Stefano Gazzella : 2 Aprile 2023 09:18
Si tratta di un viaggio che molte organizzazioni – talvolta a sorpresa e sempre malvolentieri – sono costrette ad affrontare nel momento in cui subiscono un attacco informatico che impiega questo tipo di malware.
Abbiamo già parlato del fenomeno del silenzio degli indecenti annoverandolo come una delle peggiori modalità di incident response.
Inoltre, se la tendenza consolidata è oramai quella della tecnica di double extortion, allora è opportuno che la strategia del silenzio venga sostituita al più presto da un’adeguata capacità di gestione dell’incidente.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
E capire così se e quando si realizza un data breach.
Per quale motivo gestire un incidente di sicurezza? Innanzitutto, l’adozione di una procedura efficace per la gestione dell’incidente informatico è un obbligo richiamato da più norme. Alcuni esempi sono: il GDPR, che prevede di verificare la sussistenza di obblighi di notifica – e provvedere a riguardo – entro 72 ore; la NIS, con la notifica senza indebito ritardo al CSIRT ora rafforzato con la NIS 2 che prevede un early warning entro le 24 ore; le disposizioni relative al Perimetro Nazionale di Sicurezza Cibernetica che prevedono una notifica degli incidenti entro 72 ore. E se l’organizzazione non ha adottato delle misure tecniche e organizzative per la gestione della violazione di sicurezza non c’è possibilità alcuna di rispettare né i termini di notifica né tantomeno di avere un livello sufficiente di informazioni da comunicare alle autorità destinatarie.
Spostando lo sguardo al di là degli adempimenti agli obblighi dettati dalla legge, o anche in forza delle norme ad adesione volontaria (emblematica la ISO 27001:2022), si guarda su un piano pratico. E dunque ci si chiede se le organizzazioni abbiano interesse a proteggere i propri asset strategici, fra cui rientrano le basi dati. A onor del vero, prima ci si dovrebbe chiedere se hanno consapevolezza del valore strategico dei dati personali e non che detengono. E se così è – perché difficilmente può essere altrimenti – allora è necessario avere una capacità di rilevazione e analisi dell’incidente informatico, anche nell’ottica di reagire con una risposta efficace e realizzare quel lesson learned che fa parte del miglioramento continuo della sicurezza. In questo caso specifico nell’ipotesi di occorrenza di un evento critico.
Tanto considerato, e guardando l’attacco ransomware con gli occhiali del GDPR, qualora siano coinvolti dei database contenenti dati personali (anche comuni quali e-mail, nomi e cognomi, o numeri identificativi ricollegabili a degli operatori, o altrimenti account utenti di rete interna) allora è un data breach. Anche nell’ipotesi di indisponibilità temporanea, piena recovery dei dati e nessuna esfiltrazione. Semplicemente, se non si ravvede un rischio consistente (o “non improbabile”) per gli interessati, sarà necessaria soltanto una registrazione interna. Nelle ipotesi di rischio, o rischio elevato, dovranno adempiersi gli obblighi di notifica al Garante e comunicazione agli interessati. Anche perché, in caso di omessa registrazione interna non solo si va a violare l’obbligo di cui all’art. 33.5 GDPR, ma viene anche meno quella documentazione dell’incidente necessaria per applicare eventuali strategie e analisi di medio o lungo periodo.
Stefano GazzellaPiaccia o meno, l’invio di un’email a un destinatario errato costituisce una violazione di dati personali secondo il GDPR. Ovviamente, questo vale se l’email contiene dati personali o se altrime...
Nel gergo dei forum underground e dei marketplace del cybercrime, il termine combo indica un insieme di credenziali rubate composto da coppie del tipo email:password. Non si tratta di semplici elenchi...
Sulla veranda di una vecchia baita in Colorado, Mark Gubrud, 67 anni, osserva distrattamente il crepuscolo in lontananza, con il telefono accanto a sé, lo schermo ancora acceso su un’app di notizie...
Anthropic ha rilasciato Claude Opus 4.5 , il suo nuovo modello di punta, che, secondo l’azienda, è la versione più potente finora rilasciata e si posiziona al vertice della categoria nella program...
Il lavoro da remoto, ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale. Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitor...
