CYBER MAGAZINE - Assintel

Pagina creata da Nicolò Sacco
 
CONTINUA A LEGGERE
CYBER MAGAZINE - Assintel
Anno 3 / Numero 5
                                                                2022

CYBER
MAGAZINE
                                       In questo numero:

Fai la cosa giusta:
perché i Responsible Disclosure sono fondamentali

Odio e incitamento:
la proposta europea per estendere l’elenco dei crimini europei
di hate speech ad hate crime

Internet Of Things:
c’erano una volta gli oggetti
CYBER MAGAZINE - Assintel
INDICE

                Fai la cosa giusta: perché i Responsible Disclosure sono
01.             fondamentali                                                         Pg. 04
                di Pierguido Iezzi, Swascan

                La babele della cybersecurity: un’azienda italiana ha in media 37
02.             soluzioni di sicurezza installate, ma molte non vengono utilizzate
                di Trend Micro
                                                                                     Pg. 06

                La cybersecurity come leva per la trasformazione digitale
03.             di Fabio Panada, Cisco Italia                                        Pg. 07

                Odio e incitamento: la proposta europea per estendere l’elenco
04.             dei crimini europei                                                  Pg. 08
                di Hate speech ad hate crime

05.             Internet Of Things: c’erano una volta gli oggetti
                di Valentina Arena, Encyberisk
                                                                                     Pg. 11

                Cinque trend di cui le aziende dovranno tenere conto durante
06.             la pianificazione dei budget per la cybersecurity 2022
                di Evgeniya Naumova, Kaspersky
                                                                                     Pg. 14

       COMITATO SCIENTIFICO:
       Paola Generali - Pierguido Iezzi - Davide Giribaldi - Andrea Ardizzone

       REDAZIONE:
       Federico Giberti - Melissa Keysomi

Cyber Magazine / Anno3 / n° 5 // 2022
CYBER MAGAZINE - Assintel
L’editoriale del Presidente Assintel
Paola Generali
Gennaio 2022

La sicurezza informatica è stata un’area di investimento importantissima per le
aziende italiane nel corso degli ultimi 12 mesi, spinta dall’accelerazione al digitale
contestuale agli episodi di lock down. Con la progressiva apertura delle reti agli
accessi da remoto e con la crescente adozione di servizi di cloud computing è
aumentata la consapevolezza da parte delle imprese della necessità di proteggere
i propri dati, sistemi e risorse interne da possibili incidenti o attacchi informatici.
La mappatura di Assintel Report ci restituisce un mercato ICT in crescita costante,
in cui cresce di pari passo l’investimento in cyber security. Circa l’80% delle aziende
utenti intervistate ha dichiarato di aver investito anche in sicurezza, mentre il 30%
di loro conferma il potenziamento anche per i prossimi 12 mesi.
Un altro fenomeno interessante per la cyber security è legato all’area delle
operations aziendali, che sta evolvendo attraverso un utilizzo crescente di
tecnologie di automazione e di analisi dei dati: con la progressiva connessione di
sistemi e macchinari produttivi in rete, infatti, cresce anche il perimetro aziendale da
proteggere da eventuali attacchi informatici che possono portare a un’interruzione
dell’operatività o al furto di dati sensibili.
Quello che ci sta dicendo il mercato è chiaro: la trasformazione digitale sta
accelerando la sua corsa e le aziende – non solo grandi ma anche PMI - stanno
progressivamente comprendendo l’importanza della protezione dei dati e dei
sistemi IT.

                                                              Cyber Magazine / Anno 2 / n° 5 // 2021
CYBER MAGAZINE - Assintel
Fai la cosa giusta: perché i Responsible Disclosure
sono fondamentali
A cura di Pierguido Iezzi, Swascan

