Segnalo questo bollettino di ACN (grazie a un tweet di Filippo Bianchini)
dal titolo "Tecniche di infezione basate sull'uso di social network":
-
https://www.csirt.gov.it/contenuti/tecniche-di-infezione-basate-sulluso-di-social-network-bl01-221129-csirt-ita.
Spiega bene come funziona lo spear phishing e penso che una buona lezione,
anche se già nota, rimanga sempre utile.
E poi sono contento di vedere che ACN pubblica buone cose. Spero solo che
continui a farlo e sempre di più.
venerdì 27 gennaio 2023
Dispositivi (e smartphone) a scuola
Mi rendo conto che sono leggermente fuori tema, però il discorso sugli
"smartphone a scuola" introduce molti elementi importanti anche per chi si
occupa di qualità e sicurezza nelle aziende e, in generale, nelle organizzazioni.
Intanto un link (grazie a un tweet di Filippo Bianchini) a un articolo dal titolo "Quando la disinformazione arriva dal Ministero dell'Istruzione e del Merito: il caso dei dispositivi elettronici a scuola":
- https://www.valigiablu.it/cellulari-scuola-circolare/.
Poi un video di un incontro dal titolo "Incontro aspettando lo smartphone" tenuto presso una scuola. Per chi non si occupa di bambini e ragazzi è comunque interessante la prima parte (dal minuto 10 all'ora) perché fornisce dati interessanti sugli effetti o i non-effetti dell'uso dello smartphone:
- https://www.youtube.com/watch?v=ndYFEGrRDYc.
Penso ci siano alcune cose significative:
- le diverse tipologie di attenzione che impongono gli strumenti digitali, che vanno considerate attentamente;
- il livello di distrazione che gli strumenti introducono;
- il fatto che vedere violenza non ci fa diventare più violenti, ma più impauriti.
Insomma, ci sono cose che fanno riflettere. Non ho ancora ben sedimentato queste riflessioni, ma so che ci sono.
Intanto un link (grazie a un tweet di Filippo Bianchini) a un articolo dal titolo "Quando la disinformazione arriva dal Ministero dell'Istruzione e del Merito: il caso dei dispositivi elettronici a scuola":
- https://www.valigiablu.it/cellulari-scuola-circolare/.
Poi un video di un incontro dal titolo "Incontro aspettando lo smartphone" tenuto presso una scuola. Per chi non si occupa di bambini e ragazzi è comunque interessante la prima parte (dal minuto 10 all'ora) perché fornisce dati interessanti sugli effetti o i non-effetti dell'uso dello smartphone:
- https://www.youtube.com/watch?v=ndYFEGrRDYc.
Penso ci siano alcune cose significative:
- le diverse tipologie di attenzione che impongono gli strumenti digitali, che vanno considerate attentamente;
- il livello di distrazione che gli strumenti introducono;
- il fatto che vedere violenza non ci fa diventare più violenti, ma più impauriti.
Insomma, ci sono cose che fanno riflettere. Non ho ancora ben sedimentato queste riflessioni, ma so che ci sono.
Rapporto EDPB sui cookie banner
Segnalo questo articolo dal titolo "Cookie, quali regole rispettare: i
Garanti privacy chiariscono i dubbi":
- https://www.agendadigitale.eu/sicurezza/privacy/cookie-quali-regole-rispettare-i-garanti-privacy-chiariscono-i-dubbi/.
Il titolo è un po' troppo enfatico, comunque è utile leggere l'articolo perché riassume quanto emerge dal "Report of the work undertaken by the Cookie Banner Taskforce" di EDPB, pubblicato il 18 gennaio 2023:
- https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en.
- https://www.agendadigitale.eu/sicurezza/privacy/cookie-quali-regole-rispettare-i-garanti-privacy-chiariscono-i-dubbi/.
