Connect with us

segnalaci un sito truffa

Editoriali

Cloud Nazionale: oltre ai datacenter, c’è il software

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Il numero crescente di incidenti informatici che hanno coinvolto aziende private di carattere strategico e istituzioni pubbliche, soprattutto del settore sanitario, hanno riacceso la discussione di media e politica sulla necessità di un cloud nazionale al fine di proteggere adeguatamente i dati personali dei cittadini e delle istituzioni stesse.

Sembra tuttavia che l’argomento principale sia limitato all’infrastruttura fisica, ossia datacenter, server e reti di connessione, mentre poco o nulla si è detto riguardo ciò che su tali infrastrutture deve girare, ossia il software.

In effetti qualche parola si è spesa, parlando in particolare di crittografia e di chiavi di criptazione, ma l’argomento è stato trattato in modo alquanto naïf.

Quando si parla di cloud, occorre considerare che tutti i sistemi che lo costituiscono oltre a interagire tra loro interagiscono con sistemi esterni, sia direttamente ad esempio tramite servizi erogati da terzi (mappe, risorse grafiche, risoluzione di domini) sia indirettamente (ad esempio tramite servizi che sincronizzano l’orologio-calendario interno alla macchina).

Tutte queste interazioni costituiscono la superficie d’attacco che va considerata quando si fa la valutazione del livello di rischio del sistema cloud.

E’ evidente che già a questo livello di discussione il concetto di “cloud sovrano” sia da ridimensionare.

Dal punto di vista funzionale, il cloud è un sistema dinamico che permette di adeguare l’offerta di infrastruttura sulla domanda di servizio in un dato istante e in un dato luogo. Per questo nella stragrande maggioranza dei casi le macchine su cui girano i servizi sono macchine “virtuali” che possono essere spostate e moltiplicate a seconda della necessità, anche senza preavviso: la domanda di un dato servizio sono maggiori durante un click-day (eventualità che comunque ci auguriamo di vedere il meno possibile in futuro) che, per esempio, durante ferragosto. Le istanze di una CDN vengono spostate nei datacenter più geograficamente vicini agli utenti che le richiedono; per questo, sommato al fatto che l’utente di una pubblica amministrazione non è necessariamente ubicato sul suolo nazionale, potrebbe essere controproducente avere tutte le istanze raggruppate sul territorio nazionale o, peggio, in un unico datacenter. Turisti e connazionali ubicati all’estero avranno probabilmente frequente necessità di accedere a tale cloud.

Dunque riunire esclusivamente su infrastrutture nazionali tutti i servizi non solo è utopico, ma potrebbe essere anche poco efficiente, se non altro per questioni legale alla geografia.

Dal punto di vista della sicurezza, intesa come robustezza agli attacchi, una sola infrastruttura nazionale potrebbe essere un grandissimo punto debole: il concetto di ridondanza va applicato a tutte le risorse coinvolte in modo da non creare il “Single point of failure” che è di solito il più ghiotto tra i bocconi di un ipotetico avversario.

Come detto, l’argomento relativo alle risorse non hardware è stato limitato al discorso relativo alla crittografia. Questo è secondo me senza senso e fuorviante.

La crittografia moderna funziona perché si è abbandonato il concetto di nascondere l’algoritmo di cifratura; in realtà da secoli si è capito che una buona crittografia funziona se e solo se sono le chiavi ad essere segrete, mentre, viceversa, il consenso nel considerare l’algoritmo come robusto è un requisito fondamentale. Non ha quindi senso parlare di “Crittografia nazionale”, se non nel senso di inquadrare il tutto in un concetto che coinvolge non tanto gli algoritmi quanto piuttosto le procedure dietro la gestione di accessi alle risorse confidenziali. Gestire correttamente sottochiavi, accessi, credenziali e soprattutto la revoca delle stesse, è un punto critico di tutta la discussione.

Resta un punto dolente e assolutamente prioritario in tutta questa discussione.

Il software

Oggi il software di server e client è costituito a volte da centinaia di micro-componenti la cui natura e provenienza è la più disparata. Un meme assai famoso nel settore dell’infosec mostra una costruzione fatta di numerosi blocchi che poggiano su un singolo mattone “mantenuto gratuitamente da un ignoto sviluppatore in Illinois”. Esso descrive benissimo la situazione di software e sistemi in tutto il mondo.

L’incidente con il componente Log4j lo dimostra pienamente. Ci vorranno probabilmente anni prima che tutti i componenti critici che ne fanno uso siano aggiornati, e di qui ad allora si moltiplicheranno i casi di violazione attraverso questa vulnerabilità.

