Skip to main content

Blog sulla sicurezza informatica e l’informazione dei sistemi

Andrea Biraghi, Cyber Security manager e direttore della divisione Security and information Systems, lavora da anni per il mantenimento della sicurezza dei sistemi informativi. In una società sempre più digitalizzata ed interconnessa è divenuto ormai indispensabile prendere atto delle minacce esistenti nella rete Internet: solo un costante impegno ed aggiornamento rendono possibile affrontare e combattere i Cyber criminali e riprendersi in fretta dalla loro violazioni. La posta in gioco è alta e la sicurezza dei servizi web è fortemente legata al nostro sviluppo economico: basti pensare al rapido aumento delle connessioni, degli utenti, l’aumento del valore di numerose transazioni effettuate attraverso le reti, la crescita delle imprese legate al commercio elettronico.

Tag: direttiva nis

Direttiva NIS e Infrastrutture critiche: sicurezza 2020

Perchè la Direttiva NIS e infrastrutture critiche è un tema caldo per il 2020?

La tecnologia avanza, soprattutto nel campo delle tecnologie ICT connesse: i dispositivi IoT non entrano solo nelle nostre case ma si occupano di gestire anche i dati per le analisi di quelle che vengono considerate “infrastrutture critiche” con lo scopo di proteggerle. Andrea Biraghi – Ultime notizie

direttiva-nis-infrastrutture-critiche
Infrastrutture critiche 2020

Questo è anche un caso italiano: la società WestPole  monitora il Ponte Morandi con un sensore IoT, in fase di sperimentazione. Il dispostivo in grado di registrare e misurare tutte le vibrazioni cui è sottoposta la struttura nell’arco delle 24 ore. Compito del sensore è raccogliere i dati e inviarli ad un gateway, che a sua volta li trasmette al data center. [Fonte: Internet4Things]

Il compito di Westpole è innanzitutto quello di diffondere la trasformazione digitale e renderela scalabile, nel campo dell’informatica delle cose opera per aumentare la competività delle aziende e delle loro performance abilitando l’introduzione dell’Intelligenza Artificiale e dei modelli predittivi. Nel campo delle infrastrutture critiche, per rimanere in teme, si possono così ottenere monitoraggi in tempo reale, controllando in modo veloce la situazione e il superamento delle soglie di sicurezza.

Questo ci fa comprendere come nel 2020 il tema delle infrastrutture critiche rimarrà cruciale, per capirne soprattutto gli scenari futuri. Gli oggetti connessi in rete infati comprendono per ora rischi che non sono da sottovalutare, ad esempio nel settore sanitario, ancora molto vulnerabile.

La Direttiva NIS, nota anche come Direttiva Comunitaria per la sicurezza delle reti e dell’informazione, stabilisce i requisiti minimi di sicurezza per l’informatica. E’ essenziale che reti, sistemi e servizi siano affidabili e sicuri, poichè eventuali incidenti relativi alla sicurezza rappresentano una vera e propria minaccia per il loro funzionamento, ripercuotendosi sulla società. Perchè la stessa città va vista come una grande infrastruttura critica. Per comprenderne l’importanza qui di seguito il documento di InfrastruttureCritiche.it in tema: Direttiva NIS pdf

Sicuramente i dispositivi IoT rappresentano una notevole innovazione ma contemporaneamente la loro fase di sperimentazione è, in modo evidente, molto importante. Anche l’introduzione della nuova rete 5G ha un potenziale estremamente innovativo al pari di vunerabilità di violazioni che non hanno precedenti. In sintesi velocità più elevate offriranno agli hacker la possibilità di colpire più dispositivi e innescare attacchi informatici sempre più grandi. Da qui la necessità che la Cyber Security elabori nuove strategie di difesa.

A valle del recepimento della Direttiva NIS, la Strategia nazionale di sicurezza cibernetica, è un provvedimento che segna un ulteriore passo in avanti verso l’attuazione della direttiva europea, proprio per definire le procedre tecniche per la prevenzione degli incidenti cibernetici.

Il tema della Cyber Security nelle Infrastrutture critiche è stato affrontanto relativamente al quadro normativo presente. Qui di seguito l’intervento di Angelo Tofalo all’Università degli studi di Roma Tor Vergata.

Direttiva NIS e infrastrutture: l’energia elettrica

La Direttiva NIS si applica ai settori e alle infrastrutture critiche, con lo scopo di migliorare le difese delle infrastrutture critiche degli Stati europei. Se solo pensiamo che il comparto energetico, che cerca soluzioni più sostenibili e sicure, passando per la digitalizzazione, si può comprendere come questa infrastruttura critica sia un asset da proteggere contro gli attacchi informatici.

