Redazione RHC : 27 Maggio 2022 07:25
E’ stata finalmente varata da qualche giorno la Strategia Nazionale di Cybersicurezza.
Con un documento di 30 pagine vengono definite 82 misure da implementare entro il 2026 per rendere la nostra Italia “resiliente” agli attacchi informatici. A tale realtà, riporta la strategia che “occorre far fronte, agendo secondo un approccio che includa l’adozione di misure di prevenzione e mitigazione del rischio volte a innalzare la resilienza delle infrastrutture digitali. Queste ultime non includono soltanto
reti, sistemi e dati, ma anche, e soprattutto, utenti, la cui consapevolezza – siano essi attori istituzionali, imprese private o cittadini – va alimentata attraverso una diffusa cultura della cybersicurezza.”
Le persone ad oggi hanno chiare nella loro mente il concetti di “rischio fisico”, ma per rendere consapevoli le persone del rischio informatico, occorre fare molta strada.
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ne avevamo parlato a suo tempo su RHC, dicendo che ancora non abbiamo assimilato nel nostro DNA, per quanto riguarda il rischio informatico, l’effetto “cintura di sicurezza” o “casco integrale” e ci vorrà ancora del tempo.
La strategia inizia con le parole di Draghi che riporta:
“Le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico impongono all’Italia di proseguire e, dove possibile, incrementare le iniziative in materia di cybersicurezza. Dobbiamo tenere fede agli impegni assunti nell’ambito delle organizzazioni internazionali a cui l’Italia partecipa, anche tenuto conto dell’elevata qualità e dei massicci investimenti realizzati dai principali alleati e partner internazionali. È dunque necessaria una puntuale rivisitazione nella concezione e nella visione strategica dell’architettura nazionale di cybersicurezza.”
Per permettere tutto questo, l’architettura di cybersicurezza nazionale si è completamente riorganizzata, creando sinergie tra i vari comparti per poter lavorare tutti su un fine comune: evitare che il cybercrime dilaghi a dismisura nel nostro paese.
Ma a parte la strategia, che vi invitiamo di leggere con attenzione, scaricabile a questo link, volevamo porre attenzione al Centro di Valutazione e Certificazione Nazionale (CVCN).
Si tratta di laboratori di valutazione e certificazione di sistemi ed infrastrutture nazionali critiche che vede al centro l’Agenzia di Cybersicurezza Nazionale e i suoi laboratori interconnessi con laboratori satelliti che possono essere realizzati da organizzazioni private.
Detto più semplicemente, si tratterà di centri di valutazione che andranno ad effettuare dei controlli di sicurezza per verificare, prima della messa in campo di una infrastruttura informatica, se siano presenti particolari vulnerabilità di sicurezza che ne possano aumentare il rischio.
CybersecurityItalia, ai margini della presentazione della strategia nazionale di cybersicurezza ha fatto alcune domande al Prof. Baldoni. Alla prima domanda sulle partnership tra pubblico e privato e su come verranno realizzate Baldoni ha risposto:
“Tra le prime iniziative prossime ad uscire saranno i laboratori pubblico/privati per quanto riguarda la rete dei laboratori del centro di valutazione e certificazione nazionale”.
Continua Baldoni riportando che sarà istituito un bando di gara per poter richiedere i finanziamenti per queste iniziative:
“Verrà definito un vero e proprio bando di gara dove i privati potranno acquisire finanziamenti per quanto riguarda la costruzione di questi laboratori che sono particolarmente importanti per quanto riguarda lo screening tecnologico dei sistemi che entreranno a far parte delle nostre infrastrutture digitale core”
Questo sta a significare che si sta puntando alla valutazione e certificazione dell’aderenza agli standard da parte dei fornitori di infrastrutture critiche nazionali, in modo da verificarne la rispondenza prima del deploy di un servizio.
Abbiamo visto qualche giorno da come lo spyware predator abbia utilizzato per accedere a terminali di politici 5 vulnerabilità zeroday e prima ancora gli scandali sulla NSO group. Ma non dimentichiamoci anche degli attacchi alla supply chain e degli zeroday sui server di Kaseya utilizzati dalla cybergang d’èlite REvil per inoculare all’interno di librerie legittime porsioni di malware contenenti il ransomware che poi colpì a catena centinaia di vittime.
Oggi i bug non documentati sono a tutti gli effetti il materiale per costruire armi digitali che possiamo considerare di basso costo rispetto alle armi convenzionali, anche se occorrono particolari e rari skill per isolarli. Tali bug si traducono successivamente, nella fase di weaponization nei cosiddetti cyberweapons. Pertanto isolare un bug e conoscerlo prima, sia in termini difensivi che di attacco, fornisce un vantaggio strategico non indifferente.
All’interno della strategia non c’è scritto nulla di questo.
Quindi speriamo che tra le attività del CVCN, oltre a verificare la rispondenza agli standard, vengano effettivamente svolte reali attività di bug-hunting per isolare questi pericolosi e strategici bug di sicurezza, dove ruotano intorno ingenti finanziamenti di molti governi, di intelligence e di National State Actors, oltre ovviamente in ambito underground.
RedazioneI ricercatori di VUSec hanno presentato un articolo intitolato “Training Solo”, che mette in discussione i principi fondamentali della protezione contro gli attacchi Spectre-v2. In precedenza si r...
La corsa alla supremazia quantistica si sta trasformando in una corsa alla sopravvivenza delle criptovalute. Se i computer quantistici raggiungeranno la potenza promessa, saranno in grado di violare l...
Il 20 settembre scorso abbiamo riportato di un attacco informatico che ha paralizzato diversi aeroporti europei tra cui Bruxelles, Berlino e Londra-Heathrow. Si è trattato di un attacco alla supply c...
Il sistema penitenziario rumeno si è trovato al centro di un importante scandalo digitale: i detenuti di Târgu Jiu hanno hackerato la piattaforma interna dell’ANP e, per diversi mesi, hanno gestit...
Le autorità del Wisconsin hanno deciso di andare oltre la maggior parte degli altri stati americani nel promuovere la verifica obbligatoria dell’età per l’accesso a contenuti per adulti. L’AB ...