E’ dunque prioritario, prima ancora che discutere di infrastrutture, che la pubblica amministrazione si doti di un framework di lavoro costituito da procedure, prassi, linee guida, e infine anche moduli software che garantiscano una corretta gestione dei sistemi e delle infrastrutture su tutti i livelli; ed è prioritario anche che siano ridotte sensibilmente le migliaia di componenti utilizzate nelle varie amministrazioni con un set di moduli software comuni che siano analizzati, censiti, monitorati e soprattutto mantenuti, fin dalla loro introduzione nel framework, al fine di gestire correttamente il loro uso e il loro ciclo di vita, identificando e correggendo le eventuali vulnerabilità prima che esse vengano sfruttate per violare i sistemi del cloud nazionale.

Questi punti sono, secondo il mio parere e la mia esperienza acquista negli anni sul campo, molto più critici. Abbiamo una PA che risulta spesso anni luce indietro rispetto ai privati, sia dal punto di vista tecnologico che ancor più dal punto di vista della gestione. E’ molto più grave avere servizi gestiti con orario da sportellista o con procedure mutuate dal mondo analogico che avere i server ubicati in un’area geografica rispetto ad un’altra.

Commenti da Facebook

Editoriali

Il Garante della Privacy multa Enel. Noi vi abbiamo avvisato 4 mesi fa.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Dopo diverse segnalazioni su campagne aggressive delle compagnie energetiche arrivate al Garante della Privacy, di cui vi ho parlato perchè mi hanno riguardato personalmente, è stata comminata una sanzione di 26 milioni di euro ad Enel Energia.

Si spera che questo non sia un caso unico e che vengano sanzionate altre compagnie nazionali e altri gestori locali, colpevoli di aver utilizzato il momento di crisi energetica come leva per far stipulare nuovi contratti, dove veniva esplicato come riferimento migliorativo il prezzo del costo della materia prima al netto delle tasse da pagare.

Il Garante per la protezione dati personali ha inflitto a Enel Energia una sanzione di oltre 26 milioni e 500 mila euro per il trattamento illecito dei dati personali degli utenti a fini di telemarketing. Oltre al pagamento della multa, la società dovrà adottare una serie di misure dettate dall’Autorità per conformarsi alla normativa nazionale ed europea sulla tutela dei dati.
Il provvedimento arriva al termine di una complessa attività avviata dall’Autorità a seguito di centinaia di segnalazioni e reclami di utenti che lamentavano la ricezione, in nome e per conto di Enel Energia, di telefonate promozionali indesiderate, anche su disco pre-registrato, la difficoltà di esercitare i propri diritti in tema di protezioni dati personali e, più in generale, problemi derivanti dalla gestione dei dati nell’ambito dei servizi di fornitura energetica, ivi compresi i trattamenti svolti tramite l’area riservata del sito della società e la app di gestione dei consumi (cd. Profilo unico).


L’ufficio del Garante ha verificato come il fenomeno del telemarketing nel settore energetico, con l’approssimarsi della scadenza per il passaggio dal mercato tutelato dell’energia elettrica e del gas al mercato libero, abbia registrato un netto e preoccupante incremento. Nel corso dell’istruttoria è emerso un cronico, intenso e sempre più invasivo fenomeno di telefonate promozionali indesiderate, in assenza del necessario consenso, verso utenze riservate o iscritte al Registro delle opposizioni, oltre al tardivo o mancato riscontro a istanze di esercizio dei diritti di accesso ai dati personali o di opposizione al trattamento per finalità di marketing.
Alla luce delle violazioni riscontrate, il Garante Privacy ha applicato una sanzione di 26.513.977,00 euro.


L’Autorità ha inoltre ingiunto a Enel Energia di adeguare ogni trattamento di dati svolto dalla rete di vendita a modalità e misure idonee a comprovare che l’attivazione di offerte e servizi e l’attivazione di contratti avvenga solo a seguito di contatti promozionali su numerazioni telefoniche censite e iscritte al Registro degli operatori della comunicazione (ROC).
Enel Energia dovrà anche implementare ulteriori misure tecniche e organizzative per gestire le istanze di esercizio dei diritti degli interessati, in particolare il diritto di opposizione alle finalità promozionali, in modo da dare riscontro agli interessati non oltre 30 giorni dalla richiesta.
Enel Energia infine dovrà comunicare all’Autorità Garante per la protezione dei dati personali le iniziative intraprese per adeguarsi a quanto prescritto dal provvedimento.