Il titolo è un po' troppo enfatico, comunque è utile leggere l'articolo perché riassume quanto emerge dal "Report of the work undertaken by the Cookie Banner Taskforce" di EDPB, pubblicato il 18 gennaio 2023:
- https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en.
mercoledì 18 gennaio 2023
Mio articolo sulle competenze per la sicurezza delle informazioni
Segnalo questo mio articolo dal titolo "Sicurezza delle informazioni: come
formare le competenze che servono":
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.
Mi sono molto divertito a scriverlo e spero sia di interesse.
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.
Mi sono molto divertito a scriverlo e spero sia di interesse.
Tassonomia incidenti ACN
ACN ha elaborato una tassonomia di incidenti informatici per le notifiche da
parte delle organizzazioni del Perimetro di Sicurezza Nazionale Cibernetica:
- https://www.acn.gov.it/notizie/contenuti/si-rafforza-il-perimetro-nazionale-di-sicurezza-cibernetica.
La tassonomia, in Allegato A della Determina del 3 gennaio 2023, si trova al momento in Gazzetta ufficiale (grazie a Franco Vincenzo Ferrari per avermela segnalata) ed è previsto venga pubblicato sul sito di ACN del CSIR Italia:
- www.gazzettaufficiale.it/eli/id/2023/01/10/23A00114/sg.
I tipi di incidente sono raggruppati in sole 15 categorie e già questa mi sembra una buona notizia. Per il resto, bisognerà valutare la bontà di questo elenco tra qualche tempo, dopo che sarà stato effettivamente utilizzato.
- https://www.acn.gov.it/notizie/contenuti/si-rafforza-il-perimetro-nazionale-di-sicurezza-cibernetica.
La tassonomia, in Allegato A della Determina del 3 gennaio 2023, si trova al momento in Gazzetta ufficiale (grazie a Franco Vincenzo Ferrari per avermela segnalata) ed è previsto venga pubblicato sul sito di ACN del CSIR Italia:
- www.gazzettaufficiale.it/eli/id/2023/01/10/23A00114/sg.
I tipi di incidente sono raggruppati in sole 15 categorie e già questa mi sembra una buona notizia. Per il resto, bisognerà valutare la bontà di questo elenco tra qualche tempo, dopo che sarà stato effettivamente utilizzato.
Arrestare gli amministratori di sistema
Da Crypto-gram di gennaio, segnalo questo articolo dal titolo "Albanian IT
staff charged with negligence over cyberattack":
- https://apnews.com/article/iran-europe-middle-east-albania-tirana-39fce9b5fe112a43f8b35a533b6d29e8.
Il procuratore ha chiesto l'arresto di 5 amministratori di sistema per mancate verifiche degli aggiornamenti e del software antivirus. Questo avrebbe poi portato al successo alcuni attacchi dall'Iran.
Come dice Bruce Schneier, poi bisognerà arrestare anche i manager delle società che producono software perché non pubblicano abbastanza velocemente le patch e gli sviluppatori perché ci sono bug nel software.
Certamente è un metodo per migliorare il livello di sicurezza informatica.
- https://apnews.com/article/iran-europe-middle-east-albania-tirana-39fce9b5fe112a43f8b35a533b6d29e8.
Il procuratore ha chiesto l'arresto di 5 amministratori di sistema per mancate verifiche degli aggiornamenti e del software antivirus. Questo avrebbe poi portato al successo alcuni attacchi dall'Iran.
Come dice Bruce Schneier, poi bisognerà arrestare anche i manager delle società che producono software perché non pubblicano abbastanza velocemente le patch e gli sviluppatori perché ci sono bug nel software.
Certamente è un metodo per migliorare il livello di sicurezza informatica.
mercoledì 4 gennaio 2023
I rischi umani di sicurezza informatica
Segnalo questo articolo da un tweet di Rebus dal titolo "Errori, stanchezza,
computer smarriti: quando il fattore umano mette a rischio la sicurezza
informatica":
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.