Nel vasto mondo della cyber             o maggiore che sia. In quel          correzione è stata sviluppata,
security esiste un processo             caso è fondamentale essere           il vendor chiede al ricercatore
conosciuto e riconosciuto               aperti e recettivi ad ogni           di confermare se la correzione
chiamato             Responsible        comunicazione che arrivi in          funziona
Disclosure.                             questo senso.                        •       Dopo che il ricercatore
Detto in maniera sintetica,             Il processo di Responsible           “conferma” la correzione, il
per Responsible Disclosure              Disclosure è molto specifico         vendor implementa la patch
intendiamo        il     modello        e ci sono delle scadenze             •       Se il vendor è d’accordo,
di       divulgazione         delle     chiaramente        definite    per   un certo tempo dopo che
vulnerabilità in cui questa             il rilascio di una patch del         la patch è stata rilasciata, i
viene resa pubblica solo dopo           vendor in modo che gli utenti        dettagli della vulnerabilità
un determinato periodo di               possano avere tutto il tempo         possono essere pubblicati
tempo. Ciò rende possibile al           per implementarla (90 giorni         (qualsiasi cosa fino a 90 giorni
vendor interessato il processo          è lo standard accettato).            è normale)
di risoluzione della criticità e il     È anche spesso stabilito che         Per     quanto     riguarda     la
rilascio di una patch.                  un PoC (proof of concept             vulnerabilità di Log4j che ha
Volendo fare un esempio,                – ovvero un esempio di               causato caos e panico durante
l’azienda di cyber security             come può essere sfruttata            la fine del 2021, il processo di
che rileva la criticità informa         la vulnerabilità) può essere         Responsible Disclosure era
il vendor di quanto rilevato            rilasciato pubblicamente solo        già in corso quando è stata
e da a questo tutto il tempo            con l’approvazione del vendor.       rivelata pubblicamente (come
necessario a risolvere la               Occasionalmente le aziende           evidenziato dalla richiesta di
problematica.        Una      volta     richiedono ai ricercatori di         pull su GitHub che è apparsa il
risolta i primi procedono alla          sicurezza di accettare un            30 novembre).
diffusione di tutti i dettagli.         accordo di non divulgazione,         Mentre i commenti degli utenti
In      termini      pratici,    la     il che significa che i PoC           sulla pagina del progetto
Responsible Disclosure è un             potrebbero non finire mai per        GitHub di Apache Log4j
compromesso tra ciò che i               essere pubblicati anche se la        hanno indicato la frustrazione
vendor vorrebbero (nessuna              vulnerabilità è stata risolta da     per la velocità della correzione,
divulgazione pubblica) e la             tempo.                               questo è normale quando si
divulgazione completa che               Il processo di Responsible           tratta di risolvere vulnerabilità.
li    renderebbe       altamente        Disclosure         al       vendor   Dimostrazione,       comunque,
vulnerabili.                            interessato di solito segue          di quanto sia importante
                                        questa sequenza (se tutto va         questo paradigma nella cyber
La comunicazione              è   la    bene):                               security di oggi.
chiave: Log4j                           •       Il ricercatore o l’azienda
                                        di sicurezza informa il vendor       Il caso Swascan
Se si crea un software o                della vulnerabilità e fornisce
un’applicazione,        non     è       un PoC di accompagnamento            A differenza di Log4j, in
possibile sperare che questa            •       Il vendor conferma           Italia, Swascan è da tempo
sia per sempre perfetta ed              l’esistenza della vulnerabilità      protagonista    di   iniziative
immune a qualsiasi tipo di              e fornisce una linea temporale       di Responsible Disclosure
vulnerabilità: alla fine qualcuno       approssimativa per il rilascio di    di successo; da ultimo la
troverà una vulnerabilità di            una correzione                       collaborazione con il colosso
sicurezza in essa - minore              •       Una volta che una            dell’IT MSI.

Cyber Magazine / Anno3 / n° 5 // 2022
CYBER MAGAZINE - Assintel
Micro-Star          International    MSI sono venduti al dettaglio,     questi CVE. Da parte loro, MSI
(MSI) è una multinazionale           parti OEM, o ad altre imprese      è stata eccezionale nel ricevere
taiwanese        dell’informatica    Dopo aver rilevato gravi           e riconoscere il problema
con sede a Nuova Taipei e filiali    vulnerabilità legate all’azienda   e nel lavorare insieme per
nelle Americhe, in Europa, in        durante una scansione di           risolvere il problema in linea
Asia, in Australia e in Sudafrica.   Threat Intelligence, infatti,      con la migliore pratica di
Essa       progetta,      sviluppa   Swascan ha avviato il processo     Vulnerability       Disclosure.
e fornisce hardware per              di Responsible Disclosure con      Ancora una volta, l’intero
computer, prodotti e servizi         successo.                          processo dimostra quanto
correlati, tra cui: computer         Le grandi aziende, per natura,     sia diventata fondamentale
portatili, computer desktop,         sono     ambienti    complessi     la Cyber Threat Intelligence.
schede        madri,       schede    ed eterogenei. MSI non è           Senza di essa, questa criticità
grafiche, computer All-in-One,       diversa, un vasto perimetro        sarebbe         probabilmente
server, computer industriali,        può presentare una serie di        rimasta      dormiente       per
periferiche per PC, prodotti         complessità che potrebbero far     mesi o anche più a lungo, e
di infotainment per auto, e          scivolare alcune vulnerabilità     avrebbe potuto essere trovata
altri. L’azienda produce inoltre     attraverso la rete del proprio     dal Criminal Hacker prima
chipset di schede grafiche sia       dipartimento di sicurezza.         che il CIST avesse il minimo
per AMD che per nVidia. Alcuni       Ecco perché la cooperazione        sentore che potesse essere
produttori di computer come          è    così   importante.      Non   un problema. La sicurezza
Alienware e Falcon Northwest         appena abbiamo scoperto            informatica è prima di tutto
vendono PC equipaggiati              queste vulnerabilità, abbiamo      prevenzione, non dobbiamo
con schede madre MSI. MSI            contattato MSI e fornito prove     dimenticarlo…
produce anche schede madri           e PoC per spiegare meglio
adatte all’overclock. I prodotti     le possibili conseguenze di

