Segnalo questa notizia dal titolo "Shameful: Insteon looks dead—just like
its users' smart homes":
-
https://arstechnica.com/gadgets/2022/04/shameful-insteon-looks-dead-just-like-its-users-smart-homes/.
La segnalo perché questo non è l'unico caso a cui mi è capitato di
assistere: una società di informatica chiude improvvisamente e i clienti
rimangono senza servizi.
Quando si parla di sicurezza della "supply chain" si parla spesso di eventi
di tipo digitale (DOS e dDOS, malware e ransomware, furto di informazioni),
ma è necessario anche ricordare che un fornitore può sparire e lasciarci in
difficoltà.
Da considerare anche nella continuità operativa.
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
lunedì 30 maggio 2022
Strategia nazionale di cybersicurezza
Ho visto passare in questi giorni diversi messaggi relativi alla Strategia
Nazionale di Cybersicurezza. Ho capito che dovevo guardarla quando anche
Glauco Rampogna me l'ha segnalata.
Innanzi tutto i documenti di riferimento (la strategia, ossia il documento più discorsivo, e gli obiettivi, più schematici e approfonditi) sono reperibili dalla pagina dell'ACN:
- https://www.acn.gov.it/strategia-nazionale-cybersicurezza.
Alcuni punti, posto che voglio rimanere nel mio ed evitare di discutere dei grandi sistemi:
- l'approccio europeo e italiano dimostra chiaramente che molte azioni devono essere promosse e guidate dal pubblico; non lo dico criticamente, ma perché è necessario capire le differenze con gli USA; pertanto sono benvenute le iniziative di creazione di CERT e ISAC settoriali (misure 30-37) e di sviluppo di tecnologie (misure 48-52) e le partnership pubblico-privato;
- nell'ambito dei CERT e ISAC mi sembra che manchi l'obiettivo di informazione delle organizzazioni, in linea, per esempio, con quello che fa il NCSC svizzero;
- ottimo l'impulso al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, soprattutto dopo le difficoltà emerse nel corso dell'emergenza COVID e dell'invasione dell'Ucraina; mi sembra un obiettivo forse troppo ambizioso, ma necessario (misura 53);
- mi lascia perplesso l'obiettivo di sviluppare un sistema nazionale di certificazione delle competenze (obiettivo 61), mentre sarebbe opportuno promuovere schemi internazionali (non dico che non dovremmo promuovere nulla, ma l'ambito dovrebbe essere quello internazionale, se no rischiamo di chiuderci in noi stessi e di non approfittare di quanto succede all'estero);
- molto utili gli obiettivi (dal 59) di potenziamento delle competenze anche di base; solo così, come ho già detto in passato, è possibile avere dirigenti consapevoli dei tempi e dei limiti che oggi sono necessari allo sviluppo tecnologico a causa delle esigenze di qualità e sicurezza;
- tornando a quanto ho scritto sopra, mi sembra che si tratti del potenziamento delle competenze dei singoli senza però considerare anche quelle delle organizzazioni;
- mi spiace che, nell'ambito della cooperazione (dalla misura 74), non si parli delle iniziative di standardizzazione, cosa che invece è promossa da altri Paesi;
- ovviamente non posso che censurare l'uso di "cibernetica" e "ecosistema" in questo contesto (mi sembra, in particolare, che l'uso di "cibernetica" è disomogeneo e si alterna a termini come "cyber").
Innanzi tutto i documenti di riferimento (la strategia, ossia il documento più discorsivo, e gli obiettivi, più schematici e approfonditi) sono reperibili dalla pagina dell'ACN:
- https://www.acn.gov.it/strategia-nazionale-cybersicurezza.
