadini che utilizzano le infrastrutture di comunicazione telematica per motivi di lavoro o per diverse esigenze di spostamento; aumentare la diffusione e l utilizzo delle tecnologie telematiche a vantaggio e supporto delle attività economiche. 9

10 3. Definizione e oggetto della fornitura La Polizia Postale e delle Comunicazioni intende acquisire un insieme di prodotti e servizi di fornitura, installazione, configurazione e relativa assistenza tecnica evolutiva in garanzia conforme agli standard e alle norme di interesse per le pubbliche amministrazioni, per la realizzazione di un Sistema per l analisi investigativa predittiva e di supporto all attività investigativa con modalità sotto copertura per il contrasto del crimine informatico. Venendo più specificatamente agli elementi che caratterizzano le esigenze dell'amministrazione, dal punto di vista operativo, questa ha la necessità di acquisire un sistema informatico in grado di gestire i casi investigativi e le emergenze che traggono origine da attività avviate di iniziativa, dalle denuncie e dalle segnalazioni fatte sia dalle infrastrutture critiche che da altre entità delle regioni obiettivo. Il sistema dovrà pertanto essere composto da moduli informatici integrati fra loro e servizi a corredo, quali: Modulo investigativo predittivo: consentirà agli investigatori di analizzare dati di sicurezza informatica (log ed eventi) e di fornire una analisi deterministica e predittiva di supporto alle indagini per il contrasto dei crimini informatici; Modulo knowledge base: di ausilio alle attività di analisi deterministica e predittiva, la knowledge base dovrà consentire la disponibilità di una base dati di global intelligence; Modulo virtual humint: supporterà l attività investigativa consentendo di attuare analisi con modalità sotto copertura; Portale di accesso: rappresenterà la porta di accesso alle funzionalità rese disponibili dai moduli sopra citati. In tale ambito sarà necessario provvedere all integrazione con il sistema di analisi semantica già in uso presso l Amministrazione; Servizi di program management: servizi professionali erogati dal fornitore al fine di garantire la corretta esecuzione del progetto; Servizi professionali per la realizzazione dei moduli e conduzione del progetto: servizi professionali erogati dal fornitore, al fine di analizzare le attuali modalità operative, progettare il sistema a supporto delle attività investigative, sviluppare il sistema, effettuare i relativi test prima del rilascio in esercizio e, post rilascio, garantire una conduzione operativa di ausilio agli investigatori. Sarà pertanto cura del Fornitore proporre nell offerta tecnica una soluzione che soddisfi i requisiti tecnici di tutti i moduli di seguito descritti, dettagliando i servizi a supporto dell intera fornitura. 10

11 4. Architettura funzionale del sistema Nel seguito si vuole dare evidenza dei moduli funzionali che compongono logicamente la soluzione richiesta: Modulo investigativo predittivo e Modulo Knowledge base; Mudulo Virtual Humint. Rimane facoltà del Fornitore proporre soluzioni migliorative a livello architetturale che perseguono comunque gli obiettivi precedentemente descritti. 4.1 Modulo investigativo predittivo e Modulo knowledge base Figura 1 Architettura del modulo investigativo predittivo e della knowledge base Si elencano nel seguito i diversi layer funzionali di cui è composto il sistema. Source layer Rappresenta le sorgenti dati logiche in input alla piattaforma. Le sorgenti del sistema sono caratterizzate da due diverse tipologie: 11