                                                                         Cyber Magazine / Anno 3 / n° 5 // 2022
CYBER MAGAZINE - Assintel
La babele della cybersecurity: un’azienda italiana
    ha in media 37 soluzioni di sicurezza installate,
    ma molte non vengono utilizzate
    Una ricerca Trend Micro rivela che sempre più organizzazioni esternalizzano i servizi di
    cybersecurity per riuscire a contrastare le minacce IT. A cura di Trend Micro

In Italia le aziende hanno               rimane      critica,   in    caso   e la manutenzione, ma i
una media di 37 soluzioni                di violazioni o mancata             team SOC sono sempre più
di cybersecurity installate              compliance alla normativa           stressati e rischiano il burnout
a protezione della propria               GDPR, il campione rivela che        nel tentativo di gestire troppe
infrastruttura, ma nel 51% dei           l’azienda perderebbe una            soluzioni. La mancanza di
casi non vengono utilizzate              media di 230.000 euro.              capacità nel mettere in ordine
tutte. Il dato emerge dallo              “La proliferazione di diversi       di priorità gli avvisi può anche
studio “Managing the secops              strumenti è sempre più              esporre l’organizzazione a
tool sprawl challenge”, a opera          comune in tutte le aziende, ma      violazioni. Per questo non
di Trend Micro, leader globale           quando si tratta di rilevamento     sorprende che molte aziende
di cybersecurity.                        e risposta agli incidenti, c’è un   utilizzino      servizi    gestiti
Queste        le      principali         costo crescente che a volte         esternamente”. Ha concluso
motivazione che spingono                 non viene riconosciuto”. Ha         Salvatore Marcis.
la    maggior     parte    degli         affermato Salvatore Marcis,
addetti alla cybersecurity a             Technical Director di Trend         Metodologia e campione
non utilizzare determinate               Micro Italia.                       della ricerca
soluzioni:                               La ricerca rivela anche che il
                                         96% del campione ha preso           La ricerca, commissionata da
•     Le soluzioni sono obsolete         in considerazione la modalità       Trend Micro a Sapio Research,
      (39%)                              managed service – servizi           ha coinvolto 2.303 IT security
•     Mancanza di personale              gestiti, per esternalizzare le      decision maker in 21 Paesi,
      qualificato in grado di            capacità di rilevamento e           provenienti da aziende con
      utilizzarle (35%)                  risposta. Questi servizi possono    più di 250 dipendenti. In Italia
•     Mancanza di fiducia nella          aiutare a superare le criticità     il campione è stato di 100
      soluzione (29%)                    interne, determinando una           intervistati.
•     Difficoltà di integrazione         migliore strategia di gestione
      con altre soluzioni (25%)          e risposta agli incidenti.          Ulteriori informazioni sono
                                         “Le organizzazioni non solo         disponibili a questo link.
La     gestione    della   security      devono pagare per le licenze

Cyber Magazine / Anno 3 / n° 5 // 2022
CYBER MAGAZINE - Assintel
La cybersecurity come leva per la trasformazione
digitale
A cura di Fabio Panada, Cisco Italia

