23 giugno: il perimetro di sicurezza cibernetica Italiano sarà messa alla prova.

Redazione RHC : 15 Aprile 2021 11:02

Annunciato ad Itasec da Roberto Baldoni (vicedirettore del Dipartimento per le informazioni della sicurezza Dis) l’avvio per il 23 di giugno di un test per la messa alla prova del perimetro di sicurezza cibernetica nazionale Italiano.

Si parla della valutazione dello scudo per le minacce informatiche messo in atto da cinque decreti. Il primo (varato dalla presidenza del Consiglio lo scorso ottobre), stabilisce i criteri per decidere enti e asset da inserire dentro il perimetro.

All’appello ne mancano ancora quattro dove il secondo andrà in Gazzetta ufficiale a breve, a maggio è atteso quello relativo alle notifiche e alle misure di sicurezza, a giugno quello per identificare le categorie dei prodotti tecnologici da sottoporre a screening preventivi e ad agosto, l’ultimo, ovvero il provvedimento per accreditare i laboratori che dovranno svolgere questi controlli.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Terminata l’emissione di questi 4 decreti, l’italia avrà l’impalcatura normativa per poter accendere i motori, e avviare la famosa “Attuazione”, ovvero mettere a terra l’impalcatura per rendere resiliente l’italia agli attacchi informatici e soprattutto, eseguire i controlli attraverso i laboratori accreditati.

Ma a giugno partirà il primo “carotaggio”, principalmente orientato verso gli operatori che si occupano di telecomunicazioni, energia, servizi finanziari e di welfare, trasporti, difesa, sicurezza interna, spazio, alta tecnologia e pubblica amministrazione, ovvero tutte quelle aziende che forniscono servizi al sistema paese la quale compromissione di un asset informatico possa portare gravi danni al paese.

Successivamente potrebbero rientrare nel perimetro anche gli ospedali, che sono stati presi di mira dai ransomware in questo periodo di pandemia, anche se è stato riportato da Baldoni: “Penso che a stretto giro verrà chiesto ad alcuni importanti ospedali di aderire”.

Gli scenari dei test comprenderanno “un incidente che ha evidenza pubblica”, come ad esempio un databreach di dati personali pubblicato in un tweet per comprendere come reagirà l’operatore e quando fornirà notifica allo CSIRT nazionale, ovvero la cabina di regia capace di valutare e avvertire ulteriori soggetti con particolari contromisure.

Un altro scenario sarà verificare il tempo per la comunicazione dell’incidente e chi non lo rispetterà. Dopo il 1 di gennaio il mancato rispetto sarà soggetto sanzioni, quantificate, a seconda dei casi, da 200 mila a 1,8 milioni di euro.

Ma ancora occorre avviare le attività sul CVCN (comprese le 70 assunzioni), per poter avviare lo screening delle tecnologie utilizzate sul perimetro nazionale, oltre ad accreditare, come da piano, dei laboratori esterni, fissando i paletti di qualità per far svolgere l’attività di certificazione in modo puntuale.

Quindi risulta corretto fare i test, anche se questi test sono di “processo”, piuttosto che controlli di sicurezza puntuali.

Risulta necessario creare dei team di hacker etici “nazionali”, in seno al CVCN, che possano valutare la cyber-posture delle aziende, e comprendere meglio e nel dettaglio come le organizzazioni stiano implementando le misure dal punto di vista tecnico-specialistico nei loro “cyberspace”, oltre ad avviare attività di ricerca mirate alla rilevazione di vulnerabilità non documentate, in modo da avere degli spazi di manovra prima di subire danni dai nostri aggressori.

D’altro canto, la pubblicazione dei dati su internet, avviene sempre perché un criminale informatico ha acceduto ad un sistema critico per una carenza di una fix di sicurezza o una SQL injection non depurata su una web application o per uno zeroday (solo per citarne alcuni dei vettori di attacco).

Ma se non arriviamo a questo livello “tecnico” e approvvigioniamo queste competenze, come possiamo pensare che i processi riescano ad essere attuati e che ci risolvano i problemi?

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli