Infosec - Aspe Srl

Lo stato della Sicurezza
Informatica in Italia
Luigi Panico
La rivoluzione digitale che viviamo quotidianamente, sia nel campo professionale che personale, è
destinata a portare con sé inequivocabilmente una serie di opportunità e di minacce: Opportunità di
sviluppo e benessere per fasce sociali sempre più numerose, nuove minacce per cittadini, per imprese,
per la stabilità del Paese.
Tra le opportunità segnaliamo l’elevato
l’elevato livello di interoperabilità e flessibilità circa l’uso dei
dispositivi elettronici, che stanno divenendo sempre più multi-funzione,
multi
, e questo consente agli utenti
di trarre innegabili vantaggi da opportunità prima di allora inimmaginabili,
inimmaginabili, che permette loro di essere
costantemente informati, avere
vere accesso ai propri dati sempre e ovunque, essere in più posti
contemporaneamente (ubiquità
ubiquità digitale), agire da remoto.
La sicurezza informatica è una pre-condizione
pre
perché le opportunità si possano dispiegare pienamente
e permettere al Paese
se di cambiare passo e registro, opportunità di sviluppo e innovazione in tutti i
settori, dalla casalinga alla sicurezza nazionale.
Allo stato delle cose le aziende pubbliche e private, i professionisti, i responsabili politici, i dipendenti
pubblici e privati, il mondo della scuola e della ricerca molto spesso non sono consapevoli di questo
vincolo, relegando di fatto la sicurezza informatica agli ultimi posti delle
elle priorità.
È utile ricordare che la minaccia Cyber
C
non riguarda solo i danni patrimoniali,
patrimonial ma interessa anche il
rischio terroristico per l’uso che i gruppi terroristici ne fanno sui social network e nella messaggistica
per il proselitismo,, reclutamento, addestramento, coordinamento
coordinam
operativo.
È ora di rendersi conto che sotto minaccia quotidiana sono tutte le infrastrutture industriali e
commerciali, le infrastrutture critiche strategiche, la sicurezza nazionale, i dati personali, sanitari,
finanziari, giudiziari. Esempi di vulnerabilità
vul
sono:
•
•
•
•
I milioni di dati rubati
Le estorsioni da ransomware
La presa di controllo a distanza di mezzi di trasporto tramite attacco a centralina elettronica
Hacking di strutture sanitarie e possibile manipolazione di macchinari diagnostici
È stato possibile prendere il controllo remoto di una autovettura Tesla e fare qualunque cosa il
dimostratore volesse, come aprire le porte ed il bagagliaio, ridurre la velocità, accelerare, frenare,
azionare le frecce ed il tergicristallo, regolare i sedili).
sedili). Il tutto con un semplice laptop e controllo
remoto. Il test mostra come un attacco cyber possa produrre una gran quantità di danni sul piano fisico,
anche come feriti e vittime.
https://www.youtube.com/watch?v=c1XyhReNcHY
tube.com/watch?v=c1XyhReNcHY
Immaginate se un hacker prendesse il controllo di un aereo, di un treno, di una sala chirurgica e
manomettesse la miscela di ossigeno/azoto (lo sapete che gran parte dei PC negli ospedali hanno
ancora Windows XP?). Tutto ciò è già fattibile, ma molti continuano a guardare alla sicurezza
informatica come una vera scocciatura.
E’ evidente allora che occorre acquisire piena consapevolezza degli interessi che entrano in gioco
quando ci si confronta con la minaccia cyber:
• l’integrità fisica dei cittadini,
• l’integrità economica collettiva delle imprese,
• le funzioni fondamentali dello Stato,
• i diritti dei singoli,
• il diritto alla libertà.
Bisognerà trovare un punto di equilibrio fra la compressione dei diritti dei cittadini e la esigenza di
adeguare la sicurezza nazionale alle mutate condizioni tecnologiche.
Il nostro Paese investe in sicurezza informatica solo 150 milioni l’anno, una inezia rispetto agli
investimenti USA e di numerosi altri Stati Europei e le imprese investono solo l’1% del volume del
fatturato.
Per poter acquistare una SIM telefonica sono necessari il codice fiscale ed un documento identificativo
valido, il che esclude che qualcuno venga in possesso in modo anonimo ed illecito di una SIM che
utilizzerà per le proprie comunicazioni. Per accedere ai vari social network basta registrarsi, magari
con una falsa identità ed una falsa email ottenuta temporaneamente con un programma di Fake
Identity. Anche qui prima o poi si avrà bisogno di regole che il fornitore della piattaforma social dovrà
obbligatoriamente attuare per evitare che chi commette reati resti anonimo ed impunito.
The Way Ahead: per andare avanti è importante realizzare un sistema valido di contrasto alle minacce.
Un buon passo avanti è stato fatto con l’approvazione in sede Europea del General Data Protection
Regulation (GDPR) L.679 in vigore dal 25 Maggio 2016, con due anni di tempo per l’adeguamento,
dove l’elemento principale non è più la tutela della Privacy, come nella vecchia accezione, ma la tutela
dei Dati Informatici. Ma questa è solo una parte di ciò che va realizzato. È vitale che si inizi ad
adottare iniziative di Bug Bounty con le quali viene testata la sicurezza di siti web e strutture critiche.
Luigi Panico è amministratore di ASPE Srl che fornisce strumenti di protezione dati con criptomoduli hardware di livello militare, ex collaboratore di Dicon Technologies. Attuali collaborazioni
con Radiocomm Srl e Hiddn AS. [email protected]