Nulla di nuovo, ma è bene ripassarlo.
A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.
Nulla di nuovo, ma è bene ripassarlo.
A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.
Regolamenti DORA e Direttive DORA, NIS2 e CER
Si è molto parlato negli ultimi tempi della prossima pubblicazione delle
normative in oggetto. Una breve sintesi si trova in questo articolo:
- https://formiche.net/2022/12/regolamento-tre-direttive-ue-cyber/.
La più importante è la Direttiva NIS2 2022/2555, di cui già scrissi in precedenza e che dovrà essere recepita dagli Stati membri entro fine 2024:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555
Importante è il Regolamento DORA 2022/2554, per il settore finanziario:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554.
Il DORA è accompagnato dalla Direttiva 2022/2556 per allineare le direttive esistenti al Regolamento:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2556.
Infine la Direttiva CER 2022/2557 sulle infrastrutture critiche (che abroga la precedente Direttiva 2008/114/CE):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557
Per quest'ultima devo ancora capire bene come si interseca con la NIS2. Mi sembra di capire che stabilisca ulteriori misure per alcuni soggetti particolarmente critici, oltre a quanto stabilito dalla NIS2. Ho trovato questo articolo:
- https://www.dirittobancario.it/art/la-direttiva-cer-sulla-resilienza-dei-soggetti-critici/.
- https://formiche.net/2022/12/regolamento-tre-direttive-ue-cyber/.
La più importante è la Direttiva NIS2 2022/2555, di cui già scrissi in precedenza e che dovrà essere recepita dagli Stati membri entro fine 2024:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555
Importante è il Regolamento DORA 2022/2554, per il settore finanziario:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554.
Il DORA è accompagnato dalla Direttiva 2022/2556 per allineare le direttive esistenti al Regolamento:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2556.
Infine la Direttiva CER 2022/2557 sulle infrastrutture critiche (che abroga la precedente Direttiva 2008/114/CE):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557
Per quest'ultima devo ancora capire bene come si interseca con la NIS2. Mi sembra di capire che stabilisca ulteriori misure per alcuni soggetti particolarmente critici, oltre a quanto stabilito dalla NIS2. Ho trovato questo articolo:
- https://www.dirittobancario.it/art/la-direttiva-cer-sulla-resilienza-dei-soggetti-critici/.
domenica 1 gennaio 2023
ISO/IEC TS 22237 sui data center, certificazioni e accreditamento
Segnalo questo mio articolo dal titolo " Standard ISO/IEC TS 22237 per i
data center: i punti critici nello schema di certificazione Accredia":
- https://www.cybersecurity360.it/soluzioni-aziendali/standard-iso-iec-ts-22237-per-i-data-center-i-punti-critici-nello-schema-di-certificazione-accredia/.
Mi pare che il titolo annunci già a sufficienza il contenuto. Mi piacerebbe ricevere commenti.
- https://www.cybersecurity360.it/soluzioni-aziendali/standard-iso-iec-ts-22237-per-i-data-center-i-punti-critici-nello-schema-di-certificazione-accredia/.
Mi pare che il titolo annunci già a sufficienza il contenuto. Mi piacerebbe ricevere commenti.
Attacco a LastPass
LastPass è uno dei più noti password manager e poco prima di Natale è stato
compromesso:
- https://www.wired.com/story/lastpass-breach-vaults-password-managers/.
L'articolo segnala strumenti alternativi (oltre a essere critico su alcune pratiche di sicurezza e di comunicazione di LastPass).
Dal rapporto di LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/), sembra che sia stato compromesso un loro repository su cloud in agosto (in cui erano conservati i backup), da cui i criminali hanno ricavato informazioni per un ulteriore attacco a fine novembre. Se ho capito correttamente, l'uso di MFA non era previsto.
Questa storia è importante per ricordarci che strumenti di sicurezza molto utili portano con se anche diversi rischi. Oltre che per ricordarci che è meglio usare il MFA.