I nuovi modelli di lavoro e           riscatto, spesso solo per poter        abilitando l’MFA sui servizi
l’aumento        dei    dispositivi   ripristinare i servizi e i dati il     aziendali critici. Ma non
collegati alla rete hanno spinto      prima possibile. I settori più         solo: gli utenti potranno
le aziende a utilizzare nuove         colpiti sono quello della sanità,      accedere alla rete utilizzando
soluzioni      tecnologiche     in    subito seguito da quello della         semplicemente il loro telefono
grado di garantire la continuità      pubblica        amministrazione,       e sfruttando, ad esempio,
aziendale. Oggi ci troviamo di        a questi si aggiungono i               le funzionalità biometriche
fronte ad una rete sempre più         trasporti, le telecomunicazioni,       del device. Le soluzioni
estesa e complessa, fatta non         la produzione e l’istruzione.          Passwordless, come quella di
solo di dispositivi, ma anche di      Cosa possono fare le aziende per       Cisco DUO, garantiscono un
persone.                              difendersi in modo adeguato?           elevato standard di sicurezza
Una rete più ampia genera,            Consapevolezza, prevenzione,           e semplificano notevolmente
purtroppo,               maggiori     maggiore        controllo     degli    il processo di autenticazione.
opportunità          di     essere    accessi, semplicità d’uso e            Le soluzioni Cisco Security
attaccati. I criminali informatici    integrazione delle soluzioni di        sono facilmente integrabili,
utilizzano strumenti sempre           sicurezza utilizzate in azienda.       anche in situazioni dove
più sofisticati in grado non solo     La crescita del lavoro da              sono già presenti soluzioni di
di fermare completamente              remoto e dell’utilizzo delle           terze parti: questo approccio,
l’operatività, ma anche di            soluzioni        cloud       hanno     inserito in un processo Zero
prendere possesso dei dati            evidenziato          l’importanza      Trust, è la chiave per creare
aziendali:      il   ransomware       dell’autenticazione           degli    una strategia di cybersecurity
resta la minaccia numero              utenti e dei dispositivi che si        che sia funzionale, semplice e
uno e rappresenta quasi la            collegano alla rete aziendale.         adattabile.
metà di tutti gli attacchi a          Username e password non                Utenti, risorse e applicazioni
livello globale, come rilevato        sono mai stati un metodo               sono parte integrante della
recentemente da Cisco Talos,          particolarmente sicuro e la loro       strategia di sicurezza e sono il
la più grande organizzazione          compromissione resta ancora            motivo per cui gli investimenti
privata di intelligence sulle         uno dei metodi più utilizzati          in cybersecurity dei prossimi
minacce        informatiche      al   dai     criminali       informatici.   mesi dovranno prendere in
mondo.                                Abilitare un’autenticazione a          considerazione      piattaforme
Uno dei motivi principali             più fattori (MFA) è una delle          integrate, semplici da usare e
che spingono i criminali              difese più efficaci che le             che siano in grado di rilevare le
informatici ad utilizzare il          aziende hanno a disposizione:          attività non autorizzate e porre
ransomware come metodo                sarà così possibile prevenire          rimedio in modo tempestivo.
di attacco è la velocità con cui      la maggior parte dei tentativi
le vittime tendono a pagare il        di attacchi semplicemente
                                                                             Cyber Magazine / Anno 3 / n° 5 // 2022
CYBER MAGAZINE - Assintel
Odio e incitamento: la proposta europea per
estendere l’elenco dei crimini europei
 A cura di Hate speech ad hate crime

La Commissione europea ha                dei crimini di odio che            e ragazze ha subito violenza
recentemente         presentato          hanno ormai raggiunto una          online, comprese minacce e
un’iniziativa per estendere              portata e tendenza davvero         molestie sessuali, mentre le
l’elenco dei “crimini europei”           preoccupanti in ecosistema         persone con disabilità sono
ai discorsi d’odio e ai crimini          online ed offline.                 più a rischio di essere vittime
d’odio, coerentemente con                Tale fenomeno è invero emerso      di crimini violenti, inclusi
quanto      annunciato      dalla        con     particolare    evidenza    crimini d’odio, rispetto ad altre
Presidente von der Leyen                 durante la pandemia e si è         persone e di subire molestie.
nel suo discorso sullo stato             manifestato spesso attraverso      Per queste ragioni, a norma
dell’Unione del 2020, con                un progressivo aumento del         dell’articolo 83, paragrafo 1, del
riferimento al pieno rispetto dei        livello di odio manifestato        trattato sul funzionamento
valori europei fondamentali              contro, ad esempio, rom,           dell’UE (“TFUE”), il Parlamento
sanciti dall’articolo 2 del              ebrei, musulmani e persone         europeo e il Consiglio europeo
Trattato sull’UE.                        di origine asiatica, o percepite   possono       stabilire   norme
Si tratta di una importante              come di tale origine, inclusi      minime       sulla    definizione
iniziativa che segnerà un svolta         attacchi e percosse razziste,      dei reati e delle sanzioni
epocale nel monitoraggio e               bullismo violento, minacce e       nei settori della criminalità
conseguenziale repressione               abusi razzisti.                    particolarmente grave, come
dei discorsi di odio o di                Fonti europee hanno rilevato       ad esempio, il terrorismo
istigazione all’odio, nonché             che il 52% delle giovani donne     (anche on line), la tratta di