Alcuni punti, posto che voglio rimanere nel mio ed evitare di discutere dei grandi sistemi:
- l'approccio europeo e italiano dimostra chiaramente che molte azioni devono essere promosse e guidate dal pubblico; non lo dico criticamente, ma perché è necessario capire le differenze con gli USA; pertanto sono benvenute le iniziative di creazione di CERT e ISAC settoriali (misure 30-37) e di sviluppo di tecnologie (misure 48-52) e le partnership pubblico-privato;
- nell'ambito dei CERT e ISAC mi sembra che manchi l'obiettivo di informazione delle organizzazioni, in linea, per esempio, con quello che fa il NCSC svizzero;
- ottimo l'impulso al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, soprattutto dopo le difficoltà emerse nel corso dell'emergenza COVID e dell'invasione dell'Ucraina; mi sembra un obiettivo forse troppo ambizioso, ma necessario (misura 53);
- mi lascia perplesso l'obiettivo di sviluppare un sistema nazionale di certificazione delle competenze (obiettivo 61), mentre sarebbe opportuno promuovere schemi internazionali (non dico che non dovremmo promuovere nulla, ma l'ambito dovrebbe essere quello internazionale, se no rischiamo di chiuderci in noi stessi e di non approfittare di quanto succede all'estero);
- molto utili gli obiettivi (dal 59) di potenziamento delle competenze anche di base; solo così, come ho già detto in passato, è possibile avere dirigenti consapevoli dei tempi e dei limiti che oggi sono necessari allo sviluppo tecnologico a causa delle esigenze di qualità e sicurezza;
- tornando a quanto ho scritto sopra, mi sembra che si tratti del potenziamento delle competenze dei singoli senza però considerare anche quelle delle organizzazioni;
- mi spiace che, nell'ambito della cooperazione (dalla misura 74), non si parli delle iniziative di standardizzazione, cosa che invece è promossa da altri Paesi;
- ovviamente non posso che censurare l'uso di "cibernetica" e "ecosistema" in questo contesto (mi sembra, in particolare, che l'uso di "cibernetica" è disomogeneo e si alterna a termini come "cyber").
venerdì 20 maggio 2022
Analisi delle vulnerabilità 2021 del CISA
Il CISA è la Cybersecurity & Infrastructure Security Agency degli USA e ha
pubblicato il documento "CISA Analysis: FY2021 Risk and Vulnerability
Assessments":
- https://www.cisa.gov/cyber-assessments (bisogna poi andare nella sezione "Attachment media").
Qui si trovano le vulnerabilità più significative evidenziate nel 2021 durante le attività di vulnerability assessment presso alcune strutture USA. La cosa interessante è che, per ogni vulnerabilità, sono raccomandate alcune azioni di mitigazione.
Ricorda un po' le OWASP Top 10, ma qui le vulnerabilità sono 11 e non solo di tipo applicativo.
PS: raccomando di iscriversi alle newsletter del CISA. Spesso sono troppo tecniche, ma ogni tanto segnalano perle come questa.
- https://www.cisa.gov/cyber-assessments (bisogna poi andare nella sezione "Attachment media").
Qui si trovano le vulnerabilità più significative evidenziate nel 2021 durante le attività di vulnerability assessment presso alcune strutture USA. La cosa interessante è che, per ogni vulnerabilità, sono raccomandate alcune azioni di mitigazione.
Ricorda un po' le OWASP Top 10, ma qui le vulnerabilità sono 11 e non solo di tipo applicativo.
PS: raccomando di iscriversi alle newsletter del CISA. Spesso sono troppo tecniche, ma ogni tanto segnalano perle come questa.
NIST SP 800-53 sui controlli di sicurezza e privacy
Franco Vincenzo Ferrari di DNV mi ha segnalato un articolo in merito al
recente aggiornamento della NIST SP 800-53A "Assessing Security and Privacy
Controls in Information Systems and Organizations". Questa linea guida si
trova qui:
- https://csrc.nist.gov/publications/detail/sp/800-53a/rev-5/final.
Essa riporta le modalità per verificare le misure di sicurezza riportate dalla NIST SP 800-53.
A me sembrano documenti eccessivamente lunghi (la 53 è di quasi 500 pagine, la 53A è di più di 700 pagine) e si rischia di spostare l'attenzione della sicurezza alla decifrazione e compilazione di lunghe liste.