12 Fonti log: log e dati riferiti a violazioni accertate o presunte di sicurezza informatica provenienti da sistemi e/o infrastrutture di sicurezza di enti e aziende che coinvolgono l autorità di PG attraverso formale denuncia; Fonti Knowledge Base di sicurezza informatica: dati riferiti a vulnerabilità, attacchi e minacce di sicurezza informatica provenienti da fonti di intelligence aperte o proprietarie. Detection e Intelligence layer Rappresenta il cuore tecnologico e investigativo della piattaforma. E composto da due moduli: Sistema investigativo predittivo; Knowledge base di sicurezza informatica. Il Sistema investigativo predittivo è logicamente composto da: Modulo di collezionamento e parsing dei log ricevuti mediante denuncia; Datawarehouse degli incidenti componente che ha l obiettivo di: o Raccogliere i log; o Gestire le schede incidente che sono aperte in caso di matching generato dal matching engine ; o Mantenere uno storico delle schede incidente gestite che saranno utilizzate dal matching engine per analisi predittiva e deterministica; o Fornire i dati al layer di Presentation per la visualizzazione. o Modulo di Matching engine: componente che effettua una analisi deterministica e predittiva in grado di evidenziare potenziali correlazioni e similitudini tra i log ricevuti, il knowledge base di sicurezza informatica e lo storico di schede investigative riferiti a casi esistenti. La knowledge base di sicurezza informatica è logicamente composta da: Modulo di acquisizione dati sugli attacchi in corso e sulle fonti di cyber intelligence: rappresenta la componente adibita alla ricezione dati da tutte le fonti interessate per la knowledge base; Modulo di aggregazione, interpretazione e codifica dati: è la componente in grado di elaborare i dati ricevuti e codificarli secondo il modello dati definito nella knowledge base; Knowledge base: rappresenta la componente che immagazzina i dati ricevuti e strutturati attraverso i moduli precedenti. Presentation layer Rappresenta la componente di front- end del sistema investigativo predittivo ed è composta logicamente da: Interfaccia utente di analisi e investigazione: consente la visualizzazione delle schede di allarme generate da matching positivi e di effettuare analisi di dettaglio sui dati contenuti nel data warehouse incidenti; 12

13 alerting: gestisce la visualizzazione degli alert derivanti dal modulo di analisi investigativa predittiva; reporting: genera report con scadenza predefinita e on demand sugli allarmi/attacchi individuati e schede di incidente gestite. 4.2 Modulo Virtual Humint Virtual Proxy Network exit point Internet Front end / Application Layer Application Server Front End Gestione reporting / intelligence Console Amministrazione Elaborazione dei dati Raccolta e gestione fonti Gestione identità virtuali Console Operatore Back end / Database layer Database Virtual Humint Figura 2 Architettura del modulo Virtual Humint Si elencano nel seguito i diversi layer funzionali di cui è composto il sistema. Backend / Data Base layer È costituto dall insieme di dati generati ed utilizzati dalla piattaforma. In particolare attraverso l utilizzo di un database, il sistema deve consentire di: Memorizzare le diverse identità virtuali configurate ed utilizzate per le attività sotto copertura, mantenendo per ciascuna di esse gli attributi ed i parametri necessari a qualificare correttamente le singole identità; 13

14 Censire e mantenere aggiornate le fonti di informazioni (web, social network, chat, ecc), sulle quali il sistema consentirà di svolgere le attività sotto copertura; Memorizzare centralmente reportistica e statistiche relative al funzionamento ed alle attività svolte attraverso la piattaforma. Application Server / Front End Rappresenta il cuore della piattaforma, dove risiedono sia le componenti di elaborazione e gestione delle diverse identità virtuali e fonti informative, sia l interfaccia utente attraverso la quale gli operatori interagiscono con il sistema. Network exit nodes Costituisce lo strato logico e fisico che consente alla piattaforma di Virtual Humint di operare sotto copertura mediante l utilizzo di specifici proxy virtuali che, controllati direttamente dal sistema, consentono di selezionare l instradamento di rete più appropriato all indagine in corso. 4.3 Portale di accesso Figura 3 Architettura del portale di accesso Il Portale di accesso è logicamente composto da: Modulo di gestione delle identità: componente che gestisce un primo livello di autenticazione e autorizzazione degli utenti del sistema; Modulo di auditing: componente che gestisce il tracciamento degli accessi eseguiti da parte degli utenti; Modulo di Gateway di accesso: componente che reindirizza l accesso verso i moduli applicativi richiesti dall utente. 14

15 Modulo di integrazione con l analisi semantica: componente che garantisce l accesso al sistema di analisi semantica già in uso presso l Amministrazione. 15

