• 051 757040
  • info@protezione-dati.eu

Archivio degli autori

Gli incidenti informatici? Per metà causati dai dipendenti

Nonostante la persistente crescita dell’automatizzazione, il fattore umano è ancora in grado di mettere a repentaglio i processi industriali.

Secondo un report di Kaspersky Lab, lo scorso anno gli errori o le azioni accidentali da parte dei dipendenti sono stati la causa del 52% degli incidenti che hanno interessato i sistemi Operational Technology e le reti dei sistemi di controllo industriale (OT/ICS).

Nel nuovo “State of Industrial Cybersecurity 2019”, questa problematica è parte di un contesto ben più ampio e articolato. Infrastrutture industriali sempre più complesse richiedono protezione e competenze all’avanguardia.

Anche in presenza di tali tendenze, le aziende si trovano di fronte alla mancanza di professionisti in grado di gestire le nuove cyberminacce e alla scarsa preparazione da parte dei propri dipendenti.

Nel 2019, l’ARC Advisory Group, per conto di Kaspersky, ha condotto un sondaggio sullo stato della cybersicurezza dei sistemi di controllo industriale (ICS), nonché sulle priorità, le preoccupazioni e le sfide che ciò comporta per tali organizzazioni.

Ebbene, lo studio aiuta a comprendere le misure e i processi coinvolti nella prevenzione di incidenti informatici in infrastrutture critiche e imprese. 282 aziende e organizzazioni in tutto il mondo sono state intervistate, insieme a 20 rappresentanti del settore.

Si evince che sul podio delle preoccupazioni per i manager, in seguito a un incidente, ci sono il danneggiamento della reputazione, il danno fisico o addirittura la morte, la rottura di infrastrutture e dell’hardware.

Quali le priorità per risolvere tale trend? Dedicare un budget di cybersecurity alle OT/ICS, incrementare gli sforzi economici per le operazioni di difesa.

Ovviamente Kasperksy Lab può aiutare in tale percorso di adozione, con il suo know-how in materia di difesa aziendale, con una serie di piattaforme pensate appositamente per proteggere i network e i perimetri industriali.

Nicola Madrigali

Falla nel sistema biometrico, a rischio oltre 1 milione di impronte digitali

Una gravissima falla ha esposto le impronte digitali di più di 1 milione di persone, nonché le password non crittografate, informazioni sul riconoscimento facciale e altri dati personali. A fare la scoperta su Biostar 2, un sistema di biometria estremamente diffuso, adottato da moltissime banche, ma anche dalla polizia britannica e da altre aziende private del settore della sicurezza., sono stati due ricercatori di sicurezza israeliani di vpmentor, ‎ Noam Rotem e Ran Locar.

Il sistema, sviluppato dall’azienda di sicurezza Suprema,‎ utilizza ‎‎le impronte digitali‎‎ e la tecnologia di riconoscimento facciale per consentire alle persone l’accesso a determinati edifici. Lo scorso mese la piattaforma è stata integrata in un altro sistema di accesso, AEOS, utilizzato da 5.700 organizzazioni in 83 Paesi.

‎I due ricercatori israeliani si sono imbattuti nella falla durante una scansione di rete ordinaria condotta la scorsa settimana. In questo modo si sono accorti che il database di Biostar 2 era pubblicamente disponibile e che manipolando URL e criteri di ricerca erano in grado di accedere a quasi 28 milioni di record, per un totale di 23 GB di dati, comprese le impronte digitali, ‎‎i dati di riconoscimento facciale, password e altre informazioni sensibili.

A quanto dichiarato da Rotem al The Guardian, ‎la falla consentirebbe di modificare dati e aggiungere nuovi utenti, che avrebbero il permesso di aggiungere la propria impronta digitale al sistema di controllo degli accessi di qualsiasi struttura faccia uso di Biostar 2.

Secondo quanto affermato dai due esperti di sicurezza, la cosa più grave non è la vastità del database e la quantità di dati esposti, ma la natura stessa dei dati, che avrà certamente conseguenze negative in futuro, in quanto se un utente può cambiare una password non può ovviamente possibile sostituire le proprie impronte digitali. ‎

‎Secondo la ricostruzione proposta dai due ricercatori il team ha anche fatto numerosi tentativi per entrare in contatto con Suprema prima di prendere la decisione di divulgare tutto attraverso la stampa, senza mai ottenere risposta. Tuttavia, il responsabile marketing di Suprema, Andy Ahn, ha dichiarato al Guardian che la società nel frattempo ha già corretto la vulnerabilità procedendo a una “valutazione approfondita” della ricerca di vpnmentor, e renderà noto al più presto la presenza di eventuali minacce per i propri clienti.‎

Fonte: The Guardian

Nicola Madrigali

Crittografia Omomorfica

La soluzione ai problemi di privacy del mondo potrebbe chiamarsi crittografia omomorfica, una soluzione che per anni è stata fuori portata per via del fatto che erano necessari computer troppo potenti ma che oggi, grazie proprio al continuo miglioramento dell’hardware, comincia a sembrare una via praticabile. E incidentalmente permetterebbe a decine di migliaia, tra aziende private ed enti pubblici, di rispettare le leggi senza mal di testa.

L’idea nasce alla fine degli anni settanta ed è riassunta in un documento firmato da Ron Rivest, Len Adleman, Michael Dertouzos. Vi si descrive un metodo per effettuare calcoli su dati crittografati in origine: a un sistema vengono forniti due valori protetti da crittografia, e ne risulterà un dato anch’esso protetto. Le chiavi di decrittazione sono necessarie solo all’inizio e alla fine del progetto, perché il sistema di calcolo può eseguire il lavoro anche senza conoscerle.