Esiste anche una 53B, che fornisce le "baseline", ossia i controlli da selezionare a seconda del livello di sicurezza che si vuole raggiungere (solo privacy, basso, medio, alto, indefinito).
L'articolo di cui sopra è reperibile a questo indirizzo:
- https://www.cybersecurity360.it/soluzioni-aziendali/controlli-di-sicurezza-e
- https://csrc.nist.gov/publications/detail/sp/800-53a/rev-5/final.
Essa riporta le modalità per verificare le misure di sicurezza riportate dalla NIST SP 800-53.
A me sembrano documenti eccessivamente lunghi (la 53 è di quasi 500 pagine, la 53A è di più di 700 pagine) e si rischia di spostare l'attenzione della sicurezza alla decifrazione e compilazione di lunghe liste.
Esiste anche una 53B, che fornisce le "baseline", ossia i controlli da selezionare a seconda del livello di sicurezza che si vuole raggiungere (solo privacy, basso, medio, alto, indefinito).
L'articolo di cui sopra è reperibile a questo indirizzo:
- https://www.cybersecurity360.it/soluzioni-aziendali/controlli-di-sicurezza-e
martedì 10 maggio 2022
Valutazione con il Framework nazionale per la cybersecurity e la data protection
Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione
della "Metodologia per il cybersecurity assessment con il Framework
Nazionale per la Cybersecurity e la Data Protection" del settembre 2021:
- https://www.cybersecurityframework.it/.
Glauco Rampogna ha sintetizzato così: il framework viene ripreso e indicato come riferimento nel regolamento AgID/ACN. Potrebbe essere usato per la classificazione dei dati e servizi delle PA, che dovrà essere mandato entro il 18 luglio ad ACN. Il framework stesso è un insieme di richiami a ISO, Cobit, GDPR, 196, NIST, MMS AgID, NIS, insomma un mega cherry picking.
Davide Foresti suggerisce di usare le contestualizzazioni:
- https://www.cybersecurityframework.it/contestualizzazioni.
E' noto che non sono un fan di questa iniziativa, anche se ha i suoi estimatori (in sintesi, penso che sia stato un errore utilizzare lo schema NIST e non le ISO/IEC 27001 e ISO/IEC 27002, frutto di un lavoro internazionale e condiviso).
Per quanto riguarda le contestualizzazioni, ne sono proposte 4. Il primo sulle PMI è su web e non si può scaricare (non sembrerebbe male), il secondo del Comune di Marsciano è in sostanza l'elenco delle misure minime, il terzo di Civita Castellana non è raggiungibile, il quarto di ASSECURE mette su qualche linea qualche dettaglio in più, oltre a dare il livello di priorità.
Di base la contestualizzazione aggiunge le colonne priorità e maturità agli elementi del core in modo da indicare quali sono quelle auspicate per un certo ambito (o profilo). In questo modo, alcune sottocategorie non vengono più considerate per alcuni ambiti. Penso che questa idea delle contestualizzazioni sia molto positiva (contesto quindi l'insieme di partenza dei controlli, non questa idea).
Per quanto riguarda il "il cybersecurity assessment", non ho studiato bene il metodo di calcolo. In sostanza dice:
- fai la contestualizzazione (ossia quello che ritieni debba essere fatto), dove ogni controllo può essere suddiviso in elementi e a ogni controllo è data una priorità;
- verifica cos'hai fatto e per ogni controllo indica quanto hai coperto i suoi elementi (da 0 a 5) e con che livello di maturità (da 1 a 5);
- fai un calcolo e ottieni a che punto sei.
L'introduzione degli elementi mi sembra un'inutile elemento di complessità e la complessità non fa bene alla sicurezza. E poi mette insieme la copertura con la maturità, creando ulteriori sovrapposizioni probabilmente evitabili.
- https://www.cybersecurityframework.it/.
Glauco Rampogna ha sintetizzato così: il framework viene ripreso e indicato come riferimento nel regolamento AgID/ACN. Potrebbe essere usato per la classificazione dei dati e servizi delle PA, che dovrà essere mandato entro il 18 luglio ad ACN. Il framework stesso è un insieme di richiami a ISO, Cobit, GDPR, 196, NIST, MMS AgID, NIS, insomma un mega cherry picking.
