Blog

Cert Nazionale data breachSe parliamo di CERT oggi in Italia abbiamo l'imbarazzo della scelta quando solo fino a qualche anno fa eravamo la cenerentola d'europa. Per molti il termine CERT era uno dei tanti presenti su Wikipedia, un'entità astratta, eravamo in pochi a parlare di CERT con cognizione di causa, personalmente me ne interessai la prima volta nel 2004 andando ad incontrare il responsabile del CERT del GARR a Firenze. Era una struttura giovane, fatta di poche persone capaci e volenterose, all'epoca era l'unico CERT che ero riuscito a scovare in Italia. Oggi invece assistiamo, dopo la svolta cibernetica di ufo robot Monti, ad un proliferare di CERT che stupisce. Infatti oggi abbiamo:
1 - CERT nazionale (www.certnazionale.it)
2 - CERT della Difesa (http://www.difesa.it/SMD_/Staff/Reparti/II/CERT/Pagine/default.aspx)
3 - CERT PA (http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa)
4 - CERT delle Poste (https://www.picert.it/),
e ultimo nato, qualche settimana fa, in casa ABI CERTFin,  il CERT del mondo Finance.

Veramente oggi potremmo fare invidia al resto del mondo per la popolosità dei nostri CERT. C''è da chiedersi se ha un senso avere così tante strutture che fanno lo stesso lavoro senza alcun coordinamento. Temo che siamo nel solito modello "Italiano" in cui creiamo enti e strutture per impiegare persone e creare strutture di potere, non certo per concentrare gli sforzi, ridurre i costi e  creare servizi innovativi e valore. Questo paese e il suo sistema produttivo preferiscono, nonostante la crisi,  disperdere capitali, energie e know how con risultati che,  per tempestività e merito sono francamente discutibili.Ma del resto questo è anche il paese dei tanti campanili, figuriamoci se il mondo finance vuole affidarsi, e quindi far conoscere le proprie rogne al CERT nazionale, idem per poste e per la PA. Ognuno vuole tenere ben nascosti problemi che ha in casa.... ma tanto li conosciamo tutti, almeno gli addetti ai lavori.

IO ho una idea diversa di CERT, la vedo come come una delle Infrastrutture CRITICHE, alla stregua della fornitura di acqua e gas, di linee telefoniche, etc.. e come tale deve essere un unico servizio per tutto il sistema paese, gestito dallo stato,  con efficienza competenza e tempestività, un centro di eccellenza, e perché no, anche di profitto, fornendo servizi sia alla PA, al mondo Finanziario  il mondo Industriale, nonché tutte le realtà produttive di una certa dimensione e peso nell'economia del paese; perché è chiaro e palese che nessuna realtà di un certo calibro può fare a meno di una struttura del genere, che ha una visione ampia e completa delle problematiche in corso. Pensate ad un attacco che prende di mira il mondo Finanziario: attacchi a nastro nei confronti delle banche e di Poste, perché comunque rappresentano una realtà finanziaria significativa;  oggi CERT FIN e CERT Poste ognuno per conto proprio cercherebbero di analizzare e fronteggiare un attacco del genere, senza scambiarsi informazioni su vettori e modalità di attacco che potrebbero essere di aiuto nell'azione di contenimento. 

Avere un unico CERT nazionale vorrebbe dire avere una visione completa degli attacchi ricevuti dal paese, dei settori a cui sono indirizzati, delle modalità e dei vettori utilizzati, una visione completa che in condizioni di emergenza fa la differenza. Dopodiché ogni realtà gestisca l'emergenza con il proprio SOC o con Incident Response Team interno o esterno o  la forensics unit, ma la condivisione e il coordinamento con un unico CERT Nazionale potrebbe veramente fare la differenza per il nostro sistema finanziario e industriale. 

YaluJBLuca Todesco, l'Italiano che ha sivluppato l'unico Jailbreak per IOS 10  ha fornito agli utenti iOS con un regalo di Natale pubblicando e rendendo pubblico il  jailbreak da lui sviluppato. Il suo nome è Yalu Jailbreak ed è una rarità dal momento che Luca Tedesco raramente ha condiviso exploit jailbreak preferendo tenerli per il proprio uso personale.

La guida al Jailbreak in questi due link:

http://yalujailbreak.com/

http://www.ios9cydia.com/yalu-jailbreak.html

http://www.cypple.com/luca-todesco-yalu-jailbreak.html

Per ridurre i costi diretti e le problematiche giuslavoristiche, nel corso degli ultimi dieci anno le aziende hanno incrementato l'esternalizzazione di molti servizi, passando dal concetto di produzione/erogazione del servizio a quello di gestione dell'outsourcer/della fabbrica esterna. Di fatto le aziende hanno esternalizzato anche buona parte delle fasi industriali del ciclo produttivo in particolare nella gestione e sviluppo di sistemi e soluzioni IT.
Esternalizzare significa estendere il perimetro aziendale, inizialmente ben definito e circoscritto, a quello degli outsourcer con la conseguente perdita di controllo dovuta alla mancanza di presidi tecnologici e organizzativi di segregazione e tracciatura.
L'azienda praticamente rischia la perdita di controllo sul fornitore ma sopratutto sulla disponibilità integrità e disponibilità dei propri dati.
Il cyber spionaggio legato all'uso di outsourcer di conto-terzisti dell'Information technology è confermato da tutti dai più accreditati report sulla sicurezza informatica, espone le aziende a rischi quali la sottrazione di dati, di specifiche di progetti, di informazioni finanziarie e commerciali, con effetti significativi sulla redditività dell'azienda. Per ridurre il rischio ad un livello accettabile, dal momento che non è possibile azzerarlo, è necessario attivare una serie di presidi organizzativi ma anche tecnologici di monitoraggio e tracciatura, in una parola "Forensics Readiness", che permettano di governare e tracciare un accesso abusivo, un trattamento illecito, un furto di dati, in generale un data breach da parte di un insider piuttosto che di un fornitore o outsourcer. Ove le aziende riescano ad attivare un piano di Audit periodico e analitico unitamente ad una revisione di processi e strumenti tecnologici in ottica di "Forensics readiness" l'azienda riesce a mitigare notevolmente il rischio legato all'outsourcing. Il rischio residuale può essere coperto avvalendosi di strumenti di tutela della proprietà intellettuale: marchi, brevetti e copyright, nonché ricorrendo ad soluzioni assicurative.

Joomla templates by a4joomla