L’implicazione di questo approccio è una tutela assoluta dell’informazione. Diciamo che un ospedale deve elaborare i dati di molti pazienti per estrapolarne valori statistici, e per farlo vuole affidarsi a una società specializzata. Farlo nel pieno rispetto del GDPR, il regolamento europeo per la tutela dei dati personali, è piuttosto difficile. Con la crittografia omomorfica invece sarebbe semplice, perché il consulente non potrebbe vedere i dati, ma potrebbe comunque applicare i suoi algoritmi e generare un risultato. E non servirebbe far firmare il consenso a migliaia di persone.

Alla luce dei nuovi regolamenti, quelli approvati e quelli in fase di approvazione, per un’azienda è praticamente il Santo Graal del trattamento dati. Inoltre la crittografia omomorfica potrebbe anche rendere più solida la sicurezza di Facebook, Google o simili: perché potrebbero concedere l’uso di dati ai propri clienti (non siamo noi i clienti) senza temere abusi. E poi ci sono le migliaia di violazioni informatiche, a cui si potrebbe rispondere in modo efficace con la crittografia omomorfica.

Già, ma allora perché non l’abbiamo già messa in pratica? Semplicemente perché questo tipo di calcolo è decine di migliaia di volte più lento rispetto al calcolo su dati non crittografati. Troppo, ma comunque ci sono stati passi avanti, visto che all’inizio la differenza era nell’ordine delle migliaia di miliardi. Tra il miglioramento degli algoritmi e l’aumentare della potenza hardware, quindi, diciamo che nell’arco di qualche anno forse “si potrebbe fare”.

C’è però un altro ostacolo da superare: affinché sia possibile usare la crittografia omomorfica è necessario cambiare alla radice il modo in cui si manipolano i dati. È necessario sapere in anticipo quali operazioni andranno eseguite sul dato crittografato, affinché questo sistema si possa applicare. Questo metodo richiede dunque una grande prevedibilità sulle azioni, un criterio che ad oggi la maggior parte delle aziende non può soddisfare.

Siamo quindi ancora piuttosto lontani da una vera applicazione di questo approccio, tuttavia le norme sempre più restrittive sull’uso dei dati, e la sempre crescente richiesta di sicurezza, stanno cominciando a far sembrare la crittografia omomorfica un’opzione interessante. Contro gli enormi costi di sviluppo e implementazione, infatti, ci sono quelli per le sanzioni e il possibile blocco delle attività per cause legali.

Nicola Madrigali

Sicurezza informatica, 3 certezze: le aziende europee sono un colabrodo; in Italia la PA è un disastro; con l’IoT sarà peggio

A livello globale, l’indice medio relativo alla sicurezza informatica tocca appena l’1,45 su un massimo di 5. Restringendo il campo all’Europa, il settore Finance raggiunge a malapena l’1,21. Sembra, dunque, che ci sia ancora molto lavoro da fare, soprattutto in Europa, soprattutto in Italia.

Sicurezza informatica, 3 certezze: le aziende europee sono un colabrodo; in Italia la PA è un disastro; con l’IoT sarà peggio

Nicola Madrigali

Per attuare il GDPR servono competenze trasversali qualificate, con contenuto informatico

L’attuazione della normativa europea sulla privacy richiede persone con una preparazione tecnica di livello adeguato per poter affrontare le nuove complessità e la volontà, non solo delle grandi organizzazioni ma anche delle realtà medio piccole, di investire su queste risorse. È questo il punto di vista di Elena Ferrari, Docente, Università degli Studi dell’Insubria e Rappresentante del Cini con cui ZeroUno ha fatto il punto sul tema e che mette in guardia dal rischio dello skill gap.

“Per attuare il GDPR servono competenze trasversali qualificate, con contenuto informatico”

Nicola Madrigali

La dignità umana e le regole: l’importanza del diritto alla protezione dei dati

L’economia dei dati alimenta l’idea che chi è più disposto a offrire in pasto al mercato i propri dati personali possa accedere ai più ampi servizi da questo offerti. Ciò produce discriminazioni a cui il GDPR pone argini con intelligenza e lungimiranza giuridica.

La dignità umana e le regole: l’importanza del diritto alla protezione dei dati

Nicola Madrigali

Furto di dati aziendali: scoprire dipendenti infedeli con la digital forensics

Per le aziende è di fondamentale importanza proteggere i propri dati sensibili e quelli dei dipendenti. Ecco le tecniche, le metodologie d’azione e i software giusti per impedire e prevenire il furto di dati aziendali.

Furto di dati aziendali: scoprire dipendenti infedeli con la digital forensics

Nicola Madrigali

Hacker e industria dei trasporti

Automatizzazione e iperconnettività sono ormai una caratteristica dominante delle reti produttive; anche quelle più sicure sono spesso molto fragili, offrendo agli hacker la possibilità di sfruttare le vulnerabilità nei modi più creativi. Ecco perché il 2018 ha segnato una crescita importante degli attacchi informatici, anche ai danni dell’industria dei trasporti.

Hacker e industria dei trasporti: 4 scenari possibili

Nicola Madrigali

Security-by-design: strumenti e metodologie per lo sviluppo sicuro del software

Il termine security-by-design indica il fatto che, oltre ai requisiti funzionali, la progettazione e lo sviluppo del codice deve tenere in considerazione anche la sicurezza. Ecco gli strumenti per lo sviluppo sicuro del software dalla progettazione fino al testing.

Security-by-design: strumenti e metodologie per lo sviluppo sicuro del software

Nicola Madrigali