venerdì 27 gennaio 2023

Gli elementi difficili per gestire la sicurezza delle informazioni

Martedì 24 gennaio ho presentato, per i Cyber Security Angels, "Gli elementi difficili per gestire la sicurezza delle informazioni". Le slide sono qui:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2023-GallottixCSA.pdf.

Il video è qui:
- https://www.youtube.com/watch?v=w51N1BGPG5o.

Si tratta di alcune riflessioni sugli elementi che risultano più ostici alle organizzazioni per cui lavoro.

Tecniche di infezione basate sull'uso di social network

Segnalo questo bollettino di ACN (grazie a un tweet di Filippo Bianchini) dal titolo "Tecniche di infezione basate sull'uso di social network":
- https://www.csirt.gov.it/contenuti/tecniche-di-infezione-basate-sulluso-di-social-network-bl01-221129-csirt-ita.

Spiega bene come funziona lo spear phishing e penso che una buona lezione, anche se già nota, rimanga sempre utile.

E poi sono contento di vedere che ACN pubblica buone cose. Spero solo che continui a farlo e sempre di più.

Dispositivi (e smartphone) a scuola

Mi rendo conto che sono leggermente fuori tema, però il discorso sugli "smartphone a scuola" introduce molti elementi importanti anche per chi si occupa di qualità e sicurezza nelle aziende e, in generale, nelle organizzazioni.

Intanto un link (grazie a un tweet di Filippo Bianchini) a un articolo dal titolo "Quando la disinformazione arriva dal Ministero dell'Istruzione e del Merito: il caso dei dispositivi elettronici a scuola":
- https://www.valigiablu.it/cellulari-scuola-circolare/.

Poi un video di un incontro dal titolo "Incontro aspettando lo smartphone" tenuto presso una scuola. Per chi non si occupa di bambini e ragazzi è comunque interessante la prima parte (dal minuto 10 all'ora) perché fornisce dati interessanti sugli effetti o i non-effetti dell'uso dello smartphone:
- https://www.youtube.com/watch?v=ndYFEGrRDYc.

Penso ci siano alcune cose significative:
- le diverse tipologie di attenzione che impongono gli strumenti digitali, che vanno considerate attentamente;
- il livello di distrazione che gli strumenti introducono;
- il fatto che vedere violenza non ci fa diventare più violenti, ma più impauriti.

Insomma, ci sono cose che fanno riflettere. Non ho ancora ben sedimentato queste riflessioni, ma so che ci sono.

Rapporto EDPB sui cookie banner

Segnalo questo articolo dal titolo "Cookie, quali regole rispettare: i Garanti privacy chiariscono i dubbi":
- https://www.agendadigitale.eu/sicurezza/privacy/cookie-quali-regole-rispettare-i-garanti-privacy-chiariscono-i-dubbi/.

Il titolo è un po' troppo enfatico, comunque è utile leggere l'articolo perché riassume quanto emerge dal "Report of the work undertaken by the Cookie Banner Taskforce" di EDPB, pubblicato il 18 gennaio 2023:
- https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en.

mercoledì 18 gennaio 2023

Mio articolo sulle competenze per la sicurezza delle informazioni

Segnalo questo mio articolo dal titolo "Sicurezza delle informazioni: come formare le competenze che servono":
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.

Mi sono molto divertito a scriverlo e spero sia di interesse.

Tassonomia incidenti ACN

ACN ha elaborato una tassonomia di incidenti informatici per le notifiche da parte delle organizzazioni del Perimetro di Sicurezza Nazionale Cibernetica:
- https://www.acn.gov.it/notizie/contenuti/si-rafforza-il-perimetro-nazionale-di-sicurezza-cibernetica.

La tassonomia, in Allegato A della Determina del 3 gennaio 2023, si trova al momento in Gazzetta ufficiale (grazie a Franco Vincenzo Ferrari per avermela segnalata) ed è previsto venga pubblicato sul sito di ACN del CSIR Italia:
- www.gazzettaufficiale.it/eli/id/2023/01/10/23A00114/sg.