Cyber Magazine / Anno 3 / n° 5 // 2022
CYBER MAGAZINE - Assintel
esseri umani e lo sfruttamento       infatti a garantire che le            auspicabilmente           ampliato
sessuale di donne e bambini.         gravi       manifestazioni       di   l’elenco esistente di reati
In tale scenario, sulla base della   razzismo e xenofobia siano            dell’UE     nel     trattato    sul
progressione di fenomeni             punibili con sanzioni penali          funzionamento          dell’Unione
legati alla proliferazione della     efficaci,     proporzionate       e   europea (TFUE) al fine di
criminalità grave, il Consiglio      dissuasive in tutta l’UE e,           garantire      norme       comuni
europeo può adottare una             soprattutto, richiede agli Stati      minime su come definire i
decisione      che     identifichi   membri        di    criminalizzare    reati e le sanzioni applicabili in
altri settori, consentendo alla      l’incitamento       all’odio    per   tutti gli Stati membri dell’UE.
Commissione europea, in una          motivi di razza, colore della         Pertanto,       l’iniziativa     di
seconda fase, di proporre un         pelle, religione, discendenza         estendere l’elenco dei crimini
quadro solido per affrontare         o origine nazionale o etnica,         a livello UE, è un primo passo
l’incitamento all’odio e i reati     garantendo altresì che, per           per una risposta europea più
di odio a livello dell’UE.           reati diversi dall’incitamento        efficace alle minacce contro
Va detto tuttavia, che a livello     all’odio, la motivazione razzista     il pluralismo e l’inclusione e,
dell’UE, la decisione quadro         e xenofoba sia considerata            in questa direzione, intende
del Consiglio europeo sulla          un’aggravante o, in alternativa,      ulteriormente, sia sostenere
lotta a determinate forme            determinare un aumento                gli sforzi degli Stati membri
ed espressioni di razzismo e         delle sanzioni.                       per attuare efficacemente la
xenofobia mediante il diritto        Malgrado       ciò,     è    ancora   decisione quadro, attraverso
penale ha già rappresentato          necessaria un’azione comune           il lavoro del gruppo ad alto
e,      tuttora     rappresenta,     dell’UE per affrontare questa         livello sulla lotta al razzismo,
una forte risposta comune            sfida poiché attualmente non          alla xenofobia e ad altre forme
all’incitamento all’odio razzista    esiste una base giuridica per         di intolleranza, sia sostenere
e xenofobo e ai crimini ispirati     criminalizzare       l’incitamento    il piano d’azione dell’UE
dall’odio.                           all’odio e i crimini ispirati         contro il razzismo 2020-2025
La decisione quadro mira             dall’odio a livello dell’UE e va      e la strategia per combattere

                                                                           Cyber Magazine / Anno 3 / n° 5 // 2022
CYBER MAGAZINE - Assintel
l’antisemitismo e promuovere             presupposti ed evidenze al fine      dannosi sugli individui, sulle
la vita ebraica nell’UE, nonché          di procedere legislativamente        loro comunità e sulla società
la strategia per l’uguaglianza           verso l’estensione normata           in generale.
di genere 2020-2025.                     dell’elenco dei crimini dell’UE
                                                                                     Considerazione   degli
L’iniziativa inoltre, fa parte           ai discorsi d’odio e ai crimini
                                                                              sviluppi nella criminalità:
di una serie più ampia di                ispirati dall’odio, alla luce dei
                                                                              C’è     stato  un    aumento
azioni dell’UE per contrastare           criteri di cui all’articolo 83,
                                                                              costante nei due fenomeni
l’incitamento all’odio illegale e        paragrafo 1, TFUE:
                                                                              a causa di vari cambiamenti
le ideologie estremiste violente
                                               Considerazione     della      e sviluppi economici, sociali
e il terrorismo online, come
                                         dimensione transfrontaliera          e tecnologici. La pandemia
il codice di condotta dell’UE
                                         dell’incitamento all’odio e dei      di COVID-19 è stato uno dei
per contrastare l’incitamento
                                         crimini d’odio: l’incitamento        fattori che hanno contribuito a
all’odio illegale online, la
                                         all’odio online si diffonde          questo aumento.
proposta di legge sui servizi
                                         rapidamente ed è accessibile
digitali, il regolamento sulla                                                       Considerazione
                                         a tutti e ovunque. Le ideologie
lotta ai contenuti terroristici                                               dell’ulteriore          circostanza
                                         alla base dell’incitamento
online e il Forum Internet                                                    oggettiva che non sussiste
                                         all’odio e dei crimini d’odio
dell’UE.                                                                      alcuna                  alternativa
                                         possono essere sviluppate
A tal riguardo, si ricorda che                                                all’estensione          dell’elenco
                                         a livello internazionale e
l’Unione europea, in coerenza                                                 dei crimini dell’UE: i discorsi
                                         possono essere rapidamente
con la European Security Union                                                d’odio e i crimini d’odio
                                         condivise online. I crimini
Strategy, ha adottato lo scorso                                               sono criminalizzati in varia
                                         di    odio   possono     essere
16 marzo il nuovo regolamento                                                 misura negli Stati membri
                                         commessi da reti con membri
relativo al contrasto della                                                   dell’UE.     Solo      l’estensione
                                         di diversi paesi.
diffusione       di      contenuti                                            dell’elenco dei crimini dell’UE
terroristici online, preordinato                Considerazione               ai discorsi d’odio e ai crimini
a impedire ai terroristi di              dell’incitamento all’odio e          d’odio può consentire un
utilizzare la rete del web e i           crimini di odio come area di         approccio penale efficace e
social network per l’attività di         criminalità: la Commissione          globale a questi fenomeni a
reclutamento e incitamento               europea ritiene infatti che          livello dell’UE, insieme a una
alla radicalizzazione e alla             l’incitamento all’odio e i           protezione coerente delle
violenza.                                crimini di odio siano un’area        vittime di tali atti.
Scopo        della      strumento        di criminalità in quanto             A questo punto, il Consiglio
normativo è evidentemente                condividono una caratteristica       europeo è chiamato ad
quello di fornire agli Stati             intrinseca,   ovvero     l’”odio”    adottare all’unanimità, previa
membri        uno       strumento        nei confronti di persone             approvazione del Parlamento
che legittimi la richiesta ai            o gruppi di persone che              europeo, una decisione che
providers di pronta rimozione            condividono (o sono percepiti        identifichi         l’incitamento
dal web dei contenuti di                 come condivisione) le stesse         all’odio e i crimini ispirati
matrice terroristica.                    caratteristiche protette.            dall’odio come un’altra area
Del resto, i social network e le                                              di criminalità che soddisfa
                                                 Considerazione
piattaforme online sono ormai                                                 i criteri di cui all’articolo
                                         dell’incitamento          all’odio
da tempo strumenti di rapida                                                  83, paragrafo 1, del TFUE
                                         e crimini ispirati dall’odio
diffusione        dell’incitazione                                            e,     solo    successivamente,
                                         come ambito di criminalità
alla violenza finalizzata alla                                                la    Commissione           europea
                                         particolarmente            grave:
radicalizzazione      e,    spesso                                            potrà proporre l’adozione,
                                         l’incitamento all’odio e i
anche       alla    realizzazione                                             da parte delle istituzioni
                                         crimini ispirati dall’odio sono
ovvero allo sharing (live) di atti                                            europee, di una normativa che
                                         reati particolarmente gravi
e attacchi terroristici.                                                      stabilisca norme minime sulle
                                         poiché minano i valori comuni
L’iniziativa    proposta      dalla                                           definizioni e sulle sanzioni di
                                         e i diritti fondamentali dell’UE,
Commissione europea, come                                                     incitamento all’odio e reati di
                                         come sancito dagli articoli 2
di seguito indicato, fornisce                                                 odio in linea con la procedura
                                         e 6 del trattato sull’Unione
in definitiva una serie di                                                    legislativa ordinaria.
                                         europea.       Hanno     impatti