Notizia presa dal SANS NewsBites.
- https://www.wired.com/story/lastpass-breach-vaults-password-managers/.
L'articolo segnala strumenti alternativi (oltre a essere critico su alcune pratiche di sicurezza e di comunicazione di LastPass).
Dal rapporto di LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/), sembra che sia stato compromesso un loro repository su cloud in agosto (in cui erano conservati i backup), da cui i criminali hanno ricavato informazioni per un ulteriore attacco a fine novembre. Se ho capito correttamente, l'uso di MFA non era previsto.
Questa storia è importante per ricordarci che strumenti di sicurezza molto utili portano con se anche diversi rischi. Oltre che per ricordarci che è meglio usare il MFA.
Notizia presa dal SANS NewsBites.
sabato 10 dicembre 2022
NIS2 approvata
E' stata approvata dal Consiglio UE la Direttiva NIS2, che sostituirà la
Direttiva NIS:
- https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council-adopts-new-legislation/.
L'articolo indica anche i prossimi passi: la Direttiva sarà pubblicata sulla Gazzetta europea e poi dovrà essere adottata dagli Stati membri entro fine 2024 (o inizio 2025).
Nel frattempo sono stati pubblicati alcuni articoli di approfondimento. Segnalo questo, anche se pubblicato prima dell'approvazione da parte del Consiglio UE:
- https://www.agendadigitale.eu/sicurezza/nis-2-approvata-gli-effetti-su-aziende-e-pa/.
Va anche detto che, per l'Italia, dovremo vedere come sarà modificato il D. Lgs. 65 del 2018, quello che recepisce la NIS (ricordo che le Direttive, a differenza dei Regolamenti europei, per essere applicabili, devono essere recepite dagli Stati membri).
- https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council-adopts-new-legislation/.
L'articolo indica anche i prossimi passi: la Direttiva sarà pubblicata sulla Gazzetta europea e poi dovrà essere adottata dagli Stati membri entro fine 2024 (o inizio 2025).
Nel frattempo sono stati pubblicati alcuni articoli di approfondimento. Segnalo questo, anche se pubblicato prima dell'approvazione da parte del Consiglio UE:
- https://www.agendadigitale.eu/sicurezza/nis-2-approvata-gli-effetti-su-aziende-e-pa/.
Va anche detto che, per l'Italia, dovremo vedere come sarà modificato il D. Lgs. 65 del 2018, quello che recepisce la NIS (ricordo che le Direttive, a differenza dei Regolamenti europei, per essere applicabili, devono essere recepite dagli Stati membri).
venerdì 25 novembre 2022
EN 17640 sulla certificazione dei prodotti ICT
Segnalo questo articolo di ICT Security Magazine dal titolo "Sicurezza dei
prodotti ICT: dall'Unione Europea arrivano nuovi criteri di valutazione":
- https://www.ictsecuritymagazine.com/notizie/sicurezza-dei-prodotti-ict-dallunione-europea-arrivano-nuovi-criteri-di-valutazione/.
Al momento non mi risultano attivi schemi di certificazione dei prodotti ICT per il cyber security act e per il NIS. E mi risulta anche oscura l'organizzazione degli standard relativi. Ci arriveremo, ma per adesso mi sembra tutto oscuro (anche se accompagnato da annunci pieni di entusiasmo).
- https://www.ictsecuritymagazine.com/notizie/sicurezza-dei-prodotti-ict-dallunione-europea-arrivano-nuovi-criteri-di-valutazione/.
Al momento non mi risultano attivi schemi di certificazione dei prodotti ICT per il cyber security act e per il NIS. E mi risulta anche oscura l'organizzazione degli standard relativi. Ci arriveremo, ma per adesso mi sembra tutto oscuro (anche se accompagnato da annunci pieni di entusiasmo).