I tipi di incidente sono raggruppati in sole 15 categorie e già questa mi sembra una buona notizia. Per il resto, bisognerà valutare la bontà di questo elenco tra qualche tempo, dopo che sarà stato effettivamente utilizzato.

Arrestare gli amministratori di sistema

Da Crypto-gram di gennaio, segnalo questo articolo dal titolo "Albanian IT staff charged with negligence over cyberattack":
- https://apnews.com/article/iran-europe-middle-east-albania-tirana-39fce9b5fe112a43f8b35a533b6d29e8.

Il procuratore ha chiesto l'arresto di 5 amministratori di sistema per mancate verifiche degli aggiornamenti e del software antivirus. Questo avrebbe poi portato al successo alcuni attacchi dall'Iran.

Come dice Bruce Schneier, poi bisognerà arrestare anche i manager delle società che producono software perché non pubblicano abbastanza velocemente le patch e gli sviluppatori perché ci sono bug nel software.

Certamente è un metodo per migliorare il livello di sicurezza informatica.

mercoledì 4 gennaio 2023

I rischi umani di sicurezza informatica

Segnalo questo articolo da un tweet di Rebus dal titolo "Errori, stanchezza, computer smarriti: quando il fattore umano mette a rischio la sicurezza informatica":
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.

Nulla di nuovo, ma è bene ripassarlo.

A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.

Regolamenti DORA e Direttive DORA, NIS2 e CER

Si è molto parlato negli ultimi tempi della prossima pubblicazione delle normative in oggetto. Una breve sintesi si trova in questo articolo:
- https://formiche.net/2022/12/regolamento-tre-direttive-ue-cyber/.

La più importante è la Direttiva NIS2 2022/2555, di cui già scrissi in precedenza e che dovrà essere recepita dagli Stati membri entro fine 2024:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555

Importante è il Regolamento DORA 2022/2554, per il settore finanziario:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554.

Il DORA è accompagnato dalla Direttiva 2022/2556 per allineare le direttive esistenti al Regolamento:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2556.

Infine la Direttiva CER 2022/2557 sulle infrastrutture critiche (che abroga la precedente Direttiva 2008/114/CE):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557

Per quest'ultima devo ancora capire bene come si interseca con la NIS2. Mi sembra di capire che stabilisca ulteriori misure per alcuni soggetti particolarmente critici, oltre a quanto stabilito dalla NIS2. Ho trovato questo articolo:
- https://www.dirittobancario.it/art/la-direttiva-cer-sulla-resilienza-dei-soggetti-critici/.

domenica 1 gennaio 2023

ISO/IEC TS 22237 sui data center, certificazioni e accreditamento

Segnalo questo mio articolo dal titolo " Standard ISO/IEC TS 22237 per i data center: i punti critici nello schema di certificazione Accredia":
- https://www.cybersecurity360.it/soluzioni-aziendali/standard-iso-iec-ts-22237-per-i-data-center-i-punti-critici-nello-schema-di-certificazione-accredia/.

Mi pare che il titolo annunci già a sufficienza il contenuto. Mi piacerebbe ricevere commenti.

Attacco a LastPass

LastPass è uno dei più noti password manager e poco prima di Natale è stato compromesso:
- https://www.wired.com/story/lastpass-breach-vaults-password-managers/.

L'articolo segnala strumenti alternativi (oltre a essere critico su alcune pratiche di sicurezza e di comunicazione di LastPass).

Dal rapporto di LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/), sembra che sia stato compromesso un loro repository su cloud in agosto (in cui erano conservati i backup), da cui i criminali hanno ricavato informazioni per un ulteriore attacco a fine novembre. Se ho capito correttamente, l'uso di MFA non era previsto.

Questa storia è importante per ricordarci che strumenti di sicurezza molto utili portano con se anche diversi rischi. Oltre che per ricordarci che è meglio usare il MFA.

Notizia presa dal SANS NewsBites.