CYBER MAGAZINE Sanità nel mirino: i cyber rischi e le possibili contromisure L'incidente informatico: come riconoscerlo e prevenirlo - Assintel
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Anno 2 / Numero 4
2021
CYBER
In questo numero: MAGAZINE
Sanità nel mirino:
i cyber rischi e le possibili contromisure
L’incidente informatico:
come riconoscerlo e prevenirlo
Cinque buone abitudini per le aziende per
minimizzare i rischi di ransomware
Cyber Magazine / Anno 2 / n° 4 // 2021
INDICE
L’editoriale
pg 4 pg 12 pg 24 del Presidente Assintel
Sanità nel mirino: i Cinque buone abitudini La privacy differenziale Paola Generali
cyber rischi e le possibili per le aziende per non è un mostro a tre
contromisure minimizzare i rischi di teste
di Pierguido Iezzi, ransomware di Valentina Arena,
Swascan di Kaspersky Lab Encyberisk
pg 6 pg 14 pg 26 L’Europa di fronte alla cybersecurity ha un atteggiamento simile
a quello del calzolaio che cammina con le scarpe rotte: l’80% delle
Il 67% degli italiani che Cybersecurity Act – Il Dati e considerazioni aziende europee è vittima di almeno un incidente di sicurezza
lavora nella security è futuro delle certificazioni dall’indagine OAD 2020 informatica all’anno, dimostrando davvero poca conoscenza sul tema.
sopraffatto emotivamente europee per la Cyber- sulla cybersecurity in Ma, parallelamente, proprio alcuni dei principali ricercatori e operatori
dalle minacce IT che deve Security di prodotti e Italia durante la fase di cybersecurity più innovativi al mondo sono europei.
Questo dualismo merita una particolare attenzione, perché può
gestire servizi “ICT” iniziale della pandemia di
essere lo spunto per mettere a fattor comune delle risorse esistenti ed
di Trend Micro di Riccardo Modena, Covid-19
estendere sempre di più la “cyber-evangelizzazione” fra le imprese.
Sernet di Marco Bozzetti, AIPSI Soprattutto se si tratta di MPMI, che restano tradizionalmente più
pg 8 scoperte, per risorse disponibili e cultura aziendale.
L’incidente informatico: pg 17
In questo contesto, risalta positivamente l’iniziativa europea
come riconoscerlo e Dal perimetro cyber Cyberwatching.eu, che – come ci spiegano i colleghi della European
prevenirlo nazionale all’Agenzia DIGITAL SME Alliance – fornisce dei tool di analisi e di intervento
di Davide Rapallino, Cyber nazionale: a che proprio sui temi della sicurezza informatica e della privacy. Si parte
Encyberisk punto siamo? da un’autovalutazione, che attesta con un certificato il superamento
di Davide Maniscalco, del livello basic di consapevolezza e competenze, si prosegue con
una sorta di “termometro” che indica il proprio rischio legato alla
pg 10 Swascan
compliance con il GDPR, ed infine si può accedere a risorse gratuite
Perché non cedere alle a livello informativo e formativo. La possibile chiusura del cerchio
richieste di riscatto dei
pg 21 è un marketplace dedicato, che permette un incontro fra offerta e
domanda di soluzioni digitali per la cybersecurity. Uno spunto per
cybercriminali Ogni società è una società
riflettere su come sia utile fare sistema, al di là dei particolarismi,
di Riccardo Paglia, [fatta] di software con l’obiettivo comune di creare una cultura condivisa che agevoli la
Swascan di Paolo Da Ros, Da Ros e crescita digitale nella nostra casa comune europea. Questo numero
associati del Magazine affronta anche questa tematica. Buona lettura.
COMITATO SCIENTIFICO
Paola Generali - Pierguido Iezzi - Davide Giribaldi - Andrea Ardizzone
REDAZIONE
Federico Giberti - Caterina Scarioni
Cyber Magazine / Anno 2 / n° 4 // 2021
Sanità nel mirino: i cyber rischi e le
da una recente ricerca del L’aumento di richiesta di
Il ricorso obbligatorio (e team Unit 42 di Palo Alto “telehealth” ovvero cura
possibili contromisure spesso implementato in
maniera troppo rapida) di
Network ci sarebbe stato un
aumento del 189% dei casi
sanitaria da remoto ha
aumentato la gravità del
sistemi di tracciamento o di attacco phishing verso o problema.
trattamento a distanza, l’uso legati a farmacie e ospedali
di Pierguido Iezzi di applicazioni e servizi digitali fra dicembre 2020 e febbraio Il tema fondamentale è uno:
anche di ricerca per gestire 2021. Nello stesso lasso di l’aumento della superficie
L’emergenza post pandemia sanitari sono così quali sono i rischi e le
l’emergenza e la campagna tempo, gli attacchi a tema d’attacco. La pandemia ha
da COVID-19 ha messo interessanti per i threat minacce principali da tenere
vaccinale da COVID-19 “vaccino” sono aumentati del costretto il personale e le
sotto pressione le strutture actor? in considerazione in questo
non hanno fatto altro che 530%. strutture ospedaliere a fare
sanitarie. Oltre all’attività specifico ambito?
aumentare la superficie utile ricorso a strumenti innovativi,
primaria di cura dei pazienti, il I vantaggi di un sistema
d’attacco. Sono proprio questi Questo è un tratto comune spesso senza considerare
nuovo scenario informatico e informativo condiviso che Il problema “ransomware”
elementi ad aver costretto la delle campagne di phishing: attentamente le possibili
sociale ha creato i presupposti contenga i dati dei pazienti
CISA, il principale organismo il cambiare tema con uno ramificazioni dal lato della
per nuovi rischi, nuove sono ovvi: una più rapida Nell’ultimo periodo diverse
statunitense per quanto sguardo sempre rivolto cybersecurity. Ora è però
minacce e schemi offensivi fruizione dei dati, risparmi strutture sanitarie di altri
concerne la cybersecurity, a all’attualità per sfruttare necessario fissare standard
che mettono nel mirino dal punto di vista economico Paesi sono finite nel mirino
emanare un avviso a tutto il ancora di più l’emotività dei comuni e configurare con
proprio l’Healthcare. e burocratico, e uno di organizzazioni criminali
settore dell’healthcare. destinatari del messaggio attenzione le soluzioni
snellimento delle procedure. specializzate nell’uso di
(non solo via email ma tecnologiche per non mettere
I rischi da questo punto La digitalizzazione di questi ransomware. Con particolare
Nel contesto dei data breach anche via SMS con la a rischio i dati degli utenti.
