Infosec - Aspe Srl
Transcript
Infosec - Aspe Srl
Lo stato della Sicurezza Informatica in Italia Luigi Panico La rivoluzione digitale che viviamo quotidianamente, sia nel campo professionale che personale, è destinata a portare con sé inequivocabilmente una serie di opportunità e di minacce: Opportunità di sviluppo e benessere per fasce sociali sempre più numerose, nuove minacce per cittadini, per imprese, per la stabilità del Paese. Tra le opportunità segnaliamo l’elevato l’elevato livello di interoperabilità e flessibilità circa l’uso dei dispositivi elettronici, che stanno divenendo sempre più multi-funzione, multi , e questo consente agli utenti di trarre innegabili vantaggi da opportunità prima di allora inimmaginabili, inimmaginabili, che permette loro di essere costantemente informati, avere vere accesso ai propri dati sempre e ovunque, essere in più posti contemporaneamente (ubiquità ubiquità digitale), agire da remoto. La sicurezza informatica è una pre-condizione pre perché le opportunità si possano dispiegare pienamente e permettere al Paese se di cambiare passo e registro, opportunità di sviluppo e innovazione in tutti i settori, dalla casalinga alla sicurezza nazionale. Allo stato delle cose le aziende pubbliche e private, i professionisti, i responsabili politici, i dipendenti pubblici e privati, il mondo della scuola e della ricerca molto spesso non sono consapevoli di questo vincolo, relegando di fatto la sicurezza informatica agli ultimi posti delle elle priorità. È utile ricordare che la minaccia Cyber C non riguarda solo i danni patrimoniali, patrimonial ma interessa anche il rischio terroristico per l’uso che i gruppi terroristici ne fanno sui social network e nella messaggistica per il proselitismo,, reclutamento, addestramento, coordinamento coordinam operativo. È ora di rendersi conto che sotto minaccia quotidiana sono tutte le infrastrutture industriali e commerciali, le infrastrutture critiche strategiche, la sicurezza nazionale, i dati personali, sanitari, finanziari, giudiziari. Esempi di vulnerabilità vul sono: • • • • I milioni di dati rubati Le estorsioni da ransomware La presa di controllo a distanza di mezzi di trasporto tramite attacco a centralina elettronica Hacking di strutture sanitarie e possibile manipolazione di macchinari diagnostici È stato possibile prendere il controllo remoto di una autovettura Tesla e fare qualunque cosa il dimostratore volesse, come aprire le porte ed il bagagliaio, ridurre la velocità, accelerare, frenare, azionare le frecce ed il tergicristallo, regolare i sedili). sedili). Il tutto con un semplice laptop e controllo remoto. Il test mostra come un attacco cyber possa produrre una gran quantità di danni sul piano fisico, anche come feriti e vittime. https://www.youtube.com/watch?v=c1XyhReNcHY tube.com/watch?v=c1XyhReNcHY Immaginate se un hacker prendesse il controllo di un aereo, di un treno, di una sala chirurgica e manomettesse la miscela di ossigeno/azoto (lo sapete che gran parte dei PC negli ospedali hanno ancora Windows XP?). Tutto ciò è già fattibile, ma molti continuano a guardare alla sicurezza informatica come una vera scocciatura. E’ evidente allora che occorre acquisire piena consapevolezza degli interessi che entrano in gioco quando ci si confronta con la minaccia cyber: • l’integrità fisica dei cittadini, • l’integrità economica collettiva delle imprese, • le funzioni fondamentali dello Stato, • i diritti dei singoli, • il diritto alla libertà. Bisognerà trovare un punto di equilibrio fra la compressione dei diritti dei cittadini e la esigenza di adeguare la sicurezza nazionale alle mutate condizioni tecnologiche. Il nostro Paese investe in sicurezza informatica solo 150 milioni l’anno, una inezia rispetto agli investimenti USA e di numerosi altri Stati Europei e le imprese investono solo l’1% del volume del fatturato. Per poter acquistare una SIM telefonica sono necessari il codice fiscale ed un documento identificativo valido, il che esclude che qualcuno venga in possesso in modo anonimo ed illecito di una SIM che utilizzerà per le proprie comunicazioni. Per accedere ai vari social network basta registrarsi, magari con una falsa identità ed una falsa email ottenuta temporaneamente con un programma di Fake Identity. Anche qui prima o poi si avrà bisogno di regole che il fornitore della piattaforma social dovrà obbligatoriamente attuare per evitare che chi commette reati resti anonimo ed impunito. The Way Ahead: per andare avanti è importante realizzare un sistema valido di contrasto alle minacce. Un buon passo avanti è stato fatto con l’approvazione in sede Europea del General Data Protection Regulation (GDPR) L.679 in vigore dal 25 Maggio 2016, con due anni di tempo per l’adeguamento, dove l’elemento principale non è più la tutela della Privacy, come nella vecchia accezione, ma la tutela dei Dati Informatici. Ma questa è solo una parte di ciò che va realizzato. È vitale che si inizi ad adottare iniziative di Bug Bounty con le quali viene testata la sicurezza di siti web e strutture critiche. Luigi Panico è amministratore di ASPE Srl che fornisce strumenti di protezione dati con criptomoduli hardware di livello militare, ex collaboratore di Dicon Technologies. Attuali collaborazioni con Radiocomm Srl e Hiddn AS. [email protected]