Cyber Magazine / Anno 3 / n° 5 // 2022
Internet Of Things: c’erano una volta gli oggetti
A cura di Valentina Arena, Encyberisk

C’era una volta un orologio,          spesso non ce ne rendiamo           Ashton, ricercatore del MIT,
un’automobile, un frigorife-          conto.                              alla Procter & Gamble.
ro e un pneumatico. Solo a            Il concetto di IoT si riferisce a   Ashton stava lavorando con
vederli, tutti desideravano in-       un’infrastruttura nella quale       dei colleghi ai tag RFID (eti-
contrarli, specialmente la pic-       miliardi di sensori incorpo-        chette elettroniche che pos-
cola Rete.                            rati in dispositivi comuni di       sono essere applicate più o
Un bel giorno la Rete inciam-         uso quotidiano (“oggetti” a sé      meno dappertutto e che pos-
pò negli oggetti e si innamorò        stanti oppure oggetti connes-       sono essere lette da remoto
perdutamente di essi.                 si ad altri o persone) sono pro-    con speciali apparecchi radio).
Passarono i giorni e poichè           gettati per registrare, trattare,   Quasi 20 anni dopo quei tag si
capì che stava bene con tutti...      conservare e trasferire dati e,     sono trasformati in sensori in
ma proprio con tutti, decise di       essendo associati a identifica-     grado di leggere dall’ambien-
non abbandonarne alcuno.              tivi univoci, interagiscono con     te le informazioni più diverse:
Nacque così l’Internet of Things.     altri dispositivi o sistemi che     dalla temperatura, al movi-
                                      sfruttano le capacità di colle-     mento, alla posizione GPS,
L’Internet delle cose, o la rete      gamento in rete.                    al peso di un oggetto o di un
degli oggetti connessi è qual-                                            corpo, alla composizione chi-
cosa che oggi impatta sulla           I MOMENTI IMPORTANTI                mica, all’umidità del suolo, e
vita di tutti noi, che sta trasfor-                                       di trasmetterle ovunque nel
mando profondamente molti             Il termine è comparso per           mondo utilizzando i protocolli
aspetti dell’economia e della         la prima volta nel 1999 in          e le infrastrutture di Internet.
nostra quotidianità, anche se         una presentazione di Kevin          Nel 2011, l’imprenditore e star-