di vista coinvolgono dati crea però le condizioni riferimento alle strutture
del settore sanitario, avvenuti tecnica dello smishing) per
principalmente l’asset di ideali per possibili attacchi private degli Stati Uniti, i
fra gennaio 2020 e febbraio ridurre la capacità di critica Un sondaggio di Infoblox
maggiore valore contenuto hacker. threat actor hanno notato
2021, il 55% dei casi è avvenuto ragionevole e aumentare il proprio sul punto ci ha
nei sistemi informatici delle una maggiore inclinazione
proprio a causa di un attacco tasso di conversione (ovvero restituito dei valori allarmanti:
strutture sanitarie, ovvero i I principali rischi per i al pagamento del riscatto
ransomware. E durante di esecuzione dell’azione il 53% degli operatori sanitari
dati. sistemi informatici sanitari rispetto ad altri operatori in
il periodo dell’offensiva, richiesta sia essa un click su coinvolti ha dichiarato che la
Perché i sistemi informatici Dal punto di vista pratico settori diversi.
l’accesso agli EHR (electronic di un link o il download di un propria struttura ha avuto casi
health records) è stato allegato). di data breach su cloud nei
negato, costringendo in 12 mesi precedenti. Uno degli
alcuni casi i pazienti a Anche in questo caso è esempi più famosi è il recente
rivolgersi ad altre strutture. importante investire sul caso di un database su cloud
La soluzione utilizzata fino a Fattore Umano, coinvolgendo non protetto che conteneva
poco fa per questo problema le risorse in attività di i dati di 3,1 milioni di pazienti
si basava principalmente sulle formazione con corsi e (nel contesto di un software di
cyber assicurazioni ma visti webinar sui temi del phishing. gestione ospedaliera).
i recenti eventi, per alcune Le tecniche offensive si
strutture diventa obbligatorio stanno evolvendo e una Ecco perché anche le
implementare sistemi di conoscenza superficiale strutture sanitarie devono
autenticazione a più fattori e della materia può risultare rivalutare il proprio approccio
sistemi di endpoint detection pericolosa. al tema della cybersecurity,
and response per ottenere riducendo il rischio umano
l’accesso a polizze. Vulnerabilità su cloud ed attraverso la formazione
errori di configurazione e ricostruendo le proprie
Phishing in aumento fondamenta a partire dai
I data breach si sono 3 pilastri della sicurezza
Oltre ai rischi dei ransomware, spesso verificati anche predittiva, preventiva e
non va trascurato il fattore per configurazioni troppo proattiva.
umano che lascia spesso la sbrigative delle piattaforme e
porta aperta a offensive di dei servizi su cloud utilizzati Non abbassiamo la guardia!
phishing. Come dimostrato dal personale ospedaliero.
4 5
Cyber Magazine / Anno 2 / n° 4 // 2021
Il 67% degli italiani che lavora nella
security è sopraffatto emotivamente
dalle minacce IT che deve gestire
Uno studio di Trend Micro rivela i costi umani all’interno dei Security
Operation Center
di Trend Micro
Il 67% dei professionisti italiani da potenziali catastrofi, settori real estate, legale,
che lavora in un Security ma le pressioni a volte retail e sanità sono quelli
Operation Center (SOC) possono avere un alto costo maggiormente sommersi
o nell’IT, è emotivamente personale”. Ha affermato dal lavoro. Ad alzare i livelli
colpito dal dover gestire e Salvatore Marcis, Technical di stress, il fatto che solo il
affrontare le minacce IT e Director di Trend Micro Italia. 53% del campione dichiari di
i livelli di stress influiscono “Le organizzazioni devono poter contare sul supporto
negativamente sulla qualità preservare il proprio organico della dirigenza e che il 69%
della vita fuori dal luogo di e implementare delle si aspetta o sia già alle prese
lavoro. Il dato emerge da piattaforme di rilevamento con una violazione.
“SECURITY OPERATIONS ON e risposta più sofisticate che
THE BACKFOOT: How poor siano in grado di correlare e I risultati della ricerca di
tooling is taking its toll on mettere in ordine di priorità Trend Micro sono corroborati
security analysts”, l’ultima gli alert. Questo non solo da un recente studio di
ricerca di Trend Micro, leader aumenterà il grado generale Forrester1 che afferma che “i
globale di cybersecurity. di protezione ma anche team di IT security sono sotto
la produttività e i livelli di organico in caso di incident
Lo studio rivela anche soddisfazione degli analisti di response. I Security Operation
che il 51% del campione è cybersecurity”. Center hanno bisogno di
sopraffatto dal volume di un metodo di detection e
alert che riceve, mentre il 34% La ricerca rivela che molti response più efficace, ad
non ha fiducia nelle proprie responsabili SOC non esempio VisionOne XDR,
tecnologie, che dovrebbero riescono a rilassarsi e sono completamente diverso
mettere in ordine di priorità le irritabili in famiglia e con gli da quelli presenti ora sul
minacce, e spende il 26% del amici. Sul luogo di lavoro mercato”.
proprio tempo a risolvere falsi oltre il 44% del campione
positivi. ha ammesso di aver dovuto Metodologia e campione
spegnere gli alert e di essersi della ricerca
“I professionisti che lavorano allontanato dal computer
all’interno dei Security (39%) per non essere La ricerca, commissionata da
Operation Center svolgono sopraffatto emotivamente del Trend Micro a Sapio Research,
un ruolo cruciale nella lotta tutto. Il 54% degli intervistati ha coinvolto 2.303 IT security
alle minacce cyber poiché spera anche che in queste decision maker in 21 Paesi,
si trovano in prima linea a occasioni intervenga un provenienti da aziende con
dover gestire gli attacchi collega, il 42% ignora gli alert. più di 250 dipendenti. In Italia
per mantenere le proprie il campione è stato di 100
organizzazioni al sicuro I team che lavorano nei intervistati.
1 Allie Mellen, Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR (Forrester, 2021)
6 7
Cyber Magazine / Anno 2 / n° 4 // 2021
L’incidente informatico: come
casi rimarrà un incidente di In particolare, questo vengano ripristinate;
sicurezza. processo si avvale di 6. Valutazione e
riconoscerlo e prevenirlo Occorre sottolineare che
procedure e linee guida che
possono essere raggruppate
adeguamento: inserire nel
piano i risultati di quanto
spesso un data breach in 6 fasi: appreso dall’incidente per
di Davide Rapallino inizia come un incidente di migliorare le metriche, i
sicurezza e solo in seguito 1. Preparazione: consistente controlli e le pratiche di
Nel caso in cui una società della società da parte di personali (GDPR). passa al livello successivo. nella stesura di un piano sicurezza informatica.
