Stefano Gazzella : 31 Ottobre 2024 07:49
Si sa, ottobre è il mese europeo della sicurezza cyber. E non solo: i 18 ottobre 2024 è applicabile l’obbligo per tutti i Paesi dell’Unione l’obbligo di recepimento della direttiva NIS 2 con lo scopo di promuovere un livello comune elevato di cybersicurezza. Ironia della sorte, è stato il mese in cui è emerso lo scandalo Equalizer e si parla molto – non sempre in modo avveduto – di accessi abusivi, traffico di dati e cybercriminali.
La vicenda ben potrebbe essere uno spunto per parlare di cybersecurity posture, eppure così non è. Si segue l’hype del momento concentrandosi sugli effetti, tant’è che sono invocate: commissioni d’inchiesta, task force, interrogazioni parlamentari e addirittura si prospetta già la creazione di nuove agenzie. Come se aggiungere dei layer ulteriori, o anche nuovi reati o aggravanti, possa riplasmare una realtà che quando presenta il conto si pone in modo piuttosto spiacevole.
Nel momento in cui le cause non vengono indagate è inevitabile pensare che lo scopo non sia tanto la ricerca di risoluzioni stabili correggendo ciò che non ha funzionato, ma approcci più gattopardeschi.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Una rappresentazione plastica di tutto ciò è fornita da comunicazioni più o meno istituzionali ma diffuse in ci si concentra su termini impropri o comunque inesatti quali dossieraggio, o hacker (da qualcuno definiti “smanettoni”) e si devia dal chiedere il conto delle responsabilità e di ciò che non ha funzionato.
Eppure la prima domanda che emerge anche da parte di chi non è un esperto di sicurezza cyber: che cosa non ha funzionato? Sul podio poi c’è anche un “Quanto ci costerà tutto questo?” e “Di chi è la responsabilità?” che si contendono il secondo o terzo posto, nella certezza che raramente ci saranno risposte soddisfacenti.
La proposta apparentemente virtuosa di aumentare il numero di esperti di sicurezza cyber mediante percorsi di formazione è anch’essa una reazione che però non tiene conto di quella realtà che spiace guardare. Il problema è che gli esperti di sicurezza cyber semplicemente scelgono di lavorare altrove e non in Italia né al servizio della PA. Il motivo non è solamente uno stipendio inadeguato e non al passo con l’offerta di altri Paesi, ma anche l’impossibilità di provvedere a quel work life che tanto viene predicato da molti guru di LinkedIn e destinato a rimanere nelle slides (accanto a quelle coloratissime in cui si parla di sicurezza cyber) o nell’oggetto della richiesta di fondi e finanziamenti ma che raramente viene messo in pratica. Infine: se l’esperto viene arruolato ma poi non ha agency – ovverosia: spazio di manovra – difficilmente vorrà fare il posterboy o la postergirl. Preferirà realizzarsi altrove.
La fuga dei cervelli, siano essi esperti cyber o meno, è un fatto che deve anch’esso imporre un ragionamento sul sistema e ciò che non funziona. Confidare in una soluzione facile giova solo a rafforzare l’illusione che un sistema funzioni al costo di non sapere se e quanto tale convinzione è erronea.
E anche qui, la realtà presenterà il conto.
Una overconfidence della sicurezza comporta alcune conseguenze comuni, tanto nelle organizzazioni private che pubbliche: negare tutto ciò che smentisce tale convinzione, anche con diffide e minacce più o meno velate nei confronti di chi fa notare che il Cyber Re è nudo; inseguire continuamente soluzioni e sovrastrutture senza mai riesaminare ciò che non ha funzionato; ritenere ciò che accade come “inevitabile” allontanando così ogni presa di coscienza e responsabilità.
Una frase molto cara di Philip K. Dick ricorda infatti: “Reality is that which, when you stop believing in it, doesn’t go away“. E dunque, al di là di ogni narrazione e (auto)convincimento, lo stato dell’arte è quello che stiamo vedendo. Forse sta a noi come cittadini essere più attivi sull’argomento della (in)sicurezza cyber, non riducendolo a qualcosa che non può essere cambiato o che non cambierà mai o che tanto non ci riguarda. A meno che, ovviamente, non preferiamo sorprenderci nel momento in cui la realtà verrà a bussare anche alla nostra porta.
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006