                                                                          Cyber Magazine / Anno 3 / n° 5 // 2022
tupper statunitense Marc An-             nageriale, nel suo report ca-        prodotti.
dreessen con il suo “In short,           valcava la visione entusiasta        Michelin ha introdotto il con-
software is eating the world”            ed ottimista dello startupper        cetto di “tires as a services”
sentenziava al WALL STREET               stimando che entro il 2025           partendo dalle flotte di gran-
JOURNAL come il mercato                  l’IoT avrebbe rappresentato l’11     di autocarri, dotando i pro-
dell’epoca si stesse accingen-           % dell’economia globale.             pri pneumatici di una serie
do a vivere una importante                                                    di sensori che consentono di
transizione. Evidenziava in              ALCUNI ESEMPI DI BUSI-               monitorare lo stile di guida e
particolare come le organizza-           NESS BASATO SULL’IOT                 lo stato di usura del pneumati-
zioni maggiormente virtuose                                                   co stesso. Tale implementazio-
erano quelle che avevano de-             IL CASO MICHELIN                     ne ha portato diversi vantaggi
ciso di fondare i propri asset                                                tanto per i clienti quanto per la
aziendali non solo sulle “mac-           Anche se è l’esempio sicura-         stessa azienda tra cui:
chine” ma soprattutto sui                mente meno “software based”          • il monitoraggio dei consumi
software. Andreesen sottoline-           è certamente il più calzante         • la prevenzione dei malfun-
ava come i più grandi impren-            in quanto ci fa comprende-           zionamenti
ditori dell’epoca avessero intu-         re come l’implementazione            • la trasformazione di un bene
ito che un business “software            di sensori negli oggetti possa       in un servizio
based”, di per sé immateria-             trasformarsi in una importan-
le, avrebbe permesso loro di             te opportunità di business.          IL CASO BIOS INCUBE
conoscere maggiormente la                Leader nella produzione di
propria azienda e di massi-              pneumatici, Michelin fino a          Con l’obiettivo di cambiare il
mizzarne l’efficienza oltre che          poco tempo fa non sapeva as-         modo in cui le persone affron-
i profitti.                              solutamente nulla dei propri         tano la fine della vita, BIOS
Nel 2015, anche il Mckinsey              clienti lasciando ai Dealers,        INCUBE è la prima urna bio-
Global institute, società inter-         disseminati su tutto il territo-     degradabile al mondo che ha
nazionale di consulenza ma-              rio, la vendita diretta dei propri   introdotto l’idea di piantare un

Cyber Magazine / Anno 3 / n° 5 // 2022
albero con i resti ottenuti dopo     battersi durante l’utilizzo degli   misure di sicurezza quali pas-
la cremazione dei propri cari o      stessi riscontriamo                 sword forti per prevenire pos-
animali. Collegata direttamen-                                           sibili hackeraggi.
te tramite dei sensori Wireless      • la perdita di dati,
all’abitazione del possessore e      • i malware,
al suo smartphone permette           • l’accesso non autorizzato ai
di tenere sotto controllo lo sta-    dati,
to di salute della pianta.           • la sorveglianza illegale.

BUGS, BUGS EVERYWHERE                Ricordiamoci che gli IOT sono
                                     user friendly cioè creati ap-
Ci sono però molti interroga-        positamente per dare a tutti
tivi. In particolar modo questi      la possibilità di utilizzarli im-
concernono la vulnerabilità          mediatamente senza partico-
dei dispositivi, spesso utilizzati   lari difficoltà. In questo senso
al di fuori di una infrastruttu-     è importante che anche gli
ra informatica tradizionale e        utenti apportino le cautele
quindi non dotati di sufficien-      necessarie per evitare che gli
te sicurezza. Ebbene, tra i mol-     stessi possano essere “buca-
ti rischi in cui è possibile im-     ti” per esempio impostando

                                                                         Cyber Magazine / Anno 3 / n° 5 // 2022
Cinque trend di cui le aziende dovranno tenere
conto durante la pianificazione dei budget per la
cybersecurity 2022
A cura di Evgeniya Naumova, Kaspersky