venga colpita da un attacco personale non autorizzato; e nella definizione delle
informatico, l’evento viene 2. blackout che condiziona Alcuni esempi di data breach Quindi la domanda procedure operative. In conclusione, il processo
spesso definito come l’operatività dei sistemi possono essere: successiva sorge spontanea. 2. Rilevamento e di Incident Response, oltre
data breach o incidente di informatici; • un accesso non classificazione degli ad essere uno strumento
sicurezza delle informazioni. 3. violazione delle politiche di autorizzato ad un sistema Come prevenire e gestire un incidenti di sicurezza in essenziale per prevenire
sicurezza aziendali. nel quale sono conservati incidente di sicurezza? base al livello di gravità e e gestire gli incidenti di
Ma sono la stessa cosa? dati personali; all’elemento scatenante; sicurezza, costituisce un
Data breach • un attacco ransomware Le aziende, considerando 3. Contenimento tassello del più generale
No. I due termini possono che ha reso inaccessibili l’incremento degli attacchi dell’attacco per piano di Business Continuity
sembrare simili ma è molto Mentre tutte le violazioni dei alcuni dati personali. informatici, devono quindi minimizzarne gli effetti; che serve a garantire
importante imparare a dati personali sono incidenti essere pronte a prevenire 4. Raccolta e analisi delle continuità alle attività
distinguerli in considerazione di sicurezza, non tutti gli Con il sempre maggior e gestire un incidente prove per contenere aziendali a fronte di una
del fatto che per le aziende incidenti di sicurezza sono numero di persone che informatico impostando un efficacemente una qualsiasi tipologia di evento
possono derivare differenti necessariamente violazioni lavorano da remoto, negli efficace piano di Incident violazione e a concentrarsi e a prevenirne una possibile
obblighi normativi. dei dati personali. ultimi anni sono aumentate Response che viene definito su attività di risanamento; interruzione.
vertiginosamente le violazioni come la capacità operativa 5. Ripristino: indicare le
In questo articolo cercheremo Questo perché un incidente di dati personali. di identificare, preparare e misure atte a garantire
di spiegarvi come saper di sicurezza include, oltre gli In base al Data Breach rispondere agli incidenti di che le normali operazioni
distinguere questi due eventi. eventi causati da attacchi Investigations Report sicurezza. e le procedure volte a
effettuati dall’esterno, di Verizon Business gli prevenire incidenti futuri
Prima di tutto… in cosa anche incidenti derivanti attacchi di phishing nel
consistono? dal trattamento interno che 2020 sono aumentati
violano i principi di sicurezza. dell’11%, mentre quelli che
Incidente di sicurezza delle utilizzano ransomware del
informazioni. La violazione di sicurezza 6%. L’85% delle violazioni
dei dati personali (cd. data è stato determinato da
È un evento indesiderato o breach), dunque, è una una componente umana
imprevisto che può essere particolare tipologia di e oltre l’80% è stato
causato da un evento incidenti di sicurezza che scoperto esternamente
naturale, attacchi e violazioni ha ad oggetto informazioni all’organizzazione.
ed ha una significativa di natura personale e può
probabilità di: pertanto comportare un Come posso dunque
• compromettere le rischio elevato per i diritti e le determinare se un evento è
operazioni aziendali; libertà delle persone fisiche. un incidente di sicurezza o
• minacciare la riservatezza, un data breach?
integrità e disponibilità del Per tale motivo, a differenza
patrimonio informativo di un incidente di sicurezza, L’elemento che ci permette
aziendale. tale violazione deve essere di differenziare i due eventi
A titolo esemplificativo notificata al Garante per la è la tipologia di dati coinvolti
possono essere qualificati protezione dei dati personali in quanto se sono interessati
come incidenti di sicurezza: come disposto dagli artt. 33 e i dati personali, l’evento
1. accesso a reti, sistemi, 34 del Regolamento generale sarà classificato come data
applicazioni di proprietà per la protezione dei dati breach mentre in tutti gli altri
8 9
Cyber Magazine / Anno 2 / n° 4 // 2021
Perché non cedere alle richieste di
E il ripristino dei dati è rilevamento, nella mitigazione
comunque nella maggior e nella prevenzione di questa È necessario rivalutare
riscatto dei cybercriminali parte dei casi parziale e
laborioso dato che solo il
minaccia. nel complesso il proprio
approccio alla cybersecurity
29% delle vittime è riuscito a E questo vale anche per ricostruendo la propria
di Riccardo Paglia riavere i propri dati nella loro colossi dei settori più architettura su 3 pilastri
totalità e integrità. disparati, aziende che almeno fondamentali:
I ransomware continuano stata quella più propensa a Questi numeri ci dimostrano da un punto di vista teorico
a creare danni rilevanti ad I numeri della questione pagare (65%). che negli ultimi 12 mesi dovrebbero disporre delle • Sicurezza Predittiva.
aziende di tutto il mondo. E Tendenze più basse al una fascia significativa di risorse umane, tecnologiche • Sicurezza Preventiva.
a fronte dell’evoluzione dello Le percentuali non mentono pagamento si sono invece consumatori ha deciso di ed economiche per far fronte • Sicurezza Proattiva.
schema offensivo, un numero e sono il frutto di un recente registrate fra le vittime con pagare il riscatto per riavere alla questione. Il gigante JBS,
sempre maggiore di vittime studio condotto dal NISC età compresa fra 16 e 24 anni accesso ai propri dati. principale operatore negli Questo nella pratica
decide di pagare il riscatto (Neustar International (52%). Ma pagare non significa Stati Uniti nel settore della significa valutare il tema
per chiudere la questione Security Council): il 60% E solo l’11% delle vittime necessariamente chiudere la macellazione della carne, ha della sicurezza nella sua
riducendo le perdite. Ma è delle vittime di un attacco con età superiore a 55 questione, anzi, incoraggia i confermato il pagamento complessità, non limitandosi
davvero la strada maestra da ransomware decide di anni ha deciso di chiudere cyber criminali a continuare di 11 milioni di dollari di al proprio perimetro difensivo,
percorrere? pagare il riscatto. Numeri che la questione cedendo sulla stessa falsariga. riscatto a seguito dell’attacco ma guardando oltre,
combaciano sostanzialmente all’estorsione dei cyber subito dal ransomware REvil, rimanendo costantemente
Cos’è un ransomware? con quelli raccolti da criminali. Ecco perché è sempre all’interno di un’offensiva in aggiornati sullo stato delle
Kaspersky in un simile preferibile non pagare: grado di mettere in ginocchio minacce esterne, sulle
I ransomware sono malware sondaggio concluso nella Pagare non significa immaginare una scorciatoia, e bloccare l’intero processo tendenze dell’ultimo periodo
che hanno l’obiettivo di primavera del 2021 (in cui risolvere una soluzione rapida produttivo aziendale. e cercando attivamente
cifrare e sottrarre dati sensibili la percentuale era del 56% all’interno di un contesto possibili indicatori che
alla macchina, alla rete o al su un campione di 15.000 L’aspetto preoccupante è che così complesso, non è E aveva pagato anche facciano presupporre una
sistema informatico colpito. consumatori). una percentuale compresa fra realistico. Il giro d’affari dei Colonial Pipeline una cifra violazione dei propri sistemi.
