Redazione RHC : 27 Maggio 2022 07:25
E’ stata finalmente varata da qualche giorno la Strategia Nazionale di Cybersicurezza.
Con un documento di 30 pagine vengono definite 82 misure da implementare entro il 2026 per rendere la nostra Italia “resiliente” agli attacchi informatici. A tale realtà, riporta la strategia che “occorre far fronte, agendo secondo un approccio che includa l’adozione di misure di prevenzione e mitigazione del rischio volte a innalzare la resilienza delle infrastrutture digitali. Queste ultime non includono soltanto
reti, sistemi e dati, ma anche, e soprattutto, utenti, la cui consapevolezza – siano essi attori istituzionali, imprese private o cittadini – va alimentata attraverso una diffusa cultura della cybersicurezza.”
Le persone ad oggi hanno chiare nella loro mente il concetti di “rischio fisico”, ma per rendere consapevoli le persone del rischio informatico, occorre fare molta strada.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ne avevamo parlato a suo tempo su RHC, dicendo che ancora non abbiamo assimilato nel nostro DNA, per quanto riguarda il rischio informatico, l’effetto “cintura di sicurezza” o “casco integrale” e ci vorrà ancora del tempo.
La strategia inizia con le parole di Draghi che riporta:
“Le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico impongono all’Italia di proseguire e, dove possibile, incrementare le iniziative in materia di cybersicurezza. Dobbiamo tenere fede agli impegni assunti nell’ambito delle organizzazioni internazionali a cui l’Italia partecipa, anche tenuto conto dell’elevata qualità e dei massicci investimenti realizzati dai principali alleati e partner internazionali. È dunque necessaria una puntuale rivisitazione nella concezione e nella visione strategica dell’architettura nazionale di cybersicurezza.”
Per permettere tutto questo, l’architettura di cybersicurezza nazionale si è completamente riorganizzata, creando sinergie tra i vari comparti per poter lavorare tutti su un fine comune: evitare che il cybercrime dilaghi a dismisura nel nostro paese.
Ma a parte la strategia, che vi invitiamo di leggere con attenzione, scaricabile a questo link, volevamo porre attenzione al Centro di Valutazione e Certificazione Nazionale (CVCN).
Si tratta di laboratori di valutazione e certificazione di sistemi ed infrastrutture nazionali critiche che vede al centro l’Agenzia di Cybersicurezza Nazionale e i suoi laboratori interconnessi con laboratori satelliti che possono essere realizzati da organizzazioni private.
Detto più semplicemente, si tratterà di centri di valutazione che andranno ad effettuare dei controlli di sicurezza per verificare, prima della messa in campo di una infrastruttura informatica, se siano presenti particolari vulnerabilità di sicurezza che ne possano aumentare il rischio.
CybersecurityItalia, ai margini della presentazione della strategia nazionale di cybersicurezza ha fatto alcune domande al Prof. Baldoni. Alla prima domanda sulle partnership tra pubblico e privato e su come verranno realizzate Baldoni ha risposto:
“Tra le prime iniziative prossime ad uscire saranno i laboratori pubblico/privati per quanto riguarda la rete dei laboratori del centro di valutazione e certificazione nazionale”.
Continua Baldoni riportando che sarà istituito un bando di gara per poter richiedere i finanziamenti per queste iniziative:
“Verrà definito un vero e proprio bando di gara dove i privati potranno acquisire finanziamenti per quanto riguarda la costruzione di questi laboratori che sono particolarmente importanti per quanto riguarda lo screening tecnologico dei sistemi che entreranno a far parte delle nostre infrastrutture digitale core”
Questo sta a significare che si sta puntando alla valutazione e certificazione dell’aderenza agli standard da parte dei fornitori di infrastrutture critiche nazionali, in modo da verificarne la rispondenza prima del deploy di un servizio.
Abbiamo visto qualche giorno da come lo spyware predator abbia utilizzato per accedere a terminali di politici 5 vulnerabilità zeroday e prima ancora gli scandali sulla NSO group. Ma non dimentichiamoci anche degli attacchi alla supply chain e degli zeroday sui server di Kaseya utilizzati dalla cybergang d’èlite REvil per inoculare all’interno di librerie legittime porsioni di malware contenenti il ransomware che poi colpì a catena centinaia di vittime.
Oggi i bug non documentati sono a tutti gli effetti il materiale per costruire armi digitali che possiamo considerare di basso costo rispetto alle armi convenzionali, anche se occorrono particolari e rari skill per isolarli. Tali bug si traducono successivamente, nella fase di weaponization nei cosiddetti cyberweapons. Pertanto isolare un bug e conoscerlo prima, sia in termini difensivi che di attacco, fornisce un vantaggio strategico non indifferente.
All’interno della strategia non c’è scritto nulla di questo.
Quindi speriamo che tra le attività del CVCN, oltre a verificare la rispondenza agli standard, vengano effettivamente svolte reali attività di bug-hunting per isolare questi pericolosi e strategici bug di sicurezza, dove ruotano intorno ingenti finanziamenti di molti governi, di intelligence e di National State Actors, oltre ovviamente in ambito underground.
RedazioneLa Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...
Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...
Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...
Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...
Le autorità iberiche sono impegnate in un’indagine riguardante un pirata informatico che ha divulgato informazioni sensibili relative a funzionari pubblici e figure politiche di spicco. Tr...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
