Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Annunciato ad Itasec da Roberto Baldoni (vicedirettore del Dipartimento per le informazioni della sicurezza Dis) l’avvio per il 23 di giugno di un test per la messa alla prova del perimetro di sicurezza cibernetica nazionale Italiano.
Si parla della valutazione dello scudo per le minacce informatiche messo in atto da cinque decreti. Il primo (varato dalla presidenza del Consiglio lo scorso ottobre), stabilisce i criteri per decidere enti e asset da inserire dentro il perimetro.
All’appello ne mancano ancora quattro dove il secondo andrà in Gazzetta ufficiale a breve, a maggio è atteso quello relativo alle notifiche e alle misure di sicurezza, a giugno quello per identificare le categorie dei prodotti tecnologici da sottoporre a screening preventivi e ad agosto, l’ultimo, ovvero il provvedimento per accreditare i laboratori che dovranno svolgere questi controlli.
Terminata l’emissione di questi 4 decreti, l’italia avrà l’impalcatura normativa per poter accendere i motori, e avviare la famosa “Attuazione”, ovvero mettere a terra l’impalcatura per rendere resiliente l’italia agli attacchi informatici e soprattutto, eseguire i controlli attraverso i laboratori accreditati.
Ma a giugno partirà il primo “carotaggio”, principalmente orientato verso gli operatori che si occupano di telecomunicazioni, energia, servizi finanziari e di welfare, trasporti, difesa, sicurezza interna, spazio, alta tecnologia e pubblica amministrazione, ovvero tutte quelle aziende che forniscono servizi al sistema paese la quale compromissione di un asset informatico possa portare gravi danni al paese.
Successivamente potrebbero rientrare nel perimetro anche gli ospedali, che sono stati presi di mira dai ransomware in questo periodo di pandemia, anche se è stato riportato da Baldoni: “Penso che a stretto giro verrà chiesto ad alcuni importanti ospedali di aderire”.
Gli scenari dei test comprenderanno “un incidente che ha evidenza pubblica”, come ad esempio un databreach di dati personali pubblicato in un tweet per comprendere come reagirà l’operatore e quando fornirà notifica allo CSIRT nazionale, ovvero la cabina di regia capace di valutare e avvertire ulteriori soggetti con particolari contromisure.
Un altro scenario sarà verificare il tempo per la comunicazione dell’incidente e chi non lo rispetterà. Dopo il 1 di gennaio il mancato rispetto sarà soggetto sanzioni, quantificate, a seconda dei casi, da 200 mila a 1,8 milioni di euro.
Ma ancora occorre avviare le attività sul CVCN (comprese le 70 assunzioni), per poter avviare lo screening delle tecnologie utilizzate sul perimetro nazionale, oltre ad accreditare, come da piano, dei laboratori esterni, fissando i paletti di qualità per far svolgere l’attività di certificazione in modo puntuale.
Quindi risulta corretto fare i test, anche se questi test sono di “processo”, piuttosto che controlli di sicurezza puntuali.
Risulta necessario creare dei team di hacker etici “nazionali”, in seno al CVCN, che possano valutare la cyber-posture delle aziende, e comprendere meglio e nel dettaglio come le organizzazioni stiano implementando le misure dal punto di vista tecnico-specialistico nei loro “cyberspace”, oltre ad avviare attività di ricerca mirate alla rilevazione di vulnerabilità non documentate, in modo da avere degli spazi di manovra prima di subire danni dai nostri aggressori.
D’altro canto, la pubblicazione dei dati su internet, avviene sempre perché un criminale informatico ha acceduto ad un sistema critico per una carenza di una fix di sicurezza o una SQL injection non depurata su una web application o per uno zeroday (solo per citarne alcuni dei vettori di attacco).
Ma se non arriviamo a questo livello “tecnico” e approvvigioniamo queste competenze, come possiamo pensare che i processi riescano ad essere attuati e che ci risolvano i problemi?
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
La cultura del “tanto chi vuoi che mi attacchi?” gira ancora, testarda. Non è uno slogan, è proprio un modo di pensare. Una specie di alibi mentale che permette di rimandare, di non guardare tro...
La sicurezza informatica è un tema che non scherza, specialmente quando si parla di vulnerabilità che possono compromettere l’intero sistema. Ebbene, Hewlett Packard Enterprise (HPE) ha appena lan...
La Cybersecurity and Infrastructure Security Agency (CISA) ha diramato un’allerta critica includendo tre nuove vulnerabilità nel suo catalogo delle minacce informatiche sfruttate (KEV), evidenziand...
Quando si parla di sicurezza informatica, è normale pensare a un gioco costante tra chi attacca e chi difende. E in questo gioco, le vulnerabilità zero-day sono il jackpot per gli hacker criminali. ...
L’Open Source Intelligence (OSINT) è emersa, negli ultimi anni, come una delle discipline più affascinanti, ma anche più insidiose, nel panorama dell’informazione e della sicurezza. La sua esse...