Dopo che i dati sono stati il 13 e il 17% (rispettivamente ransomware è continuato pari a 4,4 milioni di dollari,
resi inservibili, viene lasciata Sono interessanti anche i nello studio condotto dal a crescere anche a seguito dopo l’attacco che ha fatto Con un sistema di sicurezza
una nota di riscatto che dati demografici rispetto ai NISC e da Kaspersky) non del caso Colonial Pipeline notizia anche nel nostro formato da strumenti
indica la cifra da pagare per paganti: si è vista restituire i dati e non sembra destinato ad Paese, creando impennate automatici efficaci, software
riottenere accesso alle proprie anche dopo aver effettuato il arrestarsi nemmeno a fronte dei prezzi e scene di caos alle aggiornati, reti prive di
informazioni attraverso una La fascia di popolazione di età pagamento. della maggiore attenzione stazioni di servizio di diversi vulnerabilità gravi e un
chiave. compresa fra 35 e 44 anni è mediatica e giurisdizionale sul Stati USA. Potremmo anche organico composto da
fenomeno. citare il caso di CNA Financial persone formate, l’indice di
che sempre a maggio si è rischiosità dei ransomware
Una tendenza in crescita vista costretta a pagare 40 scende notevolmente,
milioni di dollari di riscatto per eliminando alla radice le
Invece che pagare il riscatto riottenere pieno controllo dei condizioni necessarie affinché
e sperare per il meglio, le propri sistemi informatici. la complessa catena di
aziende, gli individui e le attacco che culmina con la
organizzazioni a rischio Se non bisogna pagare, cosa richiesta di riscatto diventi
dovrebbero mettere fare? realtà.
maggiore enfasi sulla
prevenzione del rischio La statistica e i freddi dati Non abbassiamo la guardia!
ransomware. Spesso la ci dicono che pagare non
decisione di pagare è risolve la situazione, anzi
motivata dall’assenza di probabilmente l’ha aggravata
effettive alternative dato che a livello sistemico. Cosa
le soluzioni di cyber security bisogna fare allora per
attualmente applicate non difendersi dalla minaccia dei
sono risultate sufficienti nel ransomware?
10 11
Cyber Magazine / Anno 2 / n° 4 // 2021
Cinque buone abitudini per le aziende
prendere in considerazione ottimi piani di risposta e di minimi o nulli. Questo è
una formazione interattiva e comunicazione possono particolarmente importante
per minimizzare i rischi di ransomware l’utilizzo di test per garantire
che i dipendenti prestino
aiutare a contenere il panico.
Andrebbero considerati come
per le PMI, per proteggersi
da potenziali attacchi
attenzione, in particolare una sorta di rifugio e una informatici e dall’effetto a
di Kaspersky Lab quelli che lavorano con dati scorta di rifornimenti contro catena che ciò può avere sulle
sensibili come chi si occupa di una futura tempesta, in grado operazioni quotidiane. Per
I ransomware possono I backup di sistema lunghissima di email da contabilità, questioni legali e di aiutare l’azienda a resistere avere cura dei propri profitti
sembrare un problema che dovrebbero essere un inviare. Tuttavia, l’esecuzione risorse umane. alla crisi e, qualora fosse non c’è soluzione migliore
riguarda esclusivamente processo regolare: è di un aggiornamento sul necessario reagire in modo di rimanere vigili e attuare
le aziende più grandi e essenziale garantire che sistema operativo o sul Avere cura delle proprie tempestivo, a risparmiare comportamenti sicuri.
conosciute. In realtà, come siano sempre accessibili e software aziendale può password tempo durante i processi
dimostrano diversi studi di aggiornati. Effettuare sempre fornire informazioni molto decisionali.
Kaspersky, sono molte le nuovi backup e, se possibile, importanti circa la sicurezza, Non tutte le password
ragioni per le quali anche archiviarli su dispositivi che nonché le funzionalità che vengono create utilizzando E se accadesse il peggio?
le piccole e medie imprese non siano connessi alla potrebbero semplificare il la stessa attenzione. È
(PMI) dovrebbero esserne rete aziendale. In questo lavoro che si sta facendo. importante usare chiavi I ransomware possono
a conoscenza e cercare di modo i dati rimarranno Invece di vederlo come d’accesso complesse per colpire qualsiasi azienda,
tutelarsi. Nel 2020 infatti circa al sicuro nel caso l’intera tempo sprecato, andrebbe accedere ai servizi aziendali, grande o piccola che sia, ma
il 35% delle PMI è stato colpito rete venga compromessa. utilizzato come momento per e utilizzare l’autenticazione a è importante ricordarsi che
da un attacco ransomware, Inoltre, è importante fare sgranchirsi le gambe, riposare più fattori per fare accesso ai il riscatto non andrebbe mai
con un costo medio di sempre in modo che in gli occhi, prendere qualcosa servizi da remoto. Questo è pagato, per nessun motivo. In
$183.000: questo dimostra caso di emergenza i backup da bere e tornare al lavoro con particolarmente importante un primo momento potrebbe
che il trend non dovrebbe si possano facilmente rinnovata concentrazione e, per servizi aziendali quali ad sembrare la soluzione
essere ignorato. recuperare e utilizzare. Questa soprattutto, con un dispositivo esempio la contabilità, dove migliore e anche l’unica,
è un’ottima pratica per ogni più sicuro. queste precauzioni sono in ma non dà la garanzia di
Lungi dal passare situazione, non solo quando grado di proteggere dati e recuperare i dati. Al contrario,
inosservate, le piccole e si tratta di ransomware. Continuare a parlare di denaro da azioni accidentali incoraggerà i colpevoli a
medie imprese potrebbero Si tratta di un modo per sicurezza informatica o intenzionali. Prendiamo il continuare con le loro attività
risultare addirittura più tornare indietro nel tempo, caso in cui venisse smarrito illecite mostrando loro che il
vulnerabili proprio perché al momento precedente Sapere è potere quando si il laptop aziendale. Molte crimine paga.
non considerano la a qualsiasi incidente che tratta di sicurezza online. aziende sono preparate
sicurezza informatica una abbia causato la perdita o la È importante quindi che all’eventualità di perdere beni Infatti, secondo quanto
priorità rispetto ad altre corruzione di dati aziendali. le aziende informino i fisici, ma è solo attraverso emerso da un’indagine di
problematiche aziendali. Uno dei grandi punti a favore dipendenti della varietà di l’uso di password sicure Kaspersky su un campione di
Tuttavia è importante farsi di questo approccio è che minacce per la sicurezza che si può essere certi che i 15.000 utenti a livello globale,
trovare pronti nell’eventualità l’azienda può continuare a informatica a cui potrebbero dati rimangano al sicuro se solo un quarto di coloro che
di un attacco, soprattutto funzionare normalmente, andare incontro, che si il laptop finisce nelle mani hanno pagato i truffatori
perché molte semplici senza interruzioni. tratti di email di phishing, sbagliate. ha recuperato i propri dati.
abitudini per la sicurezza siti web sospetti o software La cosa migliore da fare è
informatica sono anche utili in Mai rimandare gli scaricati da fonti non ufficiali. Sperare per il meglio, segnalare l’accaduto alle forze
generale a garantire processi aggiornamenti Dovrebbe essere un processo prepararsi al peggio dell’ordine, invece di cedere al
aziendali più affidabili e sicuri. rilassato e informale, ad ricatto. Altrimenti è possibile
A questo proposito riportiamo Eseguire gli aggiornamenti esempio attraverso una Spesso, quando in azienda, cercare online uno strumento
qui alcune misure essenziali e quando richiesto dal vostro sessione online di domande per qualsiasi motivo, si di decrittazione come No
best practice da seguire per le sistema operativo può libere, accompagnata da verificano casi di perdita More Ransom.