Andrea-Biraghi

A diventare più restrittivo della Direttiva Nis sarà il Perimetro Nazionale: quindi verranno presi in considerazione non solo i danni di un attacco ma anche quelli relativi alla violazione dell’integrità di un asset.

Le modifiche al decreto legge approfondiscono la gestione della sicurezza cibernetica nazionale secondo criteri di gradualità del rischio, individuazione di vulnerabilità sin dalla fase dell’approvigionamento e la definizione delle tempistiche associate agli obblighi di notifica.

Anello debole della catena rimane ancora l’errore umano: informazione e formazione restano la chiave per avere tecnici più preparati, programmatori più attenti e utenti più consapevoli e attenti: qusto sarà per molti il vero cambio del 2020.


Direttiva NIS: strategie per la Cyber Security

 Direttiva NIS Cyber Security
Direttiva NIS e Cyber Security

Direttiva NIS: sono recenti le notizie circa le disposizioni sull’organizzazione e il funzionamento del Computer Security Incident Response Team (Csirt) italiano.

Il decreto che applica la Direttiva NIS, è stato infatti pubblicato sulla Gazzetta Ufficiale: il provvedimento che affronta il tema della Cyber Security a livello europeo e quindi in Italia, definisce le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi.

Il decreto istituisce il Csirt presso il Dipartimento delle Informazioni per la Sicurezza (Dis) della Presidenza del Consiglio dei Ministri e ne definisce la sua organizzazione.

Decimo incontro del Cestudis sul tema cyber, che offre spunti per analizzare la situazione attuale e suggerire possibili prospettive dopo l’adozione della direttiva NIS.

Tra i compiti del CSIRT quello di definire le procedure tecniche per la prevenzione e la gestione degli incidenti informatici; ricevere le notifiche di incidente; fornire al soggetto che ha effettuato la notifica le informazioni per facilitare la gestione efficace dell’evento; informare gli altri Stati membri dell’Ue eventualmente coinvolti dall’incidente; garantire la collaborazione nella rete di Csirt, attraverso forme di cooperazione appropriate, scambio di informazioni e condivisione di best practices.

Leggi di più sulle Difese con il Csirt nazionale su CorriereComunicazioni.it

La Direttiva NIS in pillole

La Direttiva prevede l’adozione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri. I settori che rientrano nell’ambito della sua applicazione sono i seguenti: energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico.

Fonte CSIRT Italia

Oltre agli OSE la Nis identifica anche i Fornitori di Servizi Digitali (FSD), a cui spettano i medesimi obblighi: quello di adottare le misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio. Ma soprattutto hanno l’obbligo di notificaresenza ingiustificato ritardo, gli incidenti che con impatto rilevante al CSIRT, informandone anche l’Autorità competente NIS di riferimento.

Vediamoli in dettaglio.OSE: soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasportibancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.

FSD o Fornitori di Servizi Digitali: persone giuridiche che forniscono servizi di e-commercecloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.

OSE: soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasportibancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.

L’elenco nazionale degli OSE è istituito presso il Ministero dello sviluppo economico e viene aggiornato, almeno ogni due anni, a cura delle Autorità competenti NIS.

Autorità competenti NIS: hanno il compito di vigilare sull’applicazione delle direttiva, con il potere di esercitare le relative potestà ispettive e sanzionatorie, procedono ad identificare gli OSE entro il 9 novembre 2018 e possono predisporre linee guida per la notifica degli incidenti e dettare specifiche misure di sicurezza, sentiti gli OSE.

In materia di trattamento di dati personali si dovrà fare riferimento al  Regolamento Generale sulla Protezione dei Dati (GDPR).

Cyber Security nuove strategie di difesa

A valle del recepimento della Direttiva NIS, sarà adottata la Strategia nazionale di sicurezza cibernetica, sentito il Comitato Interministeriale per la Sicurezza della Repubblica (CISR).

“Il provvedimento segna un ulteriore importante passo in avanti verso l’attuazione della direttiva europea NIS– spiega Davide Maniscalco, avvocato esperto di informatica giuridica e nuove tecnologie  – con il compito di definire le procedure tecniche per la prevenzione e la gestione degli incidenti cibernetici” e le loro notifiche. “Si tratta di uno step fondamentale nell’ambito anche della strategia di information sharing – conclude Maniscalco – ossia della collaborazione nella rete di CSIRT, per la condivisione di best practices”.

Leggi l’articolo su OFCSReport