Blog

E' uscito da qualche giorno il Cisco 2015 Annual Security Report che traccia una analisi approfondita  del Cisco Security Research e di Security Expert Cisco, rapporto che affronta quelli che sono e saranno i temi caldi della sicurezza inforamtica nell'anno che si presenta. il report è online alla url 

Un primo ma significativo elemnto che emerge dal rapporto è che le aziende, forese complice la congettura economica, hanno deciso di non fare patching dei sistemi, di non aggiornare i propri sistemi IT contro i bug di sicurezza. Una scelta preoccupante, forse dettata da logiche economiche e sicuramente anche una  da mancanza di consapevolezza del rischio di impresa legato al rischio IT, che rischia di esporre la azienda a data breach dalle conseguenze catastrofiche. 

E' necessario sensibilizzare e formare le aziende, senza fare terrorismo, riguardo a cosa è la sicurezza informatica e cosa significa realmente per un'azienda: il  "cybercrime"  è più vicino alle aziende di quato queste credano.

Quando si ha la possibilità di fare un'analisi del traffico di rete delle aziende o un assesment di sicurezza dei sistemi connessi alla rete aziendale, emergono elementi spesso sconosciuti anche al reparto IT,  sempre più spesso chiamato a far funzionare i sistemi e non a mantenerli in uno stato salubre.  Si scopere la presenza di traffico di botnet che controllano alcuni desk aziendali, si identificano attività malevole di trojan bancari come zeus, dipendenti che si collegano a siti non autorizzati o che salvano sul cloud, non azienale, documenti aziendali, anche riservati.

Per questo è importante che le aziende non riuncino alla sicurezzaaltrimenti rinuncerebbero a breve al loro business, ma è anche importante che chi si occupa di sicurezzza scenda dala cattedra e sia più vicino alle aziende parlando il loro linguaggio e vivendo i loro problemi.

 

Se la notizia non fosse viziata da clamorosi scivoloni sull'argomento sarebbe un ottima notizia ed è riportata su Repubblica http://www.repubblica.it/tecnologia/2014/09/22/news/diritti_internet-96412021/ . C'è da augurarsi che l'iniziativa non abbia un carattere di censura ma voglia invece dare ordine, in termini moderni ad un problema complesso. Certamente servirebbe una disciplina sovranazionale, almeno a livello UE,  che condivida principi da tutelare e strumenti di tutela, dipodichè sarebbe forse il caso di convidere il più possibile a livello globale tali principi. Vedremo a metà ottobre cosa produrrà la commissione. La consultazione popolare, a detta della commissione per un principio di trasparenza, a me fa pensare che i 13 esperti e i 10 deputati non vogliano mettere l'ultima paraola su temi che forse non conoscono a sufficienza. Temi che invece i professionisti della sicurezza e della forensics ma anche i comuni cittadini hanno ben presenti, a partire dai rischi connessi all'uso di Internet e alla presenza in Internet. Del resto che in Italia ci sia poca cultura sull'argomento è chiaro anche leggendo l'articolo su Repubblica dove la Internet della interconnessione globale è scritta con la "i" minuscola invece della "I" maiuscola comunemente usata per indicare il world wide web. E' ben noto che la internet con la i minuscola si riferisce alle intranet aziendali.

Con il recente provvedimento della Corte Europea la UE ha di fatto legalizzato certi crimini. Come non pensare che un tale provvedimento sia stato richiesto a gran voce dalle lobby delle TCL? La Data retantion per gli operatori TELCO ha significato investire decine di milioni di euro in storage in cui registrare i dati di traffico per due anni (in italia). Già nel 2008 si parlò di una forte pressione degli operatori TELCO quando in italia fu ridotto da 24 mesi a 30 giorni l'obbligo di conservazione dei dati di traffico relativi alle telefonate senza risposta. Molti sostennero che si trattava di risparmiare gli storage dedicati a conservare i dati degli squilli dei ragazzini, e sicuramente è vero, ma quella tecnica degli squilli è stata usata, e può essere usata per gli inneschi da distanza di esplosivi.  Già che con  i tempi della giustizia italiana in 30 giorni si perdono le prove dello stalker che assilla la propria vittima con 20 squilli ogni notte senza risposta; se andiamo anche a gettare al vento i dati di traffico degli ultimi due anni addio. La corte ha scelto di tutelare il diritto alla riservatezza della persona piuttosto che la tutela della collettività, il particolare piuttosto che l personale, credo che le istituzioni dovrebbero preoccuparsi di tutelarla maggiormente non di anonimizzarla maggiormente. A causa di questa scelta domani però non posso buttare in galera uno stalker seriale che da un anno assilla la ex, non potrò dimostrare le connessioni mafiose di certi personaggi, nè le frequentazioni telefoniche della malavita. Nè potrò sapere chi era collegato con l'indirizzo IP il giorno X alle 10:30 quando da quell'indirizzo è stato postao un messaggio diffamatorio su un forum, o è stato effettuato un accesso abusivo ad un server, o è stata fatta una truffa online, o .... da quell'IP è stata spente una centrale Elettrica(SCADA) o un intero Ospedale.Per me non ha vinto la privacy: ha subito una grossa sconfitta la giustizia, privata di strumenti di indagine importanti. La cosa che più mi colpisce è il silenzio che c'è sulle conseguenze di questo pronunciamento.

 

(c) 2015 Copyright Studio Informatica Forense Fiorenzi Alessandro. Tutti i diritti riservati | P.IVA 06170660481 | Templates- (c)Joomla templates by a4joomla