aziende: sembrare una seccatura immagini e storie vere e di dati, scoppia il panico
inutile, specialmente coinvolgenti con cui ci si e i diversi dipartimenti Far diventare le buone
Fare regolarmente i backup, quando si sta svolgendo possa identificare. Se è cercano di stimare come ciò abitudini parte integrante
non solo una tantum un lavoro importante o necessario un approccio influirà su di loro e sui loro della giornata, offre
si è di fronte ad una lista più formale, si potrebbe team. In questi casi degli diversi benefici con sforzi
12 13
Cyber Magazine / Anno 2 / n° 4 // 2021
Cybersecurity Act – Il futuro delle
interessante sottolineare dai Paesi non appartenenti di certificazione su tutto
che, oltre a supportare all’Unione Europea): ciò il territorio dell’Unione
certificazioni europee per la Cyber- ENISA e la Commissione
Europea nell’applicazione del
obbliga le aziende ad
intraprendere diversi
Europea. A questo proposito
è bene specificare che
Security di prodotti e servizi “ICT” Cyber-Security Act, il SSCG è processi per l’ottenimento il Cybersecurity Act non
attualmente coinvolto nella di differenti dichiarazioni di istituisce Framework
la definizione di un nuovo conformità, sostenendo costi direttamente operativi: questi
di Riccardo Modena schema di certificazione per i significativi per poter offrire ultimi, in fase di elaborazione
servizi Cloud. i propri prodotti/servizi “ICT” da parte di ENISA per
Cos’è il Cybersecurity Act? Act rafforza il ruolo di sfiducia nei consumatori,
sui mercati transnazionali. specifiche categorie di
ENISA: tra i nuovi compiti attraverso opportune misure
La certificazione di sicurezza Attraverso il Cybersecurity prodotti e servizi “ICT”,
La Cybersecurity è un dell’Agenzia vi è infatti quello di sicurezza, rafforzare
dei prodotti e dei servizi Act, l’Unione Europea mira saranno adottati formalmente
tema di rilevante attualità di fornire ai Paesi Membri la “resilienza” dei Paesi
digitali a facilitare lo scambio di dalla Commissione Europea
soprattutto nel panorama consulenza e supporto alla Membri, ovvero la resistenza
prodotti e servizi “ICT” e al e di conseguenza, resi
politico-economico gestione degli attacchi degli stessi alle principali
L’esigenza di una revisione contempo a rafforzare la validi e riconosciuti in
attuale, caratterizzato dal informatici, in cooperazione minacce informatiche. A tale
della materia deriva dal sicurezza dell’intera catena tutti i Paesi Membri. Gli
forte impatto delle nuove con i restanti membri proposito, nel Giugno 2020 si
fatto che molti degli di approvvigionamento, schemi di certificazione
tecnologie nei processi dell’Unione Europea. è costituito ufficialmente lo
schemi di certificazione attraverso l’istituzione di un così adottati sostituiranno
aziendali, nella nostra società “Stakeholder Cybersecurity
attualmente esistenti non quadro di regole comuni a progressivamente quelli
e nel nostro modo di vivere. Oltre a fornire un sostegno Certification Group (di
sono riconosciuti da tutti i tutti i Pasi Membri in grado nazionali, anche se le
concreto e puntuale ai singoli seguito “SCCG”), un gruppo
Paesi Membri (e tantomeno di disciplinare gli schemi dichiarazioni di conformità
In tale contesto l’attività di Paesi Membri, ad ENISA di autorevoli istituzioni
prevenzione, rilevazione spetta un ruolo chiave nella europee la cui missione è
e gestione degli attacchi definizione degli schemi per quella di fornire ad ENISA e
che provengono dal Cyber- la certificazione di prodotti alla Commissione Europea
Space diventa un’esigenza e servizi “ICT” introdotti il necessario supporto,
irrinunciabile. In questo dal Cybersecurity Act. Il facilitando la risoluzione
contesto l’Unione Europea Cybersecurity Act, sviluppato di eventuali problemi
ha pubblicato nell’Aprile in coerenza con i principali riguardanti la definizione del
2019 “Regolamento U.E. Standard Internazionali in Framework di certificazione
2019/881 (…) relativo al ruolo materia di sicurezza delle della Cyber-Security. Nello
ENISA (…) e alla certificazione informazioni e protezione dei specifico, l’obiettivo del SCCG
della cybersicurezza per le dati personali, è uno degli è quello di ridurre quanto più
tecnologie dell’informazione elementi cardine della nuova possibile la frammentazione
e della comunicazione (…)” strategia dell’Unione Europea degli schemi sviluppati dai
- meglio conosciuto come in materia di “sicurezza singoli Paesi Membri per la
Cyber-Security Act – la cui cibernetica”. certificazione dei prodotti
entrata in vigore a tutti gli e servizi “ICT”. Attualmente,
effetti è prevista per il mese Questo Regolamento nasce il SCCG è composto da n.
di Giugno 2021, a distanza con l’obiettivo di definire 50 membri provenienti da
di due anni dalla sua un Framework normativo varie organizzazioni, tra cui:
pubblicazione. Trattandosi armonizzato ed applicabile a istituzioni accademiche,
di un Regolamento tutti i Paesi Membri, stimolare organizzazioni di
Europeo (quindi una fonte la fiducia nell’economia consumatori, organismi di
normative sovraordinata digitale, fornendo alle aziende certificazione, enti regolatori
rispetto alle leggi nazionali), e ai consumatori informazioni e preposti allo sviluppo
il Cybersecurity Act è chiare circa il “livello di di Standard, aziende,
immediatamente recepibile affidabilità” dei prodotti e associazioni di categoria
e applicabile in tutti i Paesi dei servizi “ICT”, contrastare il e altre organizzazioni
Membri, senza necessità di fenomeno del Cyber-Crime, in associative attive in Europa ed
ulteriori interventi legislativi. grado di rallentare la crescita interessate alla certificazione
Il Regolamento Cybersecurity delle aziende e generare di Cyber-Security. E’
14 15
Cyber Magazine / Anno 2 / n° 4 // 2021
Dal perimetro cyber nazionale all’Agenzia
rilasciate alle aziende non competitivo, in un contesto trattamenti o modifiche non
perderanno la loro efficacia sociale, politico ed economico autorizzate, cancellazioni,
e rimarranno validi sino alla
loro scadenza naturale. A
sempre più sensibile alla
sicurezza delle informazioni,
perdite o mancanza di
disponibilità; registrazione
Cyber nazionale: a che punto siamo?