Commenti da Facebook
Prosegui la lettura

Editoriali

Dietro l’arresto di REvil c’è una guerra: in Russia

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

In questi giorni vi sono state tensioni tra Usa, Ucraina, Kazakistan e la Russia nello spazio cibernetico. Il rischio proclamato più volte dall’intelligence americana si è concretizzato quando 70 siti web ucraini sono stati messi giù da una manina straniera identificata come russa.

Altro aspetto interessante, è stato quello della Nord Corea che in questo caos generale sta aggredendo la Russia e sta eseguendo attacchi al mondo delle criptovalute per rimpinguare le casse del suo poverissimo stato.

REvil è uno dei più prolifici gruppi parastatali russi che hanno raccolto milioni di dollari in questi anni ed hanno bloccato diverse società altamente tecnologiche con il loro ransomware, noleggiato anche terzi, con cui ha montato l’innovativo business criminale del Ransomware as Service.

L’operazione di polizia che li ha sgominati è stata messa in piedi direttamente dall’intelligence russa FSB e, secondo una fonte della redazione sul luogo, questa potrebbe essere espressione di una guerra geopolitica in atto che tende a diminuire la forza politica di Putin.

Se il gruppo è stato sgominato “su pressioni” dei paesi sotto costante attacco informatico della stessa Russia, la strategia di scambio è probabile, motivata dall’intavolare un dialogo collaborativo con i nemici e questo non gioverebbe a Putin.

Quello che non torna invece nel marasma generale, è che il gruppo era già sotto osservazione dei russi e pronto per essere arrestato in quelle che possiamo definire operazioni “spettacolo” di polizia e questo invece può fornire una lettura diversa: quella della vendita ai nemici di un problema per ottenere qualcosa in cambio.

Un aspetto che sembra più credibile con le informazioni che solitamente giungono dalla Russia di Putin. In caso contrario, ci troviamo dinanzi ad una vera crisi politica in terra sovietica che ha origine nell’istituzione statale più vicina a Putin e che potenzialmente può aprire le porte ad un insediamento occidentale.

Commenti da Facebook
Prosegui la lettura

Editoriali

Asl Napoli Sud: i dati trafugati sono “irrilevanti”. Vaccini e tamponi sospesi per l’attacco? Una Bufala

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

In questi giorni è scoppiata la rete informatica della ASL Napoli 3 a causa di un attacco informatico. Gli autori dell’attacco sono gli affiliati al noto ransomware group Sabbath. Alla luce di questo attacco, molti utenti hanno lamentato ritardi nelle piattaforme vaccinali regionali ed hanno collegato l’evento dell’attacco all’inceppamento delle procedure di tamponi e vaccini.

Peccato però che è una logica errata, come sembrerebbe errato l’interesse da parte delle forze dell’ordine di avviare una trattativa. Nel mentre il popolo della rete, esperti informatici soprattutto, si straccia le vesti per l’ennesimo attacco sferrato ai danni di una struttura sanitaria pubblica, spulciando nei dati rilasciati come sample di avvenuta intrusione, notiamo che le informazioni siano classificate come “amministrative” e quindi non “top secret”.

Secondo le indiscrezioni raccolte dalla redazione, non essendoci una forma top secret sui dati amministrativi, non c’è un interesse nel tutelarli. La pubblicazione dei dati non comporterebbe una guerra o un rischio serio per il paese, anzi, i dati amministrativi sono dati pubblici ed è per questo che le Autorità sembrerebbero essere tranquille. Un altro aspetto è che la pubblicazione delle informazioni trafugate, scoprirebbe tutti gli eventuali soggetti esposti, facendo agire le strutture informatica nella direzione di massima tutela dei diretti interessati.

L’Asl per conto suo ha fatto una segnalazione al Garante della Privacy, seguendo la solita prassi, ed il reparto informatico sta mettendo mano al ripristino degli svariati terabyte di dati che componevano l’infrastruttura di rete sanitaria dei comuni nell’area sud est della provincia di Napoli.

La questione dei ritardi nei vaccini e nei tamponi, anche questa volta non trova riscontri con l’attacco. Una fonte della redazione è stata categorica: “i dati dei soggetti interessati dalle campagne di vaccinazione e di prevenzione al Covid, viaggiano su una infrastruttura di rete diversa gestita dalla SORESA, che poi è collegata all’infrastruttura nazionale allestita in occasione del COVID”.

Anche questa volta non è stato l'”Hacker internazionale” la causa di una classica confusione logistica italiana nel campo medico sanitario.

Commenti da Facebook
Prosegui la lettura
abbonati gratis a Matrice Digitale
segnalaci un sito truffa, scam, phishing

Tendenza