mercoledì 29 giugno 2022

VERA 7 per la valutazione del rischio

Ho pubblicato la versione 7 del VERA il mio foglio di calcolo per la valutazione del rischio:
- https://www.cesaregallotti.it/Pubblicazioni.html.

Riporta, come la versione 6, i controlli della ISO/IEC 27001 del 2013 e del 2022 (con lista di riscontro).

Questa è una versione "sperimentale", dove sono stati uniti il foglio per la valutazione delle minacce e quello per il calcolo del rischio, in modo da renderlo utilizzabile anche per l'analisi di altri rischi. In questo modo, forse, è più semplice aggiungere e togliere minacce e controlli di sicurezza.

Al momento non prevedo di farne una versione in inglese, in attesa di essere sicuro del suo funzionamento.

I controlli del 2022 in italiano non sono nella traduzione ufficiale perché non ancora disponibile.

Invito tutti gli utilizzatori a commentarlo, segnalarmi errori e difficoltà di utilizzo.

martedì 28 giugno 2022

PEC e REM

Franco Vincenzo Ferrari di DNV mi ha segnalato la pubblicazione dello standard ETSI EN 319 532-4 sull'interoperabilità dei sistemi di recapito qualificato (REM). La notizia è stata diffusa da AgID:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/06/27/pubblicato-il-nuovo-standard-etsi-pec-europea-diventa-realta.

Questo vuol dire che la PEC si evolverà nella cosiddetta REM. Non mi sembra siano ancora stati emessi i decreti relativi e quindi stabiliti i tempi.

lunedì 27 giugno 2022

Mancanza di esperti di sicurezza (cyber)

Segnalo questo articolo dal titolo "Cybersicurezza in Italia: perché non si trovano candidati?":
- https://www.guerredirete.it/cybersicurezza-italia-perche-non-si-trovano-candidati/.

Posso dire che non si accenna ai corsi tecnici di sicurezza. Si elencano i molti master promossi da università o istituti simili, mentre andrebbero anche considerate le offerte sia dei produttori dei sistemi informatici (Microsoft, per dirne uno) sia di istituti di tipo più tecnologico (come il SANS).

Anche in questo caso il panorama è complesso e lo dimostra anche il fatto che io e Fabio Guasconi non abbiamo avuto ancora il coraggio di aggiornare il Quaderno Clusit "Certificazioni Professionali in Sicurezza Informatica", la cui ultima edizione è del 2013 (però stiamo facendo ripartire i lavori e quindi ne approfitto per segnalare che sono disponibile a ricevere contributi). Il Quaderno è disponibile qui:
- https://clusit.it/pubblicazioni/.

Mi sembra che l'argomento sia ben affrontato e approfondito dall'articolo e quindi non ho altro da aggiungere. Posso solo consigliarne la lettura.

Minacce e attacchi: operazione "Finestra sul cortile"

La storia è recente ed è diventata subito molto nota: alcuni malfattori hanno ottenuto accesso a numerose telecamere di sorveglianza e vendevano le immagini raccolte:
- https://www.repubblica.it/tecnologia/blog/digital-europe/2022/06/09/news/milano_hacker-353195287/.

Mi sembra che l'articolo metta in luce gli aspetti salienti:
- l'inutilità di molte installazioni di telecamere;
- la pericolosità che queste installazioni comportano proprio perché possono essere compromesse;
- l'incompetenza di molti installatori.

Questo attacco ha dimostrato che gli oggetti usati quotidianamente possono essere facilmente compromessi ed è importante prestare molta attenzione quando si sceglie di utilizzarli. Tra l'altro, dimostra che bisogna sempre riflettere sull'opportunità di installare certe misure di sicurezza, soprattutto se moderatamente efficaci e altamente vulnerabili.

Tra l'altro, piuttosto che installare telecamere, ossia misure di rilevazione, in molti ambienti sarebbe opportuno investire in misure preventive. Negli spogliatoi, per esempio, sarebbe stato più opportuno investire in armadietti robusti. Questa è una lezione sempre valida nell'ambito della sicurezza.

sabato 25 giugno 2022

Rete indisponibile per Clouflare

Cloudflare è un fornitore di servizi web e il 21 giugno 2022 ha avuto un blocco della rete di 75 minuti. La causa? Un cambiamento non riuscito:
- https://www.govinfosecurity.com/cloudflare-outage-whacks-19-data-centers-for-global-traffic-a-19429.

Continuo a pensare che, quando si parla di sicurezza, è bene pensare agli attacchi, ma è necessario anche pensare agli errori, visti i loro impatti.

Notizia presa dal SANS NewsBites del 24 giugno 2022.

martedì 21 giugno 2022

Security Risk Assessment Tool del US HHS

Dal SANS Newsbite, segnalo questo strumento pubblicato dal Department of Health and Human Services (HHS) Office for Civil Rights (OCR) and National Coordinator for Health Information Technology (ONC) degli USA:
- https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool.

Si può scaricare l'Excel e la questione risulta interessante perché non si tratta di una vera e proprio valutazione del rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e "vulnerabilità".

Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però non viene calcolato considerando tutti e tre i parametri insieme.

Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di "valutazione del rischio", ciascuno ha idee diverse su cosa si intende.

mercoledì 15 giugno 2022

Fornire segreti militari in discussioni sui giochi

Questa notizia, da Crypto-Gram di giugno 2022, ha titolo "War Thunder fan leaks classified military documents to win an argument about tanks-again":
- https://www.pcgamer.com/war-thunder-fan-leaks-classified-military-documents-to-win-an-argument-about-tanksagain/.

In sintesi: il gioco elettronico War Thunder usa modelli molto realistici; nei forum di discussione alcuni utenti hanno caricato i manuali ufficiali (e segreti) di alcuni carri armati in discussioni su quanto erano realistici i modelli del gioco.

martedì 7 giugno 2022

Poste italiane ferme per un errore di aggiornamento ai sistemi

Il 30 maggio, le Poste italiane sono rimaste ferme. Segnalo questo articolo dal titolo "Poste down: Non c'entrano gli hacker russi ma è un problema tecnico":
https://www.huffingtonpost.it/cronaca/2022/05/30/news/attacco_hacker_poste_smentisce_problemi_tecnici_dovuti_a_aggiornamento_di_sistema_-9493025/.

Mi sembra importante ricordare che la siurezza informatica non riguarda solo attacchi da malintenzionati, interni o esterni. Ma anche gli errori.