16 5. Il modulo investigativo predittivo Il modulo investigativo predittivo dovrà consentire agli investigatori di analizzare dati di sicurezza informatica (log ed eventi) e di fornire un analisi deterministica e predittiva di supporto alle indagini per il contrasto dei crimini informatici. Per individuare e prevenire azioni criminali e destabilizzanti, è necessario raccogliere, organizzare ed analizzare volumi di dati considerevoli in tempi molto brevi. A tal fine sono necessari strumenti informatici che consentono all Amministrazione di svolgere le attività necessarie all identificazione della tipologia di attacco, mettendone a fattor comune le modalità occorse nel passato in una maniera organizzata, condivisibile e riutilizzabile ed esaminando le nuove modalità di attacco anche tramite analisi statistiche più complesse come analisi dei Pattern, clustering, analisi predittive ecc. A questo scopo l Amministrazione intende dotarsi di un modulo tecnologico di analisi investigativo- predittivo (Predictive Analytics), basato su soluzioni software perfettamente integrate tra loro, che metta a disposizione le funzionalità richieste. In particolare, il modulo dovrà supportare le funzionalità di acquisizione di log in vari formati, di integrazione dei dati e fornire strumenti per la definizione di analisi dei log per identificare gli incidenti occorsi; inoltre il modulo dovrà consentire analisi di tipo investigativo- predittivo e l implementazione di report standard a supporto dell attività di indagine. L architettura del modulo di Predictive Analytics dovrà fornire un supporto multipiattaforma e consentire di poter ridefinire l architettura senza perdita di dati e funzionalità già implementate, mediante processi standard di change management. Visti i cambiamenti repentini che possono presentarsi nella configurazione dei sistemi operativi presenti presso l Amministrazione (vedi capitolo 0), a tale scopo è preferibile che il modulo sia configurabile ed installabile su diversi sistemi disponibili sul mercato (es. Linux, Unix, Microsoft Windows) e che le procedure sviluppate siano facilmente portabili sui suddetti sistemi senza particolari modifiche o implementazioni. Infine, il modulo dovrà prevedere la gestione centralizzata delle informazioni descrittive o metadati su flussi, tabelle, associazioni e supportare possibilmente un unico linguaggio di programmazione per la gestione delle attività di data management, di personalizzazione delle analisi e di produzione della reportistica. 5.1 Architettura funzionale Il modulo investigativo- predittivo (Predictive Analytics) dovrà essere basato su una architettura funzionale strutturata sui seguenti livelli: Data management; Motore analitico (Analytics); Front end di investigazione. 16

17 Tale modulo, infatti, ha come obiettivo quello di consentire all Amministrazione di estrarre, gestire, integrare, aggregare ed analizzare grandi quantità di dati, al fine di offrire una sola base informativa, centralizzata e adeguata alla definizione di un sistema di supporto alle investigazioni. Il modulo deve supportare le funzionalità di Data Management tramite un interfaccia grafica che permetta il trattamento delle fonti dati, l identificazione di dati invalidi, dati duplicati, dati già caricati, ecc. Deve essere possibile la ripetibilità dei processi di acquisizione, trasformazione e caricamento dei dati e la loro pianificazione. La piattaforma tecnologica utilizzata deve avere un modello dati predefinito e personalizzabile e fornire strumenti di reporting sia via web, sia attraverso l integrazione di strumenti di uso comune quale ad esempio la suite di Microsoft Office o altri formati aperti. Inoltre il modulo deve presentare funzionalità di analisi descrittiva e di data mining integrate tramite la condivisione dei dati e l utilizzo dello stesso linguaggio di programmazione 4GL (fourth- generation programming language). Le principali funzionalità e caratteristiche richieste sono le seguenti: attivare, creare e gestire Repository che contengono tutti i dati e metadati per l analisi di domini/ambiti specifici di indagine; gestire con strumenti visuali, i flussi e le trasformazioni del dato, nonché eventuali controlli di validità dello stesso, e inoltre definire trasformazioni di aggregazione e storicizzazione dei dati o strutture multidimensionali (OLAP - On- Line Analytical Processing) per specifiche esigenze di reporting; consentire all Amministrazione di eseguire attività di correlazione degli eventi, analisi predittive, clustering, con la possibilità di definire ed implementare modelli statistici tramite interfaccia utente; supportare due modalità di distribuzione delle informazioni: o gestione industriale del reporting istituzionale, tramite Amministrazione via metadati centrali e supportando i processi di sviluppo e deploy dei reports fruibili attraverso gallerie web statiche, portale web applicativo, dashboarding e reporting dinamico o schedulato; o gestione di analisi estemporanee, di focalizzazione su aspetti specifici e temporanei; in pratica deve essere possibile entrare nel dettaglio delle informazioni e fornire capacità computazionali analitiche ad utenti esperti, non solo attraverso le funzionalità di query&reporting, ma anche attraverso l utilizzo di plug- in per Microsoft Office per accedere ai dati via Ms Excel, Ms Word, ecc. Controllare e amministrare in maniera centralizzata tutti i dati e metadati per assicurare la loro consistenza, accuratezza e profilazione secondo i ruoli definiti. 5.2 Requisiti tecnici della soluzione Seguono i requisiti puntuali previsti per il modulo investigativo predittivo suddivisi per i livelli funzionali indicati. 17

