Diventa Autore per CoreTech | Scopri di più





Case History: La storia di successo di LKA Saarland

03/06/14 CoreTech Blog

Il Pubblico Ministero dell’ufficio per l’investigazione penale nella provincia di Saarland in Germania sfrutta la gestione dispositivi di EgoSecure per garantire il controllo dei terminali mobili.

I dati sono diventati mobili e facilmente trasportabili – nel vero senso della parola. Anche database di grosse dimensioni ora possono essere memorizzati su un chip grande quanto un’unghia o su uno dei dispositivi che abbiamo sempre con noi, come telefonini, fotocamere digitali o lettori Mp3: tutti strumenti idonei al furto di dati, anche di grosse dimensioni. Le nuove interfacce Usb 2.0 e 3.0 hanno velocità di trasferimento sempre più elevate, un’altra innovazione certamente positiva in molti ambiti, ma che porta con se rischi significativi, come il furto di dati e la trasmissione non controllata di codici pericolosi come cavalli di Troia o virus. In questo articolo vediamo come il Pubblico Ministero dell’ufficio per l’investigazione penale dello stato federale di Saarland in Germania è riuscito a tenere sotto controllo questi rischi grazie a una soluzione intelligente per il controllo dei dispositivi.

Banner

L’informazione come base per la lotta al crimine

Oggi, come in passato, l’informazione è il cuore di qualsiasi lavoro investigativo. Senza informazioni verificate e aggiornate, la lotta al crimine non può avere la meglio. La chiave per il successo è la velocità di risposta delle forze di polizia ai cambiamenti tecnici e sociali e alla rapidità con cui continua a trasformarsi la stessa criminalità. Il Pubblico Ministero dell’ufficio per l’investigazione penale, detto anche LKA (Landeskriminalamt), è il fornitore di servizi IT per la polizia di stato (LPD, Landespolizeidirektion) e per se stesso. Questo ufficio da una parte deve garantire l’accesso ai dati sensibili ma nello stesso tempo deve permettere – come ormai ovunque – l’uso di dispositivi mobili e di periferiche di memorizzazione entro i luoghi di lavoro. Questi dispositivi da una parte danno alle forze di polizia la possibilità di combattere il crimine in modo efficiente, dall’altra costituiscono un punto debole e aprono la strada a potenziali problemi di sicurezza. Dal marzo 2007 la soluzione di controllo dei dispositivi di EgoSecure viene utilizzata dall’LKA per garantire che solo le persone autorizzate con dispositivi mobili autorizzati abbiano accesso ai dati.

I dispositivi mobili stanno cambiando il potenziale delle minacce

Le forze di polizia dello stato federale di Saarland utilizzano comuni sistemi di sicurezza come firewall, antivirus e altri aggiornamenti periodici che garantiscono un minimo livello di protezione dai pericoli esterni. Le reti sono soggette agli standard di sicurezza più elevati, come definiti dall’ufficio tedesco federale per la sicurezza e l’informatica (Bundesamt für Sicherheit und Informationstechnik, BSI).

Banner

“Fino al 2007, i dispositivi mobili non erano visti come una minaccia dalle forze di polizia, dal momento che i sistemi operativi in uso non fornivano supporto all’Usb” dice Michael Kraemer, ispettore capo e manager della divisione LKA 2 – Informazione e comunicazioni dell’LKA di Saarland. All’inizio del 2007, l’installazione su grande scala di Windows XP e la migrazione di hardware e software ha cambiato completamente la situazione. Ora si potevano collegare dispositivi Usb ovunque e i continui aggiornamenti hardware garantivano performance sempre maggiori alle interfacce più comuni come Usb, Firewire o Bluetooth. I principali vendor del settore sicurezza erano stati un po’ negligenti nei loro sforzi di fornire un controllo su queste interfacce. Come molti studi e rapporti hanno mostrato, dispositivi di memorizzazione non gestiti possono essere usati per memorizzare grandi quantità di dati in poco tempo.

“Per prevenire questi problemi fin dall’inizio noi abbiamo considerato l’implementazione di una soluzione professionale di gestione dei dispositivi” dice Patrick Stift, sistemista che lavora nella squadra di amministrazione del database e dei sistemi operativi dell’LKA. Insieme ai suoi colleghi lui è responsabile dell’amministrazione IT: “La polizia è una organizzazione di sicurezza e per questo vogliamo e dobbiamo utilizzare le soluzioni migliori e più recenti ed essere pronti a bloccare i furti di dati. Può sembrare semplice, ma stiamo parlando di più di 3.000 utenti che usano 1.200 PC per accedere a dati sensibili.”