Le aziende che in questo pe-             perdite indirette come la ne-       di dotarsi di soluzioni di cyber-
riodo stanno pianificando i              cessità di richiedere supporto      security dedicate.
budget per il nuovo anno do-             a consulenti di relazioni pub-      Inoltre, il lavoro a distanza e
vranno tenere ancora conto               bliche nel caso il breach diven-    la digitalizzazione dei proces-
dell’impatto che la pandemia             ti di pubblico dominio. Dall’in-    si aziendali hanno reso la si-
continua ad avere su ogni set-           dagine di Kaspersky è emerso,       curezza di un’infrastruttura
tore di business. La sempre              infatti, che il costo medio di      molto più difficile poiché più
maggiore digitalizzazione dei            una violazione dei dati per una     un sistema diventa complesso
processi aziendali imporrà alle          enterprise il cui data breach       e più è difficile tenere traccia
organizzazioni di inserire tra le        non sia stato diffuso dai media     di ciò che accade al suo inter-
priorità anche gli investimenti          è stato di 827.000 dollari. Sale    no. Questo ha portato molte
in cybersecurity.                        a 1,2 milioni nei casi in cui la    aziende non solo a pianificare
Lo scorso anno la pianifica-             violazione viene divulgata. Nel     ulteriori investimenti in sicu-
zione dei budget è avvenuta              2021, il numero di aziende che      rezza ma anche ad affidare
alla fine del 2020, nel bel mez-         ha dichiarato di aver subito        la sicurezza a fornitori esterni
zo della pandemia, e questo              una violazione dei dati è sta-      specializzati. La necessità di
ha portato molte aziende a               to inferiore rispetto agli scorsi   una forza lavoro qualificata
muoversi con cautela. Infatti,           anni. Questo si può attribuire      e di competenze specifiche
guardando ai dati dell’ultimo            agli investimenti significati-      non è certo una novità ma
report di Kaspersky IT Security          vi in cybersecurity in risposta     quest’anno per la prima vol-
Economics, il budget medio               alle precedenti violazioni dei      ta è stata una delle principali
di cybersecurity per il 2021 è ri-       dati - come il miglioramento        motivazioni che ha convinto
masto praticamente invariato             dei software e dell’infrastrut-     le aziende a esternalizzare la
per le piccole aziende: 267.000          tura IT o la formazione dei di-     gestione della cybersecurity
dollari, rispetto ai 275.000 dol-        pendenti – che hanno dato i         aziendale. Infatti, con la rapida
lari dell’anno precedente. Ma            loro frutti. Un altro tema che      adozione di nuove tecnologie
nelle grandi aziende, l’alloca-          rende prioritaria la spesa in       e il cambiamento dei modelli
zione è diminuita - da 14 mi-            cybersecurity è la crescente        di lavoro, combinati con la cre-
lioni di dollari nel 2020 a 11,4         adozione dei servizi cloud. La      scita esponenziale della com-
milioni di dollari nel 2021. An-         nostra ricerca annuale ha di-       plessità IT, le imprese di medie
che se l’impatto finanziario             mostrato che, con l’inizio del-     e grandi dimensione (52% e
delle violazioni di sicurezza            la pandemia, l’uso dei servizi      56%) hanno affidato la gestio-
informatica non è aumentato              cloud da parte delle aziende        ne della sicurezza a un MSP.
significativamente (per le PMI           è aumentato. Nel 2019, ad uti-      Non sappiamo con certezza
è cresciuto di poco nel 2021,            lizzare un servizio cloud – pri-    quali nuove sfide porterà il
mentre per le enterprise è di-           vato, pubblico o infrastrutture     prossimo anno. Nonostante
minuito del 15%), questo non             desktop virtuali (VDI) - è stato    il naturale desiderio umano
significa che non sia più ne-            il 72% delle imprese. Nel 2020-     di voler andare sul sicuro, esi-
cessario prevedere un piano              2021, questa percentuale è          ste la grande opportunità di
di protezione per le aziende.            aumentata all’88%. Questo           cambiare e prendere decisio-
La violazione dei dati per un’a-         nuovo trend ha portato alla         ni coraggiose. Questo vale an-
zienda può portare a perdite             nascita di nuove esigenze per       che per il processo di budge-
notevoli come la perdita di              la protezione dell’infrastruttu-    ting: l’approccio del “facciamo
contratti o multe, ma anche a            ra in-the-cloud e la necessità      come l’anno scorso” non fun-

Cyber Magazine / Anno 3 / n° 5 // 2022
zionerà più. La valutazione e      protezione sia considerata fin
la modellazione del rischio do-    dall’inizio dello sviluppo. Que-
vrebbero essere fatte in base      sto approccio “secure by de-
alle tendenze più recenti, ai      sign” aiuterà le aziende a rag-
cambiamenti che avvengono          giungere la Cyber Immunity
nell’infrastruttura aziendale e    dalla maggior parte dei rischi.
nei processi di business e, so-
prattutto, in base alle esigenze
del business. Andando oltre,
per poter mantenere sicuri
sistemi specifici, è necessario
un nuovo approccio in cui la

                                                                      Cyber Magazine / Anno 3 / n° 5 // 2022
Anno 3 / Numero 5
2022

                             CYBER
                             MAGAZINE
   In questo numero:

   Fai la cosa giusta:
   perché i Responsible Disclosure sono fondamentali

   Odio e incitamento:
   la proposta europea per estendere l’elenco dei crimini europei
   di hate speech ad hate crime

   Internet Of Things:
   c’erano una volta gli oggetti
Puoi anche leggere