Digital resignation
Segnalo questo interessante articolo dal titolo "Digital resignation: Non
dobbiamo per forza cedere i nostri dati alle Big Tech: ecco i servizi a
prova di privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.
Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.
Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.
venerdì 18 novembre 2022
Convegno Accredia sulle certificazioni di cybersecurity
Accredia il 14 novembre 2022 ha promosso il convegno "Come gestire il rischio informatico? Il contributo dell'accreditamento e della certificazione alla cybersecurity nazionale". Sono stati pubblicati i materiali presentati:
- https://www.accredia.it/pubblicazione/come-gestire-il-rischio-informatico-il-contributo-dellaccreditamento-e-della-certificazione-alla-cybersecurity-nazionale/.
Il Quaderno presenta 128 pagine molto fitte, mentre la presentazione le
riassume. Utile per capire cosa c'è e cosa ci potrà essere (anche se rimango
perplesso sulla spinta a sviluppare schemi nazionali di certificazione).
Guide per lo sviluppo sicuro di NSA
Dalla newsletter Crypto-Gram segnalo che NSA ha pubblicato due guide per lo
sviluppo sicuro.
Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.
Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.
Si tratta di cose note, ma ben approfondite.
Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.
Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.
Si tratta di cose note, ma ben approfondite.
mercoledì 16 novembre 2022
"Data Breach Investigations Report" di Verizon
Segnalo la pubblicazione del DBIR "Data Breach Investigations Report" di
Verizon:
https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.
Un'enorme quantità di dati. Segnalano soprattutto il fatto che molti attacchi sfruttano errori di configurazione (misconfiguration), soprattutto in merito all'accesso ai servizi cloud.
https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.
Un'enorme quantità di dati. Segnalano soprattutto il fatto che molti attacchi sfruttano errori di configurazione (misconfiguration), soprattutto in merito all'accesso ai servizi cloud.
mercoledì 9 novembre 2022
Digital service act (DSA) -- un articolo
Del DSA già ne parlai in altro post
(http://blog.cesaregallotti.it/2022/10/digital-service-act-dsa.html). Segnalo questo articolo che ne approfondisce alcuni aspetti:
- https://www.agendadigitale.eu/mercati-digitali/in-vigore-il-digital-services-act-stop-agli-illeciti-su-contenuti-prodotti-e-servizi-online/.
- https://www.agendadigitale.eu/mercati-digitali/in-vigore-il-digital-services-act-stop-agli-illeciti-su-contenuti-prodotti-e-servizi-online/.
lunedì 7 novembre 2022
ISO survey 2021
E' disponibile la ISO Survey 2021:
- https://www.iso.org/the-iso-survey.html.
Si tratta dei dati relativi alle certificazioni sui sistemi di gestione ISO (qualità, sicurezza delle informazioni, gestione dei servizi, gestione della continuità e altri).
- https://www.iso.org/the-iso-survey.html.
Si tratta dei dati relativi alle certificazioni sui sistemi di gestione ISO (qualità, sicurezza delle informazioni, gestione dei servizi, gestione della continuità e altri).
Nuova ISO/IEC 27001: l'articolo definitivo
Con molta umiltà, segnalo l'articolo scritto da me e Fabio Guasconi dal
titolo "Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa
cambia":
- https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-270012022-ecco-cosa-cambia/.
- https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-270012022-ecco-cosa-cambia/.
giovedì 3 novembre 2022
Pubblicato il rapporto semestrale di NCSC
Segnalo la pubblicazione del rapporto semestrale 2022/1 del Centro nazionale
per la cibersicurezza (NCSC) della Confederazione Svizzera:
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-1.html.
In questo numero, il tema principale, ma non l'unico, è l'informatica nei conflitti armati. E' sempre un'ottima lettura.
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-1.html.
In questo numero, il tema principale, ma non l'unico, è l'informatica nei conflitti armati. E' sempre un'ottima lettura.
Iscriviti a:
Post (Atom)