seguito dell’approvazione di dei dati personali e alla delle informazioni, dei
un Framework da parte di mitigazione dei rischi dati personali o dei servizi di Davide Maniscalco
ENISA, le aziende potranno introdotti dalla sempre più acceduti, identificando
richiedere a specifici Enti rapida evoluzione delle quali sono stati utilizzati o La configurazione del sicurezza. e servizi informatici di cui
Certificatori autorizzati la tecnologie “ICT”. altrimenti trattati, in quale perimetro nazionale Successivamente, con all’articolo 1, comma 2,
certificazione dei propri Oltre al miglioramento della momento e da chi; verifica cibernetico è ancora in separato Dpcm, firmato il 25 lettera b), del decreto-legge
prodotti o dei propri servizi reputazione dell’azienda che i prodotti (hardware corso di configurazione e, novembre è stata predisposta 21 settembre 2019, n. 105,
“ICT”. e della percezione della e software) e i servizi “ICT” dopo l’avvicendamento tra il la lista segreta degli oltre 100 convertito, con modificazioni,
stessa da parte dei propri possano essere mantenuti Governo Conte ed il Governo soggetti — pubblici e privati dalla legge 18 novembre
Implicazioni aziendali e di Stakeholders (es. Clienti, aggiornati, anche in maniera Draghi, continua comunque — individuati e inclusi nel 2019, n. 133, e di misure volte
mercato Fornitori, Partner, Pubblica automatizzata e non inesorabile la definizione perimetro. a garantire elevati livelli di
Amministrazione, ecc.), contengano vulnerabilità dell’architettura nazionale di sicurezza (Gazzetta Ufficiale
Le implicazioni del affrontare in modo serio e note; ripristino della presidio del quinto dominio, Nelle successive settimane n.138 dell’11-6-2021).
Cybersecurity Act, per tutte sistematico un processo di disponibilità e dell’accesso a tutela delle infrastrutture inoltre, le commissioni Difesa
le realtà di Business che certificazione consente di alle informazioni, ai dati strategiche del nostro Paese, di Camera e Senato, in sede A rafforzare l’azione di
offrono prodotti o servizi ottimizzare i processi operativi personali e ai servizi “ICT” in da intendersi quali operatori consultiva, davano green governo preordinata ad
“ICT” sono estremamente interni, sistematizzare le modo tempestivo in caso di servizi essenziali (OSE) light, seppur con rilievi, allo introdurre strumenti di
rilevanti, sotto diversi punti misure di sicurezza adottate di incidenti, di natura fisica e fornitori di servizi digitali schema del secondo Dpcm tutela ancora più stringenti
di vista. L’ottenimento di una e coinvolgere il Management o informatica, in grado (FSD). recante “notifiche degli contro le escalations di
certificazione rappresenta, nelle principali tematiche di di comprometterne la incidenti aventi impatto attori stranieri su società che
infatti, un “plus” d’importanza sicurezza delle informazioni e continuità. Va tuttavia detto che la su reti, sistemi informativi gestiscono assets strategici,
strategica che consente protezione dei dati personali. gestazione che ha condotto e servizi informatici di cui venivano emanati i DPCM
all’azienda di operare a livello Se si considera che ciascuno al Governo Draghi, ha all’articolo l, comma 2, n. 179 del 18.12.2020 n. 180
transnazionale ed estendere Come il “GDPR”, che ha di questi elementi è già determinato una inevitabile lettera b), del decreto-legge del 23.12.2020 (entrambi
la propria offerta a tutti i Paesi introdotto nelle norme in ampiamente trattato discontinuità che, per certi 21 settembre 2019, n. 105, pubblicati in GU n. 322 del
Membri dell’Unione Europea materia di protezione dei da specifici Standard versi, si è tradotta in una convertito, con modificazioni, 30.12.2020), rispettivamente
e ottenere un riconoscimento dati personali il concetto Internazionali (es. ISO dilatazione del timing per dalla legge 18 novembre recanti “Regolamento per
della sicurezza dei prodotti e di “Privacy by Design”, 27001 per la sicurezza delle il completamento dell’iter 2019, n. 133, e di misure volte l’individuazione dei beni
dei servizi “ICT” offerti. anche il Cybersecurity Act informazioni, ISO 27701 per la attuativo. a garantire elevati livelli e dei rapporti di interesse
disegna un modello basato protezione dei dati personali, di sicurezza, in attuazione nazionale nei settori di cui
La certificazione dei prodotti sul principio di “Security ISO 22301 per la continuità dei Ed infatti, il primo Dpcm del dell’articolo l, comma 3, del all’articolo 4, paragrafo 1, del
e dei servizi “ICT” secondo i by Design”, mettendo la processi operativi, ISO 20000 30 luglio 2020, n. 131, recante decreto-legge 21 settembre regolamento (UE) 2019/452
canoni del Cybersecurity Act sicurezza cibernetica al centro per la qualità dei servizi “Regolamento in materia 2019, n. 105, convertito, con del Parlamento europeo e
prevede infatti di assegnare del processo di sviluppo di “ICT”, ecc.), l’adeguamento di perimetro di sicurezza modificazioni, dalla legge 18 del Consiglio, del 19 marzo
a questi ultimi un vero e prodotti e servizi “ICT”. rispetto a queste Best nazionale cibernetica, ai sensi novembre 2019, n. 133. 2019, a norma dell’articolo
proprio “livello di affidabilità” In quest’ottica, anche i Practices rappresenta il primo dell’articolo 1, comma 2, del 2, comma 1-ter, del decreto-
(di base, sostanziale o Framework di certificazione passo che ciascuna azienda decreto-legge 21 settembre Il provvedimento, dopo legge 15 marzo 2012, n. 21,
elevato) commisurato ai rischi elaborati da ENISA dovranno dovrebbe compiere per 2019, n. 105, convertito, con avere acquisito il parere del convertito, con modificazioni,
connessi all’uso degli stessi, assicurare che prodotti, non arrivare impreparata al modificazioni, dalla legge Consiglio di Stato, veniva così dalla legge 11 maggio 2012,
che è anche un indicatore servizi e processi informatici momento della certificazione 18 novembre 2019, n. 133”, avviato alla pubblicazione in n. 56” e “Regolamento per
della capacità di resistere ad rispettino una serie di requisiti secondo la prassi del pubblicato nella Gazzetta GURI, che avveniva data 11 l’individuazione degli attivi di
eventuali attacchi di natura di sicurezza, puntualmente Cybersecurity Act. Ufficiale n. 261 del 21 ottobre giugno 2021 in riferimento rilevanza strategica nei settori
informatica. elencati all’interno dell’Art. 51 2020 (entrata in vigore in al DPCM 14 aprile 2021, n. 81 dell’energia, dei trasporti e
L’acquisizione di una del Cybersecurity Act: data 05/11/2020), ha elencato recante “Regolamento in delle comunicazioni, a norma
dichiarazione di conformità protezione delle informazioni, i criteri di individuazione dei materia di notifiche degli dell’articolo 2, comma 1,
rappresenta, inoltre, un dei dati personali e dei soggetti pubblici e privati incidenti aventi impatto del decreto-legge 15 marzo
vero e proprio vantaggio servizi “ICT” da accessi, inclusi nella cintura di su reti, sistemi informativi 2012, n. 21, convertito, con
16 17
Cyber Magazine / Anno 2 / n° 4 // 2021
modificazioni, dalla legge 11 l’espletamento dei servizi dei casi di deroga per le Consiglio dei ministri per i perimetro. dovessero verificare (la lista
maggio 2012, n. 56”, entrambi informatici individuati forniture in sede estera; profili di competenza. delle misure di sicurezza e la
destinati ad estendere il nell’elenco trasmesso alla • con cui i fornitori dei I soggetti pubblici e privati tassonomia degli incidenti
potere di veto del Presidente Presidenza del Consiglio suddetti beni, sistemi e Frattanto con nota del ulteriormente inclusi per cui il soggetto è tenuto
del Consiglio dei Ministri, dei ministri e al Ministero servizi destinati alle reti, ai 15.06.2021, il Presidente del nel perimetro saranno a notificare sono state
meglio noto come “Golden dello sviluppo economico. sistemi e ai servizi rilevanti Consiglio, Mario Draghi, conseguentemente notificati pubblicate in allegato al
Power”. Si tratta, in particolare, assicurano al CVCN e ai a seguito della proposta dal Dipartimento delle DPCM 81/2021 dell’11 Giugno
dei beni appartenenti a Centri di valutazione del formulata dal Comitato informazioni per la sicurezza 2021).