18 5.2.1 Data Management Le funzionalità da garantire a questo livello riguardano le attività di collezionamento e di storicizzazione dei dati di dettaglio provenienti dai sistemi di input che forniscono dati di sicurezza. Si dovrà prevedere scalabilità e flessibilità tramite opportuni tool di accesso alle fonti dati, nonché le funzionalità di controllo della qualità e validità dei dati importati. Costituisce inoltre requisito la possibilità di definire le fasi e i passi di caricamento, validazione e storicizzazione attraverso un client di sviluppo visuale dei flussi. Di seguito si riportano in dettaglio i requisiti minimi: Requisiti Data Management Requisito Ambito Descrizione Il sistema deve disporre di connettori standard per l'estrazione dei dati da Web Log files delle seguenti tipologie: Common Log Format (CLF); REQ_1. REQ_2. Funzionalità native per il processamento automatico dei Web Log Tipologia di log Extended Log Format (ELF); Microsoft IIS original format; Oracle WebLogic. Il software inoltre deve essere in grado di determinare automaticamente, almeno nel caso di log standard, la tipologia di log durante il processamento senza necessità di doverlo specificare manualmente in anticipo. Il sistema dovrà essere in grado di gestire tramite connettori nativi o connettori personalizzati diverse tipologie di log di diversi formati e provenienti da device variegati (es: firewall, web log, IDS, proxy server, router, log di sicurezza dei server, , log applicativi, sistemi di autenticazione. ecc). Il fornitore dovrà specificare nella risposta tecnica le tipologie di log gestite e incluse nella fornitura. REQ_3. Realizzazione di connettori per ulteriori sorgenti dati Il sistema dovrà supportare la realizzazione di nuovi connettori REQ_4. REQ_5. Configurabilità della frequenza di raccolta dei dati Gestione rielaborazione dei dati (a causa di fonti incomplete o non affidabili) Il sistema dovrà supportare la possibilità di configurare la frequenza di raccolta ed elaborazione dei dati dalle fonti in base agli indicatori da calcolare (es. su base mensile, settimanale o giornaliera). In caso di modifiche ai dati di input, il sistema dovrà permettere la rielaborazione dei dati e l aggiornamento automatico sia della base dati storica che della relativa reportistica. 18