Un buon sistema di gestione dei dispositivi non deve essere costoso

La LKA era alla ricerca di una soluzione che gli permettesse di controllare i dispositivi collegabili ai computer e che permettesse di definire nel dettaglio chi può collegare cosa, quando e dove e a quale Pc. Una white list che definisca i dispositivi mobili autorizzati per ogni dipendente, Pc e interfaccia, basato sul produttore e sul suo seriale era necessaria per definire chiaramente le autorizzazioni. Dal momento che LKA utilizza come sistema di amministrazione degli utenti Microsoft Active Directory, la soluzione eventualmente scelta doveva supportare questa piattaforma e usare protocolli a prova dei sistemi di audit. Tra i requisiti c’era anche la disponibilità di una serie di funzionalità, come una implementazione semplice, una interfaccia grafica intuitiva, una console di gestione onnicomprensiva e la possibilità di applicare modifiche in tempo reale.

Patrick Swift utilizzò Internet per cercare un prodotto adatto alle esigenze dell’LKA e fece una valutazione dei prodotti rilevanti in base alle funzionalità messe a disposizione. Nel febbraio 2007 si passò ad una valutazione intensiva dei 3 prodotti rientrati nella lista finale. EgoSecure si guadagnò il punteggio più alto, in particolare per le sue funzionalità di gestione, per il numero di feature e per la sua espandibilità. La decisione di Patrick Stift di suggerire EgoSecure alla direzione era basata sulle numerose forze del prodotto: “Il criterio chiave fu la scelta delle funzioni e la facilità d’uso, così come l’assegnamento granulare dei permessi, indispensabile per l’amministrazione di più di 3000 utenti.”

Facilità nel deployment e nell’uso

In poche settimane furono prese le decisioni finali e nel marzo 2007 la LKA iniziò il deployment. Dopo l’acquisto il prodotto può essere scaricato e installato su un solo server e tutte le informazioni vengono acquisite direttamente dall’infrastruttura Active Directory. I componenti lato client furono distribuiti tramite la soluzione di distribuzione software già in uso. Gli aggiornamenti di versione vengono gestiti da EgoSecure in automatico, senza causare sovraccarichi di rete o interruzioni. “In un pomeriggio avevamo già installato il prodotto e attivato le funzionalità chiave” racconta Patrick.
Il prodotto ha utilizzato un’installazione esistente del database Microsoft SQL, senza richiedere costi aggiuntivi. L’amministratore gestisce EgoSecure Endpoint da una console di gestione intuitiva, che garantisce che praticamente qualsiasi sistemista possa usare immediatamente il prodotto, senza alcuna formazione precedente. In un primo passaggio EgoSecure ha “catturato” tutti i dispositivi, incluse le rispettive interfacce. In base a questo inventario sono state create le policy per determinare chi era autorizzato a comunicare, quando, dove e con quale dispositivo. Dal momento che non tutti i dispositivi erano riconosciuti e che la LKA deve sottostare agli standard di sicurezza più elevati, tutti i dipendenti dovevano sottomettere una richiesta per ciascun dispositivo in loro possesso. Infatti un semplice inventario non poteva garantire la sicurezza, anche se fornisce una visualizzazione aggiornata dei dispositivi in uso. I nuovi device possono essere inseriti in un minuto e qualsiasi cambiamento impostato dalla console centrale viene reso disponibile sulla rete senza alcun ritardo, in tempo reale.

Un passo avanti rispetto ai ladri di dati – oggi e domani

Nel frattempo EgoSecure è stato inserito nelle policy dell’LKA e installato su tutti i client. Patrick Stift è felice: “Abbiamo raggiunto il nostro obiettivo di garantire che solo gli utenti autorizzati possano utilizzare esclusivamente i dispositivi approvati in modo esplicito. I dipendenti dell’LKA ora possono collegare i loro dispositivi autorizzati in tutta la provincia, rispettando i più alti standard di sicurezza.” Un’altra forza del prodotto di EgoSecure è la gestione delle eccezioni. Ad esempio il sistema operativo spesso fornisce un identificativo non corretto per i dispositivi mobili: i PDA vengono identificati come hard disk e l’identificazione automatica non è possibile a causa dell’assegnazione di seriali multipli. “La prossima versione di EgoSecure permette agli amministratori di correggere questi errori e di definire direttamente le loro classi di dispositivi”, spiega Patrick Stift.

Nel futuro, la gestione dei dispositivi dovrebbe essere decentralizzata per ridurre il carico di lavoro sull’amministrazione centrale. I dettagli tecnici per l’implementazione di questa decentralizzazione sono già stati implementati, perché la soluzione di EgoSecure include i ruoli richiesti e il modello di autorizzazione necessario per assolvere a questa richiesta. La LKA può valutare anche l’uso del prodotto della famiglia Cryptionpro per assolvere alle funzioni di cifratura. Passando a questa soluzione la LKA potrebbe controllare direttamente sia i dispositivi sia le funzionalità di cifratura, tramite un’unica console centrale.

“Fin dall’inizio, EgoSecure ci ha aiutato a controllare e gestire i dispositivi mobili” conclude Michael Kramer. “EgoSecure non solo ci ha fornito una serie di funzioni, ma ha lavorato a stretto contatto con noi in un modo che va ben oltre il normale supporto clienti. La nostra esperienza ha contribuito allo sviluppo di versioni future del software e questo ci ha dato la sensazione che noi resteremo sempre un passo avanti ai ladri di dati.”