Frattanto, con il Dpr n. categorie individuate da Ministero della difesa e interministeriale per la ed entro sei mesi saranno
54 del 05 febbraio 2021 un decreto del Presidente del Ministero dell’interno, sicurezza della Repubblica, tenuti a comunicare le Per permettere una adeguata
(pubblicato in GURI n. 97 del del Consiglio dei ministri per quanto di rispettiva ha firmato, l’aggiornamento reti, i sistemi informativi organizzazione ai soggetti
23 aprile 2021) veniva data sulla base di criteri competenza, la propria dell’elenco dei soggetti inclusi ed i servizi informatici che inclusi nel perimetro al fine di
attuazione alle disposizioni tecnici che dovrà essere collaborazione per nel perimetro di sicurezza impiegano rispettivamente ottemperare alle procedure
di cui all’articolo 1, comma emanato entro 10 mesi l’effettuazione delle attività nazionale cibernetica. per l’erogazione delle funzioni di notifica di incidenti, queste
6, lettere a), b), e c) del dall’entrata in vigore della di test, sostenendone gli e dei servizi essenziali dello ultime procederanno in
decreto-legge 21 settembre norma di conversione oneri; È stato, così, previsto un Stato inclusi nel perimetro. via sperimentale fino al 31
2019, n. 105, convertito nella del decreto. Il processo di • con cui il Ministero dello allargamento dell’ambito Viene dunque innalzato Dicembre 2021.
legge n. 133/2019, recante verifica è effettuato dal sviluppo economico e alla di applicazione del ulteriormente il livello
“misure urgenti in materia Centro di valutazione e Presidenza del Consiglio perimetro ad ulteriori di resilienza cibernetica A questo punto, seguendo
di perimetro di sicurezza certificazione nazionale dei Ministri, negli ambiti soggetti pubblici e privati degli attori maggiormente la roadmap disegnata dalla
nazionale cibernetica e (CVCN) – istituito presso rispettivamente assegnati che, complessivamente, sensibili ai fini della sicurezza Presidenza del Consiglio, si
disposizioni riguardanti la il Ministero dello sviluppo loro nel perimetro, esercitano, attraverso reti, nazionale. attende l’emanazione degli
disciplina dei poteri speciali economico – con svolgono le attività di sistemi informativi e servizi Parallelamente, dal 23 giugno ultimi due Dpcm:
nei settori di rilevanza riferimento ai soggetti ispezione e verifica informatici, 223 funzioni 2021 il perimetro di sicurezza
strategica”, sullo scrutinio pubblici e privati o dai in relazione a quanto essenziali dello Stato, ovvero nazionale cibernetica ha • il terzo afferente
tecnologico sui beni ICT. Centri di valutazione del previsto dal decreto- erogano servizi essenziali per iniziato ad essere “operativo” alle categorie per le
Ministero della difesa e legge. In tale contesto, il mantenimento di attività nei confronti dei soggetti quali sarà necessario
A tal proposito giova ricordare del Ministero dell’interno in considerazione delle civili, sociali o economiche pubblici e privati inseriti nella effettuare la notifica al
che il comma 6 dell’articolo 1, per le acquisizioni specificità, le attività strategiche. lista originaria. Centro di valutazione e
lettere a), b) e c) del succitato rispettivamente destinate di verifica e ispezione certificazione nazionale
decreto-legge demanda a un alle proprie reti, sistemi riguardanti le reti, sistemi Allo stesso tempo, si Questi ultimi sono, quindi, (CVCN);
regolamento – da emanare ai informativi e servizi e servizi connessi alla è provveduto ad un tenuti ad applicare le previste • il quarto, relativo ai criteri
sensi dell’articolo 17, comma informatici. Sono definiti funzione di prevenzione e affinamento di alcune misure di sicurezza e a per l’accreditamento dei
1, della legge 23 agosto 1988, i termini per le fasi di repressione dei reati, alla funzioni e servizi essenziali notificare allo CSIRT italiano laboratori competenti
n. 400, entro dieci mesi dalla individuazione di test tutela dell’ordine e della dello Stato già ricompresi nel gli eventuali incidenti che si per le verifiche delle
data di entrata in vigore della e condizioni per la sicurezza pubblica e alla
legge di conversione del valutazione dell’oggetto di difesa e sicurezza militare
decreto-legge – la definizione fornitura e per l’esecuzione dello Stato, sono svolte,
di procedure, modalità e dei test, decorsi i quali senza nuovi o maggiori
termini: i soggetti inclusi nel oneri a carico della finanza
perimetro possono pubblica, dalle strutture
• ai quali devono attenersi proseguire nella procedura specializzate in tema
i pubblici e privati inclusi di accertamento. di protezione di reti e
nel perimetro di sicurezza Sono stati esclusi gli sistemi, nonché in tema di
nazionale cibernetica approvvigionamenti prevenzione e contrasto
che intendano procedere necessari per le attività di del crimine informatico,
all’affidamento di forniture prevenzione accertamento delle Amministrazioni da
di beni, sistemi e servizi e repressione dei reati cui dipendono le Forze di
ICT, destinati a essere ed è stato previsto di polizia e le Forze armate,
impiegati sulle reti, sui demandare al decreto che ne comunicano gli
sistemi informativi e per attuativo la disciplina esiti alla Presidenza del
18 19Cyber Magazine / Anno 2 / n° 4 // 2021
Ogni società è una società [fatta] di
condizioni di sicurezza, “indirizzi per la protezione • a supportare lo sviluppo
atteso in GURI per giugno cibernetica e la sicurezza di capacità industriali,
2021.
Intanto, in data 8 giugno
informatica nazionali”. tecnologiche e scientifiche
nel campo della
software
2021, veniva pubblicato nella Vale la pena di evidenziare cybersicurezza, in un’ottica
Gazzetta Ufficiale dell’UE il che già con la Legge 7 di autonomia strategica Nel mondo delle app l’ azienda “ È “ la propria app.