19 Requisiti Data Management Requisito Ambito Descrizione REQ_6. REQ_7. REQ_8. Repository unico di dati Client user- friendly per l integrazione dei dati Controllo qualità dei dati La soluzione dovrà essere strutturata in modo che i dati operazionali provenienti dai sistemi e dalle applicazioni di interesse siano archiviati in una base storica comune in cui devono essere custoditi per un periodo di tempo sufficiente a consentire elaborazioni ed analisi statistiche. Il sistema dovrà consentire di integrare nuove fonti dati tramite un interfaccia visuale per lo sviluppo di flussi di integrazione dati in grado di: Consentire di gestire separatamente gli ambienti di Sviluppo, Test e Produzione e supportare la multiutenza (ossia l attività di più analisti che operano in concomitanza); Creare procedure di data integration eseguibili, senza modifiche, su qualsiasi piattaforma (es. processo creato per UNIX deve poter essere eseguibile su macchina Windows senza alcuna riscrittura del codice o variazione del processo realizzato). La soluzione dovrà prevedere funzionalità di controllo della qualità dei dati (duplicazione, validità, mancanza informazioni) al fine di evidenziare eventuali anomalie nei dati. REQ_9. Svecchiamento automatico dei dati Il sistema dovrà prevedere la gestione automatizzata dello svecchiamento dei dati storicizzati al fine di garantire la necessaria rapidità ed affidabilità nella gestione dello storage a disposizione, nonché la possibilità di estendere liberamente il periodo di giacenza dei dati, al fine di consentire elaborazioni ed analisi statistiche rilevanti. REQ_10. REQ_11. REQ_12. REQ_13. Storicizzazione dei dati al dettaglio Flessibilità nell aggregazione dei dati Storicizzazione dati aggregati dei Strutture dati multidimensionali Il sistema dovrà consentire la storicizzazione dei dati ad un livello di dettaglio equivalente a quello dei dati grezzi in input (senza aggregazioni). Il sistema dovrà fornire funzionalità di aggregazione dei dati rispetto a qualsiasi periodo temporale specificabile dall'utente (ora, settimana, mese, anno, ecc.) con la possibilità di specificare una o più funzioni statistiche da applicare alle metriche in fase di aggregazione. Il sistema dovrà consentire la storicizzazione dei dati aggregati rispetto ai periodi temporali specificabile dall'utente (ora, mese, anno, ecc.) con la possibilità di specificare un diverso intervallo di retention dei dati per ciascun periodo. Il sistema deve consentire la creazione di strutture OLAP multidimensionali, che possano sfruttare standard quali MDX (MultiDimensional expressions) e supporto nativo delle gerarchie Ragged, Unbalanced e Dimensioni Temporali (intervalli di tempo, periodi fiscali, ecc.). 19

20 Requisiti Data Management Requisito Ambito Descrizione REQ_14. Apertura a fonti dati esterne estemporanee La piattaforma deve consentire l inserimento dei dati da sottoporre ad analisi, sia utilizzando la propria base dati storica, sia tramite importazione diretta di fogli Excel, file di testo, dati via ODBC Motore analitico (analytics) La componente analitica ha lo scopo di guidare l operatore alla comprensione degli eventi di sicurezza, all identificazione più efficace di potenziali violazioni, delle cause e delle loro relazioni, attraverso l applicazione di una vasta gamma di metodologie statistiche. Tale componente dovrà consentire all operatore di compiere analisi esplorative dei dati, attraverso grafici con visualizzazione interattiva, campionamento dei dati, creazione di nuovi indicatori di analisi, trasformazioni matematiche degli indicatori, modelli di segmentazione e profilazione, modelli predittivi. L interfaccia dovrà essere comprensibile da utenti analitici senza competenze di datawarehousing o linguaggi di gestione di basi dati. Di seguito si riportano in dettaglio i requisiti minimi: Requisiti motore analitico Requisito Ambito Descrizione La componente analitica dovrà disporre di interfacce di facile utilizzo per le diverse tipologie di utente: operatore con limitate conoscenze statistiche, per la realizzazione di semplici processi; REQ_15. REQ_16. Usabilità Campionamento analista statistico esperto, per la progettazione, implementazione ed affinamento delle tecniche statistiche alla base dei processi di analisi. Le impostazioni delle diverse funzionalità dovranno risultare semplici e intuitive come per esempio l utilizzo di modalità di lavoro sia automatiche che interattive per modificare o personalizzare le analisi e i risultati. L applicazione dovrà fornire funzionalità per il campionamento statistico dei dati includendo alcune delle seguenti tecniche: campionamento casuale; campionamento sistematico; campionamento stratificato rispetto ad una o più variabili di stratificazione; campionamento a grappolo (cluster); 20