Indice dei contenuti
Tra norme e best practice
Al giorno d’oggi sono sempre più frequenti i tentativi di attacchi ostili ai governi per acquisire informazioni sensibili. L’intelligence deve essere migliorata. Tra i gruppi hacker connessi a tali azioni abbiamo Anonymous Italia e AntiSec Ita. Il problema è che gli attacchi diventano sempre più complicati e di difficile gestione unitamente alla scarsità di consapevolezza delle vittime: riuscire a sferrare un attacco informatico è ora più semplice e non costa nulla.
Secondo un’indagine svolta da Microsoft, attualmente, uno dei tanti motivi per cui i malintenzionati si introducono nei pc delle persone è legato al fatto che essi cercano di sfruttare la potenza di calcolo hardware per minare criptovalute.
“Gli attacchi informatici possono essere più pericolosi per la stabilità delle democrazie e delle economie rispetto ai cannoni e ai carri armati“, ha dichiarato il presidente della Commissione europea Jean-Claude Juncker nel 2017. Oggi l’adozione della legge sulla sicurezza informatica è un passo fondamentale per rafforzare ulteriormente l’Unione europea in tema di cyberspazio. Le implicazioni di questa legge vanno oltre la semplice dimensione tecnica: hanno un impatto diretto sul settore privato, sulla creazione di un unico mercato digitale e sulla proiezione dell’UE come potenza digitale nei confronti di altri attori internazionali.
Il cybersecurity Act dell’UE, il DIS e il NIS
È stato approvato il nuovo regolamento europeo volto a rivedere e controllare tutto ciò che concerne la sicurezza informatica. Altro oggetto di revisione di tale atto sarà anche l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), la quale dovrà rafforzare la cybersecurity dell’Unione e consapevolizzare maggiormente le imprese ed i cittadini in tema di sicurezza dei dati: di quest’ultimi occorrerà garantire disponibilità, autenticità, integrità e protezione. L’Unione Europea vuole garantire la trasparenza e la verificabilità nell’utilizzo dei dati mediante l’uso di una certificazione apposita. Le nuove norme aiuteranno le persone a fidarsi dei dispositivi che utilizzano nella vita di tutti i giorni, permettendo di poter accedere a prodotti come i dispositivi dell’IoT, che garantiscono la cyber sicurezza.
Il governo italiano ha istituito il DIS, dipartimento delle informazioni per la sicurezza, sia per controllare eventuali possibili intrusioni volte a influenzare le elezioni, per esempio, sia per identificare quelle aziende che forniscono servizi chiave per la solidità economica del paese, definite operatori di servizi essenziali (OSE), per aiutarle a raggiungere un adeguato livello di sicurezza delle reti e dei sistemi informativi. In ogni caso, seppur un soggetto giuridico non rientri nella lista OSE, si può inoltrare su base volontaria una notifica di intrusione che mette a rischio la continuità del servizio. La direttiva NIS (Network and Information Security) è volta a favorire la più ampia diffusione di una cultura nel campo della cybersecurity e di un conseguente aumento dei relativi livelli di sicurezza: è fondamentale una costante condivisione di dati tra imprese e organi di stato per poter attuare politiche di contrasto efficaci. La vera sfida sta nel far capire che è possibile superare i confini aziendali e convincere i professionisti che operano all’interno delle aziende e gli organi attuatori, che “autodenunciarsi” è un’opportunità di difesa, non un rischio.
Focus sulla direttiva NIS
Mettersi in linea con la NIS significa adottare dei livelli minimi di standard di competenze e, quindi, di ruoli all’interno dell’impresa e, come già ribadito serve “educare” alla comunicazione facendo cogliere l’aspetto positivo insito nella collaborazione: spesso la comunicazione viene vista da molti come una mera esecuzione di un obbligo di legge che comporta un rischio sanzione.
Non appena sarà pronto ad operare, ilComputer Security Incident Response Team (CSIRT) svolgerà diversi compiti in ambito cybersecurity che se attuati possono davvero contribuire ad incrementare il livello di sicurezza in Italia ed in Europa:
- La definizione di procedure volte a prevenire e gestire gli incidenti informatici
- La ricezione delle notifiche di incidente con obbligo di informare il Dis, come punto di contatto per le attività di prevenzione e preparazione a eventuali situazioni di crisi e di attivazione delle procedure di allertamento
- La fornitura, al soggetto che ha effettuato la notifica, di informazioni che possono facilitare la giusta gestione del problema
- L’informazione degli altri Stati membri dell’UE che potrebbero essere coinvolti nell’incidente, tutelando la sicurezza e gli interessi commerciali dell’OSE nonché la riservatezza delle informazioni fornite
Sarà proprio il CSIRT che dovrà identificare forme di collaborazione, attraverso l’individuazione di forme di cooperazione operativa, lo scambio di informazioni e la condivisione di best practice.
La new generation della blackmail: sextorsion
Un nuovo modo per cercare di adescare le vittime consiste nel mandare mail-truffa dove il mittente afferma di avere video/foto della vittima acquisiti nel mentre della consultazione di siti pornografici: a questa sextorsion segue una richiesta di riscatto da pagare in genere entro 24/48 ore. In caso non si dovesse pagare, ancora secondo il finto messaggio, il mittente invierebbe le informazioni a sua disposizione a tutti i contatti della rubrica del malcapitato. Si deve prestare attenzione a ciascuna mail sospetta cercando di evitare passaggi affrettati, evitando di scaricare allegati: non si deve in nessun caso cliccare sui link. Spesso, inoltre, gli hacker sono soliti indicare nel messaggio la password (attuale o passata) dell’utente la quale è stata sottratta da un database. Allora è bene cambiare periodicamente la password ed attivare efficienti sistemi di sicurezza come l’autenticazione a due fattori, per esempio.
Siamo sulla strada giusta?
L’introduzione di queste direttive unite alla GDPR hanno mostrato un possibile piano efficace per proteggere le infrastrutture e la privacy dei cittadini.
Unica pecca riscontrabile è quella connessa alla mancanza di normazione in tema di dispositivi e di servizi di uso comune (e.g. oggetti “SMART”) i quali contano di una diffusione crescente: spesso però il loro funzionamento, la raccolta e l’uso delle informazioni non sono ben chiari all’utilizzatore finale. Ad essere poco chiari sono però anche i meccanismi che operano al fine di proteggere la privacy degli utenti da eventuali attacchi malevoli. Qui entra in gioco il Cybersecurity Act fornendo un ampio quadro normativo per certificare il livello di sicurezza dei prodotti e servizi offerti alle persone. È possibile pensare anche ad una migliore coesione nel mercato interno poiché l’introduzione di una certificazione europea pone dei limiti alla possibile nascita di certificazioni nazionali e in disaccordo fra loro ponendo una probabile mancanza di armonia nel mercato digitale. Ma tale “act” non si ferma qui: è un valido strumento per proteggersi dalla concorrenza non-UE che proponendo prodotti a basso costo non dice nulla sulle misure di sicurezza adottate al fine di proteggere i dati.
“In questo modo il Cybersecurity Act si pone come strumento di pressione verso l’esterno, da un lato come strumento di “pressione” che l’Europa può e vuole esercitare sui mercati non-EU per incoraggiarli al rispetto delle regole, dall’altro obbligando tutti coloro che vogliano offrire i propri prodotti e servizi all’interno dell’UE, alla adozione di buone pratiche.” (Agenda Digitale)