Regolamento (UE) 2021/887 agosto 2012, n. 133 sono stati nazionale ed europea nel
del Parlamento Europeo e progressivamente attribuiti settore;
di Paolo Da Ros
del Consiglio del 20 maggio al Dipartimento delle • a dare attuazione al Piano
2021 che istituisce il Centro informazioni per la sicurezza Nazionale di Ripresa e Con software si intende quello costruire posizioni di
Europeo di Competenza per (DIS), compiti e funzioni Resilienza (PNRR); strumento che una volta vantaggio competitivo. È In passato il contesto
la cybersicurezza nell’ambito pienamente rientranti • a mettere in stretto velocizzava le attività manuali fondamentale migliorare architetturale era stabile:
industriale, tecnologico, della nell’ambito della salvaguardia raccordo l’architettura e che poi passò a velocizzare costantemente le funzionalità, su un mainframe, in
ricerca e della rete dei centri della sicurezza nazionale. di cybersicurezza i processi, fino ad arrivare ai con rapidità, e la sicurezza. ambiente client server o web,
nazionali di coordinamento. nazionale con il Sistema giorni nostri in cui lo scopo l’applicazione era sempre “di
L’iter di conversione del di informazione per è di velocizzare i processi La velocità è indispensabile: casa” e in più, con internet, la
A tal riguardo, è mandatorio Decreto-Legge è stato la sicurezza della aziendali. se lancio un nuovo prodotto, postazione dell’utente poteva
l’articolo 6, rubricato avviato con assegnazione alle Repubblica previsto D’altra parte le applicazioni ho comprato gli spazi essere esterna.
“Designazione dei centri Commissioni riunite I Affari dalla legge 3 agosto definiscono la struttura pubblicitari e ho registrato gli L’arrivo del Cloud Native
nazionali di coordinamento”, Costituzionali e IX Trasporti 2007, n. 124, a fronte di interna di un’azienda e la spot, non posso permettermi Computing ha cambiato
paragrafo 1, nella parte in in sede referente, in relazione una chiara separazione modalità con cui questa che i commerciali non tutto. Il cloud non è più solo
cui sancisce che entro il 29 all’Atto n. 3161 presentato il di competenze a tutela si rapporta con il mondo abbiano in tempo la app un modo semplificato, rapido
dicembre 2021, ciascuno Stato 14 giugno 2021, con parere della sicurezza nazionale esterno. Spesso però questo che serve per concludere la ed economico per ottenere
membro designa un ente (...) delle Commissioni II Giustizia nel dominio cibernetico concetto non è chiaro: nella vendita. quello che prima richiedeva
che agisce in qualità di centro (ex articolo 73, comma 1-bis, dell’attribuzione di poteri percezione del cliente la lunghi tempi di progettazione
nazionale di coordinamento del regolamento, per le di controllo al Comitato banca coincide ancora con Negli anni il miglioramento e approvvigionamento, ma
(...). disposizioni in materia di parlamentare per la l’app per il banking. del ciclo di sviluppo è stato abilita una nuova architettura
sanzioni), III Affari Esteri, IV sicurezza della Repubblica Una volta realizzata la affidato alle metodologie. applicativa.
Il Regolamento, con portata Difesa, V Bilancio e Tesoro, VI (Copasir); connessione tra azienda e le Structured programming,
generale e direttamente Finanze, VII Cultura, X Attività • a promuovere una funzionalità del suo software rapid prototyping, RAD, In presenza di applicazioni
applicabile in ciascuno Stato produttive, XI Lavoro, XII gestione coordinata, con i (il cosiddetto approccio extreme programming, Agile monolitiche, i micro servizi,
membro, è entrato in vigore Affari sociali, XIV Politiche UE, diversi attori coinvolti, delle digital), è sulle applicazioni sono solo alcune delle parole ognuno completamente
lo scorso 28 giugno 2021 e, Commissione parlamentare attività di prevenzione, che occorre lavorare per chiave. indipendente e fornito del
frattanto, con il Decreto- per le questioni regionali e preparazione e risposta a
Legge n. 82 del 14 giugno 2021 Comitato per la legislazione. situazioni di crisi, anche
recante “Disposizioni urgenti mediante la costituzione,
in materia di cybersicurezza, In estrema sintesi, l’impianto nell’ambito dell’istituenda
definizione dell’architettura normativo disegnato Agenzia, del Nucleo per la
nazionale di cybersicurezza dal nuovo decreto che cybersicurezza.
e istituzione dell’Agenzia per si compone di 19 articoli
la cybersicurezza nazionale” provvede:
(pubblicato nella GU Serie
Generale n.140 del 14-06- • a definire la Governance
2021) il Governo ha dato in materia di
segnale di proattività, di fatto cybersicurezza;
aggiornando l’architettura • a razionalizzare le
nazionale di sicurezza competenze in materia
cibernetica, da ultimo definita di cybersicurezza
con la Direttiva del Presidente attualmente attribuite ad
del Consiglio dei ministri una pluralità di soggetti
del 17 febbraio 2017, recante istituzionali;
20 21Cyber Magazine / Anno 2 / n° 4 // 2021
necessario per il proprio standard: il Software Security
funzionamento all’interno di Framework e il Secure
un container, garantiscono Software Life Cycle (Secure
flessibilità. Ogni container SLC) Standard. Definiti per
a sua volta può girare supportare la sicurezza dei
tramite qualsiasi fornitore di pagamenti, i due nuovi
servizi CaaS (Container as a standard riempiono uno
Service). I container vengono spazio lasciato vuoto per
orchestrati da piattaforme troppo tempo.
che gestiscono i carichi di
lavoro, il numero di istanze di Fino ad oggi le aziende che
un micro servizio e il cloud su volevano mettere in sicurezza
cui tali istanze girano. le proprie applicazioni
avevano come unica proposta
Una prima implicazione di mercato quella degli
in termini di sicurezza è la strumenti tecnologici. Con
“scomparsa del perimetro”: i nuovi standard si rendono
non esiste più un’unica disponibili delle best
entità al cui interno girino le practices e delle linee guida
applicazioni, queste possono che supportano l’aspetto
infatti trovarsi su qualunque organizzativo della messa in
fornitore CaaS. sicurezza delle applicazioni.
Si parla quindi di Software
Defined Perimeter: un
perimetro “virtuale” con
conseguenze sulla sicurezza,
di cui in questa sede non
andremo a parlare.
I micro servizi
“containerizzati”,
completamente autonomi,
consentono enormi guadagni
di velocità di sviluppo. A
rallentare il processo resta
solo il Security Testing.
Se in passato si parlava di
Dynamic Application Security
Testing e di Static Application
Security Testing, adesso si
inizia a parlare di Interactive
Application Security Testing.
In questo contesto però è
da valutare anche un altro
aspetto. Il PCI Council, ovvero
l’Ente che supervisiona la
sicurezza dei pagamenti
con carta di credito, sta
emettendo due nuovi
22 23Puoi anche leggere