Davide Foresti suggerisce di usare le contestualizzazioni:
- https://www.cybersecurityframework.it/contestualizzazioni.
E' noto che non sono un fan di questa iniziativa, anche se ha i suoi estimatori (in sintesi, penso che sia stato un errore utilizzare lo schema NIST e non le ISO/IEC 27001 e ISO/IEC 27002, frutto di un lavoro internazionale e condiviso).
Per quanto riguarda le contestualizzazioni, ne sono proposte 4. Il primo sulle PMI è su web e non si può scaricare (non sembrerebbe male), il secondo del Comune di Marsciano è in sostanza l'elenco delle misure minime, il terzo di Civita Castellana non è raggiungibile, il quarto di ASSECURE mette su qualche linea qualche dettaglio in più, oltre a dare il livello di priorità.
Di base la contestualizzazione aggiunge le colonne priorità e maturità agli elementi del core in modo da indicare quali sono quelle auspicate per un certo ambito (o profilo). In questo modo, alcune sottocategorie non vengono più considerate per alcuni ambiti. Penso che questa idea delle contestualizzazioni sia molto positiva (contesto quindi l'insieme di partenza dei controlli, non questa idea).
Per quanto riguarda il "il cybersecurity assessment", non ho studiato bene il metodo di calcolo. In sostanza dice:
- fai la contestualizzazione (ossia quello che ritieni debba essere fatto), dove ogni controllo può essere suddiviso in elementi e a ogni controllo è data una priorità;
- verifica cos'hai fatto e per ogni controllo indica quanto hai coperto i suoi elementi (da 0 a 5) e con che livello di maturità (da 1 a 5);
- fai un calcolo e ottieni a che punto sei.
L'introduzione degli elementi mi sembra un'inutile elemento di complessità e la complessità non fa bene alla sicurezza. E poi mette insieme la copertura con la maturità, creando ulteriori sovrapposizioni probabilmente evitabili.
sabato 7 maggio 2022
Le password più comuni del 2021
Stefano Ramacciotti mi ha segnalato questo sito con le password più comuni
del 2021:
- https://nordpass.com/it/most-common-passwords-list/.
Il bello è che è possibile analizzarle anche per ogni Paese e non solo per gli USA come spesso accade.
- https://nordpass.com/it/most-common-passwords-list/.
Il bello è che è possibile analizzarle anche per ogni Paese e non solo per gli USA come spesso accade.
venerdì 6 maggio 2022
Newsletter di NCSC di metà 2022
Segnalo, come sempre, la newsletter del Centro nazionale per la
cibersicurezza NCSC della Confederazione svizzera:
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-2.html.
Come sempre, si tratta di un ottimo prodotto: sintetico, corretto, ben strutturato.
Però la parte sugli attacchi alla filiera di fornitura, questa volta, mi sembra affrontata al solito livello a cui mi avevano abituato.
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-2.html.
Come sempre, si tratta di un ottimo prodotto: sintetico, corretto, ben strutturato.
Però la parte sugli attacchi alla filiera di fornitura, questa volta, mi sembra affrontata al solito livello a cui mi avevano abituato.
Aggiornamento su NIST SP 800-161 sulla supply chain
Il NIST ha pubblicato la SP 800-161r1 (aggiornamento della SP 800-161) con
titolo " Cybersecurity Supply Chain Risk Management Practices for Systems
and Organizations":
- https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final.
Ne avevo già parlato criticamente in occasione dell'uscita della prima versione (https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final). Mi sembra che siano migliorate alcune descrizioni di minacce, ma penso che sia comunque troppo prolisso.
- https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final.
Ne avevo già parlato criticamente in occasione dell'uscita della prima versione (https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final). Mi sembra che siano migliorate alcune descrizioni di minacce, ma penso che sia comunque troppo prolisso.
Iscriviti a:
Post (Atom)