Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.

******************************************************
IT SERVICE MANAGEMENT NEWS – GIUGNO 2022
******************************************************

Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.

IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.

E' disponibile il blog http://blog.cesaregallotti.it.

La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.

Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

******************************************************
Indice

01- Strategia nazionale di cybersicurezza
02- NIST SP 800-53 sui controlli di sicurezza e privacy
03- Minacce e attacchi: Analisi delle vulnerabilità 2021 del CISA
04- Minacce e attacchi: Fornire segreti militari in discussioni sui giochi
05- Minacce e attacchi: Poste italiane ferme per un errore di aggiornamento ai sistemi
06- Minacce e attacchi: Chiusa la società Insteon per lo smart home

******************************************************
01- Strategia nazionale di cybersicurezza

Ho visto passare in questi giorni diversi messaggi relativi alla Strategia Nazionale di Cybersicurezza. Ho capito che dovevo guardarla quando anche Glauco Rampogna me l'ha segnalata.

Innanzi tutto i documenti di riferimento (la strategia, ossia il documento più discorsivo, e gli obiettivi, più schematici e approfonditi) sono reperibili dalla pagina dell'ACN:
- https://www.acn.gov.it/strategia-nazionale-cybersicurezza.

Alcuni punti, posto che voglio rimanere nel mio ed evitare di discutere dei grandi sistemi:
- l'approccio europeo e italiano dimostra chiaramente che molte azioni devono essere promosse e guidate dal pubblico; non lo dico criticamente, ma perché è necessario capire le differenze con gli USA; pertanto sono benvenute le iniziative di creazione di CERT e ISAC settoriali (misure 30-37) e di sviluppo di tecnologie (misure 48-52) e le partnership pubblico-privato;
- nell'ambito dei CERT e ISAC mi sembra che manchi l'obiettivo di informazione delle organizzazioni, in linea, per esempio, con quello che fa il NCSC svizzero;
- ottimo l'impulso al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, soprattutto dopo le difficoltà emerse nel corso dell'emergenza COVID e dell'invasione dell'Ucraina; mi sembra un obiettivo forse troppo ambizioso, ma necessario (misura 53);
- mi lascia perplesso l'obiettivo di sviluppare un sistema nazionale di certificazione delle competenze (obiettivo 61), mentre sarebbe opportuno promuovere schemi internazionali (non dico che non dovremmo promuovere nulla, ma l'ambito dovrebbe essere quello internazionale, se no rischiamo di chiuderci in noi stessi e di non approfittare di quanto succede all'estero);
- molto utili gli obiettivi (dal 59) di potenziamento delle competenze anche di base; solo così, come ho già detto in passato, è possibile avere dirigenti consapevoli dei tempi e dei limiti che oggi sono necessari allo sviluppo tecnologico a causa delle esigenze di qualità e sicurezza;
- tornando a quanto ho scritto sopra, mi sembra che si tratti del potenziamento delle competenze dei singoli senza però considerare anche quelle delle organizzazioni;
- mi spiace che, nell'ambito della cooperazione (dalla misura 74), non si parli delle iniziative di standardizzazione, cosa che invece è promossa da altri Paesi;
- ovviamente non posso che censurare l'uso di "cibernetica" e "ecosistema" in questo contesto (mi sembra, in particolare, che l'uso di "cibernetica" è disomogeneo e si alterna a termini come "cyber").

******************************************************
02- NIST SP 800-53 sui controlli di sicurezza e privacy

Franco Vincenzo Ferrari di DNV mi ha segnalato un articolo in merito al recente aggiornamento della NIST SP 800-53A "Assessing Security and Privacy Controls in Information Systems and Organizations". Questa linea guida si trova qui:
- https://csrc.nist.gov/publications/detail/sp/800-53a/rev-5/final.

Essa riporta le modalità per verificare le misure di sicurezza riportate dalla NIST SP 800-53.

A me sembrano documenti eccessivamente lunghi (la 53 è di quasi 500 pagine, la 53A è di più di 700 pagine) e si rischia di spostare l'attenzione della sicurezza alla decifrazione e compilazione di lunghe liste.

Esiste anche una 53B, che fornisce le "baseline", ossia i controlli da selezionare a seconda del livello di sicurezza che si vuole raggiungere (solo privacy, basso, medio, alto, indefinito).

L'articolo di cui sopra è reperibile a questo indirizzo:
- https://www.cybersecurity360.it/soluzioni-aziendali/controlli-di-sicurezza-e

******************************************************
03- Minacce e attacchi: Analisi delle vulnerabilità 2021 del CISA


Il CISA è la Cybersecurity & Infrastructure Security Agency degli USA e ha pubblicato il documento "CISA Analysis: FY2021 Risk and Vulnerability Assessments":
- https://www.cisa.gov/cyber-assessments (bisogna poi andare nella sezione "Attachment media").

Qui si trovano le vulnerabilità più significative evidenziate nel 2021 durante le attività di vulnerability assessment presso alcune strutture USA. La cosa interessante è che, per ogni vulnerabilità, sono raccomandate alcune azioni di mitigazione.

Ricorda un po' le OWASP Top 10, ma qui le vulnerabilità sono 11 e non solo di tipo applicativo.

PS: raccomando di iscriversi alle newsletter del CISA. Spesso sono troppo tecniche, ma ogni tanto segnalano perle come questa.

******************************************************
04- Minacce e attacchi: Fornire segreti militari in discussioni sui giochi

Questa notizia, da Crypto-Gram di giugno 2022, ha titolo "War Thunder fan leaks classified military documents to win an argument about tanks-again":
- https://www.pcgamer.com/war-thunder-fan-leaks-classified-military-documents-to-win-an-argument-about-tanksagain/.

In sintesi: il gioco elettronico War Thunder usa modelli molto realistici; nei forum di discussione alcuni utenti hanno caricato i manuali ufficiali (e segreti) di alcuni carri armati in discussioni su quanto erano realistici i modelli del gioco.

******************************************************
05- Minacce e attacchi: Poste italiane ferme per un errore di aggiornamento ai sistemi

Il 30 maggio, le Poste italiane sono rimaste ferme. Segnalo questo articolo dal titolo "Poste down: Non c'entrano gli hacker russi ma è un problema tecnico":
https://www.huffingtonpost.it/cronaca/2022/05/30/news/attacco_hacker_poste_smentisce_problemi_tecnici_dovuti_a_aggiornamento_di_sistema_-9493025/.

Mi sembra importante ricordare che la siurezza informatica non riguarda solo attacchi da malintenzionati, interni o esterni. Ma anche gli errori.

******************************************************
06- Minacce e attacchi: Chiusa la società Insteon per lo smart home

Segnalo questa notizia dal titolo "Shameful: Insteon looks dead—just like its users' smart homes":
- https://arstechnica.com/gadgets/2022/04/shameful-insteon-looks-dead-just-like-its-users-smart-homes/.

La segnalo perché questo non è l'unico caso a cui mi è capitato di assistere: una società di informatica chiude improvvisamente e i clienti rimangono senza servizi.

Quando si parla di sicurezza della "supply chain" si parla spesso di eventi di tipo digitale (DOS e dDOS, malware e ransomware, furto di informazioni), ma è necessario anche ricordare che un fornitore può sparire e lasciarci in difficoltà.

Da considerare anche nella continuità operativa.

******************************************************
EONL